《调查表模板—信息系统等级测评文档准备指南(34页).doc》由会员分享,可在线阅读,更多相关《调查表模板—信息系统等级测评文档准备指南(34页).doc(34页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、-调查表模板信息系统等级测评文档准备指南-第 34 页信息系统等级测评文档准备指南中国科学技术大学信息安全测评中心2013年 XX月 独立性、公正性和诚实性声明为维护中国科学技术大学测评中心公正、诚实的立场,保持测评活动的独立性,向社会各界发表申明如下:1. 严格遵守国家法律法规,坚持科学公正的立场,遵循良好的职业规范,对出具的测评报告负法律责任;2本中心独立开展信息安全等级保护的工作。无论受理行业主管部门指令还是客户委托测评业务,均确保提供“科学公正、准确高效”的测评服务,坚持质量和服务的高水平。3建立与实施质量体系,在测评活动中严格执行规定的程序和方法,对测评过程实施有效控制,保证检验结果
2、的客观、准确、有效。行政领导承诺对测评活动不作不恰当的干预,制订措施并保证本中心管理层和员工不受任何来自内、外部的不正当商业、财务和其它方面的压力和影响,不参与任何损害判断独立性和检验诚实性的活动。5. 中心的测评结论和申诉裁定通过公正投票方式,由具备能力且未参与相关测评人员作出。6. 严格保护客户的机密信息和所有权。保守在测评活动中知悉的国家秘密、商业秘密、敏感信息和个人隐私,不得以任何方式利用客户的技术资料和技术成果进行扩散,确保客户利益不受任何损失和侵犯。 7. 中心相关人员在从事评审或处理申、投诉前均须签署“公正性与保密声明”,承诺遵守各项公正性及保密守则,主动报告本人及与工作对象之间
3、存在的或潜在的行政、经济、商务等方面的利害关系,并对公正性相关承诺承担法律责任。凡有利益冲突可能的人员均应主动回避。以上声明表明了中国科学技术大学测评中心的公正立场,本机构全体员工应严格遵守。欢迎社会各界对我们的行为给予监督和指正。目录一、文档提交要求3二、准备文档时需注意的问题3附件一 信息系统基本情况调查表5表1-1. 单位基本情况7表1-2. 参与人员名单8表1-3. 物理环境情况9表1-4. 信息系统基本情况10表1-5. 信息系统承载业务(服务)情况11表1-6. 信息系统网络结构(环境)情况12表1-7. 外联线路及设备端口(网络边界)情况调查13表1-8. 网络设备情况14表1-
4、9. 安全设备情况15表1-10. 服务器设备情况16表1-11. 终端设备情况17表1-12. 系统软件情况18表1-13. 应用系统软件情况19表1-14. 业务数据情况20表1-15. 数据备份情况21表1-16. 应用系统软件处理流程(多表)22表1-17. 业务数据流程(多表)23表1-18. 安全威胁情况24附件二 信息系统安全技术方案26附件三 信息安全管理制度27表3-1. 安全管理机构类文档27表3-2. 安全管理制度类文档28表3-3. 人员安全管理类文档29表3-4. 系统建设管理类文档30表3-5. 系统运维管理类文档32一、文档提交要求当委托机构正式委托中国科学技术大
5、学测评中心对其信息系统实施等级测评时,为了使测评人员在现场测评前期就能够对被评估系统有清晰而全面地了解,委托机构应根据申请的测评类型准备文档。委托测评类型主要包括:l 等级符合性检验l 风险评估l 渗透测试l 方案咨询需准备的测评文档主要包括:l 信息系统基本情况调查表l 信息系统安全技术方案l 信息安全管理制度l 其他委托单位在准备测评文档时,应根据所申请的测评业务类型准备相应的文档。二者对应关系如下:文档类型委托测评类型信息系统基本情况调查表(附件一)信息系统安全技术方案(附件二)信息安全管理制度(附件三)其他等级符合性检验风险评估渗透测试测试IP范围方案咨询相关方案二、准备文档时需注意的
