调查表模板—信息系统等级测评文档准备指南.doc

精品文档 信息系统等级测评信息系统等级测评 文档准备指南文档准备指南 中国科学技术大学信息安全测评中心中国科学技术大学信息安全测评中心 2013 年年 XX 月月 精品文档 独立性 公正性和诚实性声明独立性 公正性和诚实性声明 为维护中国科学技术大学测评中心公正 诚实的立场 保持测评活动的独立性 向社 会各界发表申明如下 1 严格遵守国家法律法规 坚持科学公正的立场 遵循良好的职业规范 对出具的测评 报告负法律责任 2 本中心独立开展信息安全等级保护的工作 无论受理行业主管部门指令还是客户委托 测评业务 均确保提供 科学公正 准确高效 的测评服务 坚持质量和服务的高水平 3 建立与实施质量体系 在测评活动中严格执行规定的程序和方法 对测评过程实施有 效控制 保证检验结果的客观 准确 有效 行政领导承诺对测评活动不作不恰当的干预 制订措施并保证本中心管理层和员工不 受任何来自内 外部的不正当商业 财务和其它方面的压力和影响 不参与任何损害判断 独立性和检验诚实性的活动 5 中心的测评结论和申诉裁定通过公正投票方式 由具备能力且未参与相关测评人员作 出 6 严格保护客户的机密信息和所有权 保守在测评活动中知悉的国家秘密 商业秘密 敏感信息和个人隐私 不得以任何方式利用客户的技术资料和技术成果进行扩散 确保客 户利益不受任何损失和侵犯 7 中心相关人员在从事评审或处理申 投诉前均须签署 公正性与保密声明 承诺遵守各 项公正性及保密守则 主动报告本人及与工作对象之间存在的或潜在的行政 经济 商务 等方面的利害关系 并对公正性相关承诺承担法律责任 凡有利益冲突可能的人员均应主 动回避 以上声明表明了中国科学技术大学测评中心的公正立场 本机构全体员工应严格遵守 欢迎社会各界对我们的行为给予监督和指正 精品文档 目录目录 一 文档提交要求一 文档提交要求 3 二 准备文档时需注意的问题二 准备文档时需注意的问题 3 附件一附件一 信息系统基本情况调查表信息系统基本情况调查表 5 表1 1 单位基本情况 7 表1 2 参与人员名单 8 表1 3 物理环境情况 9 表1 4 信息系统基本情况 10 表1 5 信息系统承载业务 服务 情况 11 表1 6 信息系统网络结构 环境 情况 12 表1 7 外联线路及设备端口 网络边界 情况调查 13 表1 8 网络设备情况 14 表1 9 安全设备情况 15 表1 10 服务器设备情况 16 表1 11 终端设备情况 17 表1 12 系统软件情况 18 表1 13 应用系统软件情况 19 表1 14 业务数据情况 20 表1 15 数据备份情况 21 表1 16 应用系统软件处理流程 多表 22 表1 17 业务数据流程 多表 23 表1 18 安全威胁情况 24 附件二附件二 信息系统安全技术方案信息系统安全技术方案 26 附件三附件三 信息安全管理制度信息安全管理制度 27 表3 1 安全管理机构类文档 27 表3 2 安全管理制度类文档 28 表3 3 人员安全管理类文档 29 表3 4 系统建设管理类文档 30 表3 5 系统运维管理类文档 32 精品文档 一 文档提交要求一 文档提交要求 当委托机构正式委托中国科学技术大学测评中心对其信息系统实施等级测 评时 为了使测评人员在现场测评前期就能够对被评估系统有清晰而全面地了 解 委托机构应根据申请的测评类型准备文档 委托测评类型主要包括 委托测评类型主要包括 等级符合性检验 风险评估 渗透测试 方案咨询 需准备的测评文档主要包括 需准备的测评文档主要包括 信息系统基本情况调查表 信息系统安全技术方案 信息安全管理制度 其他 委托单位在准备测评文档时 应根据所申请的测评业务类型准备相应的文 档 二者对应关系如下 文档类型 委托测评类型 信息系统基 本情况调查表 附件一 信息系统安 全技术方案 附件二 信息安全管 理制度 附件三 其他 等级符合性检验 风险评估 渗透测试测试 IP 范围 方案咨询 相关方案 二 准备文档时需注意的问题二 准备文档时需注意的问题 保证提交文档内容真实 全面 详细 准确保证提交文档内容真实 全面 详细 准确 精品文档 将提交文档与将提交文档与 委托书委托书 一并提交一并提交 文档材料 纸版和电子版文档均可文档材料 纸版和电子版文档均可 提交文档时做好详细的文档交接记录提交文档时做好详细的文档交接记录 