信息系统现场测评所需资料

信息系统现场测评所需资料序号测评项所需资料涉及内容备注安全管理制度管理制度信息安全工作总体方针和安全策略包括安全工作总体目标、范围、原则和安全框架等信息安全工作日常管理制度包括机房、网络、系统、应用、数据、运维等相关管理系统信息安全工作日常管理操作规程包括各工作流程、操作手册等制定和发布安全管理制度编制、发布流程或制度包括编制、评审、审批、发布、通告、修订、更新等评审和修订安全管理制度定期评审、修订、更新记录管理制度评审记录、评审会议签到、修订的管理制度安全管理机构岗位设置领导小组网络安全领导小组组成和职责文档系统管理部门组织结构图包括安全主管、各安全负责人、各管理员岗位职责管理员岗位：机房管理员、网络管理员、数据库管理员、主机管理员、安全管理员等职能部门的职责职能部门职责文档人员配备各岗位人员任命相关文件注：安全管理员需专岗专职授权和审批各授权审批事项记录包括设备采购审批、维修审批、机房出入审批、设备操作/设置/更新审批、网络接入审批等沟通与合作部门之内及与其他部门之间会议纪要如各信息安全问题处理讨论会议，部门之内每周例会纪要等与外部单位的联系沟通如与网安部门、信息安全专家、供应商等的沟通记录或会议记录审核和检查定期安全检查记录包括机房日常安全检查、系统日常运行状态检查、系统漏洞修补情况检查、数据备份检查，检查通报文件人员安全管理人员录用人员录用相关资料/各工作人员保密协议保密要求、安全责任、离职保密义务等人员离岗人员离岗相关资料如权限撤销、账户删除等记录人员培训与考核各工作人员工作技能考核资料培训考试成绩、部门内容信息安全工作考核记录安全意识教育和培训年度安全教育和培训计划针对不同岗位制定不同培训计划各安全教育及培训记录培训记录、培训签到表等信息安全责任及惩戒措施相关规定或制度/违反安全策略及规定的相关惩戒记录/外部人员访问管理外部人员访问受控区域流程或规定如机房访问等，包括申请、审批、授权、备案等内容外部人员访问受控网络相应的管理制度、入网申请记录、入网登记记录、权限注销记录、入网保密协议系统建设管理安全方案设计信息系统的安全方案包括系统安全保护要求、策略和措施等内容信息系统的详细设计方案包括安全系统建设、安全产品采购和使用等内容系统安全方案及详细设计方案的评审记录/产品采购和使用IT相关安全产品采购方式及相关使用规定/密码相关产品采购方式及使用规定/自行软件开发软件开发管理制度包括开发过程控制方法和人员行为准则软件设计文档及使用指南软件设计需求文档、设计方案、源代码、系统操作使用说明书等外包软件开发恶意代码检测恶意代码检测报告软件设计文档和使用指南/安全性检测如：源代码审计报告工程实施信息系统建设工程实施方案工程管理制度、工程实施方案第三方监理第三方监理报告测试验收系统安全性测试报告/系统测试验收方案根据设计方案和相关合同要求制定的测试方案，验收方案系统测试验收报告包括验收过程资料、验收报告及报告评审记录系统交付系统交付清单包括交接的设备、软件及文档系统维护、使用人员培训记录指导系统维护及使用人员进行系统维护及操作使用的培训记录系统建设文档和指导运维的文档系统安全方案、设计方案、建设施工方案、测试验收方案、系统测试验收报告、各方案及报告评审记录、系统使用操作指南等安全服务商选择设备采购、技术支持服务合同安全责任、违约责任、设备或服务清单等、定期的供应商服务评审报告系统运维管理环境管理机房管理制度包括机房安全、机房人员出入、机房设备出入、机房环境、机房维护等内容机房设施维护维修记录/办公环境相关保密规定/资产管理信息系统相关资产清单/资产安全管理制度包括责任人员、责任部门、资产管理和使用行为规范等介质管理介质安全管理制度包括介质管理、维修、外借、使用、标识、分类等内容介质归档、查询及盘点记录/介质使用/维修/销毁记录/设备管理信息系统相关设备安全管理制度设备采购申报、审批、选型、发放、领用等内容信息系统相关设备操作和使用规范包括设备启动/停止、加电/断电等信息系统相关设备维护维修记录/信息处理设备外带审批记录/存储介质报废或重用处理处理记录网络安全管理网络安全管理制度包括网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等网络设备更新、升级记录网络设备操作系统补丁升级更新网络系统定期漏洞扫描记录/网络配置文件定期备份记录设备配置文件与外部系统连接审批记录/系统安全管理系统安全管理制度包括系统安全策略、安全配置、日志管理和日常操作流程等系统安全漏洞扫描、修补记录/系统补丁安装测试记录/系统各维护记录及相应审批记录包括重要日常操作、运行维护记录、参数设置和修改、系统补丁升级安装系统运行日记和审计数据分析记录/恶意代码防范管理恶意代码防范规范如及时升级病毒库、设备接入系统前应先进行病毒检查等网络/主机恶意代码检测记录/恶意代码软件相关规定包括授权使用、升级、定期汇报恶意代码升级记录/恶意代码检测记录分析报告/配置管理基本配置信息库/密码管理密码产品采购和使用的管理制度/变更管理信息系统变更方案变更需求文档、变更方案、变更失败回退措施等信息系统变更审批记录/备份与恢复管理需备份的数据信息规定如操作系统、数据库系统、应用系统、网络设备参数、数据库应用数据等备份与恢复管理制度包括备份方式、备份频度、存储介质和保存期等数据备份策略和恢复策略包括备份数据放置场所、文件命名规则、介质替换频率和数据离站运输方法安全事件处置安全弱点和可疑事件报告记录/安全事件报告和处理管理制度包括明确安全事件类型、规定安全事件现场处理、事件报告和后期恢复等管理职责安全事件等级划分根据安全事件造成的影响大小及损失程度安全事件的处理和分析过程记录及相关的应对