6、问题l 保证提交文档内容真实、全面、详细、准确l 将提交文档与委托书一并提交l 文档材料,纸版和电子版文档均可 l 提交文档时做好详细的文档交接记录附件一 信息系统基本情况调查表 代玉龙1、 请提供信息系统的最新网络结构图(拓扑图)网络结构图要求:l 应该标识出网络设备、服务器设备和主要终端设备及其名称l 应该标识出服务器设备的IP地址l 应该标识网络区域划分等情况l 应该标识网络与外部的连接等情况l 应该能够对照网络结构图说明所有业务流程和系统组成如果一张图无法表示,可以将核心部分和接入部分分别划出,或以多张图表示。2、请根据信息系统的网络结构图填写各类调查表格。调查表清单表1-1. 单位基
7、本情况表1-2. 参与人员名单表1-3. 物理环境情况表1-4. 信息系统基本情况表1-5. 信息系统承载业务(服务)情况表1-6. 信息系统网络结构(环境)情况表1-7. 外联线路及设备端口(网络边界)情况调查表1-8. 网络设备情况表1-9. 安全设备情况表1-10. 服务器设备情况表1-11. 终端设备情况表1-12. 系统软件情况表1-13. 应用系统软件情况表1-14. 业务数据情况表1-15. 数据备份情况表1-16. 应用系统软件处理流程(多表)表1-17. 业务数据流程(多表)表1-18. 安全威胁情况表1-1. 单位基本情况 代玉龙 填表人: 日期:单位全称简称单位情况简介单
8、位所属类型 党政机关 国家重要行业、重要领域或重要企事业单位 一般企事业单位 其他类型单位地址邮政编码负责人姓名电话传真电子邮件地址联系人电话传真电子邮件地址上级主管部门注:情况简介一栏,请填写与被测评系统有关的机构的内容。表1-2. 参与人员名单 代玉龙填表人: 日期:序号人员名称所属部门职务/职称负责范围联系方法12345678910111213表1-3. 物理环境情况 代玉龙填表人: 日期:序号物理环境名称物理位置涉及信息系统1234567注:物理环境包括主机房、辅机房、办公环境等。表1-4. 信息系统基本情况 代玉龙填表人: 日期:序号信息系统名称安全保护等级业务信息安全保护等级系统服
9、务安全保护等级承载业务应用123456789表1-5. 信息系统承载业务(服务)情况 代玉龙填表人: 日期:序号业务(服务)名称业务描述业务处理信息类别用户数量用户分布范围涉及的应用系统软件是否24小时运行是否可以脱离系统完成重要程度责任部门123456789注:1、用户分布范围栏填写全国、全省、本地区、本单位2、业务信息类别一栏填写:a)国家秘密信息b)非密敏感信息(机构或公民的专有信息)c)可公开信息表1-6. 信息系统网络结构(环境)情况 代玉龙填表人: 日期:序号网络区域名称主要业务和信息描述IP网段地址服务器数量终端数量与其连接的其它网络区域网络区域边界设备重要程度责任部门备注123
10、45注:重要程度填写非常重要、重要、一般表1-7. 外联线路及设备端口(网络边界)情况调查 代玉龙填表人: 日期:序号外联线路名称(边界名称)所属网络区域连接对象名称接入线路种类传输速率(带宽)线路接入设备承载主要业务应用备注12345678910表1-8. 网络设备情况 代玉龙填表人: 日期:序号网络设备名称型号物理位置所属网络区域IP地址/掩码/网关系统软件及版本端口类型及数量主要用途是否热备重要程度备注12345678910注:重要程度填写非常重要、重要、一般表1-9. 安全设备情况 代玉龙填表人: 日期:序号网络安全设备名称型号(软件/硬件)物理位置所属网络区域IP地址/掩码/网关系统
11、及运行平台端口类型及数量是否热备备注12345678910表1-10. 服务器设备情况 代玉龙填表人: 日期:序号服务器设备名称型号物理位置所属网络区域IP地址/掩码/网关操作系统版本/补丁安装应用系统软件名称主要业务应用涉及数据是否设备重要程度注:1、重要程度填写非常重要、重要、一般2、包括数据存储设备表1-11. 终端设备情况 代玉龙填表人: 日期:序号终端设备名称型号物理位置所属网络区域设备数量IP地址/掩码/网关操作系统安装应用系统软件名称涉及数据主要用途重要程度注:1、重要程度填写非常重要、重要、一般2、包括专用终端设备以及网管终端、安全设备控制台等表1-12. 系统软件情况 代玉龙
