信息系统安全测评申请书

XT01 信息系统安全测评申请书信息系统安全测评申请书 申请单位 申请单位 申请日期 申请日期 河北省信息安全测评中心河北省信息安全测评中心 河北省信息安全测评中心统一制表第 2 页 共 10 页 测测 评评 须须 知知 信息系统安全测评的主要依据是 GB T 18336 1 2001 信息技术 安全技术 信息技术 安全性评估准则 以及其他相关国家标准 行业标准和河北省信息安全测评中心确认的国 际标准 开发编制的信息安全保密技术规范等标准化指导文件 告告 用用 户户 为保证党政机关信息系统的安全 河北省信息安全测评中心承诺 1 根据有关信息安全管理的政策法规 按照 党政机关信息系统安全测评规范 对信息系统进行安全性测评 2 测评本着科学 客观 公正的原则 如实反映被测评信息系统的真实情况 3 河北省信息安全测评中心不将测试数据和用户提交的任何信息提供给第三方 4 用户提交的文档资料只限制在与该项目测评的有关工作人员使用 5 河北省信息安全测评中心工作人员测评中 遵守对方单位的各项管理规定 6 测评中心工作人员均与河北省信息安全测评中心签署了保密协议 7 因河北省信息安全测评中心原因所造成的涉密信息泄漏 本中心承担法律责任 填填 表表 说说 明明 用户填写和提供的信息及资料应保证真实可靠 1 申请表编号由本中心编制填写 2 申请表中 信息安全责任人 是指被测系统信息 安全 主管部门的领导 3 申请表中 全职人员 与被测系统相关的专职人员 4 本申请表请在计算机上填写 内容以实际情况为准 5 如填写内容较多 可另附页 6 提交申请表及资料附件一式两份 申请表电子文档一份 河北省信息安全测评中心统一制表第 3 页 共 10 页 申请单位联系信息 部 门 部门负责人 电 话 手 机 联 系 人 电 话 手 机 传 真 电子邮箱 联系地址 邮政编码 河北省信息安全测评中心统一制表第 4 页 共 10 页 被测单位概况被测单位概况和申请意见和申请意见 被测系统名称 信息安全主管部门信息安全责任人 系统运行管理部门系统运行负责人 专职人员数量兼职人员数量 组织管理状况 上级主管部门 系统性质 党政机关 事业单位 其它 系统建设状况 新建 已建 扩建 系统服务对象 内部应用 对外服务 其它 系统信息特点 国家秘密 内部信息 其他敏感信息 公共信息 对外连接关系 独立网络 与互联网连接 其它 网络类型 局域网 园区网 城域网 广域网 跨省市 系 统 状 况 投资规模 万元 网络结点数量 申 请 意 见 单位主管部门领导签字 单位盖章 年 月 日 河北省信息安全测评中心统一制表第 5 页 共 10 页 提交资料清单提交资料清单 说明 下列需要提供的资料 若前面标有 的为必须提供的资料 无标记的资料 请用户根据自身情况和系统测评目的尽可能提供的 1 1 技术技术资料资料 1 11 1 系统设计资料 包括以下内容 系统设计资料 包括以下内容 1 1 1 建设目的与依据 1 1 2 系统的应用需求及总体设计方案 1 1 3 网络规模和拓扑结构 1 1 4 网络信息流描述 1 1 5 安全威胁描述及其风险分析 1 1 6 系统的安全需求 说明 对于网络规模 用户提供的资料中应详细说明其网络结点数量 IP 网段设置情况 VLAN 的划分情况 采用网络操作系统类型 不同应用系统客户机数量 用户应提供本单位详细的网络拓扑结构 提供所有网络设备的产品名称 型 号 连接方式 具体安放位置及其它相关信息 对于被测服务器 需提供具体 IP 地址的设置 采用的操作系统及设置情况 对于特殊网络设置 如虚联接等 需 详细说明其实现方式 网络信息流描述 需用户提供其应用系统的详细数据流转过程 包括数据的 生成 处理 分发 查询等流程 1 21 2 安全策略及体系设计 包括以下内容 安全策略及体系设计 包括以下内容 1 2 1 系统安全策略规划 1 2 2 系统安全功能及其实现方法 1 2 3 主要软硬件设备及性能清单 1 2 4 主要安全产品技术白皮书 产品资质证明 服务商资质 说明 用户应提供其网络操作系统 