精品文档 附件一附件一 信息系统基本情况调查表信息系统基本情况调查表 代玉龙代玉龙 1 请提供信息系统的最新网络结构图 拓扑图 网络结构图要求 应该标识出网络设备 服务器设备和主要终端设备及其名称 应该标识出服务器设备的 IP 地址 应该标识网络区域划分等情况 应该标识网络与外部的连接等情况 应该能够对照网络结构图说明所有业务流程和系统组成 如果一张图无法表示 可以将核心部分和接入部分分别划出 或以多张图 表示 2 请根据信息系统的网络结构图填写各类调查表格 精品文档 调查表清单调查表清单 表 1 1 单位基本情况 表 1 2 参与人员名单 表 1 3 物理环境情况 表 1 4 信息系统基本情况 表 1 5 信息系统承载业务 服务 情况 表 1 6 信息系统网络结构 环境 情况 表 1 7 外联线路及设备端口 网络边界 情况调查 表 1 8 网络设备情况 表 1 9 安全设备情况 表 1 10 服务器设备情况 表 1 11 终端设备情况 表 1 12 系统软件情况 表 1 13 应用系统软件情况 表 1 14 业务数据情况 表 1 15 数据备份情况 表 1 16 应用系统软件处理流程 多表 表 1 17 业务数据流程 多表 表 1 18 安全威胁情况 精品文档 表表 1 1 1 1 单位基本情况单位基本情况 代玉龙代玉龙 填表人 日期 单位全称简称 单位情况简介 单位所属类型 党政机关 国家重要行业 重要领域或重要企事业单位 一般企事业单位 其他类型 单位地址 邮政编码 负责人姓名电话传真电子邮件地址 联系人电话传真电子邮件地址 上级主管部门 注 情况简介一栏 请填写与被测评系统有关的机构的内容 精品文档 表表 1 2 1 2 参与人员名单参与人员名单 代玉龙代玉龙 填表人 日期 序号人员名称所属部门职务 职称负责范围联系方法 1 2 3 4 5 6 7 8 9 10 11 12 13 精品文档 表表 1 3 1 3 物理环境情况物理环境情况 代玉龙代玉龙 填表人 日期 序号物理环境名称物理位置涉及信息系统 1 2 3 4 5 6 7 注 物理环境包括主机房 辅机房 办公环境等 精品文档 表表 1 4 1 4 信息系统基本情况信息系统基本情况 代玉龙代玉龙 填表人 日期 序号信息系统名称安全保护等级业务信息安全保护等级系统服务安全保护等级承载业务应用 1 2 3 4 5 6 7 8 9 精品文档 表表 1 5 1 5 信息系统承载业务 服务 情况信息系统承载业务 服务 情况 代玉龙代玉龙 填表人 日期 序号 业务 服务 名称 业务描述 业务处理 信息类别 用户 数量 用户分 布范围 涉及的应用系 统软件 是否 24 小时运行 是否可以脱 离系统完成 重要 程度 责任 部门 1 2 3 4 5 6 7 8 9 注 1 用户分布范围栏填写全国 全省 本地区 本单位 2 业务信息类别一栏填写 a 国家秘密信息 b 非密敏感信息 机构或公民的专有信息 c 可公开信息 精品文档 表表 1 6 1 6 信息系统网络结构 环境 情况信息系统网络结构 环境 情况 代玉龙代玉龙 填表人 日期 序号 网络区域 名称 主要业务和信 息描述 IP 网段地址 服务器 数量 终端 数量 与其连接的其它 网络区域 网络区域边界设备 重要 程度 责任部门备注 1 2 3 4 5 注 重要程度填写非常重要 重要 一般 精品文档 表表 1 7 1 7 外联线路及设备端口 网络边界 情况调查外联线路及设备端口 网络边界 情况调查 代玉龙代玉龙 填表人 日期 序号 外联线路名称 边界名称 所属网络区域连接对象名称接入线路种类 传输速率 带宽 线路接入设备 承载主要业务 应用 备注 1 2 3 4 5 6 7 8 9 10 精品文档 表表 1 8 1 8 网络设备情况网络设备情况 代玉龙代玉龙 填表人 日期 序号 网络设备 名称 型号 物理 位置 所属网 络区域 IP 地址 掩码 网关 系统软件 及版本 端口类型 及数量 主要用途 是否 热备 重要 程度 备注 1 2 3 4 5 6 7 8 9 10 注 重要程度填写非常重要 重要 一般 精品文档 表表 1 9 1 9 安全设备情况安全设备情况 代玉龙代玉龙 填表人 日期 序号 网络安全设备 名称 型号 软件 硬件 物理位置 所属网络 区域 IP 地址 掩码 网关系统及运行平台 端口类型 及数量 是否 热备 备注 1 2 3 4 5 6 7 8 9 10 