12、填表人: 日期:序号系统软件名称版本软件厂商硬件平台涉及应用系统12345678910注:包括操作系统、数据库系统等软件表1-13. 应用系统软件情况 代玉龙填表人: 日期:序号应用系统软件名称开发商硬件/软件平台C/S或B/S模式涉及数据现有用户数量主要用户角色123456789101112表1-14. 业务数据情况 张志刚填表人: 日期:序号数据名称数据使用者或管理者及其访问权限数据安全性要求数据总量及日增量涉及业务应用涉及存储系统与处理设备保密完整可用12345678注:数据安全性要求每项填写高、中、低 如本页不够、请继页填写。表1-15. 数据备份情况 代玉龙填表人: 日期:序号备份数
13、据名介质类型备份周期保存期是否异地保存过期处理办法所属备份系统1234567891011注:备份数据名与表1-14对应的数据名称一致表1-16. 应用系统软件处理流程(多表) 张志刚填表人: 日期:应用系统软件处理流程图(应用软件名称: )应用系统软件处理流程图(应用软件名称: )注:重要应用系统软件应该描绘处理流程图,说明主要处理步骤、过程、流向、涉及设备和用户。如本页不够,请续页填写。表1-17. 业务数据流程(多表) 张志刚填表人: 日期:数据流程图(数据名称: )数据流程图(数据名称: )注:重要数据应该描绘数据流程图,从数据产生到传输经过的主要设备,再到存储设备等流程如本页不够,请续
14、页填写。表1-18. 安全威胁情况 代玉龙填表人: 日期:序号安全事件调查调查结果1是否发生过网络安全事件 没有 1次/年 2次/年 3次以上/年 不清楚安全事件说明:(时间、影响)2发生的网络安全事件类型(多选)感染病毒/蠕虫/特洛伊木马程序 拒绝服务攻击 端口扫描攻击数据窃取 破坏数据或网络 篡改网页 垃圾邮件内部人员有意破坏 内部人员滥用网络端口、系统资源被利用发送和传播有害信息 网络诈骗和盗窃 其他其他说明:3如何发现网络安全事件(多选)网络(系统)管理员工作检测发现 通过事后分析发现通过安全产品发现 有关部门通知或意外发现他人告知 其他其他说明:4网络安全事件造成损失评估非常严重 严
15、重 一般 比较轻微 轻微 无法评估5可能的攻击来源内部 外部 都有 病毒 其他原因 不清楚6导致发生网络安全事件的可能原因未修补或防范软件漏洞 网络或软件配置错误 登陆密码过于简单或未修改缺少访问控制 攻击者使用拒绝服务攻击攻击者利用软件默认设置 利用内部用户安全管理漏洞或内部人员作案内部网络违规连接互联网 攻击者使用欺诈方法不知原因 其他其他说明:7是否发生过硬件故障有 (注明时间、频率) 无造成的影响是8是否发生过软件故障有 (注明时间、频率) 无造成的影响是9是否发生过维护失误有 (注明时间、频率) 无造成的影响是10是否发生过因用户操作失误引起的安全事件有 (注明时间、频率) 无造成的
16、影响是11是否发生过物理设施/设备被物理破坏有 (注明时间、频率) 无造成的影响是12有无遭受自然性破坏(如雷击等)有 (注明时间、频率) 无有请注明时间、事件后果13有无发生过莫名其妙的故障有 (注明时间、频率) 无有请注明时间、事件后果附件二 信息系统安全技术方案 张潼1.信息系统建设的背景、目的2.信息系统的主要业务功能、使用用户和业务信息流l 描述应用软件的安全功能一般的安全机制包括身份鉴别、访问控制、安全审计、通信安全、抗抵赖、软件容错、资源控制、代码安全等。l 描述网络层采取的安全设置一般的安全机制包括结构安全与网段划分、网络访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶
