安全驗(yàn)收測評委托書

北京信息安全測評中心 控制編號：BJTEC-4120-08北京信息安全測評中心 控制編號：BJTEC-4120-08/修改記錄：第1次編號：XXXX信息系統(tǒng)安全驗(yàn)收測評委托書委托單位委托系統(tǒng)（公章）：委托日期：北京信息安全測評中心 控制編號：BJTEC-4120-08北京信息安全測評中心 控制編號：BJTEC-4120-08/修改記錄：第1次第第#頁共8頁填表說明用戶填寫和提供的信息及資料應(yīng)保證真實(shí)可靠。本委托表請?jiān)谟?jì)算機(jī)上填寫，內(nèi)容以實(shí)際情況為準(zhǔn)。如填寫內(nèi)容較多，可另附頁。準(zhǔn)備一份紙版（包括要求的附件內(nèi)容，并加蓋單位公章），同時交電子版一份（光盤）。委托單位聯(lián)系信息部 門 部門負(fù)責(zé)人 電 話 手 機(jī) 聯(lián)系人 電 話 手 機(jī) 傳 真 電子郵箱 聯(lián)系地址 郵政編碼 提交資料清單一、基本材料驗(yàn)收依據(jù)：說明：被測單位提出的安全驗(yàn)收測評所依據(jù)的國家或地方標(biāo)準(zhǔn)或集成/設(shè)計(jì)/實(shí)施方案；驗(yàn)收范圍：此次安全驗(yàn)收測評所鑒定的系統(tǒng)邊界；（物理邊界、邏輯邊界）；如果被測單位提出的驗(yàn)收測評依據(jù)是標(biāo)準(zhǔn)，請明確需要驗(yàn)收的標(biāo)準(zhǔn)條款；已有安全措施：針對驗(yàn)收范圍目前對系統(tǒng)安全現(xiàn)狀的描述；《信息系統(tǒng)安全等級保護(hù)備案表》（如有）系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明（要求描述）說明：對于系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明，用戶提供的資料中應(yīng)詳細(xì)說明被測系統(tǒng)涉及網(wǎng)絡(luò)的節(jié)點(diǎn)數(shù)量、IP網(wǎng)段設(shè)置情況、VLAN的劃分情況、采用網(wǎng)絡(luò)操作系統(tǒng)類型、不同應(yīng)用系統(tǒng)客戶機(jī)數(shù)量。用戶應(yīng)提供本單位詳細(xì)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，提供所有網(wǎng)絡(luò)設(shè)備的產(chǎn)品名稱、型號、連接方式、具體安放位置及其它相關(guān)信息；對于被測服務(wù)器，需提供具體IP地址的設(shè)置、采用的操作系統(tǒng)及設(shè)置情況；對于特殊網(wǎng)絡(luò)設(shè)置，如虛聯(lián)接等，需詳細(xì)說明其實(shí)現(xiàn)方式。硬件平臺：主要包括被測系統(tǒng)涉及的計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備、安全防護(hù)設(shè)備、審計(jì)設(shè)備等，還應(yīng)提供設(shè)備名稱、型號、生產(chǎn)廠家及用途等。（excel表格形式）軟件平臺：主要包括被測系統(tǒng)涉及的操作系統(tǒng)、網(wǎng)絡(luò)通信協(xié)議、數(shù)據(jù)庫管理系統(tǒng)、通用應(yīng)用軟件、委托開發(fā)和自主開發(fā)的應(yīng)用系統(tǒng)和網(wǎng)絡(luò)管理軟件，還應(yīng)提供軟件的名稱、版本、生產(chǎn)廠家、安裝位置、運(yùn)行此軟件的設(shè)備名及作用等，并在拓?fù)鋱D上明確軟件的安裝位置。病毒防護(hù)：結(jié)合拓?fù)鋱D說明被測系統(tǒng)涉及的防病毒系統(tǒng)體系結(jié)構(gòu)，采用的軟件/設(shè)備情況（廠商、版本、部署），明確部署位置。安全審計(jì)：結(jié)合拓?fù)鋱D說明被測系統(tǒng)安全審計(jì)的部署情況（網(wǎng)絡(luò)、主機(jī)或應(yīng)用）和具體實(shí)現(xiàn)的審計(jì)功能，采用的審計(jì)軟件/設(shè)備情況（廠商、版本）。入侵檢測：結(jié)合拓?fù)鋱D說明被測系統(tǒng)對入侵檢測機(jī)制的部署情況（網(wǎng)絡(luò)、主機(jī)或應(yīng)用），采用的入侵檢測軟件/設(shè)備情況（廠商、版本）。9.系統(tǒng)安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案或改建實(shí)施方案10系.統(tǒng)使用的安全產(chǎn)品清單及認(rèn)證、銷售許可證明11系.統(tǒng)相關(guān)的主要服務(wù)商及其資質(zhì)二、系統(tǒng)資料網(wǎng)絡(luò)系統(tǒng)：網(wǎng)絡(luò)安全域的劃分情況;網(wǎng)絡(luò)的訪問控制策略；網(wǎng)絡(luò)設(shè)備、安全設(shè)備審計(jì)功能的設(shè)計(jì)與實(shí)現(xiàn)；入侵防范及惡意代碼防范部署情況；網(wǎng)絡(luò)和安全設(shè)備管理員身份鑒別方式；邊界和核心交換設(shè)備保護(hù)措施；主機(jī)系統(tǒng)：.各操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)采用的鑒別方式（賬號/密碼或其他方式）;服務(wù)器遠(yuǎn)程管理安全策略（是否允許遠(yuǎn)程管理、傳輸加密要求）；服務(wù)器中各用戶對資源的訪問控制策略（敏感信息資源清單，用戶權(quán)限分配策略、系統(tǒng)賬號列表及各賬號用途）；主要服務(wù)器必須開放的端口及其用途；服務(wù)器提供其功能所必需的操作系統(tǒng)組件及其他軟件清單；設(shè)計(jì)/驗(yàn)收文檔；管理：（可選）.已有安全管理制度列表；單位已經(jīng)正式發(fā)布的信息安全策略和方針文檔；單位組織架構(gòu)和相關(guān)人員數(shù)；信息安全管理部門和崗位職責(zé)定義文檔；員工安全培訓(xùn)計(jì)劃和記錄；軟件開發(fā)管理相關(guān)規(guī)定；機(jī)房管理規(guī)定；辦公環(huán)境管理規(guī)定（包括物理辦公桌面和終端計(jì)算機(jī)桌面安全管理等）；資產(chǎn)安全管理規(guī)定和資產(chǎn)清單（清單格式）；介質(zhì)安全管理規(guī)定；備份和恢復(fù)管理規(guī)定；信息安全事件管理規(guī)定；程序源代碼庫訪問規(guī)程；用戶口令管理規(guī)定；系統(tǒng)應(yīng)急預(yù)案；機(jī)房驗(yàn)收文檔；網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用運(yùn)行維護(hù)操作規(guī)程。應(yīng)用系統(tǒng)：應(yīng)用系統(tǒng)建設(shè)目的與依據(jù);系統(tǒng)的應(yīng)用需求及總體設(shè)計(jì)方案；應(yīng)用系統(tǒng)用戶身份鑒別方式；應(yīng)用系統(tǒng)賬號管理及其權(quán)限管理的操作流程；業(yè)務(wù)信息流在網(wǎng)絡(luò)上的流轉(zhuǎn)描述（需用戶提供其應(yīng)用系統(tǒng)的詳細(xì)數(shù)據(jù)流轉(zhuǎn)過程，包括數(shù)據(jù)的生成、處理、分發(fā)、查詢等流程）；是否有敏感數(shù)據(jù)，如有請列出，并說明針對這些資源的訪問控制策略；安全審計(jì)功能實(shí)現(xiàn)情況；應(yīng)用系統(tǒng)鑒別信息、業(yè)務(wù)敏感信息存儲和傳輸時是否采用了完整性和機(jī)密性保護(hù)措施；應(yīng)用系統(tǒng)的故障恢復(fù)能力；軟件設(shè)計(jì)/測試/驗(yàn)收文檔；應(yīng)用系統(tǒng)功能說明文檔、用戶使用手冊。應(yīng)用程序源代碼（用于進(jìn)行源代碼安全審查）。源代碼（可選）：

