上海A类信息系统网络安全测评申请书上海信息安全测评认证.docx

1、上海A类信息系统网络安全测评申请书上海信息安全测评认证项目编号：信息系统安全测评申请书 申请单位（公章）： 系统名称： 申请日期： 上海市信息安全测评认证中心告 用 户用户在正式填写本申请书前，须认真阅读并理解以下内容：1. 对信息系统实施第三方安全测评是评价信息系统安全性的重要组成部分。根据GB/T 18336：信息技术 安全技术 信息技术安全性评估准则、GB/T 19716-2005：信息技术 信息安全管理实用规则、DB31/T 272：计算机信息系统安全测评通用技术规范及相关行业技术规范中的相关要求，上海市信息安全测评认证中心（以下简称测评中心）在对信息系统安全方案进行初审的基础上，综合

2、分析运行中的信息系统安全功能的现场核查、技术测试以及信息系统安全管理体系的评估结果，对特定系统运行情况是否达到规定的安全要求进行测评，并出具测评报告。2. 以下申请书填写项中，如无备注说明，均属信息系统申请安全测评的必填项。用户申请安全测评时，应请交纸质版申请书及附件原件一份，同时交电子版一份。如填写内容较多，可另加附页。3. 根据相关标准要求，测评中心对测评结果不能达到测评要求的信息系统作出本次测评不通过的最后结论；对达到测评要求的信息系统颁发信息系统安全测评证书。4. 安全测评为以前没有安全保障或安全保障体系不完善的系统（网络）提供改进服务，从而降低系统的安全风险。测评中心承诺对所有的测评

3、工作均秉承科学、公正和客观的原则，确保申请单位的知识产权和商业秘密。应当说明的是，中心的测评程序能确保系统的安全风险降低到国家标准规定和公众可接受的水平，达到中心测评要求的信息系统只是达到了国家规定的管理及控制安全风险的能力，并不表明该系统完全消除了安全风险。5. 上海市信息安全测评认证中心地址：陆家浜路1308号邮编：200011 电话：（021）63789900 传真：（021）63789039邮箱：yewubu目 录一、申请单位基本情况 4二、测评系统概况 5三、申请单位声明 6附件一：系统应用需求及安全设计方案 7附件二：系统安全管理机构和管理制度汇编 10附件三：系统自测分析报告 1

4、2一、申请单位基本情况申请单位全称（中文）申请单位全称（英文）地址邮编法人代表姓名职务联系方式联系人姓名职务电话传真手机BP电子邮箱单位其他信息工商登记注册号（附企业法人营业执照副本或上级主管部门批准成立文件复印件）法人机构代码（附法人机构代码证副本复印件）密码主管部门的批文文号（如有，附复印件）其他重要的法律文件二、测评系统概况信息系统名称系统运行管理部门负责人系统性质和规模系统性质 政务 商用 自用建设状况 新建 扩建主要服务对象主要应用业务系统信息特点 国家秘密信息 商业秘密信息 其他信息对外连接 与其他部门连接 与Internet连接网络结构局域网 城域网 校园网 广域网（跨省市）系统

5、安全管理组织机构领导机构名称负责人职务姓名执行机构名称负责人职务姓名人力配备专职人员数量和岗位专职人员姓名职务法规制度国家法规和行业规定是否已汇编文本是否采用安全专用设备系统（网络）管理制度是否已汇编文本应提供的资料附件附件一：系统应用需求及安全设计方案附件二：系统安全管理机构和安全管理制度汇编附件三：系统自测分析报告（包括系统自测情况、系统标准化综合评估等内容）三、申请单位声明 本单位自愿申请上海市信息安全测评认证中心对 的安全性进行测评，有关事宜委托 全权代理，请测评中心予以接洽。法定代表人（签名）：申请单位（公章）：日期： 年 月 日附：代理人简况姓名性别年龄现任职务电话传真 电子邮箱邮

6、政编码 通信地址 附件一：系统应用需求及安全设计方案系统名称： 申请单位（公章）： 方案设计单位（公章）： 上海市信息安全测评认证中心要 求系统应用需求及安全设计方案包括但不限于以下内容，其中*部分内容必须包括：一、 应用业务及需求（*）应具体描写系统的主要业务功能和提供的主要服务。二、 系统规模和拓朴结构（*）应提供测评范围内物理的系统结构和详细的拓扑图，其中包括所有主要的服务器、通信及交换设备、安全设备及终端，明确标识各种设备的名称及内外部IP地址，如系统比较复杂可分段描述。三、 信息分类及处理方式系统管理者对系统内信息按重要程度进行分类，并对不同类别信息的产生、传输、存储所涉及的设备、终

7、端和路径分别进行描述。四、 安全威胁描述及其风险分析针对系统可能存在或已经存在的安全脆弱性，按重要性或风险大小顺序描述系统及信息的安全威胁及其对资产构成的风险。五、 安全策略及体系设计针对系统面临的威胁和风险，阐述系统的整体安全策略和安全体系设计，典型的安全策略如：责任可确认性、安全审计、系统可用性、密码技术、访问控制、完整性保护、技术隔离、实体鉴别、实时监控、抗抵赖、私有信息保护、备份与恢复等。六、 主要安全功能及其实现方法描述针对安全体系设计的具体实现，可按网络层次分层描述，也可按安全功能分类描述，如：安全审计、用户数据保护、密码支持、标识与鉴别、安全功能保护等。 七、 安全管理方式及实现

8、方法包括网络管理、人员配备、职责划分、权限设定、资产管理等方面的规定及在系统中的具体实现方式。八、 主要软硬件设备及性能清单（*）包括所有主要服务器的操作系统类型、服务类型及配置描述等，所有主要应用软件的版本和功能，所有网络设备和安全设备的型号及性能指标。 附件二：系统安全管理机构和管理制度汇编系统名称： 申请单位（公章）： 上海市信息安全测评认证中心要 求系统安全管理机构和安全管理制度汇编须包括以下内容：一、 安全管理的领导机构和执行机构的名称、级别、负责人和有关专职人员名单二、 申请单位自行搜集汇编的国家法律、法规和本行业、本部门的规章、规定的目录和全部文本三、 申请单位现有系统安全管理制

9、度全部文本四、 申请单位拟制订的系统安全管理制度目录 附件三：系统自测分析报告系统名称： 申请单位（公章）： 上海市信息安全测评认证中心要 求系统自测分析报告须包括以下内容：一、系统自测情况：本部分可以是：1. 委托其它测试机构进行的测试过程和测试报告及其结论。2. 成果鉴定会上采用的技术测试小组提供的测试大纲、测试报告和测试结论。3. 系统运行前由系统集成单位进行测试的方法和测试报告，也可以是开发人员进行功能调试所采用的方法和检测手段。4. 系统自测试情况可包括以下内容： 系统安全功能验证 系统峰值容量、响应 系统延迟指标 系统容错能力 系统可靠性 有关资源配置的重要数据二、系统标准化综合评估情况：对信息系统的设计、施工过程中是否符合标准化综合要求所做的分析。