信息系统等级测评文档准备指引

信息系统等级测评文档准备指南电力行业等级保护测评中心华电卓识实验室2009年9月

目录一、文档提交要求 3二、准备文档时需注意的问题 3附件一信息系统基本情况调查表 5表1-1.单位基本情况 7表1-2.参与人员名单 8表1-3.物理环境情况 9表1-4.信息系统基本情况 10表1-5.信息系统承载业务（服务）情况 11表1-6.信息系统网络结构（环境）情况 12表1-7.外联线路及设备端口（网络边界）情况调查 13表1-8.网络设备情况 14表1-9.安全设备情况 15表1-10.服务器设备情况 16表1-11.终端设备情况 17表1-12.系统软件情况 18表1-13.应用系统软件情况 19表1-14.业务数据情况 20表1-15.数据备份情况 21表1-16.应用系统软件处理流程（多表） 22表1-17.业务数据流程（多表） 23表1-18.安全威胁情况 24附件二信息系统安全技术方案 26附件三信息安全管理制度 27表3-1.安全管理机构类文档 27表3-2.安全管理制度类文档 28表3-3.人员安全管理类文档 29表3-4.系统建设管理类文档 30表3-5.系统运维管理类文档 32一、文档提交要求当委托机构正式委托电力行业等级保护测评中心华电卓识实验室对其信息系统实施等级测评时，为了使测评人员在现场测评前期就能够对被评估系统有清晰而全面地了解，委托机构应根据申请的测评类型准备文档。委托测评类型主要包括：等级符合性检验风险评估渗透测试方案咨询需准备的测评文档主要包括：《信息系统基本情况调查表》《信息系统安全技术方案》《信息安全管理制度》《其他》委托单位在准备测评文档时，应根据所申请的测评业务类型准备相应的文档。二者对应关系如下：文档类型委托测评类型《信息系统基本情况调查表》（附件一）《信息系统安全技术方案》（附件二）《信息安全管理制度》（附件三）《其他》等级符合性检验√√√风险评估√√√渗透测试测试IP范围方案咨询√相关方案二、准备文档时需注意的问题保证提交文档内容真实、全面、详细、准确文档材料，纸版和电子版文档均可提交文档时做好详细的文档交接记录第5页共33页附件一信息系统基本情况调查表请提供信息系统的最新网络结构图（拓扑图）网络结构图要求：应该标识出网络设备、服务器设备和主要终端设备及其名称应该标识出服务器设备的IP地址应该标识网络区域划分等情况应该标识网络与外部的连接等情况应该能够对照网络结构图说明所有业务流程和系统组成如果一张图无法表示，可以将核心部分和接入部分分别划出，或以多张图表示。2、请根据信息系统的网络结构图填写各类调查表格。

调查表清单表1-1.单位基本情况表1-2.参与人员名单表1-3.物理环境情况表1-4.信息系统基本情况表1-5.信息系统承载业务（服务）情况表1-6.信息系统网络结构（环境）情况表1-7.外联线路及设备端口（网络边界）情况调查表1-8.网络设备情况表1-9.安全设备情况表1-10.服务器设备情况表1-11.终端设备情况表1-12.系统软件情况表1-13.应用系统软件情况表1-14.业务数据情况表1-15.数据备份情况表1-16.应用系统软件处理流程（多表）表1-17.业务数据流程（多表）表1-18.安全威胁情况表1-1.单位基本情况填表人：日期：单位全称简称单位情况简介单位所属类型□党政机关□国家重要行业、重要领域或重要企事业单位□一般企事业单位□其他类型单位地址邮政编码负责人姓名电话传真电子邮件地址联系人电话传真电子邮件地址上级主管部门注：情况简介一栏，请填写与被测评系统有关的机构的内容。表1-2.参与人员名单填表人：日期：序号人员名称所属部门职务/职称负责范围联系方法12345678910111213表1-3.物理环境情况填表人：日期：序号物理环境名称物理位置涉及信息系统1234567注：物理环境包括主机房、辅机房、办公环境等。

