信息系統(tǒng)安全測評申請書說課講解

1、編號:信息系統(tǒng)安全測評申請書申請單位（公章）：系統(tǒng)名稱：申請日期：安徽省信息安全測評中心申報須知申報測評單位在正式填寫本申請書前，請注意：1. 申請書一律要求用計算機填寫，內容應真實、具體。 應請交紙質版申 請書及附件一份，同時交電子版一份（光盤） 。如填寫內容較多，可另 加附頁。2. 安徽省信息安全測評中心將通過現(xiàn)場核查、技術測試以及安全管理評估 等方式，對信息系統(tǒng)的安全運行情況進行測評，并出具測評報告。3. 安全測評為以前沒有安全保障或安全保障體系不完善的系統(tǒng)（網(wǎng)絡）提 供改進服務，從而降低系統(tǒng)的安全風險。應當說明的是，達到測評要求 的信息系統(tǒng)只是達到了國家規(guī)定的管理及控制安全風險的能力，

2、并不表 明該系統(tǒng)完全消除了安全風險。4. 安徽省信息安全測評中心公正性聲明 ：在測評工作中，堅持以國家 相關政策法規(guī)、標準及技術規(guī)范為依據(jù)，誠實反映客觀事實，正確判定 測評結果（報告） 。保證結果的科學、公正、準確、保密。確保被測單 位的知識產權、國家秘密和商業(yè)秘密。5. 安徽省信息安全測評中心地址：合肥市蜀山區(qū)大西門趙崗路 12 號郵 編 ： 230061 電 話 ：（ 0551） 2824812、 2810945、 2812581 、 28366538418、 8426 傳真：（0551）2816393備注：申請書中打“”的部分必填，其他部分如沒有，可不填。目錄一、申請單位基本情況 4二、

3、被測信息系統(tǒng)概況 5三、委托書 6四、申請單位聲明 7附件一：系統(tǒng)應用需求及安全設計方案 8附件二：系統(tǒng)安全管理機構和管理制度匯編 11附件三：系統(tǒng)自測分析報告 13，、申請單位基本情況位扁 由聯(lián)系方式箱 由 子 電單位其他信息K 咅 管級 上或 本副照D 執(zhí)P# 業(yè)那 營糕 法小 號冊 注己 商工文 汶 咅 管 主 碼 密咅，一 、人 責 負系自 用 商 務政用性統(tǒng)質建設狀 況已 建 新建服象戈于夫不應務自心亠司占小信 他 其 自心 亠司 秘 業(yè) 商 自心 亠司 秘 家 國自心U網(wǎng) 域 廣 網(wǎng) 園 校 網(wǎng) 域 城網(wǎng)W) 域省 局跨 z(系統(tǒng)安組織機構領稱負名衍稱負名人力配備Z 一命 HVAd

4、寫17里職W務法規(guī)制度用用采專備 否全設 是安nU制 m 二 理 管緲度網(wǎng) z(統(tǒng)嚴應提供的資料附件、" 自心 計全住 設吱咸 安構告 一二三 件件件 附附附1、被測信息系統(tǒng)概況三、委托書本單位自愿申請安徽省信息安全測評中心對 行安全測評，有關測試事宜委托全權代理，請測評中心予以接洽。主管領導或委托授權代表（簽名）：申請單位（公章）：日期：年 月 日附：聯(lián)系人簡況姓名性別年齡現(xiàn)任職務電話傳真電子郵箱郵政編碼通信地址四、申請單位聲明本單位自愿申請安徽省信息安全測評中心，對 行安全測試，并承擔下列義務：1、按安徽省信息安全測評中心信息系統(tǒng)安全測評合同書中的要 求履行有關責任和程序。2、本

5、單位在收到安徽省信息安全測評中心的測評受理通知后一周內即支付所需測評費用。主管領導或委托授權代表（簽名）：申請單位（蓋章）年 月 日附件一：系統(tǒng)應用需求及安全設計方案系統(tǒng)名稱： 申請單位（公章）：方案設計單位（公章） : 安徽省信息安全測評中心要求系統(tǒng)應用需求及安全設計方案須包括但不限于以下內容：一、應用業(yè)務及需求 應具體描寫系統(tǒng)的主要業(yè)務功能和提供的主要服務。二、系統(tǒng)規(guī)模和拓樸結構 應提供測評范圍內物理的系統(tǒng)結構和詳細的拓撲圖，其中包括所有主要的 服務器、通信及交換設備、安全設備及終端，明確標識各種設備的名稱及 內外部 IP 地址，如系統(tǒng)比較復雜可分段描述。三、信息分類及處理方式 系統(tǒng)管理者

6、對系統(tǒng)內信息按重要程度進行分類， 并對不同類別信息的產生、 傳輸、存儲所涉及的設備、終端和路徑分別進行描述。四、安全威脅描述及其風險分析針對系統(tǒng)可能存在或已經(jīng)存在的安全脆弱性，按重要性或風險大小順序描 述系統(tǒng)及信息的安全威脅及其對資產構成的風險。五、安全策略及體系設計針對系統(tǒng)面臨的威脅和風險，闡述系統(tǒng)的整體安全策略和安全體系設計， 典型的安全策略如：責任可確認性、安全審計、系統(tǒng)可用性、密碼技術、 訪問控制、完整性保護、技術隔離、實體鑒別、實時監(jiān)控、抗抵賴、私有 信息保護、備份與恢復等。六、主要安全功能及其實現(xiàn)方法 描述針對安全體系設計的具體實現(xiàn)，可按網(wǎng)絡層次分層描述，也可按安全 功能分類描述，

7、如：安全審計、用戶數(shù)據(jù)保護、密碼支持、標識與鑒別、安全功能保護等。七、主要軟硬件設備及性能清單包括所有主要服務器的操作系統(tǒng)類型、服務類型及配置描述等，所有主要應用軟件的版本和功能，所有網(wǎng)絡設備和安全設備的型號及性能指標。附件二：系統(tǒng)安全管理機構和管理制度匯編系統(tǒng)名稱：申請單位（公章）：安徽省信息安全測評中心要求系統(tǒng)安全管理機構和安全管理制度匯編須包括以下內容：一、安全管理的領導機構和執(zhí)行機構的名稱、級別、負責人和有關專職人員名單二、申請單位自行搜集匯編的國家法律、法規(guī)和本行業(yè)的規(guī)章、規(guī)定的目錄三、申請單位現(xiàn)有系統(tǒng)安全管理制度目錄四、申請單位擬制訂的系統(tǒng)安全管理制度目錄附件三：系統(tǒng)自測分析報告系統(tǒng)名稱：申請單位（公章）：安徽省信息安全測評中心要求提供系統(tǒng)自測分析報告（或信息系統(tǒng)安全風險評估文檔）含以下內容：1. 系統(tǒng)運行前由系統(tǒng)集成單位或開發(fā)人員進行系統(tǒng)安全功能聯(lián)調或相關指標 測試（如系統(tǒng)峰值容量、系統(tǒng)延遲、系統(tǒng)容錯能力、系統(tǒng)可靠性、有關資源 配置的重要數(shù)據(jù)