精品文档 表表 1 10 1 10 服务器设备情况服务器设备情况 代玉龙代玉龙 填表人 日期 序号 服务器设 备名称 型号 物理位 置 所属网络 区域 IP 地址 掩码 网关 操作系统 版本 补丁 安装应用系 统软件名称 主要业务 应用 涉及数据 是否 设备 重要 程度 注 1 重要程度填写非常重要 重要 一般 2 包括数据存储设备 精品文档 表表 1 11 1 11 终端设备情况终端设备情况 代玉龙代玉龙 填表人 日期 序号 终端设备 名称 型号 物理 位置 所属网 络区域 设备 数量 IP 地址 掩码 网关操作系统 安装应用系 统软件名称 涉及数据主要用途 重要 程度 注 1 重要程度填写非常重要 重要 一般 2 包括专用终端设备以及网管终端 安全设备控制台等 精品文档 表表 1 12 1 12 系统软件情况系统软件情况 代玉龙代玉龙 填表人 日期 序号系统软件名称版本软件厂商硬件平台涉及应用系统 1 2 3 4 5 6 7 8 9 10 注 包括操作系统 数据库系统等软件 精品文档 表表 1 13 1 13 应用系统软件情况应用系统软件情况 代玉龙代玉龙 填表人 日期 序号应用系统软件名称开发商硬件 软件平台 C S 或 B S 模 式 涉及数据现有用户数量主要用户角色 1 2 3 4 5 6 7 8 9 10 11 12 精品文档 表表 1 14 1 14 业务数据情况业务数据情况 张志刚张志刚 填表人 日期 数据安全性要求 序号数据名称 数据使用者或管理者 及其访问权限 保密完整可用 数据总量 及日增量 涉及业务应用 涉及存储系统与 处理设备 1 2 3 4 5 6 7 8 注 数据安全性要求每项填写高 中 低 如本页不够 请继页填写 精品文档 表表 1 15 1 15 数据备份情况数据备份情况 代玉龙代玉龙 填表人 日期 序号备份数据名介质类型备份周期保存期是否异地保存过期处理办法所属备份系统 1 2 3 4 5 6 7 8 9 10 11 注 备份数据名与表 1 14 对应的数据名称一致 精品文档 表表 1 16 1 16 应用系统软件处理流程 多表 应用系统软件处理流程 多表 张志刚张志刚 填表人 日期 应用系统软件处理流程图 应用软件名称 应用系统软件处理流程图 应用软件名称 注 重要应用系统软件应该描绘处理流程图 说明主要处理步骤 过程 流向 涉及设备和用户 如本页不够 请续页填写 精品文档 表表 1 17 1 17 业务数据流程 多表 业务数据流程 多表 张志刚张志刚 填表人 日期 数据流程图 数据名称 数据流程图 数据名称 注 重要数据应该描绘数据流程图 从数据产生到传输经过的主要设备 再到存储设备等流程 如本页不够 请续页填写 精品文档 表表 1 18 1 18 安全威胁情况安全威胁情况 代玉龙代玉龙 填表人 日期 序号安全事件调查调查结果 1是否发生过网络安全事件 没有 1 次 年 2 次 年 3 次以上 年 不清楚 安全事件说明 时间 影响 2发生的网络安全事件类型 多选 感染病毒 蠕虫 特洛伊木马程序 拒绝服务攻击 端口扫描攻击 数据窃取 破坏数据或网络 篡改网页 垃圾邮件 内部人员有意破坏 内部人员滥用网络端口 系统资源 被利用发送和传播有害信息 网络诈骗和盗窃 其他 其他说明 3如何发现网络安全事件 多选 网络 系统 管理员工作检测发现 通过事后分析发现 通过安全产品发现 有关部门通知或意外发现 他人告知 其他 其他说明 4网络安全事件造成损失评估 非常严重 严重 一般 比较轻微 轻微 无法评估 5可能的攻击来源 内部 外部 都有 病毒 其他原因 不清楚 6导致发生网络安全事件的可能原因 未修补或防范软件漏洞 网络或软件配置错误 登陆密码过于简单或未修改 缺少访问控制 攻击者使用拒绝服务攻击 攻击者利用软件默认设置 利用内部用户安全管理漏洞或内部人员作案 内部网络违规连接互联网 攻击者使用欺诈方法 不知原因 其他 其他说明 精品文档 7是否发生过硬件故障 有 注明时间 频率 无 造成的影响是 8是否发生过软件故障 有 注明时间 频率 无 造成的影响是 9是否发生过维护失误 有 注明时间 频率 无 造成的影响是 10 是否发生过因用户操作失误引起的安全事 件 有 注明时间 频率 无 造成的影响是 11是否发生过物理设施 设备被物理破坏 有 注明时间 频率 无 造成的影响是 12有无遭受自然性破坏 如雷击等 有 注明时间 频率 无 