上海A類信息系統(tǒng)網(wǎng)絡(luò)安全測評申請書-上海信息安全測評認證

1、項目編號：信息系統(tǒng)安全測評申請書申請單位（公章）：系統(tǒng)名稱：申請日期：上海市信息安全測評認證中心告用戶用戶在正式填寫本申請書前，須認真閱讀并理解以下內(nèi)容：1. 對信息系統(tǒng)實施第三方安全測評是評價信息系統(tǒng)安全性的重要組成部分。根據(jù)GB/T 18336：信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準(zhǔn)則 、GB/T 19716-2005：信息技術(shù) 信息安全管理實用規(guī)則 、 DB31/T 272：計算機信息系統(tǒng)安全測評通用技術(shù)規(guī)范及相關(guān)行業(yè)技術(shù)規(guī)范中的相關(guān)要求， 上海市信息安全測評認證中心 （以下簡稱測評中心）在對信息系統(tǒng)安全方案進行初審的基礎(chǔ)上，綜合分析運行中的信息系統(tǒng)安全功能的現(xiàn)場核查、技術(shù)測試以及信息

2、系統(tǒng)安全管理體系的評估結(jié)果，對特定系統(tǒng)運行情況是否達到規(guī)定的安全要求進行測評，并出具測評報告。2. 以下申請書填寫項中，如無備注說明，均屬信息系統(tǒng)申請安全測評的必填項。用戶申請安全測評時，應(yīng)請交紙質(zhì)版申請書及附件原件一份，同時交電子版一份。如填寫內(nèi)容較多，可另加附頁。3. 根據(jù)相關(guān)標(biāo)準(zhǔn)要求，測評中心對測評結(jié)果不能達到測評要求的信息系統(tǒng)作出本次測評不通過的最后結(jié)論；對達到測評要求的信息系統(tǒng)頒發(fā)信息系統(tǒng)安全測評證書。4. 安全測評為以前沒有安全保障或安全保障體系不完善的系統(tǒng) （網(wǎng)絡(luò)）提供改進服務(wù)，從而降低系統(tǒng)的安全風(fēng)險。測評中心承諾對所有的測評工作均秉承科學(xué)、公正和客觀的原則，確保申請單位的知識產(chǎn)

3、權(quán)和商業(yè)秘密。應(yīng)當(dāng)說明的是，中心的測評程序能確保系統(tǒng)的安全風(fēng)險降低到國家標(biāo)準(zhǔn)規(guī)定和公眾可接受的水平，達到中心測評要求的信息系統(tǒng)只是達到了國家規(guī)定的管理及控制安全風(fēng)險的能力，并不表明該系統(tǒng)完全消除了安全風(fēng)險。5. 上海市信息安全測評認證中心地址：陸家浜路1308 號郵編： 200011電話：（021）63789900傳真：（ 021）63789039郵箱： yewubu目錄一、申請單位基本情況4二、測評系統(tǒng)概況5三、申請單位聲明6附件一：系統(tǒng)應(yīng)用需求及安全設(shè)計方案7附件二：系統(tǒng)安全管理機構(gòu)和管理制度匯編10附件三：系統(tǒng)自測分析報告12一、申請單位基本情況申請單位全稱（中文）申請單位全稱（英文）地

4、址郵編法人代表姓名職務(wù)聯(lián)系人姓名職務(wù)聯(lián)電話傳真系方手機BP式電子郵箱工商登記注冊號（附企業(yè)法人營業(yè)執(zhí)照副本或上級主管部門批準(zhǔn)成立文件復(fù)印件）法人機構(gòu)代碼（附法人機構(gòu)代碼證副本復(fù)印件）單位其他密碼主管部門的批文文號（如有，附復(fù)印件）信息其他重要的法律文件二、測評系統(tǒng)概況信息系統(tǒng)名稱系統(tǒng)運行管理部門負責(zé)人系統(tǒng)性質(zhì)政務(wù)商用自用建設(shè)狀況新建擴建系主要服務(wù)對象統(tǒng)主要應(yīng)用業(yè)務(wù)性質(zhì)系統(tǒng)信息特點國家秘密信息商業(yè)秘密信息其他信息和規(guī)對外連接與其他部門連接與 Internet 連接模網(wǎng)絡(luò)結(jié)構(gòu)局域網(wǎng)城域網(wǎng)校園網(wǎng)廣域網(wǎng)（跨省市）組領(lǐng)導(dǎo)機構(gòu)名稱負責(zé)人職務(wù)姓名織機執(zhí)行機構(gòu)名稱負責(zé)人職務(wù)姓名構(gòu)系人統(tǒng)專職人員數(shù)量和崗位安力全

