政務(wù)信息系統(tǒng)安全測評應(yīng)用指南

第1章 政務(wù)信息系統(tǒng)安全概述
1.1 信息系統(tǒng)與安全
1.1.1 信息系統(tǒng)的定義
1.1.2 信息系統(tǒng)安全的定義
1.1.3 信息系統(tǒng)安全的發(fā)展階段
1.2 我國政務(wù)信息系統(tǒng)發(fā)展與業(yè)務(wù)分析
1.2.1 政務(wù)信息系統(tǒng)發(fā)展情況
1.2.2 政務(wù)信息系統(tǒng)的總體架構(gòu)
1.3 我國政務(wù)信息系統(tǒng)安全的威脅與防護體系
1.3.1 政務(wù)信息系統(tǒng)安全的基本特征
1.3.2 政務(wù)信息系統(tǒng)面臨的常見安全威脅
1.3.3 信息系統(tǒng)安全防護體系
1.4 政務(wù)信息系統(tǒng)的安全測評

第2章 信息安全測評的發(fā)展與現(xiàn)狀
2.1 國外信息安全測評的發(fā)展歷程
2.1.1 信息安全測評的發(fā)展歷程
2.1.2 信息安全測評標準的發(fā)展歷程
2.1.3 信息安全管理標準的發(fā)展歷程
2.2 國內(nèi)信息安全測評的發(fā)展過程
2.3 我國政務(wù)系統(tǒng)信息安全測評現(xiàn)狀與發(fā)展前景
2.3.1 我國政務(wù)系統(tǒng)信息安全測評現(xiàn)狀
2.3.2 我國政務(wù)系統(tǒng)信息安全測評發(fā)展
2.4 信息安全測評原則
2.4.1 客觀公正性原則
2.4.2 保密性原則
2.4.3 可控性原則
2.4.4 規(guī)范性和準確性原則
2.4 ，5時效性原則

第3章 信息安全測評政策文件及標準
3.1 政策法規(guī)
3.1.1 國家政策法規(guī)
3.1.2 地方政策法規(guī)
3.1.3 行業(yè)政策法規(guī)
3.2 標準規(guī)范
3.2.1 等級保護標準規(guī)范
3.2.2 風險評估標準規(guī)范
3.2.3 安全驗收標準規(guī)范
3.2.4 其他安全標準規(guī)范

第4章 安全測評分類
4.1 按測評目標分類
4.1.1 信息系統(tǒng)安全風險評估
4.1.2 信息系統(tǒng)安全等級測評
4.1.3 信息系統(tǒng)安全驗收測評
4.1.4 三者之間的關(guān)系
4.2 按測評內(nèi)容分類
4.2.1 操作系統(tǒng)安全性測評
4.2.2 數(shù)據(jù)庫及數(shù)據(jù)庫管理系統(tǒng)安全性測評
4.2.3 網(wǎng)絡(luò)系統(tǒng)安全性測評
4.2.4 應(yīng)用系統(tǒng)安全性測評
4.2.5 數(shù)據(jù)安全性測評
4.2.6 物理安全性測評
4.2.7 安全管理制度測評
4.2.8 安全管理機構(gòu)測評
4.2.9 人員安全管理測評
4.2.1 0系統(tǒng)建設(shè)管理測評
4.2.1 1系統(tǒng)運維管理測評
4.3 按實施方式分類
4.3.1 安全功能檢測
4.3.2 安全管理核查
4.3.3 滲透測試
4.3.4 源代碼安全審查
4.3.5 社會工程學

第5章 安全測評的模式和方法
5.1 風險評估
5.1.1 風險評估模式
5.1.2 風險評估的評估模型
5.1.3 風險評估方法
5.2 等級測評
5.2.1 等級測評內(nèi)容
5.2.2 等級測評機構(gòu)
5.2.3 等級測評方法
5.3 驗收測評
5.3.1 驗收測評內(nèi)容
5.3.2 驗收測評方法

