信息系统安全测评申请书参考模版.doc
《信息系统安全测评申请书参考模版.doc》由会员分享,可在线阅读,更多相关《信息系统安全测评申请书参考模版.doc(14页珍藏版)》请在冰豆网上搜索。
编号:
信息系统安全测评申请书
申请单位(公章):
系统名称:
申请日期:
安徽省信息安全测评中心
申报须知
申报测评单位在正式填写本申请书前,请注意:
1.申请书一律要求用计算机填写,内容应真实、具体。
应请交纸质版申请书及附件一份,同时交电子版一份(光盘)。
如填写内容较多,可另加附页。
2.安徽省信息安全测评中心将通过现场核查、技术测试以及安全管理评估等方式,对信息系统的安全运行情况进行测评,并出具测评报告。
3.安全测评为以前没有安全保障或安全保障体系不完善的系统(网络)提供改进服务,从而降低系统的安全风险。
应当说明的是,达到测评要求的信息系统只是达到了国家规定的管理及控制安全风险的能力,并不表明该系统完全消除了安全风险。
4. 安徽省信息安全测评中心《公正性声明》:
在测评工作中,坚持以国家相关政策法规、标准及技术规范为依据,诚实反映客观事实,正确判定测评结果(报告)。
保证结果的科学、公正、准确、保密。
确保被测单位的知识产权、国家秘密和商业秘密。
5.安徽省信息安全测评中心地址:
合肥市蜀山区大西门赵岗路12号
邮编:
230061电话:
(0551)2824812、2810945、2812581、2836653—8418、8426传真:
(0551)2816393
备注:
申请书中打“★”的部分必填,其他部分如没有,可不填。
目录
一、申请单位基本情况 4
二、被测信息系统概况 5
三、委托书 6
四、申请单位声明 7
附件一:
系统应用需求及安全设计方案 8
附件二:
系统安全管理机构和管理制度汇编 11
附件三:
系统自测分析报告 13
一、申请单位基本情况★
申请单位全称
地址
邮编
法人代表姓名
职务
联系方式
联系人姓名
职务
电话
传真
手机
电子邮箱
单位其他信息
工商登记注册号(如有,附企业法人营业执照副本或上级主管部门批准成立文件复印件)
法人机构代码(如有,附法人机构代码证副本复印件)
密码主管部门的批文文号(如有,附复印件)
其他重要的法律文件
二、被测信息系统概况★
信息系统名称
系统运行管理部门
负责人
系统性质和规模
系统性质
¨政务¨商用¨自用
建设状况
¨新建¨已建
主要服务对象
主要应用业务
系统信息特点
¨国家秘密信息¨商业秘密信息¨其他信息
对外连接
¨与其他部门连接¨与Internet连接
网络结构
¨局域网¨城域网¨校园网¨广域网(跨省市)
系统安全管理
组织机构
领导机构名称
负责人职务姓名
管理机构名称
负责人职务姓名
人力配备
专职人员数量和岗位
专职人员姓名职务
法规制度
国家法规和行业规定
是否已汇编文本
是否采用安全专用设备
系统(网络)管理制度
是否已汇编文本
应提供的资料附件
附件一:
系统应用需求及安全设计方案
附件二:
系统安全管理机构和安全管理制度汇编
附件三:
系统自测分析报告(或信息系统安全风险评估文档)
三、委托书★
本单位自愿申请安徽省信息安全测评中心对
进行安全测评,有关测试事宜委托全权代理,请测评中心予以接洽。
主管领导或委托授权代表(签名):
申请单位(公章):
日期:
年月日
附:
联系人简况
姓名
性别
年龄
现任职务
电话
传真
电子邮箱
邮政编码
通信地址
四、申请单位声明★
本单位自愿申请安徽省信息安全测评中心,对进行安全测试,并承担下列义务:
1、按安徽省信息安全测评中心《信息系统安全测评合同书》中的要求履行有关责任和程序。
2、本单位在收到安徽省信息安全测评中心的测评受理通知后一周内即支付所需测评费用。
主管领导或委托授权代表(签名):
申请单位(盖章)
年月日
附件一:
系统应用需求及安全设计方案
系统名称:
申请单位(公章):
方案设计单位(公章):
安徽省信息安全测评中心
要求
系统应用需求及安全设计方案须包括但不限于以下内容:
一、应用业务及需求★
应具体描写系统的主要业务功能和提供的主要服务。
二、系统规模和拓朴结构★
应提供测评范围内物理的系统结构和详细的拓扑图,其中包括所有主要的服务器、通信及交换设备、安全设备及终端,明确标识各种设备的名称及内外部IP地址,如系统比较复杂可分段描述。
三、信息分类及处理方式★
系统管理者对系统内信息按重要程度进行分类,并对不同类别信息的产生、传输、存储所涉及的设备、终端和路径分别进行描述。
四、安全威胁描述及其风险分析
针对系统可能存在或已经存在的安全脆弱性,按重要性或风险大小顺序描述系统及信息的安全威胁及其对资产构成的风险。
五、安全策略及体系设计
针对系统面临的威胁和风险,阐述系统的整体安全策略和安全体系设计,典型的安全策略如:
责任可确认性、安全审计、系统可用性、密码技术、访问控制、完整性保护、技术隔离、实体鉴别、实时监控、抗抵赖、私有信息保护、备份与恢复等。
六、主要安全功能及其实现方法★
描述针对安全体系设计的具体实现,可按网络层次分层描述,也可按安全功能分类描述,如:
安全审计、用户数据保护、密码支持、标识与鉴别、安全功能保护等。
七、主要软硬件设备及性能清单★
包括所有主要服务器的操作系统类型、服务类型及配置描述等,所有主要应用软件的版本和功能,所有网络设备和安全设备的型号及性能指标。
附件二:
系统安全管理机构和管理制度汇编
系统名称:
申请单位(公章):
安徽省信息安全测评中心
要求
系统安全管理机构和安全管理制度汇编须包括以下内容:
一、安全管理的领导机构和执行机构的名称、级别、负责人和有关专职人员名单
二、申请单位自行搜集汇编的国家法律、法规和本行业的规章、规定的目录
三、申请单位现有系统安全管理制度目录
四、申请单位拟制订的系统安全管理制度目录
附件三:
系统自测分析报告
系统名称:
申请单位(公章):
安徽省信息安全测评中心
要求
提供系统自测分析报告(或信息系统安全风险评估文档)含以下内容:
1.系统运行前由系统集成单位或开发人员进行系统安全功能联调或相关指标测试(如系统峰值容量、系统延迟、系统容错能力、系统可靠性、有关资源配置的重要数据等)的方法和报告,测试过程中出现的问题及处理方式。
2.成果鉴定会上采用的技术测试小组提供的测试大纲、测试报告和测试结论。
3.系统管理维护人员在系统运行过程中对系统功能或安全功能进行核查验证的分析统计结果。
4.系统工程验收报告。
升级会员 