調查表模板—信息系統(tǒng)等級測評文檔準備指南

1、信息系統(tǒng)等級測評文檔準備指南中國科學技術大學信息安全測評中心2013年XX月獨立性、公正性和誠實性聲明為維護中國科學技術大學測評中心公正、誠實的立場，保持測評活動的獨立性，向社 會各界發(fā)表申明如下：1.嚴格遵守國家法律法規(guī)，堅持科學公正的立場，遵循良好的職業(yè)規(guī)范，對出具的測評報 告負法律責任；2 本中心獨立開展信息安全等級保護的工作。無論受理行業(yè)主管部門指令還是客戶委托測 評業(yè)務，均確保提供 科學公正、準確高效”的測評服務，堅持質量和服務的高水平。3建立與實施質量體系，在測評活動中嚴格執(zhí)行規(guī)定的程序和方法，對測評過程實施有效 控制，保證檢驗結果的客觀、準確、有效。4行政領導承諾對測評活動不作不

2、恰當的干預，制訂措施并保證本中心管理層和員工不 受任何來自內、外部的不正當商業(yè)、財務和其它方面的壓力和影響，不參與任何損害判斷 獨立性和檢驗誠實性的活動。5. 中心的測評結論和申訴裁定通過公正投票方式，由具備能力且未參與相關測評人員作 出。6. 嚴格保護客戶的機密信息和所有權。保守在測評活動中知悉的國家秘密、商業(yè)秘密、敏 感信息和個人隱私，不得以任何方式利用客戶的技術資料和技術成果進行擴散，確?？蛻?利益不受任何損失和侵犯。7. 中心相關人員在從事評審或處理申、投訴前均須簽署公正性與保密聲明”，承諾遵守各項公正性及保密守則，主動報告本人及與工作對象之間存在的或潛在的行政、經濟、商務等方面的利害

3、關系，并對公正性相關承諾承擔法律責任。凡有利益沖突可能的人員均應主 動回避。以上聲明表明了中國科學技術大學測評中心的公正立場，本機構全體員工應嚴格遵守。歡迎社會各界對我們的行為給予監(jiān)督和指正。目錄一、文檔提交要求 4二、準備文檔時需注意的問題 4附件一信息系統(tǒng)基本情況調查表 6表1-1.單位基本情況 8表1-2.參與人員名單9表1-3.物理環(huán)境情況10表 1-4. 信息系統(tǒng)基本情況 11表1-5 .信息系統(tǒng)承載業(yè)務（服務）情況 12表1-6 .信息系統(tǒng)網絡結構（環(huán)境）情況 13表1-7.外聯(lián)線路及設備端口（網絡邊界）情況調查 14表1-8.網絡設備情況15表1-9. 安全設備情況 16表1-1

4、0.服務器設備情況 17表 1-11. 終端設備情況 18表1-12.系統(tǒng)軟件情況 19表1-13.應用系統(tǒng)軟件情況 20表1-14.業(yè)務數據情況 21表1-15.數據備份情況22表1-16.應用系統(tǒng)軟件處理流程（多表） 23表1-17.業(yè)務數據流程（多表） 24表1-18.安全威脅情況 25附件二信息系統(tǒng)安全技術方案 27附件三信息安全管理制度 28表3-1.安全管理機構類文檔28表3-2.安全管理制度類文檔29表3-3.人員安全管理類文檔30表3-4.系統(tǒng)建設管理類文檔31表3-5.系統(tǒng)運維管理類文檔334、文檔提交要求當委托機構正式委托中國科學技術大學測評中心對其信息系統(tǒng)實施等級測 評時

5、，為了使測評人員在現(xiàn)場測評前期就能夠對被評估系統(tǒng)有清晰而全面地了 解，委托機構應根據申請的測評類型準備文檔。委托測評類型主要包括：等級符合性檢驗風險評估滲透測試方案咨詢需準備的測評文檔主要包括：信息系統(tǒng)基本情況調查表信息系統(tǒng)安全技術方案信息安全管理制度其他委托單位在準備測評文檔時，應根據所申請的測評業(yè)務類型準備相應的文 檔。二者對應關系如下：信息系統(tǒng)基 本情況調查 表（附件一）信息系統(tǒng)安 全技術方案（附件二）信息安全管 理制度（附件三）其他等級符合性檢驗VVV風險評估VVV滲透測試測試IP范圍方案咨詢V相關方案1、準備文檔時需注意的問題保證提交文檔內容真實、全面、詳細、準確 將提交文檔與委托書