17、意代码防范等l 描述系统层采取的安全设置一般的安全机制包括后台用户的身份鉴别、访问控制、安全审计等l 描述针对此系统的特殊安全控制附件三 信息安全管理制度表3-1. 安全管理机构类文档安全管理机构提交文档名称提交人提交时间制度类1部门设置、岗位设置及工作职责定义方面的管理制度张潼2安全保障人事管理制度张潼3授权和审批流程 张志刚4安全审批和安全检查方面的管制制度张志刚证据类5机构安全管理人员岗位名单代玉龙6外联单位联系列表代玉龙记录类7各类会议纪要或记录(部门内、部门间协调会、领导小组)代玉龙其他表3-2. 安全管理制度类文档安全管理制度提交文档名称提交人提交时间制度类1机构总体安全方针和政策
18、方面的管理制度张潼2管理制度、操作规程修订、维护方面的管理制度张志刚3安全管理制度改收发规范张志刚4授权审批、审批流程等方面的管理制度张志刚证据类5总体安全策略等配套文件的专家论证文档代玉龙记录类6安全管理制度的收发登记记录代玉龙7各类评审和修订记录(安全制度和体系)代玉龙 其他表3-3. 人员安全管理类文档人员安全管理提交文档名称提交人提交时间制度类1人员录用、离岗、考核等方面的管理制度张潼2人员安全教育和培训方面的管理制度张志刚3第三方人员访问控制方面的管理制度张志刚证据类4人员保密协议代玉龙5关键岗位安全协议代玉龙6离岗人员保密协议代玉龙记录类7人员考核、审查、培训记录(人员录用、人员定
19、期考核)、离岗手续代玉龙8各项审批和批准执行记录(来访人员进入机房审批、介质/设备外带审批、系统外联审批等)(外联接入、服务访问、配置变更、采购、外来人员访问和管理)代玉龙其他表3-4. 系统建设管理类文档系统建设管理提交文档名称提交人提交时间制度类1产品选型、采购方面的管理制度张志刚2软件外包开发或自我开发方面的管理制度张志刚3工程实施过程管理方面的管理制度张志刚4测试、验收方面的管理制度张志刚证据类5信息系统定级报告或定级建议书张志刚6近期和远期安全建设工作计划、总体建设规划书张志刚7详细设计方案张潼8候选产品名单张潼9软件开发协议张潼10与安全服务商或外包开发商签订的服务合同和安全协议张
20、潼11软件开发设计和用户指南等相关文档(目录体系框架或交换原形系统)、软件测试报告张潼12工程实施方案张潼13系统交付清单程杜仁14系统验收测试方案程杜仁15系统测试、验收报告程杜仁16系统备案材料程杜仁17前一次测评报告程杜仁18测评资质条件程杜仁记录类19产品的选型测试结果记录程杜仁20系统验收测试记录、报告程杜仁其他表3-5. 系统运维管理类文档系统运维管理提交文档名称提交人提交时间制度类1机房安全管理方面的管理制度代玉龙2办公环境安全管理方面的管理制度代玉龙3资产、设备、介质安全管理方面的管理制度代玉龙4信息分类、标识、发布、使用方面的管理制度张志刚5配套设施、软硬件维护方面的管理制度
21、代玉龙6系统监控、风险评估、漏洞扫描方面的管理制度代玉龙7设备操作手册程杜仁8维护管理规范程杜仁9维护、监控记录程杜仁10网络安全管理(系统配置、账号管理等)方面的管理制度代玉龙11系统安全管理(系统配置、账号管理等)方面的管理制度代玉龙12病毒防范方面的管理制度程杜仁13密码管理方面的管理制度程杜仁14系统变更控制方面的管理制度张志刚15备份和恢复方面的管理制度程杜仁16安全事件报告和处置方面的管理制度程杜仁17应急响应方法、应急响应计划等方面的文件程杜仁证据类18机房安全设计和验收方面的文档代玉龙19资产清单代玉龙20主要设备漏洞扫描报告代玉龙21系统异常行为审计分析报告代玉龙22变更申请书代玉龙23变更方案代玉龙24信息系统定期安全检查的检查表和安全检查报告代玉龙记录类25机房基础设施维护记录代玉龙26机房出入登记记录(包括第三方人员)代玉龙27机房日常巡检记录代玉龙28介质归档、查询等的登记记录代玉龙29主机系统、网络、安全设备等的操作日志和维护记录代玉龙30对主机、网络设备和应用软件等的监控记录和分析报告代玉龙31恶意代码检测、升级记录和分析报告张志刚32变更方案评审记录和变更过程记录张志刚33备份过程记录张志刚34安全事件处理过程记录张志刚35应急预案培训、演练、审查记录张志刚 其他
限制150内