有请注明时间 事件后果 13有无发生过莫名其妙的故障 有 注明时间 频率 无 有请注明时间 事件后果 精品文档 附件二附件二 信息系统安全技术方案信息系统安全技术方案 张潼张潼 1 1 信息系统建设的背景 目的信息系统建设的背景 目的 2 2 信息系统的主要业务功能 使用用户和业务信息流信息系统的主要业务功能 使用用户和业务信息流 3 3 信息系统的安全需要信息系统的安全需要 4 4 信息系统安全功能设计信息系统安全功能设计 描述应用软件的安全功能描述应用软件的安全功能 一般的安全机制包括身份鉴别 访问控制 安全审计 通信安全 抗抵赖 软件容错 资源控制 代码安全等 描述网络层采取的安全设置描述网络层采取的安全设置 一般的安全机制包括结构安全与网段划分 网络访问控制 网络安全审计 边界完整性检查 网络入侵防范 恶意代码防范等 描述系统层采取的安全设置描述系统层采取的安全设置 一般的安全机制包括后台用户的身份鉴别 访问控制 安全审计等 描述针对此系统的特殊安全控制描述针对此系统的特殊安全控制 精品文档 附件三附件三 信息安全管理制度信息安全管理制度 表表 3 1 3 1 安全管理机构类文档安全管理机构类文档 安全管理机构安全管理机构提交文档名称提交文档名称提交人提交人提交时间提交时间 1 部门设置 岗位设置及工作职责定义方面的管理制度 张潼 2 2 安全保障人事管理制度安全保障人事管理制度 张潼 3 授权和审批流程 张志刚 制度类 4 安全审批和安全检查方面的管制制度 张志刚 5 机构安全管理人员岗位名单 代玉龙 证据类 6 外联单位联系列表 代玉龙 记录类7 各类会议纪要或记录 部门内 部门间协调会 领导小组 代玉龙 其他 精品文档 表表 3 2 3 2 安全管理制度类文档安全管理制度类文档 安全管理制度安全管理制度提交文档名称提交文档名称提交人提交人提交时间提交时间 1 机构总体安全方针和政策方面的管理制度 张潼 2 管理制度 操作规程修订 维护方面的管理制度 张志刚 3 安全管理制度改收发规范 张志刚 制度类 4 授权审批 审批流程等方面的管理制度 张志刚 证据类5 总体安全策略等配套文件的专家论证文档 代玉龙 6 安全管理制度的收发登记记录 代玉龙 记录类 7 各类评审和修订记录 安全制度和体系 代玉龙 其他 精品文档 表表 3 3 3 3 人员安全管理类文档人员安全管理类文档 人员安全管理人员安全管理提交文档名称提交文档名称提交人提交人提交时间提交时间 1 人员录用 离岗 考核等方面的管理制度 张潼 2 人员安全教育和培训方面的管理制度 张志刚 制度类 3 第三方人员访问控制方面的管理制度 张志刚 4 人员保密协议 代玉龙 5 关键岗位安全协议 代玉龙 证据类 6 6 离岗人员保密协议离岗人员保密协议 代玉龙 7 人员考核 审查 培训记录 人员录用 人员定期考核 离 岗手续 代玉龙 记录类8 各项审批和批准执行记录 来访人员进入机房审批 介质 设 备外带审批 系统外联审批等 外联接入 服务访问 配置 变更 采购 外来人员访问和管理 代玉龙 其他 精品文档 表表 3 4 3 4 系统建设管理类文档系统建设管理类文档 系统建设管理系统建设管理提交文档名称提交文档名称提交人提交人提交时间提交时间 1 产品选型 采购方面的管理制度 张志刚 2 软件外包开发或自我开发方面的管理制度 张志刚 3 工程实施过程管理方面的管理制度 张志刚 制度类 4 测试 验收方面的管理制度 张志刚 5 信息系统定级报告或定级建议书 张志刚 6 近期和远期安全建设工作计划 总体建设规划书 张志刚 7 详细设计方案 张潼 8 候选产品名单 张潼 9 软件开发协议 张潼 10 与安全服务商或外包开发商签订的服务合同和安全协议 张潼 11 软件开发设计和用户指南等相关文档 目录体系框架或交换 原形系统 软件测试报告 张潼 12 工程实施方案 张潼 13 系统交付清单 程杜仁 14 系统验收测试方案 程杜仁 15 系统测试 验收报告 程杜仁 16 系统备案材料 程杜仁 17 前一次测评报告 程杜仁 证据类 18 测评资质条件 程杜仁 精品文档 19 产品的选型测试结果记录 程杜仁 记录类 20 系统验收测试记录 报告 程杜仁 其他 精品文档 表表 3 5 3 5 系统运维管理类文档系统运维管理类文档 系统运维管理系统运维管理提交文档名称提交文档名称提交人提交人提交时间提交时间 1 机房安全管理方面的