6、一并提交 文檔材料，紙版和電子版文檔均可 提交文檔時做好詳細的文檔交接記錄附件一 信息系統(tǒng)基本情況調查表代玉龍1、請?zhí)峁┬畔⑾到y(tǒng)的最新網絡結構圖（拓撲圖）網絡結構圖要求：應該標識出網絡設備、服務器設備和主要終端設備及其名稱應該標識出服務器設備的IP地址應該標識網絡區(qū)域劃分等情況應該標識網絡與外部的連接等情況應該能夠對照網絡結構圖說明所有業(yè)務流程和系統(tǒng)組成如果一張圖無法表示，可以將核心部分和接入部分分別劃出，或以多張圖 表示。2、請根據信息系統(tǒng)的網絡結構圖填寫各類調查表格。調查表清單表1-1.單位基本情況 表1-2.參與人員名單表1-3.物理環(huán)境情況表1-4.信息系統(tǒng)基本情況表1-5 信息系統(tǒng)承

7、載業(yè)務（服務）情況表1-6 信息系統(tǒng)網絡結構（環(huán)境）情況表1-7.外聯(lián)線路及設備端口（網絡邊界）情況調查表1-8.網絡設備情況表1-9.安全設備情況表1-10.服務器設備情況表1-11.終端設備情況表1-12.系統(tǒng)軟件情況表1-13.應用系統(tǒng)軟件情況表1-14.業(yè)務數據情況表1-15.數據備份情況表1-16.應用系統(tǒng)軟件處理流程（多表）表1-17.業(yè)務數據流程（多表）表1-18.安全威脅情況單位全稱簡稱單位情況簡介單位所屬類型 黨政機關 國家重要行業(yè)、重要領域或重要企事業(yè)單位 一般企事業(yè)單位 其他類型單位地址郵政編碼負責人姓名電話傳真電子郵件地址聯(lián)系人電話傳真電子郵件地址上級主管部門注：情況簡

8、介一欄，請?zhí)顚懪c被測評系統(tǒng)有關的機構的內容序號人員名稱所屬部門職務/職稱負責范圍聯(lián)系方法12345678910111213序號物理環(huán)境名稱物理位置涉及信息系統(tǒng)1234567注：物理環(huán)境包括主機房、輔機房、辦公環(huán)境等。序號信息系統(tǒng)名稱安全保護等級業(yè)務信息安全保護等級系統(tǒng)服務安全保護等級承載業(yè)務應用123456789序號業(yè)務（服務） 名稱業(yè)務描述業(yè)務處理 信息類別用戶 數量用戶分布范圍涉及的應用系統(tǒng)軟件是否24小時運行是否可以脫 離系統(tǒng)兀成重要程度責任 部門123456789注：1、用戶分布范圍欄填寫全國、全省、本地區(qū)、本單位2、業(yè)務信息類別一欄填寫：a）國家秘密信息b）非密敏感信息（機構或公民的

9、專有信息）c）可公開信息序號網絡區(qū)域名稱主要業(yè)務和信息描述IP網段地址服務器數量終端數量與其連接的其它 網絡區(qū)域網絡區(qū)域邊界設備重要程度責任部門備注12345注：重要程度填寫非常重要、重要、一般序號外聯(lián)線路名稱（邊界名稱）所屬網絡區(qū)域連接對象名稱接入線路種類傳輸速率（帶寬）線路接入設備承載主要業(yè)務 應用備注12345678910序號網絡設備 名稱型號物理位置所屬網絡區(qū)域IP地址/掩碼/網關系統(tǒng)軟件 及版本端口類型 及數量主要用途是否 熱備重要程度備注12345678910注：重要程度填寫非常重要、重要、一般序號網絡安全設備 名稱型號（軟件/硬件）物理位置所屬網絡 區(qū)域IP地址/掩碼/網關系統(tǒng)及