应用系统及物理环境的整体安全策略 资料中应详 细提供策略的实现方式 包括用户等级的划分 不同等级用户可访问的数据范围 对关键数据的保护措施等 采用的软 硬件安全产品情况及为实现安全策略所进 行的具体配置信息 网络安全管理所采用的软 硬件产品配置及实现方法 1 31 3 应用系统使用 管理和维护手册应用系统使用 管理和维护手册 1 41 4 系统工程实施资料系统工程实施资料 1 51 5 系统验收资料系统验收资料 2 2 系统安全管理机构描述和管理制度系统安全管理机构描述和管理制度的资料的资料 注 被测单位综合性管理文档中涉及多项管理制度 或某项管理制度在被测单位多份 文档中体现的 要求用户按评测申请表的要求 详细指明各项制度在文档中所处位置 2 12 1 管理制度 包括下列内容 管理制度 包括下列内容 2 1 1 本单位系统适用的法律法规 2 1 2 用户所在单位的管理部门颁发批准的信息安全策略文档资料 2 1 3 安全策略审查和评估的相关规定 河北省信息安全测评中心统一制表第 6 页 共 10 页 2 1 4 对应不同保密等级的不同保密规程及分类指南 2 1 5 信息资产管理规定 说明 企业的信息资产主要包括 数据库和数据文件 系统文档 用户手册 培训材料 操作或支持规程 连 续性规划 后备运行安排 归档的信息 软件资产 如应用软件 系统软件 开发工具和实用程序 物理资产 如计算机设备 通信设备 磁媒体 其他技术设备 家具等 服务如计算和通信服务 一般公共服务 例如 供暖 照明 空调 2 1 6 安全事故处理规程 2 1 7 有关物理安全的规定 2 1 8 办公设施的保护措施相关文档 2 1 9 资产移交的管理规定 2 1 10 电源的管理规定 2 1 11 本单位信息处理设施管理规程 2 1 12 事故管理规程 2 1 13 系统数据检验和控制规程 2 1 14 系统中软件的管理和措施文档 说明 指信息系统中对软件的购买 安装 使用等相关规定 2 1 15 程序源代码库访问规程 说明 指被测单位对源代码的获取 查询 修改等所做的相关规定 如源代码管理与第 三方相关 需制定相应的制度 2 1 16 用户口令管理规定 2 1 17 备份策略规程 2 1 18 计算机媒体介质操作规程 2 1 19 信息处置和存储规程 2 1 20 使用网络和网络服务政策 2 1 21 系统工具使用规程 2 1 22 系统审计规程 2 22 2 人员 机构与职责人员 机构与职责 2 2 1 安全决策机构组成的机构图及职责分工表 2 2 2 安全管理人员的职责分工表 2 2 3 安全顾问的聘任书 2 2 4 安全管理人员履历及专业资格证书 2 2 5 人员保密协议范本 说明 保密协议用来告知信息是保密的或秘密的 被测单位内部人员一般要签署这样的 一个协议 作为录用他们的最初期限和条件的一部分 2 2 6 人员岗位职责规定 2 32 3 安全运行资料安全运行资料 2 3 1 定期安全策略有效性审查和评估的记录 2 3 2 召开安全管理会议的会议记要 说明 根据 规范 规定 被测单位应定期召开安全管理例会 评审和批准安全策略和 总体职责 监视信息资产暴露于主要威胁时的重大变更 评审和监控安全事件 河北省信息安全测评中心统一制表第 7 页 共 10 页 批准所采取的安全措施 以增强安全性 2 3 3 安全专家的建议记录 2 3 4 设备维护记录 2 3 5 访问控制策略文档 2 3 6 定期的审计分析报告 2 3 7 异常情况审计日志和安全事件记录 3 3 系统自测试报系统自测试报告告 3 13 1 委托其它测评机构进行测评的测试过程和测试报告及其结论委托其它测评机构进行测评的测试过程和测试报告及其结论 3 23 2 成果鉴定会上采用的技术测试小组提供的测试大纲 测试报告和测试结论成果鉴定会上采用的技术测试小组提供的测试大纲 测试报告和测试结论 3 33 3 系统运行前由系统集成单位进行测试的方法和测试报告系统运行前由系统集成单位进行测试的方法和测试报告 3 43 4 开发人员进行功能调试所采用的方法和检测手段开发人员进行功能调试所采用的方法和检测手段 