政務(wù)信息系統(tǒng)安全測評應(yīng)用指南

第1章 政務(wù)信息系統(tǒng)安全概述
1.1 信息系統(tǒng)與安全
1.1.1 信息系統(tǒng)的定義
1.1.2 信息系統(tǒng)安全的定義
1.1.3 信息系統(tǒng)安全的發(fā)展階段
1.2 我國政務(wù)信息系統(tǒng)發(fā)展與業(yè)務(wù)分析
1.2.1 政務(wù)信息系統(tǒng)發(fā)展情況
1.2.2 政務(wù)信息系統(tǒng)的總體架構(gòu)
1.3 我國政務(wù)信息系統(tǒng)安全的威脅與防護(hù)體系
1.3.1 政務(wù)信息系統(tǒng)安全的基本特征
1.3.2 政務(wù)信息系統(tǒng)面臨的常見安全威脅
1.3.3 信息系統(tǒng)安全防護(hù)體系
1.4 政務(wù)信息系統(tǒng)的安全測評

第2章 信息安全測評的發(fā)展與現(xiàn)狀
2.1 國外信息安全測評的發(fā)展歷程
2.1.1 信息安全測評的發(fā)展歷程
2.1.2 信息安全測評標(biāo)準(zhǔn)的發(fā)展歷程
2.1.3 信息安全管理標(biāo)準(zhǔn)的發(fā)展歷程
2.2 國內(nèi)信息安全測評的發(fā)展過程
2.3 我國政務(wù)系統(tǒng)信息安全測評現(xiàn)狀與發(fā)展前景
2.3.1 我國政務(wù)系統(tǒng)信息安全測評現(xiàn)狀
2.3.2 我國政務(wù)系統(tǒng)信息安全測評發(fā)展
2.4 信息安全測評原則
2.4.1 客觀公正性原則
2.4.2 保密性原則
2.4.3 可控性原則
2.4.4 規(guī)范性和準(zhǔn)確性原則
2.4 ，5時(shí)效性原則

第3章 信息安全測評政策文件及標(biāo)準(zhǔn)
3.1 政策法規(guī)
3.1.1 國家政策法規(guī)
3.1.2 地方政策法規(guī)
3.1.3 行業(yè)政策法規(guī)
3.2 標(biāo)準(zhǔn)規(guī)范
3.2.1 等級保護(hù)標(biāo)準(zhǔn)規(guī)范
3.2.2 風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)規(guī)范
3.2.3 安全驗(yàn)收標(biāo)準(zhǔn)規(guī)范
3.2.4 其他安全標(biāo)準(zhǔn)規(guī)范

第4章 安全測評分類
4.1 按測評目標(biāo)分類
4.1.1 信息系統(tǒng)安全風(fēng)險(xiǎn)評估
4.1.2 信息系統(tǒng)安全等級測評
4.1.3 信息系統(tǒng)安全驗(yàn)收測評
4.1.4 三者之間的關(guān)系
4.2 按測評內(nèi)容分類
4.2.1 操作系統(tǒng)安全性測評
4.2.2 數(shù)據(jù)庫及數(shù)據(jù)庫管理系統(tǒng)安全性測評
4.2.3 網(wǎng)絡(luò)系統(tǒng)安全性測評
4.2.4 應(yīng)用系統(tǒng)安全性測評
4.2.5 數(shù)據(jù)安全性測評
4.2.6 物理安全性測評
4.2.7 安全管理制度測評
4.2.8 安全管理機(jī)構(gòu)測評
4.2.9 人員安全管理測評
4.2.1 0系統(tǒng)建設(shè)管理測評
4.2.1 1系統(tǒng)運(yùn)維管理測評
4.3 按實(shí)施方式分類
4.3.1 安全功能檢測
4.3.2 安全管理核查
4.3.3 滲透測試
4.3.4 源代碼安全審查
4.3.5 社會(huì)工程學(xué)

第5章 安全測評的模式和方法
5.1 風(fēng)險(xiǎn)評估
5.1.1 風(fēng)險(xiǎn)評估模式
5.1.2 風(fēng)險(xiǎn)評估的評估模型
5.1.3 風(fēng)險(xiǎn)評估方法
5.2 等級測評
5.2.1 等級測評內(nèi)容
5.2.2 等級測評機(jī)構(gòu)
5.2.3 等級測評方法
5.3 驗(yàn)收測評
5.3.1 驗(yàn)收測評內(nèi)容
5.3.2 驗(yàn)收測評方法

