安全等级测评申请书.docx

安全等级测评申请书.docx

《安全等级测评申请书.docx》由会员分享，可在线阅读，更多相关《安全等级测评申请书.docx（13页珍藏版）》请在冰点文库上搜索。

安全等级测评申请书

编号：

BJTEC-20XX-XXXX/XX

安全等级测评申请书

申请单位（盖章）：

申请系统名称：

系统安全等级：

________________________

申请日期：

申请须知

1、本申请书仅适用于信息系统安全等级测评。

2、申请书中各个栏目均要填写，若遇特殊情况无法填写时，应在该栏目下写清原因，不允许删除相应栏目。

3、申请书内容要具体、真实、准确，如填写内容较多，可另加附页或以附件形式提供。

4、此申请方纸质装订一份，另提供一份电子版文件（光盘），盘面上标明申请单位名称、系统名称和填报日期。

申请方承诺

我方申请信息系统安全等级测评，承诺：

1．遵守北京信息安全测评中心的有关测评程序和规定。

2．为开展安全等级测评提供必要、及时的配合。

3．确保提交资料中所有内容的真实性、有效性和准确性。

4.按时缴纳测评费用，该费用与试验结果无关。

1.申请方

单位名称（中文）：

地址、邮编（中文）：

法人代表：

联系人：

电话（含区号）：

手机：

传真：

E-mail：

2.系统基本情况调查表

说明：

、请在符合选项之前的□内标记，并在需要处填写相应的补充文字，如

被测系统部署的物理位置是？

☑单位机房，机房所在大楼共10层，机房部署在2层

□托管机房

、可多选

一、系统基本情况

1、被测系统运行于何种网络？

□互联网

□政务外网

□政务内网

□内部局域网

□其他，（注明网络）

2、被测系统的安全等级是？

□一级

□二级

□三级

□四级

□五级

□尚未定级

3、请提供被测系统的网络拓扑图并附简要描述：

（要求包含被测系统涉及的硬件、软件，并标识软硬件尤其是服务器的名称、功能、准确部署位置及IP地址等情况,请保持与附件2信息一致）

二、物理环境相关

4、被测系统部署的物理位置是？

□单位机房，机房所在大楼共层，机房部署在层

□托管机房，（注明托管机房名称）

5、机房建设情况是？

□依据国家标准的新建机房

□普通楼层改建后的机房

□普通楼层未改建的机房

□其他，

6、机房的防火措施是？

□气体灭火

□灭火器灭火

□喷淋灭火

□其它，

7、机房的温湿度控制是？

□精密空调

□中央空调

□普通空调

□其它，

8、机房的电力保障设施是？

□双路供电，有UPS

□双路供电，没有UPS

□单路供电，有UPS

□单路供电，没有UPS

□其它，

注：

双路供电指供机房使用两路由不同变压器传输至机房的市电。

三、网络结构相关

9、被测系统是否划分了安全域？

□是，（注明个数、名称及运行的网络）

□否

10、安全域采用何种方式实现边界访问控制？

□配置防火墙的访问控制策略

□配置交换机的访问控制列表

□物理隔离

□采用其他隔离设备实现，（注明设备种类）

□未实施边界访问控制

11、被测系统采用何种方式实现网络安全审计？

□部署独立的安全审计系统，（注明型号、名称）

□开启网络设备及安全设备的审计功能

□采用其他措施，

□未实现安全审计功能

12、被测系统采用何种方式存储、分析及备份安全审计数据？

□审计数据存储在本地硬盘中

□审计数据采用光盘备份

□审计数据采用大容量移动硬盘备份

□按照一定时间周期分析审计数据并出具报告

□采用其他方式存储及备份数据，（请标明具体方式）

□未实现审计数据的分析与备份

13、被测系统是否部署了防火墙或其他访问控制产品？

□是，（注明品牌和型号及部署位置）

□否

14、被测系统是否部署了入侵检测或入侵防御产品？