4 4 其它其它资料资料 4 14 1 与第三方合作时签订的合约与第三方合作时签订的合约 4 24 2 产品的法定安全测评机构的评估证书产品的法定安全测评机构的评估证书 4 34 3 外部承包人管理信息处理设施的合同外部承包人管理信息处理设施的合同 4 44 4 外包软件开发方的资料外包软件开发方的资料 4 54 5 外包工作人员合约外包工作人员合约 4 64 6 质量手册质量手册 河北省信息安全测评中心统一制表第 8 页 共 10 页 用户提供文档说明用户提供文档说明 注 用户根据提供资料的情况填写此表 对于已提供的资料 请在 用户提供文档情 况 一栏中填写对应的用户文档名称 若测评所需的资料体现在用户文档的某一部分 请 在此栏中详细注明具体位置 如页数 章节等 对于未能提供的必要文档 请说明原因 测评所需资料名称测评所需资料名称用户提供文档情况用户提供文档情况 1 1 技术资料技术资料 1 11 1 系统设计资料系统设计资料 1 1 1 建设目的与依据 1 1 2 系统的应用需求及总体 设计方案 1 1 3 网络规模和拓扑结构 1 1 4 网络信息流描述 1 1 5 安全威胁描述及其风险 分析 1 21 2 安全策略及体系设计安全策略及体系设计 1 2 1 系统安全策略规划 1 2 2 系统安全功能及其实现 方法 1 2 4 主要软硬件设备及性能 清单 1 2 5 主要安全产品技术白皮书 产品资质证明 服务商资质 1 31 3 应用系统使用 管理和维应用系统使用 管理和维 护手册护手册 1 41 4 系统工程实施资料系统工程实施资料 1 51 5 系统验收资料系统验收资料 2 2 系统安全管理机构和管理制度系统安全管理机构和管理制度的资料的资料 2 12 1 管理制度 包括下列内容 管理制度 包括下列内容 2 1 1 本单位系统适用的法 律法规 2 1 2 用户所在单位的管理 部门颁发批准的信息安全策略文 档资料 2 1 3 安全策略审查和评估的 相关规定 河北省信息安全测评中心统一制表第 9 页 共 10 页 2 1 4 对应不同保密等级的 不同保密规程及分类指南 2 1 5 信息资产管理规定 2 1 6 安全事故处理规程 2 1 7 有关物理安全的规定 2 1 8 办公设施的保护措施相 关文档 2 1 9 资产移交的管理规定 2 1 10 电源的管理规定 2 1 11 本单位信息处理设 施管理规程 2 1 12 事故管理规程 2 1 13 系统数据检验和控制 规程 2 1 14 系统中软件的管理和 措施文档 2 1 15 程序源代码库访问规 程 2 1 16 用户口令管理规定 2 1 17 备份策略规程 2 1 18 计算机媒体介质操作 规程 2 1 19 信息处置和存储规程 2 1 20 使用网络和网络服务 政策 2 1 21 系统工具使用规程 2 1 22 系统审计规程 2 22 2 人员 机构与职责人员 机构与职责 2 2 1 安全决策机构组成的 机构图及职责分工表 2 2 2 安全管理人员的职责分 工表 2 2 3 安全顾问的聘任书 2 2 4 安全管理人员履历及专 业资格证书 2 2 5 人员保密协议范本 2 2 6 人员岗位职责规定 2 32 3 安全运行资料安全运行资料 2 3 1 定期安全策略有效性审 河北省信息安全测评中心统一制表第 10 页 共 10 页 查和评估的记录 2 3 2 召开安全管理会议的 会议记要 2 3 3 安全专家的建议记录 2 3 4 设备维护记录 2 3 5 访问控制策略文档 2 3 6 定期的审计分析报告 2 3 7 异常情况审计日志和安 全事件记录 3 3 系统自测试报告系统自测试报告 3 13 1 委托其它测评机构进行测委托其它测评机构进行测 评的测试过程和测试报告及其结评的测试过程和测试报告及其结 论论 3 23 2 成果鉴定会上采用的技术成果鉴定会上采用的技术 测试小组提供的测试大纲 测试测试小组提供的测试大纲 测试 报告和测试结论报告和测试结论 3 33 3 系统运行前由系统集成单系统运行前由系统集成单 位