安全验收测评委托书

1、北京信息安全测评中心控制编号： BJTEC-4120-08 / 修改记录：第1 次编号： BJTEC-20XX-XXXX/XXXXXX信息系统安全验收测评委托书委托单位 (公章)：委托系统 :委托日期：北京信息安全测评中心控制编号： BJTEC-4120-08 / 修改记录：第1 次填表说明用户填写和提供的信息及资料应保证真实可靠。1、 本委托表请在计算机上填写，内容以实际情况为准。2、 如填写内容较多，可另附页。3、 准备一份纸版 （包括要求的附件内容，并加盖单位公章） ，同时交电子版一份 （光盘）。第2页共8页北京信息安全测评中心控制编号： BJTEC-4120-08 / 修改记录：第1

2、次委托单位联系信息部门 :部门负责人 :电话 :手机 :联系人:电话 :手机 :传真 :电子邮箱 :联系地址 :邮政编码 :第3页共8页北京信息安全测评中心控制编号： BJTEC-4120-08 / 修改记录：第1 次提交资料清单一、基本材料1.验收依据：说明：被测单位提出的安全验收测评所依据的国家或地方标准或集成/设计 /实施方案；2.验收范围：此次安全验收测评所鉴定的系统边界；（物理边界、逻辑边界） ；如果被测单位提出的验收测评依据是标准，请明确需要验收的标准条款；3. 已有安全措施：针对验收范围目前对系统安全现状的描述；4.信息系统安全等级保护备案表 （如有）5.系统拓扑结构及说明（要求

3、描述）说明：对于系统拓扑结构及说明，用户提供的资料中应详细说明被测系统涉及网络的节点数量、 IP 网段设置情况、 VLAN 的划分情况、采用网络操作系统类型、不同应用系统客户机数量。用户应提供本单位详细的网络拓扑结构，提供所有网络设备的产品名称、型号、连接方式、具体安放位置及其它相关信息；对于被测服务器，需提供具体IP地址的设置、采用的操作系统及设置情况；对于特殊网络设置，如虚联接等，需详细说明其实现方式。硬件平台：主要包括被测系统涉及的计算机、网络设备、安全防护设备、审计设备等，还应提供设备名称、型号、生产厂家及用途等。（ excel 表格形式）软件平台：主要包括被测系统涉及的操作系统、网络

4、通信协议、数据库管理系统、通用应用软件、委托开发和自主开发的应用系统和网络管理软件，还应提供软件的名称、版本、生产厂家、安装位置、运行此软件的设备名及作用等，并在拓扑图上明确软件的安装位置。6.病毒防护：结合拓扑图说明被测系统涉及的防病毒系统体系结构，采用的软件 /设备情况（厂商、版本、部署） ，明确部署位置。7.安全审计：结合拓扑图说明被测系统安全审计的部署情况（网络、主机或应用）和具体实现的审计功能，采用的审计软件 /设备情况（厂商、版本） 。8.入侵检测：结合拓扑图说明被测系统对入侵检测机制的部署情况（网络、主机或应用），采用的入侵检测软件/ 设备情况（厂商、版本）。第4页共8页北京信息

5、安全测评中心控制编号： BJTEC-4120-08 / 修改记录：第1 次9. 系统安全保护设施设计实施方案或改建实施方案10. 系统使用的安全产品清单及认证、销售许可证明11. 系统相关的主要服务商及其资质二、系统资料网络系统：1. 网络安全域的划分情况；2. 网络的访问控制策略；3. 网络设备、安全设备审计功能的设计与实现；4. 入侵防范及恶意代码防范部署情况；5. 网络和安全设备管理员身份鉴别方式；6. 边界和核心交换设备保护措施；主机系统：1. 各操作系统和数据库系统采用的鉴别方式（账号 /密码或其他方式）；2. 服务器远程管理安全策略（是否允许远程管理、传输加密要求） ；3. 服务器

6、中各用户对资源的访问控制策略（敏感信息资源清单，用户权限分配策略、系统账号列表及各账号用途） ；4. 主要服务器必须开放的端口及其用途；5. 服务器提供其功能所必需的操作系统组件及其他软件清单；6. 设计 /验收文档；管理：（可选）1. 已有安全管理制度列表；2. 单位已经正式发布的信息安全策略和方针文档；3. 单位组织架构和相关人员数；4. 信息安全管理部门和岗位职责定义文档；5. 员工安全培训计划和记录；6. 软件开发管理相关规定；第5页共8页北京信息安全测评中心控制编号： BJTEC-4120-08 / 修改记录：第1 次7. 机房管理规定；8. 办公环境管理规定（包括物理办公桌面和终端

7、计算机桌面安全管理等）；9. 资产安全管理规定和资产清单（清单格式） ；10. 介质安全管理规定；11. 备份和恢复管理规定；12. 信息安全事件管理规定；13. 程序源代码库访问规程；14. 用户口令管理规定；15. 系统应急预案；16. 机房验收文档；17. 网络、系统、应用运行维护操作规程。应用系统：1. 应用系统建设目的与依据；2. 系统的应用需求及总体设计方案；3. 应用系统用户身份鉴别方式；4. 应用系统账号管理及其权限管理的操作流程；5. 业务信息流在网络上的流转描述（需用户提供其应用系统的详细数据流转过程，包括数据的生成、处理、分发、查询等流程） ；6. 是否有敏感数据，如有请

8、列出，并说明针对这些资源的访问控制策略；7. 安全审计功能实现情况；8. 应用系统鉴别信息、业务敏感信息存储和传输时是否采用了完整性和机密性保护措施；9. 应用系统的故障恢复能力；10. 软件设计 /测试 /验收文档；11. 应用系统功能说明文档、用户使用手册。12. 应用程序源代码（用于进行源代码安全审查） 。源代码（可选）：第6页共8页北京信息安全测评中心控制编号： BJTEC-4120-08 / 修改记录：第1 次1.未经封装的、完整的应用系统源代码（不包含测试等无效代码）；2. 系统采用的开发技术（参见附表：信息系统技术调查表）3. 系统的开发环境（参见附表：开发环境调查表）信息系统技

9、术调查表系统名称系统功能系统最终用户系统架构设计语言代码行数文件大小系统文件结构系统类库（包括版本号）应用系统服务器（包括版本号）系统使用的数据库（包括版本号）系统使用哪些第三方组件WEB 系统C/C+JSPJavaASP.NETC#VB.NETXMLPL/SQLT-SQLASPPHPVBJavaScript其它 _（大约） _万级_k 字节TomcatWebLogicWebSphere其它 _OracleSQL-ServerMySQLDB2Other_是否属于WEB 2.0的系统？是 / 否使用哪些开源技术？StrutsHibernate/ NHibernateSpring / NSpringAJAXWebWork其它 _开发环境调查表第7页共8页北京信息安全测评中心控制编号： BJTEC-4120-08 / 修改记录：第1 次开发环境调查表WindowsLinuxSolaris部署软 /硬件环境AIXMac OS X（包括 OS 版本）其它 _X-Windows如果部署平台使用Unix/linux ，是否安装 X-windows 和是 / 否(Unix-only)gtk2Build 工具make / nmakeantVisual StudioEc