10、運行平臺端口類型 及數量是否 熱備備注12345678910序號服務器設 備名稱型號物理位 置所屬網絡 區(qū)域IP地址/掩碼/網關操作系統(tǒng) 版本/補丁安裝應用系 統(tǒng)軟件名稱主要業(yè)務 應用涉及數據是否 設備重要程度注：1、重要程度填寫非常重要、重要、一般2、包括數據存儲設備序號終端設備 名稱型號物理位置所屬網絡區(qū)域設備數量IP地址/掩碼/網關操作系統(tǒng)安裝應用系 統(tǒng)軟件名稱涉及數據主要用途重要程度注：1、重要程度填寫非常重要、重要、一般2、包括專用終端設備以及網管終端、安全設備控制臺等序號系統(tǒng)軟件名稱版本軟件廠商硬件平臺涉及應用系統(tǒng)12345678910注：包括操作系統(tǒng)、數據庫系統(tǒng)等軟件序號應用系統(tǒng)

11、軟件名稱開發(fā)商硬件/軟件平臺C/S或B/S模式涉及數據現(xiàn)有用戶數量主要用戶角色123456789101112序號數據名稱數據使用者或管理者 及其訪問權限數據安全性要求數據總量 及日增量涉及業(yè)務應用涉及存儲系統(tǒng)與 處理設備保密完整可用12345678注：數據安全性要求每項填寫高、中、低 如本頁不夠、請繼頁填寫。序號備份數據名介質類型備份周期保存期是否異地保存過期處理辦法所屬備份系統(tǒng)1234567891011注：備份數據名與表1-14對應的數據名稱一致應用系統(tǒng)軟件處理流程圖（應用軟件名稱：）應用系統(tǒng)軟件處理流程圖（應用軟件名稱：）注：重要應用系統(tǒng)軟件應該描繪處理流程圖，說明主要處理步驟、過程、流向

12、、涉及設備和用戶 如本頁不夠，請續(xù)頁填寫。數據流程圖（數據名稱：）數據流程圖（數據名稱：）注：重要數據應該描繪數據流程圖，從數據產生到傳輸經過的主要設備，再到存儲設備等流程 如本頁不夠，請續(xù)頁填寫。序號安全事件調查調查結果1是否發(fā)生過網絡安全事件 沒有 口 1次/年 口2次/年 口3次以上/年 不清楚 安全事件說明：（時間、影響）2發(fā)生的網絡安全事件類型（多選）感染病毒/蠕蟲/特洛伊木馬程序拒絕服務攻擊端口掃描攻擊數據竊取 破壞數據或網絡篡改網頁垃圾郵件內部人員有意破壞內部人員濫用網絡端口、系統(tǒng)資源被利用發(fā)送和傳播有害信息口網絡詐騙和盜竊口其他其他說明：3如何發(fā)現(xiàn)網絡安全事件（多選）網絡（系統(tǒng)

13、）管理員工作檢測發(fā)現(xiàn)通過事后分析發(fā)現(xiàn)通過安全產品發(fā)現(xiàn)有關部門通知或意外發(fā)現(xiàn)他人告知其他其他說明：4網絡安全事件造成損失評估非常嚴重嚴重一般比較輕微輕微無法評估5可能的攻擊來源內部外部都有病毒其他原因不清楚6導致發(fā)生網絡安全事件的可能原因未修補或防范軟件漏洞口網絡或軟件配置錯誤 登陸密碼過于簡單或未修改缺少訪冋控制口攻擊者使用拒絕服務攻擊攻擊者利用軟件默認設置利用內部用戶安全管理漏洞或內部人員作案內部網絡違規(guī)連接互聯(lián)網攻擊者使用欺詐方法不知原因其他其他說明：表1-18.安全威脅情況代玉龍7是否發(fā)生過硬件故障有（注明時間、頻率）無造成的影響是8是否發(fā)生過軟件故障有（注明時間、頻率）無造成的影響是9

14、是否發(fā)生過維護失誤有（注明時間、頻率）無造成的影響是10是否發(fā)生過因用戶操作失誤引起的安全事 件有（注明時間、頻率）無造成的影響是11是否發(fā)生過物理設施/設備被物理破壞有（注明時間、頻率）無造成的影響是12有無遭受自然性破壞（如雷擊等）有（注明時間、頻率）無有請注明時間、事件后果13有無發(fā)生過莫名其妙的故障有（注明時間、頻率）無有請注明時間、事件后果附件二 信息系統(tǒng)安全技術方案張潼1. 信息系統(tǒng)建設的背景、目的2. 信息系統(tǒng)的主要業(yè)務功能、使用用戶和業(yè)務信息流3. 信息系統(tǒng)的安全需要4. 信息系統(tǒng)安全功能設計描述應用軟件的安全功能一般的安全機制包括身份鑒別、訪問控制、安全審計、通信安全、抗抵賴