未經(jīng)封裝的、完整的應(yīng)用系統(tǒng)源代碼（不包含測試等無效代碼）；系統(tǒng)采用的開發(fā)技術(shù)（參見附表：信息系統(tǒng)技術(shù)調(diào)查表）系統(tǒng)的開發(fā)環(huán)境（參見附表：開發(fā)環(huán)境調(diào)查表）信息系統(tǒng)技術(shù)調(diào)查表系統(tǒng)名稱系統(tǒng)功能系統(tǒng)最終用戶系統(tǒng)架構(gòu)設(shè)計(jì)語言C/C++ JSP JavaASP.NET C# VB.NETXML PL/SQL T-SQLASP PHP VBJavaScript其它 代碼行數(shù)（大約） 萬級文件大小 k字節(jié)系統(tǒng)文件結(jié)構(gòu)系統(tǒng)類庫（包括版本號）應(yīng)用系統(tǒng)服務(wù)器（包括版本號）Tomcat WebLogicWebSphere其它 系統(tǒng)使用的數(shù)據(jù)庫（包括版本號）Oracle SQL-ServerMySQL DB2Other 系統(tǒng)使用哪些第三方組件WEB系統(tǒng)是否屬于WEB2.0的系統(tǒng)？ 是/否使用哪些開源技術(shù)？Struts Hibernate/NHibernateSpring/NSpring AJAXWebWork其它 開發(fā)環(huán)境調(diào)查表

開發(fā)環(huán)境調(diào)查表部署軟/硬件環(huán)境（包括OS版本）Windows Linux SolarisAIX MacOSX其它 X-Windows(Unix-only)如果部署平臺使用Unix/linux，是否安裝X-windows和gtk2是/否Build工具（包括版本）make/nmake ant VisualStudioEclipse WSAD