信息系统安全测评.doc

《信息系统安全测评.doc》由会员分享，可在线阅读，更多相关《信息系统安全测评.doc（9页珍藏版）》请在咨信网上搜索。

信息系统安全测评 文档准备指南 委托单位（公章）： 系统名称： 委托日期： 中国信息安全测评中心 一、文档提交要求 当委托机构正式委托中国信息安全测评中心对其信息系统实施安全测评时，为了使测评人员在现场测评前期就能够对被评估系统有清晰而全面地了解，委托机构应根据申请的测评类型准备文档。 委托测评类型主要包括： 1． 信息安全风险评估 2． 信息系统安全等级保护测评 3． 信息系统安全评估 4． 远程渗透测试 5． 系统安全技术监控 6． 信息系统安全方案评审 需准备的测评文档主要包括： 1．《信息系统基本情况调查表》 2．《信息系统安全技术方案》 3．《信息安全管理组织架构》 4．《信息安全管理制度》 委托单位在准备测评文档时，应根据所申请的测评业务类型准备相应的文档。二者对应关系如下： 文档类型 委托测评类型 《信息系统基本情况调查表》 《信息系统安全技术方案》 《信息安全管理组织架构》 《信息安全管理制度》 信息安全风险评估 √ √ √ √ 信息系统安全等级保护测评 √ √ √ √ 信息系统安全评估 √ √ √ √ 远程渗透测试 系统安全技术监控 √ √ 信息系统安全方案评审 √ 二、准备文档时需注意的问题 1． 保证提交文档内容真实、全面、详细、准确。 2． 将提交文档与《委托书》一并提交。 3． 提交材料时，应提交纸版和电子版文档(光盘形式)各一份。 附件一 《信息安全管理组织机构》 至少包括下列内容： 1、 科技部门整体组织架构 2、 信息安全管理组织架构图。 3、 IT运维部门设置、岗位设置及职责要求，以及人员与岗位的对应关系。 4、 如果IT运维外包，请提供外包服务商承担的岗位、职责以及人员与岗位的对应关系。 附件二 《信息安全管理制度》 至少包括下列内容： 1. 文档制度体系结构说明及信息安全管理制度清单（如果有，请提前说明。例如文档是按照ISO9000文档规范组织的） 2. 机构总体安全方针和政策方面的管理制度 3. 授权审批、审批流程等方面的管理制度 4. 安全审核和安全检查方面的管理制度 5. 管理制度、操作规程修订、维护方面的管理制度 6. 人员录用、离岗、考核等方面的管理制度 7. 人员安全教育和培训方面的管理制度 8. 第三方人员访问控制方面的管理制度 9. 工程实施过程管理方面的管理制度 10. 产品选型、采购方面的管理制度 11. 软件外包开发或自我开发方面的管理制度 12. 测试、验收方面的管理制度 13. 机房安全管理方面的管理制度 14. 办公环境安全管理方面的管理制度 15. 资产、设备、介质安全管理方面的管理制度 16. 信息分类、标识、发布、使用方面的管理制度 17. 配套设施、软硬件维护方面的管理制度 18. 网络安全管理（网络配置、帐号管理等）方面的管理制度 19. 系统安全管理（系统配置、帐号管理等）方面的管理制度 20. 系统监控、风险评估、漏洞扫描方面的管理制度 21. 病毒防范方面的管理制度 22. 系统变更控制方面的管理制度 23. 密码管理方面的管理制度 24. 备份和恢复方面的管理制度 25. 安全事件报告和处置方面的管理制度 26. 系统应急预案 27. 系统问题管理。 附件三 《信息系统安全技术方案》 至少包括下列内容： 1． 信息系统建设的背景、目的 2． 信息系统的主要业务功能、使用用户和业务信息流 3． 信息系统的安全需求 4． 信息系统安全功能设计 4.1描述应用软件的安全功能 一般的安全机制包括身份鉴别、访问控制、安全审计、通信安全、抗抵赖、软件容错、资源控制、代码安全等。 4.2描述网络层采取的安全设置 一般的安全机制包括结构安全与网段划分、网络访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范等。 4.3描述系统层采取的安全设置 一般的安全机制包括后台用户的身份鉴别、访问控制、安全审计等。 4.4描述针对此系统的特殊安全控制措施 附件四 《信息系统基本情况调查表》 见EXCEL表。其中专业理论知识内容包括：保安理论知识、消防业务知识、职业道德、法律常识、保安礼仪、救护知识。作技能训练内容包括：岗位操作指引、勤务技能、消防技能、军事技能。 二．培训的及要求培训目的 安全生产目标责任书 为了进一步落实安全生产责任制，做到“责、权、利”相结合，根据我公司2015年度安全生产目标的内容，现与财务部签订如下安全生产目标： 一、目标值： 1、全年人身死亡事故为零，重伤事故为零，轻伤人数为零。 2、现金安全保管，不发生盗窃事故。 3、每月足额提取安全生产费用，保障安全生产投入资金的到位。 4、安全培训合格率为100%。 二、本单位安全工作上必须做到以下内容： 1、对本单位的安全生产负直接领导责任，必须模范遵守公司的各项安全管理制度，不发布与公司安全管理制度相抵触的指令，严格履行本人的安全职责，确保安全责任制在本单位全面落实，并全力支持安全工作。 2、保证公司各项安全管理制度和管理办法在本单位内全面实施，并自觉接受公司安全部门的监督和管理。 3、在确保安全的前提下组织生产，始终把安全工作放在首位，当“安全与交货期、质量”发生矛盾时，坚持安全第一的原则。 4、参加生产碰头会时，首先汇报本单位的安全生产情况和安全问题落实情况；在安排本单位生产任务时，必须安排安全工作内容，并写入记录。 5、在公司及政府的安全检查中杜绝各类违章现象。 6、组织本部门积极参加安全检查，做到有检查、有整改，记录全。 7、以身作则，不违章指挥、不违章操作。对发现的各类违章现象负有查禁的责任，同时要予以查处。 8、虚心接受员工提出的问题，杜绝不接受或盲目指挥； 9、发生事故，应立即报告主管领导，按照“四不放过”的原则召开事故分析会，提出整改措施和对责任者的处理意见，并填写事故登记表，严禁隐瞒不报或降低对责任者的处罚标准。 10、必须按规定对单位员工进行培训和新员工上岗教育； 11、严格执行公司安全生产十六项禁令，保证本单位所有人员不违章作业。 三、 安全奖惩： 1、对于全年实现安全目标的按照公司生产现场管理规定和工作说明书进行考核奖励；对于未实现安全目标的按照公司规定进行处罚。 2、每月接受主管领导指派人员对安全生产责任状的落