5、配專職人員姓名職務(wù)管備理法國家法規(guī)和行業(yè)規(guī)定是否已匯編文本是否采用安規(guī)制系統(tǒng)（網(wǎng)絡(luò)）管理制度是否已匯編文本全專用設(shè)備度應(yīng)提附件一：系統(tǒng)應(yīng)用需求及安全設(shè)計方案供的附件二：系統(tǒng)安全管理機構(gòu)和安全管理制度匯編資料附件三：系統(tǒng)自測分析報告（包括系統(tǒng)自測情況、系統(tǒng)標(biāo)準(zhǔn)化綜合評估等內(nèi)容）附件三、申請單位聲明本單位自愿申請上海市信息安全測評認證中心對的安全性進行測評，有關(guān)事宜委托全權(quán)代理，請測評中心予以接洽。法定代表人（簽名）：申請單位（公章）：日期：年月日附：代理人簡況姓名性別年齡現(xiàn)任職務(wù)電話傳真電子郵箱郵政編碼通信地址附件一：系統(tǒng)應(yīng)用需求及安全設(shè)計方案系統(tǒng)名稱：申請單位（公章） ：方案設(shè)計單位（公章）

6、：上海市信息安全測評認證中心要求系統(tǒng)應(yīng)用需求及安全設(shè)計方案包括但不限于以下內(nèi)容，其中* 部分內(nèi)容必須包括：一、 應(yīng)用業(yè)務(wù)及需求（ * ）應(yīng)具體描寫系統(tǒng)的主要業(yè)務(wù)功能和提供的主要服務(wù)。二、 系統(tǒng)規(guī)模和拓樸結(jié)構(gòu)（ * ）應(yīng)提供測評范圍內(nèi)物理的系統(tǒng)結(jié)構(gòu)和詳細的拓撲圖，其中包括所有主要的服務(wù)器、通信及交換設(shè)備、安全設(shè)備及終端，明確標(biāo)識各種設(shè)備的名稱及內(nèi)外部 IP 地址，如系統(tǒng)比較復(fù)雜可分段描述。三、 信息分類及處理方式系統(tǒng)管理者對系統(tǒng)內(nèi)信息按重要程度進行分類，并對不同類別信息的產(chǎn)生、傳輸、存儲所涉及的設(shè)備、終端和路徑分別進行描述。四、 安全威脅描述及其風(fēng)險分析針對系統(tǒng)可能存在或已經(jīng)存在的安全脆弱性，按

7、重要性或風(fēng)險大小順序描述系統(tǒng)及信息的安全威脅及其對資產(chǎn)構(gòu)成的風(fēng)險。五、 安全策略及體系設(shè)計針對系統(tǒng)面臨的威脅和風(fēng)險，闡述系統(tǒng)的整體安全策略和安全體系設(shè)計，典型的安全策略如：責(zé)任可確認性、安全審計、系統(tǒng)可用性、密碼技術(shù)、訪問控制、完整性保護、技術(shù)隔離、實體鑒別、實時監(jiān)控、抗抵賴、私有信息保護、備份與恢復(fù)等。六、 主要安全功能及其實現(xiàn)方法描述針對安全體系設(shè)計的具體實現(xiàn)，可按網(wǎng)絡(luò)層次分層描述，也可按安全功能分類描述，如：安全審計、用戶數(shù)據(jù)保護、密碼支持、標(biāo)識與鑒別、安全功能保護等。七、 安全管理方式及實現(xiàn)方法包括網(wǎng)絡(luò)管理、人員配備、職責(zé)劃分、權(quán)限設(shè)定、資產(chǎn)管理等方面的規(guī)定及在系統(tǒng)中的具體實現(xiàn)方式。八

8、、 主要軟硬件設(shè)備及性能清單（* ）包括所有主要服務(wù)器的操作系統(tǒng)類型、服務(wù)類型及配置描述等，所有主要應(yīng)用軟件的版本和功能，所有網(wǎng)絡(luò)設(shè)備和安全設(shè)備的型號及性能指標(biāo)。附件二：系統(tǒng)安全管理機構(gòu)和管理制度匯編系統(tǒng)名稱：申請單位（公章） ：上海市信息安全測評認證中心要求系統(tǒng)安全管理機構(gòu)和安全管理制度匯編須包括以下內(nèi)容：一、安全管理的領(lǐng)導(dǎo)機構(gòu)和執(zhí)行機構(gòu)的名稱、級別、負責(zé)人和有關(guān)專職人員名單二、申請單位自行搜集匯編的國家法律、法規(guī)和本行業(yè)、本部門的規(guī)章、規(guī)定的目錄和全部文本三、申請單位現(xiàn)有系統(tǒng)安全管理制度全部文本四、申請單位擬制訂的系統(tǒng)安全管理制度目錄附件三：系統(tǒng)自測分析報告系統(tǒng)名稱：申請單位（公章） ：上海市信息安全測評認證中心要求系統(tǒng)自測分析報告須包括以下內(nèi)容：一、系統(tǒng)自測情況：本部分可以是：1. 委托其它測試機構(gòu)進行的測試過程和測試報告及其結(jié)論。2. 成果鑒定會上采用的技術(shù)測試小組提供的測試大綱、測試報告和測試結(jié)論。3. 系統(tǒng)運行前由系統(tǒng)集成單位進行測試的方法和測試報告， 也