表1-4.信息系统基本情况填表人：日期：序号信息系统名称安全保护等级业务信息安全保护等级系统服务安全保护等级承载业务应用123456789表1-5.信息系统承载业务（服务）情况填表人：日期：序号业务（服务）名称业务描述业务处理信息类别用户数量用户分布范围涉及的应用系统软件是否24小时运行是否可以脱离系统完成重要程度责任部门123456789注：1、用户分布范围栏填写全国、全省、本地区、本单位2、业务信息类别一栏填写：a）国家秘密信息b）非密敏感信息（机构或公民的专有信息）c）可公开信息表1-6.重要程度栏填写非常重要、重要、一般表1-6.信息系统网络结构（环境）情况填表人：日期：序号网络区域名称主要业务和信息描述IP网段地址服务器数量终端数量与其连接的其它网络区域网络区域边界设备重要程度责任部门备注12345注：重要程度填写非常重要、重要、一般表1-7.外联线路及设备端口（网络边界）情况调查填表人：日期：序号外联线路名称（边界名称）所属网络区域连接对象名称接入线路种类传输速率（带宽）线路接入设备承载主要业务应用备注12345678910表1-8.网络设备情况填表人：日期：序号网络设备名称型号物理位置所属网络区域IP地址/掩码/网关系统软件及版本端口类型及数量主要用途是否热备重要程度备注12345678910注：重要程度填写非常重要、重要、一般表1-9.安全设备情况填表人：日期：序号网络安全设备名称型号（软件/硬件）物理位置所属网络区域IP地址/掩码/网关系统及运行平台端口类型及数量是否热备备注12345678910表1-10.服务器设备情况填表人：日期：序号服务器设备名称型号物理位置所属网络区域IP地址/掩码/网关操作系统版本/补丁安装应用系统软件名称主要业务应用涉及数据是否设备重要程度注：1、重要程度填写非常重要、重要、一般2、包括数据存储设备表1-11.终端设备情况填表人：日期：序号终端设备名称型号物理位置所属网络区域设备数量IP地址/掩码/网关操作系统安装应用系统软件名称涉及数据主要用途重要程度注：1、重要程度填写非常重要、重要、一般2、包括专用终端设备以及网管终端、安全设备控制台等表1-12.系统软件情况填表人：日期：序号系统软件名称版本软件厂商硬件平台涉及应用系统12345678910注：包括操作系统、数据库系统等软件表1-13.应用系统软件情况填表人：日期：序号应用系统软件名称开发商硬件/软件平台C/S或B/S模式涉及数据现有用户数量主要用户角色123456789101112表1-14.业务数据情况填表人：日期：序号数据名称数据使用者或管理者及其访问权限数据安全性要求数据总量及日增量涉及业务应用涉及存储系统与处理设备保密完整可用12345678注：数据安全性要求每项填写高、中、低如本页不够、请继页填写。表1-15.数据备份情况填表人：日期：序号备份数据名介质类型备份周期保存期是否异地保存过期处理办法所属备份系统1234567891011注：备份数据名与表1-12对应的数据名称一致表1-16.应用系统软件处理流程（多表）填表人：日期：应用系统软件处理流程图（应用软件名称：）应用系统软件处理流程图（应用软件名称：）注：重要应用系统软件应该描绘处理流程图，说明主要处理步骤、过程、流向、涉及设备和用户。如本页不够，请续页填写。表1-17.业务数据流程（多表）填表人：日期：数据流程图（数据名称：）数据流程图（数据名称：）注：重要数据应该描绘数据流程图，从数据产生到传输经过的主要设备，再到存储设备等流程如本页不够，请续页填写。表1-18.