□是，（注明品牌、型号、部署位置及监控范围）

□否

15、被测系统是否部署了终端安全及文件保护类产品？

□是，（注明品牌、型号及监控范围）

□否

16、被测系统是否部署了计算机病毒及恶意代码防范产品？

□部署了网络防病毒系统，（注明名称和型号）

□部署了单机防病毒系统，（注明名称和型号）

□部署了防病毒网关，（注明名称和型号）

□未部署防病毒及恶意代码防范产品

17、被测系统是否部署了VPN（虚拟专用网）？

□是，（注明品牌、型号及涉及的网络域）

□否

18、被测系统是否部署了网络管理系统？

□是，（注明品牌、型号及管理范围）

□否

19、被测系统是否部署了非法外联监控产品？

□是，（注明品牌、型号及监控范围）

□否

20、被测系统是否部署了其他网络安全设备？

□是，（注明类型、品牌、型号及部署位置）

□否

21、被测系统是否为关键网络设备部署了冗余设备？

□是，（请注明为何种设备部署）

□否

22、被测系统网络和安全设备采用何种管理方式？

□必须在本地管理设备

□可选择明文或密文远程管理通道

□采用了明文的远程管理通道

□采用了加密的远程管理通道，（注明具体方式，如ssh,https,VPN等）

23、网络和安全设备管理员采用何种用户账号安全策略？

□采用身份鉴别技术鉴别管理员身份

□设立了单独的审计管理员

□对管理员的口令有复杂度及更换周期要求

□限制管理员的失败登录次数，或设置了失败登录相应措施

□启用了自动挂起或超时设置

24、被测系统网络和安全设备采用何种方式鉴别管理员身份？

□用户名＋口令方式

□IC卡

□USBKey和PIN码

□指纹等生理特征鉴别

□其它，

请对以上问答中已采取的措施以及上面未提及的安全措施进行综合描述。

四、主机系统相关

25、被测系统涉及的主机操作系统采用何种方式鉴别用户身份？

□用户名＋口令方式

□IC卡

□USBKey和PIN码

□指纹等生理特征鉴别

□其它，

26、主要服务器采用何种管理方式？

□必须在本地管理设备

□可选择明文或密文远程管理通道

□采用了明文的远程管理通道

□采用了加密的远程管理通道，（注明具体方式，如ssh,https等）

27、被测系统的操作系统/数据库采用何种用户账号安全策略？

□采用身份鉴别技术鉴别管理员身份

□设立了单独的审计管理员

□对管理员的口令有复杂度及更换周期要求

□限制管理员的失败登录次数，或设置了失败登录相应措施

□启用了自动挂起或超时设置

28、主要服务器采用了何种安全防护和监控措施？

□服务器本地安装了单机防病毒系统

□服务器本地安装了单机防火墙

□部署了服务器安全监控系统

□启用本地操作系统的安全策略

□对服务器本地的开放服务、资源访问控制进行了限制

□其他措施，

29、测评范围内是否包含WEB服务器？

□是，（注明服务器软件类型及版本，如IIS6.0，TOMCAT；注明关联的应用系统；注明具体部署位置）

□否

30、测评范围内是否包含数据库服务器？

□是，（注明数据库管理系统类型及版本，如oracle10g，sqlserver2000；注明关联的具体应用系统或提供的数据库服务；注明部署位置）

□否

请对以上问答中已采取的措施以及上面未提及的安全措施进行综合描述。

五、应用安全相关（如本次申请涉及多个应用系统，此部分内容可分别回答）

31、测评范围内是否包含B/S结构的应用系统？

□是，（请注明数量及名称）

□否

32、测评范围内是否包含C/S结构的应用系统？

□是，（请注明数量及名称）

□否

33、应用系统面向哪些网络提供服务？

□互联网，（请注明应用系统名称）

□政务外网，（请注明应用系统名称）

□政务内网，（请注明应用系统名称）

□内部局域网，（请注明应用系统名称）

