测试验收管理制度Word格式文档下载.docx
《测试验收管理制度Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《测试验收管理制度Word格式文档下载.docx(11页珍藏版)》请在冰点文库上搜索。
项目施工资料:
项目开工报告、项目实施报告、项目竣工报告、材料与设备清单、项目实施质量与安全检查记录、项目竣工图纸、售后服务保证文件、项目自检报告;
项目试运行资料:
用户试用报告或用户意见书;
非信息应用系统相关文档:
系统设计说明书、项目详细实施方案、系统结构图、用户手册、用户培训计划、培训文档;
项目监理报告。
(二)项目验收评审
项目评审的工作主要包括:
听取建设单位、承建单位、监理单位对项目建设情况的介
绍;
组织现场验收和复查验收;
听取资料审查的情况汇报,用户试运行情况的汇报。
评审的内容包括:
技术文档是否齐全,是否符合国家或有关部门的技术要
求;
根据技术标准、建设规范,检查各项技术指标是否达到要求;
建设项目的设计、施工是否符合国家或有关部门的标准和规范;
运行管理人员和操作使用人员的技术培训是否达到熟练操作的程度;
相关管理规章制度是否建立和健全。
(三)安全测试验收
委托公正的第三方测评机构对系统进行安全性测试,并出具安全性测试报告。
第三章验收内容
第七条设备检验
(一)设备到货检查
在开箱前,检查设备的外包装是否有明显的包装破损、野蛮装卸、设备倒置等迹象;
在开箱后,检查设备是否有明显的外观问题,如划痕、变形等;
检查到货设备的厂商、型号、硬件配置、配件、数量是否与合同中的设备清单的参数相符(部分配置需要上电进行检查);
检查设备的相关附件是否齐全,如网络跳线、产品说明书、安装光盘、保修卡、说明书、合格证等。
(二)设备上电检查
将设备开机上电,检查设备是否能够正常开启运行;
对于通过外观检查无法确定的相关硬件参数,通过上电检查是否与合同设备清单的参数相符;
以上检查结果均满足要求,则设备检验通过,否则由承建方进行纠正处理。
第八条设备安装检验
检查设备安装到机柜的位置是否合理,是否考虑到后续其他设备的安装;
设备的上下位置与机柜单元(Unit)标识线是否齐平,设备是否安装牢固;
设备与设备之间是否留出相应的空余位置以便于散热;
设备安装完毕后是否通过标签标识相应的用途和类型;
在具备冗余连接的环境下,设备的连接线缆是否连接正确;
设备的连接线缆是否整理整齐并进行相应的标识。
以上检查结果均满足要求,则设备安装检验通过,否则由承建方进行纠正处理。
第九条安全功能测试
(一)检测说明
网络安全和管理平台主要包括防火墙、入侵检测系统、漏洞扫描系统、防病毒、安全审计、身份认证系统、安全网关、网络隔离与交换系统、内容过滤系统等网络安全防护设备和网络管理软件等网管设备。
网络安全和管理平台必须得到有效配置,网络系统安全策略得到满足,确保网络信息系统安全、高效运行。
网络安全和管理平台的验收检测:
对系统中的网络安全防护设备和网络管理设备进行功能复核测试,确保设备的安全策略配置满足网络安全和管理平台设计要求,并可以有效运行;
检测网络安全防护设备、网络管理设备本身是否弱点、漏洞或误配置,得到有效管理,不会引入新的威胁点。
测试所需要的文档主要有:
系统设计文档,包含安全策略、安全技术方案等。
按照网络系统设计要求和安全策略,对网络安全防护和管理功能复核测试,按照安全功能组件进行测试。
(二)检测内容和符合标准
以下列举了常见安全系统的检测类别和符合标准,在实
际验收工作中应依据合同中具体的设备功能参数要求对相
应安全设备进行检测。
检测类别
符合标准
检测单位
产品要求
信息系统安全专用产品必须具有“计算机信息系统安全专用产品销售许可证”;
密码产品符合《商用密码管理条例》的要求;
特殊行业有其他规定时,还应遵守行业的相关规疋。
承建单位
防火墙测试
防火墙系统应具有根据不同身份或角色进行访问控
制,支持网络地址转换、日志统计分析等功能,检测防火墙设置是否符合安全设计要求,符合设计要求的判为合格。
防病毒系统测试
防病毒软件应具有实时扫描、立即扫描、病毒代码更新、日志管理、集中管理等功能;
检测防病毒系统是否符合设计要求,符合设计要求判为合格。
入侵检测系统测试
对入侵检测系统,使用流行的攻击手段进行模拟攻击(如DOS拒绝服务攻击),这些攻击应被入侵检测系统发现和阻断;
符合设计要求判为合格。
内容过滤系统测试
如果安装了内容过滤系统,则尝试访问若干受限网址或者访问受限内容,这些尝试应该被阻断;
然后,访问若干未受限的网址或者内容,应该可以正常访问;
符合设计要求判为合格。
审计系统测试