安全威胁情况填表人：日期：序号安全事件调查调查结果1是否发生过网络安全事件没有□1次/年□2次/年□3次以上/年□不清楚安全事件说明：（时间、影响）2发生的网络安全事件类型（多选）□感染病毒/蠕虫/特洛伊木马程序□拒绝服务攻击□端口扫描攻击□数据窃取□破坏数据或网络□篡改网页□垃圾邮件□内部人员有意破坏□内部人员滥用网络端口、系统资源□被利用发送和传播有害信息□网络诈骗和盗窃□其他其他说明：3如何发现网络安全事件（多选）□网络（系统）管理员工作检测发现□通过事后分析发现□通过安全产品发现□有关部门通知或意外发现□他人告知□其他其他说明：4网络安全事件造成损失评估□非常严重□严重□一般□比较轻微□轻微□无法评估5可能的攻击来源□内部□外部□都有□病毒□其他原因□不清楚6导致发生网络安全事件的可能原因□未修补或防范软件漏洞□网络或软件配置错误□登陆密码过于简单或未修改□缺少访问控制□攻击者使用拒绝服务攻击□攻击者利用软件默认设置□利用内部用户安全管理漏洞或内部人员作案□内部网络违规连接互联网□攻击者使用欺诈方法□不知原因□其他其他说明：7是否发生过硬件故障□有（注明时间、频率）□无造成的影响是8是否发生过软件故障□有（注明时间、频率）□无造成的影响是9是否发生过维护失误□有（注明时间、频率）□无造成的影响是10是否发生过因用户操作失误引起的安全事件□有（注明时间、频率）□无造成的影响是11是否发生过物理设施/设备被物理破坏□有（注明时间、频率）□无造成的影响是12有无遭受自然性破坏（如雷击等）□有（注明时间、频率）□无有请注明时间、事件后果13有无发生过莫名其妙的故障□有（注明时间、频率）□无有请注明时间、事件后果附件二信息系统安全技术方案1.信息系统建设的背景、目的2.信息系统的主要业务功能、使用用户和业务信息流3.信息系统的安全需要4.信息系统安全功能设计描述应用软件的安全功能一般的安全机制包括身份鉴别、访问控制、安全审计、通信安全、抗抵赖、软件容错、资源控制、代码安全等。描述网络层采取的安全设置一般的安全机制包括结构安全与网段划分、网络访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范等描述系统层采取的安全设置一般的安全机制包括后台用户的身份鉴别、访问控制、安全审计等描述针对此系统的特殊安全控制PAGE第33页共33页附件三信息安全管理制度表3-1.安全管理机构类文档安全管理机构提交文档名称提交人提交时间制度类1《部门设置、岗位设置及工作职责定义方面的管理制度》2《安全保障人事管理制度》3《授权和审批流程》4《安全审批和安全检查方面的管制制度》证据类5《机构安全管理人员岗位名单》6《外联单位联系列表》记录类7《各类会议纪要或记录（部门内、部门间协调会、领导小组）》其他表3-2.安全管理制度类文档安全管理制度提交文档名称提交人提交时间制度类1《机构总体安全方针和政策方面的管理制度》2《管理制度、操作规程修订、维护方面的管理制度》3《安全管理制度改收发规范》4《授权审批、审批流程等方面的管理制度》证据类5《总体安全策略等配套文件的专家论证文档》记录类6《安全管理制度的收发登记记录》7《各类评审和修订记录》（安全制度和体系）其他表3-3.人员安全管理类文档人员安全管理提交文档名称提交人提交时间制度类1《人员录用、离岗、考核等方面的管理制度》2《人员安全教育和培训方面的管理制度》3《第三方人员访问控制方面的管理制度》证据类4《人员保密协议》5《关键岗位安全协议》6《离岗人员保密协议》记录类7《人员考核、审查、培训记录（人员录用、人员定期考核）、离岗手续》8《各项审批和批准执行记录（来访人员进入机房审批、介质/设备外带审批、系统外联审批等）》（外联接入、服务访问、配置变更、采购、外来人员访问和管理）其他表3-4.系统建设管理类文档系统建设管理提交文档名称提交人提交时间制度类1《产品选型、采购方面的管理制度》2《软件外包开发或自我开发方面的管理制度》3《工程实施过程管理方面的管理制度》4《测试、验收方面的管理制度》证据类5《信息系统定级报告或定级建议书》6《近期和远期安全建设工作计划、总体建设规划书》7《详细设计方案》8《候选产品名单》9《软件开发协议》10《与安全服务商或外包开发商签订的服务合同和安全协议》11《软件开发设计和用户指南等相关文档（目录体系框架或交换原形系统）、软件测试报告》12《工程实施方案》13《系统交付清单》14《系统验收测试方案》15《系统测试、验收报告》16《系统备案材料》17《前一次测评报告》