□其他，（请注明应用系统名称及运行网络）

34、应用系统采用何种方式鉴别用户身份？

□用户名＋口令方式

□IC卡

□USBKey和PIN码

□指纹等生理特征鉴别

□其它，（注明方式）

35、应用系统采用何种用户账号安全策略？

□采用身份鉴别技术鉴别管理员身份

□设立了单独的审计管理员

□对管理员的口令有复杂度及更换周期要求

□限制管理员的失败登录次数，或设置了失败登录相应措施

□启用了自动挂起或超时设置

□其他，（注明具体方式）

36、应用系统采用何种方式保障鉴别信息、业务敏感信息的安全？

□加密存储

□加密传输

□配置了资源的访问控制策略

□对信息进行完整性校验

□其他方式，（注明具体方式）

□未采取该类措施

37、应用系统采用何种数据备份及应急恢复措施？

□部署了关键服务器的冗余服务器

□对关键系统、关键业务及关键数据采取了备份措施，（请注明备份措施）

□未采取该类措施

38、应用系统采用何种方式实现安全审计功能？

□部署了统一的安全审计设备

□应用系统启用自身的安全审计功能

□其他，（请注明方式）

□未实现应用系统的安全审计功能

请对以上问答中已采取的措施以及上面未提及的安全措施进行综合描述。

六、安全制度相关

39、被测单位是否建立了信息安全小组，明确了主管领导和相关人员职责？

□是，（请注明成立信息安全相关小组的文件名称以及安全人员的岗位职责文档名称，并准备相关文档原件备查）

□否

40、被测单位是否开展过信息安全管理体系建设相关的安全管理项目？

□是，（请提供项目相关文档的名称列表，并准备相关文档原件备查）

□否

41、请选择被测系统目前已有的安全管理制度：

信息安全管理部门和岗位职责定义文档

□员工保密协议范本

□员工安全培训记录

□软件开发管理相关规定

□机房管理规定

□办公环境管理规定（包括物理办公桌面和终端计算机桌面安全管理等）

□资产安全管理规定和资产清单（清单格式）

□介质安全管理规定

□备份和恢复管理规定

□信息安全事件管理规定

□系统应急预案

□机房验收文档

□其他，（请注明文件名称）

注：

请准备已有的安全管理制度文档备查。

3.申请等级测评需要提交的资料

1）申请方提交资料清单（见附表1）。

2）《信息系统安全等级保护备案表》（已审批盖章）及其附件：

a）《信息系统安全等级保护定级报告》、

b）安全组织机构说明、

c）系统安全保护设施设计实施方案或改建实施方案、

d）系统使用的安全产品清单及认证、销售许可证明。

3）主要设备和软件清单（见附表2）。

4）应用系统功能说明文档、使用手册。

附表1：

申请方提交资料清单

序号

资料名称

版本

备注

1

申请书

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

申请方

签字：

日期：

接收方

签字：

日期：

附表2：

主要设备和软件清单

序号

设备/软件类别

名称和数量

总数

机房1

位置、面积

机房2

位置、面积

A1类计数

交换机（三层）

交换机1（如有双机热备请标明）

交换机2

……

防火墙

防火墙1（如有双机热备请标明）

防火墙2

……

路由器

路由器1（如有双链路请标明）

防火墙2

……

IDS系统

产品名称、数量

安全审计

产品名称、数量

防病毒系统

产品名称、数量

负载均衡设备

产品名称、数量

安全网关

产品名称、数量

防篡改系统

产品名称、数量

其他网络层的安全产品

产品名称、数量

A2类计数

服务器类表

各服务器名称、操作系统类型、安装的数据库系统、web服务软件

A3类计数

XXX系统应用系统

B/S或C/S

XXX系统终端

终端操作系统类别

A4类计数

单位总人数