对一些非法的侵入尝试必须有记录;
模拟非法尝试;
漏洞扫描系统测试
检测漏洞扫描系统漏洞信息数据库是否更新及时,符合设计要求的判为合格。
网络管理系统测试
检测能够对网络资源的情况进行全面信息采集和自动预警。
第十条系统安全测试
在安全系统建设完毕后,应根据项目建设的安全目标对整体系统进行安全测试,测试分为安全自检测试和委托第三方进行安全测试。
安全自检测试由承建方来完成,第三方安全测试由经中国信息安全测评中心或公安部信息安全等级保护评估中心认证的信息安全测评机构来完成。
测试内容:
安全分类
安全子类
检测内容
网络安全
结构安全
主要核查:
主要网络设备的处理能力、网络带宽是否满足业务需求情况、网络拓扑结构图是否一致、子网划分和隔离情况、重要业务的带宽优先分配情况。
承建方自检/第三方安全测评机构复检
访问控制
边界网络设备访问控制功能、系统及拨号访问限制、进出网络的信息内容过滤、网络最大流量数和连接数、防止地址欺骗措施。
安全审计
网络设备日志收集、审计记录详细记载情况、审计报表生成以及对审计记录的保护措施。
边界完整性检杳
是否能够对非授权设备私自联到内部网络的行为进行检查、定位和阻断;
对内部用户私自外联的行为进行检杳、定位和阻断。
入侵防范
部署IDS以及使用情况。
恶意代码防范
主要检测:
网络边界处对恶意代码的检测和清除情况。
网络设备防护
用户身份鉴别、管理员登录地址限制、用户标识唯一性、口令策略、登录策略、远程管理策略以及用户权限分离情况。
主机安全
身份鉴别
用户身份认证方式、账号与用户对应关系,账户和口令长度设置情况,口令更改周期等;
登录失败处理功能设置情况。
安全标记
主体和客体安全标记设置情况
特权用户的权限分离情况;
默认账户的访问权限;
多余和过期的账户的处理情况。
安全审计的覆盖范围;
记录内容完整性;
防止审计记录被删除、覆盖。
剩余信息保护
主要检查:
用户鉴别信息、系统内文件、目录和数据在存储空间的清除情况。
操作系统组件安装和补丁升级情况、入侵行为记录和报警,以及受破坏后恢复措施。
防病毒和恶意代码产品的使用情况及升级情况、支持防恶意代码软件的统一管理、与网络防恶意代码产品不同的恶意代码库。
资源控制
终端登录限制方式及安全策略、监视服务器资源使用情况与达到最小值报警措施
数据安全及备份恢
复
数据元整性
用户账户信息和重要业务数据在传输过程中的完整性。
数据保密性
采用加密或其它保护措施用户账户信息和重要业务数据的存储保密性。
备份和恢复
对重要信息备份和恢复;
网络设备硬件冗余情况。
通过以上检测不存在高、中等级风险,则安全测试通过,否则由
承建方进行纠正处理。
第^一条文档交付
序
号
文档名称
检杳内容
1
项目开工报告
应包括实施的实施周期、人员和工作内容、阶段工作目标
2
设备到货检查表
应包括设备到货情况,硬件配置检查确认结果
3
项目实施报告
应包括项目实施的过程,包括实施日志、实施中出现的冋题,解决冋题的方法,产品相关配置信息、网络拓扑图等
4
系统功能测试报告
应包括系统功能测试采取的方法和结果,以及与合同要求是否存在偏差
5
系统安全测试报告
应包括系统的整体安全状况,存在的漏洞和风险以及整改建议
6
项目竣工报告
应包括对项目的实施、测试、试运行、质量控制情况进行总结
7
系统操作和维护手册
应包括产品的操作说明书、产品配置简明手册、日常维护手册
8
产品质保说明或服务承诺
应包括产品附带的质保卡、其他证明保修期限的证明以及承建方提供其他服务的承诺
以上检查结果均满足要求,则文档验收通过,否则由承建方进行
纠正处理
第四章总结验收会
第十二条验收会准备
(一)承建单位按照合同或合同附件的要求,完成各种技术文档;
(二)各种设备经加电试运行,状态正常,稳定试运行达到3个月,承建单位编制项目试运行报告;
(三)承建单位整理所有技术文档和工程实施管理资料等项目文档,提交给建设单位。
第十三条召开验收会
验收会议的主要步骤包括:
(一)建设单位作关于项目情况的报告;
(二)承建单位作关于项目建设情况、自检情况及竣工情况的报告;
(三)监理单位作关于项目监理内容、监理情况以及项目竣工意见的报告;
(四)信息安全测评机构作项目测评情况的报告;
(五)建设单位作试运行情况报告;
(六)验收组全体人员进行现场检查(根据具体项目情况选择);
(七)验收组对关键问题进行抽样复核和资料评审;
(八)验收组对项目进行全面评价,给出验收意见和验收结论并签字。
第五章附则
第十四条对违反本制度的人员,将按照单位有关规定进行处罚
第十五条本制度由信息安全办公室负责制定、解释和修改。
第十六条本制度自发布之日起执行。
升级会员 