15、、軟件容錯、資源控制、代碼安全等。描述網絡層采取的安全設置一般的安全機制包括結構安全與網段劃分、網絡訪問控制、網絡安全審計、邊界完整性檢查、網絡入侵防范、惡意代碼防范等描述系統(tǒng)層采取的安全設置一般的安全機制包括后臺用戶的身份鑒別、訪問控制、安全審計等描述針對此系統(tǒng)的特殊安全控制附件三信息安全管理制度表3-1.安全管理機構類文檔安全管理機構提交文檔名稱提交人提交時間制度類1部門設置、崗位設置及工作職責定義方面的管理制度張潼2安全保障人事管理制度張潼3授權和審批流程張志剛4安全審批和安全檢查方面的管制制度張志剛證據類5機構安全管理人員崗位名單代玉龍6外聯(lián)單位聯(lián)系列表代玉龍記錄類7各類會議紀要或記錄

16、（部門內、部門間協(xié)調會、領導小組）代玉龍其他表3-2.安全管理制度類文檔安全管理制度提交文檔名稱提交人提交時間制度類1機構總體安全方針和政策方面的管理制度張潼2管理制度、操作規(guī)程修訂、維護方面的管理制度張志剛3安全管理制度改收發(fā)規(guī)范張志剛4授權審批、審批流程等方面的管理制度張志剛證據類5總體安全策略等配套文件的專家論證文檔代玉龍記錄類6安全管理制度的收發(fā)登記記錄代玉龍7各類評審和修訂記錄（安全制度和體系）代玉龍其他表3-3.人員安全管理類文檔人員安全管理提交文檔名稱提交人提交時間制度類1人員錄用、離崗、考核等方面的管理制度張潼2人員安全教育和培訓方面的管理制度張志剛3第二方人員訪冋控制方面的管

17、理制度張志剛證據類4人員保密協(xié)議代玉龍5關鍵岡位安全協(xié)議代玉龍6離崗人員保密協(xié)議代玉龍記錄類7人員考核、審查、培訓記錄（人員錄用、人員定期考核）、離 崗手續(xù)代玉龍8各項審批和批準執(zhí)行記錄（來訪人員進入機房審批、介質 /設備 外帶審批、系統(tǒng)外聯(lián)審批等）（外聯(lián)接入、服務訪問、配置變更、 采購、外來人員訪問和管理）代玉龍其他表3-4.系統(tǒng)建設管理類文檔系統(tǒng)建設管理提交文檔名稱提交人提交時間制度類1產品選型、米購方面的管理制度張志剛2軟件外包開發(fā)或自我開發(fā)方面的管理制度張志剛3工程實施過程管理方面的管理制度張志剛4測試、驗收方面的管理制度張志剛證據類5信息系統(tǒng)定級報告或定級建議書張志剛6近期和遠期安全

18、建設工作計劃、總體建設規(guī)劃書張志剛7詳細設計方案張潼8候選產品名單張潼9軟件開發(fā)協(xié)議張潼10與安全服務商或外包開發(fā)商簽訂的服務合冋和安全協(xié)議張潼11軟件開發(fā)設計和用戶指南等相關文檔（目錄體系框架或交換原形系統(tǒng)）、軟件測試報告張潼12工程實施方案張潼13系統(tǒng)交付清單程杜仁14系統(tǒng)驗收測試方案程杜仁15系統(tǒng)測試、驗收報告程杜仁16系統(tǒng)備案材料程杜仁17前一次測評報告程杜仁18測評資質條件程杜仁記錄類19產品的選型測試結果記錄程杜仁20系統(tǒng)驗收測試記錄、報告程杜仁其他表3-5.系統(tǒng)運維管理類文檔系統(tǒng)運維管理提交文檔名稱提交人提交時間制度類1機房安全管理方面的管理制度代玉龍2辦公環(huán)境安全管理方面的管理制度代玉龍3資產、設備、介質安全管理方面的管理制度代玉龍4信息分類、標識、發(fā)布、