|
|
|
| 当前位置 - 专项业务 >
验收测评 >
业务介绍
|
 |
|
|
|
|
信息系统安全验收测评是依据相关政策文件要求,遵循公开、公平和公正原则,根据用户申请的项目验收目标和验收范围,结合项目安全建设方案的实现目标和考核指标,对项目实施状况进行安全测试和评估,评价该项目是否满足安全验收要求中的各项安全技术指标和安全考核目标,为系统整体验收和下一步的安全规划提供参考依据。
信息系统安全验收测评内容可包括:
信息系统安全体系架构合理性分析:对系统安全体系架构的正确性、合理性进行分析;
渗透性测试:对网络与信息系统存在的漏洞和隐患实施本地或远程渗透性检测与验证;
脆弱性评估:从物理层、网络层、系统层、应用层、安全管理层五个方面识别系统的安全隐患;
安全配置检测:对网络、主机、数据库、应用的安全性和稳定性进行检测,分析安全配置中存在的安全隐患;
源代码安全审查:通过对定制开发的应用程序源代码进行安全扫描和审查,识别出可能导致安全问题的编码缺陷和漏洞。
测评依据:
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)
《北京市政务与公共服务信息化工程建设管理办法》(市政府第67号令)
《北京市公共服务网络与信息系统安全管理规定》(市政府第163号令)
《北京市信息化促进条例》(市人大常委第63号令)
关于印发《“北京市政务与公共信息化工程建设管理办法”实施细则》的通知(京信息办[2002]65号)
《北京市市级信息系统升级改造项目验收管理办法(试行)》
用户提交的《安全验收测评委托书》
委托方提供的相关建设方案、设计方案、使用手册、运维管理制度、运行报告等。
《信息系统安全等级保护基本要求》GB/T 22239-2008
《党政机关信息系统安全测评规范》DB11/T 171-2002
信息系统安全验收测评过程:
共分为委托受理、准备、实施、评估、结题五个阶段,参见测评流程图。
委托受理阶段:售前与委托单位就验收测评项目进行前期沟通,签署《保密协议》,接收客户提交的资料。委托单位提交《信息系统安全验收测评委托书》,确定安全验收测评依据、范围和内容,双方签署《信息系统安全验收测评合同》。
准备阶段:项目经理组织召开首次会议,介绍安全验收测评工作的实施步骤和时间安排。项目经理组织编写《信息系统安全验收测评方案》,与委托单位进行沟通,确定现场核查测试的具体日期、客户方配合的人员。在有客户方配合人员在场陪同时,方可进行现场测试。
实施阶段:项目经理提出测评要求,明确项目组现场测评人员承担的测试项,测评人员要将所核查的内容,详细记录在《现场检测表》中。
综合评估阶段:项目组整理测试数据,完成《信息系统安全验收测评报告》;并就测评结果与客户进行沟通。
结题阶段:项目组将测评过程中生成的各类文档、过程记录进行整理,并交档案管理员归档保存。中心质量专员请客户填写《客户满意度调查表》,收集客户反馈意见。
|
|
|
|
|
