信息系统安全测评文档准备指南委托单位(公章):系统名称:委托日期:中国信息安全测评中心一、文档提交要求当委托机构正式委托中国信息安全测评中心对其信息系统实施安全测评时,为了使测评人员在现场测评前期就能够对被评估系统有清晰而全面地了解,委托机构应根据申请的测评类型准备文档。委托测评类型主要包括:1.信息安全风险评估2.信息系统安全等级保护测评3.信息系统安全评估4.远程渗透测试5.系统安全技术监控6.信息系统安全方案评审需准备的测评文档主要包括:1.《信息系统基本情况调查表》2.《信息系统安全技术方案》3.《信息安全管理组织架构》4.《信息安全管理制度》委托单位在准备测评文档时,应根据所申请的测评业务类型准备相应的文档。二者对应关系如下:文档类型委托测评类型信息安全风险评估信息系统安全等级保护测评信息系统安全评估《信息系统基本情况调查表》√《信息系统安《信息安全管《信息安全管理制度》全技术方案》理组织架构》√√√√√√√√√√√远程渗透测试系统安全技术监控信息系统安全方案评审√√√二、准备文档时需注意的问题1. 保证提交文档内容真实、全面、详细、准确。2. 将提交文档与《委托书》一并提交。3. 提交材料时,应提交纸版和电子版文档(光盘形式)各一份。附件一《信息安全管理组织机构》至少包括下列内容:1、科技部门整体组织架构2、信息安全管理组织架构图。3、IT 运维部门设置、岗位设置及职责要求,以及人员与岗位的对应关系。4、如果 IT 运维外包,请提供外包服务商承担的岗位、职责以及人员与岗位的对应关系。附件二《信息安全管理制度》至少包括下列内容:1.文档制度体系结构说明及信息安全管理制度清单(如果有,请提前说明。例如文档是按照 ISO9000 文档规范组织的)2.机构总体安全方针和政策方面的管理制度3.授权审批、审批流程等方面的管理制度4.安全审核和安全检查方面的管理制度5.管理制度、操作规程修订、维护方面的管理制度6.人员录用、离岗、考核等方面的管理制度7.人员安全教育和培训方面的管理制度8.第三方人员访问控制方面的管理制度9.工程实施过程管理方面的管理制度10. 产品选型、采购方面的管理制度11. 软件外包开发或自我开发方面的管理制度12. 测试、验收方面的管理制度13. 机房安全管理方面的管理制度14. 办公环境安全管理方面的管理制度15. 资产、设备、介质安全管理方面的管理制度16. 信息分类、标识、发布、使用方面的管理制度17. ...