第6章 安全測評技術(shù)
6.1 技術(shù)安全性測評
6.1.1 操作系統(tǒng)安全測評
6.1.2 數(shù)據(jù)庫系統(tǒng)安全測評
6.1.3 網(wǎng)絡(luò)安全測評
6.1.4 應(yīng)用系統(tǒng)平臺安全測評
6.1.5 應(yīng)用系統(tǒng)測評
6.1.6 數(shù)據(jù)安全測評
6.1.7 物理安全性測評
6.1.8 滲透測試
6.1.9 源代碼安全審查
6.2 管理安全性測評
6.2.1 安全管理制度
6.2.2 安全管理機(jī)構(gòu)
6.2.3 人員安全管理
6.2.4 系統(tǒng)建設(shè)管理
6.2.5 系統(tǒng)運(yùn)維管理

第7章 安全測評流程和工作內(nèi)容
7.1 調(diào)研準(zhǔn)備
7.1.1 調(diào)研準(zhǔn)備階段的工作流程
7.1.2 調(diào)研準(zhǔn)備階段的主要任務(wù)
7.1.3 調(diào)研準(zhǔn)備階段的文檔
7.1.4 調(diào)研準(zhǔn)備階段的職責(zé)
7.1.5 調(diào)研準(zhǔn)備階段的注意事項(xiàng)
7.2 方案制定
7.2.1 方案制定階段的工作流程
7.2.2 方案制定階段的主要任務(wù)
7.2.3 方案制定階段的文檔
7.2.4 方案制定階段的職責(zé)
7.2.5 方案制定階段的注意事項(xiàng)
7.3 現(xiàn)場實(shí)施
7.3.1 現(xiàn)場實(shí)施階段的工作流程
7.3.2 現(xiàn)場實(shí)施階段的主要任務(wù)
7.3.3 現(xiàn)場實(shí)施階段的文檔
7.3.4 現(xiàn)場實(shí)施階段的職責(zé)
7.3.5 現(xiàn)場實(shí)施階段的注意事項(xiàng)
7.4 綜合評估
7.4.1 綜合評估階段的工作流程
7.4.2 綜合評估階段主要任務(wù)
7.4.3 綜合評估階段的文檔
7.4.4 綜合評估階段的職責(zé)
7.4.5 綜合評估階段的注意事項(xiàng)
7.5 結(jié)項(xiàng)歸檔
7.5.1 結(jié)項(xiàng)歸檔階段的工作流程
7.5.2 結(jié)項(xiàng)歸檔階段的主要任務(wù)
7.5.3 結(jié)項(xiàng)歸檔階段的文檔
7.5.4 結(jié)項(xiàng)歸檔階段的職責(zé)
7.5.5 結(jié)項(xiàng)歸檔階段的注意事項(xiàng)

第8章 安全測評質(zhì)量管理
8.1 質(zhì)量管理概述
8.2 安全測評中質(zhì)量管理的重要性
8.3 安全測評質(zhì)量管理要求
8.3.1 建立管理體系
8.3.2 實(shí)施人員管理
8.3.3 實(shí)施設(shè)備管理
8.3.4 實(shí)施方法管理
8.3.5 實(shí)施文件控制
8.3.6 不符合工作的控制
8.3.7 體系運(yùn)行監(jiān)督
8.3.8 持續(xù)改進(jìn)

第9章 信息系統(tǒng)安全測評工具
9.1 測評工具的分類
9.1.1 安全測試工具
9.1.2 測評輔助工具
9.1.3 測評管理工具
9.2 常用測評工具
9.2.1 脆弱性掃描工具
9.2.2 滲透測試工具
9.2.3 代碼安全審查工具
9.2.4 性能測試工具
9.2.5 協(xié)議分析工具
9.2.6 物理環(huán)境檢測工具
9.2.7 網(wǎng)絡(luò)拓?fù)渖晒ぞ?br /> 9.2.8 安全配置檢查工具

附錄
附錄1 測評過程文檔模板（節(jié)選）
附錄1-1 項(xiàng)目實(shí)施計(jì)劃表模板
附錄1-2 信息系統(tǒng)基本情況調(diào)查表清單
附錄1-3 安全等級測評方案模板
附錄1-4 風(fēng)險(xiǎn)評估測評方案模板
附錄1-5 安全驗(yàn)收測評方案模板
附錄1-6 現(xiàn)場檢測表模板（節(jié)選示例）
附錄1-7 等級測評報(bào)告模板
附錄1-8 風(fēng)險(xiǎn)評估報(bào)告模板
附錄1-9 文檔交接單模板

附錄2 典型案例
1 系統(tǒng)信息
（1）網(wǎng)絡(luò)拓?fù)?br /> （2）網(wǎng)絡(luò)區(qū)域架構(gòu)
（3）主機(jī)設(shè)備
（4）應(yīng)用層架構(gòu)
2 測評范圍
3 測評內(nèi)容
4 測評對象
5 測評進(jìn)度安排
6 驗(yàn)收測評方案
7 安全驗(yàn)收報(bào)告
8 主要階段工作概述
（1）調(diào)研準(zhǔn)備
（2）方案制定
（3）現(xiàn)場實(shí)施
（4）綜合評估
（5）結(jié)項(xiàng)歸檔
參考文獻(xiàn)