第6章 安全測評技術(shù)
6.1 技術(shù)安全性測評
6.1.1 操作系統(tǒng)安全測評
6.1.2 數(shù)據(jù)庫系統(tǒng)安全測評
6.1.3 網(wǎng)絡(luò)安全測評
6.1.4 應(yīng)用系統(tǒng)平臺安全測評
6.1.5 應(yīng)用系統(tǒng)測評
6.1.6 數(shù)據(jù)安全測評
6.1.7 物理安全性測評
6.1.8 滲透測試
6.1.9 源代碼安全審查
6.2 管理安全性測評
6.2.1 安全管理制度
6.2.2 安全管理機構(gòu)
6.2.3 人員安全管理
6.2.4 系統(tǒng)建設(shè)管理
6.2.5 系統(tǒng)運維管理

第7章 安全測評流程和工作內(nèi)容
7.1 調(diào)研準備
7.1.1 調(diào)研準備階段的工作流程
7.1.2 調(diào)研準備階段的主要任務(wù)
7.1.3 調(diào)研準備階段的文檔
7.1.4 調(diào)研準備階段的職責
7.1.5 調(diào)研準備階段的注意事項
7.2 方案制定
7.2.1 方案制定階段的工作流程
7.2.2 方案制定階段的主要任務(wù)
7.2.3 方案制定階段的文檔
7.2.4 方案制定階段的職責
7.2.5 方案制定階段的注意事項
7.3 現(xiàn)場實施
7.3.1 現(xiàn)場實施階段的工作流程
7.3.2 現(xiàn)場實施階段的主要任務(wù)
7.3.3 現(xiàn)場實施階段的文檔
7.3.4 現(xiàn)場實施階段的職責
7.3.5 現(xiàn)場實施階段的注意事項
7.4 綜合評估
7.4.1 綜合評估階段的工作流程
7.4.2 綜合評估階段主要任務(wù)
7.4.3 綜合評估階段的文檔
7.4.4 綜合評估階段的職責
7.4.5 綜合評估階段的注意事項
7.5 結(jié)項歸檔
7.5.1 結(jié)項歸檔階段的工作流程
7.5.2 結(jié)項歸檔階段的主要任務(wù)
7.5.3 結(jié)項歸檔階段的文檔
7.5.4 結(jié)項歸檔階段的職責
7.5.5 結(jié)項歸檔階段的注意事項

第8章 安全測評質(zhì)量管理
8.1 質(zhì)量管理概述
8.2 安全測評中質(zhì)量管理的重要性
8.3 安全測評質(zhì)量管理要求
8.3.1 建立管理體系
8.3.2 實施人員管理
8.3.3 實施設(shè)備管理
8.3.4 實施方法管理
8.3.5 實施文件控制
8.3.6 不符合工作的控制
8.3.7 體系運行監(jiān)督
8.3.8 持續(xù)改進

第9章 信息系統(tǒng)安全測評工具
9.1 測評工具的分類
9.1.1 安全測試工具
9.1.2 測評輔助工具
9.1.3 測評管理工具
9.2 常用測評工具
9.2.1 脆弱性掃描工具
9.2.2 滲透測試工具
9.2.3 代碼安全審查工具
9.2.4 性能測試工具
9.2.5 協(xié)議分析工具
9.2.6 物理環(huán)境檢測工具
9.2.7 網(wǎng)絡(luò)拓撲生成工具
9.2.8 安全配置檢查工具

附錄
附錄1 測評過程文檔模板（節(jié)選）
附錄1-1 項目實施計劃表模板
附錄1-2 信息系統(tǒng)基本情況調(diào)查表清單
附錄1-3 安全等級測評方案模板
附錄1-4 風險評估測評方案模板
附錄1-5 安全驗收測評方案模板
附錄1-6 現(xiàn)場檢測表模板（節(jié)選示例）
附錄1-7 等級測評報告模板
附錄1-8 風險評估報告模板
附錄1-9 文檔交接單模板

附錄2 典型案例
1 系統(tǒng)信息
（1）網(wǎng)絡(luò)拓撲
（2）網(wǎng)絡(luò)區(qū)域架構(gòu)
（3）主機設(shè)備
（4）應(yīng)用層架構(gòu)
2 測評范圍
3 測評內(nèi)容
4 測評對象
5 測評進度安排
6 驗收測評方案
7 安全驗收報告
8 主要階段工作概述
（1）調(diào)研準備
（2）方案制定
（3）現(xiàn)場實施
（4）綜合評估
（5）結(jié)項歸檔
參考文獻