信息系统检测评估协议书

第一篇：信息系统检测评估协议书甲方：_________地址：_________法定代表人：_________乙方：中国信息安全产品测评认证中心_________测评中心地址：_________法定代表人：_________受_________委托，由乙方即中国信息安全产品测评认证中心_________测评中心（该中心系由国家授权履行对信息安全产品，信息系统及信息安全服务进行测评认证的第三方权威，公证机构。）对甲方即进行测评。为保证信息系统检测评估过程的顺利进行，提高信息系统的安全性，现经甲、乙双方平等协商，自愿签订本协议，共同遵守如下条款：1．经甲乙双方协商，于_________年_________月_________日起（时间约为_________周）由乙方对甲方网络系统的安全性进行检测评估。2．测评范围为_________。3．在检测评估过程中，甲方应协助并向乙方提供有关网络系统检测评估所需的文档。4．乙方在对甲方的网络系统进行检测评估中必须严格依照信息系统检测评估要求与标准执行。信息系统检测评估过程如下：（1）甲方向乙方提交系统检测评估申请文档；（2）乙方对甲方提交的文档进行形式化审查；（3）乙方对甲方提交的文档进行技术审查；（4）乙方确定现场核查方案及计划；（5）乙方对甲方申请检测的系统进行现场核查检测；（6）乙方整理分析检测数据并撰写检测报告；（7）乙方向甲方提交系统检测报告。5．乙方在检测评估完毕后_________个工作日内向甲方提交网络系统检测评估报告。6．乙方有义务对甲方提交的任何文档资料以及检测评估数据与结果保密，严格依照《中华人民共和国保密法》相关事宜执行，以确保任何相关技术及业务文档不得泄露。7．甲方应在本协议生效之日起_________个工作日内将系统检测评估费用人民币_________元转入乙方指定的银行账户中。8．本协议未尽事宜，双方协商解决，与国家法律法规相抵触的按国家规定执行。9．本协议自签订之日起生效，一式三份，甲方持一份，乙方持两份。甲方（盖章）：_________乙方（盖章）：_________代表（签字）：_________代表（签字）：__________________年____月____日_________年____月____日第二篇：信息系统风险评估作业指导书中科园智能网络系统有限责任公司信息系统风险评估作业指导书1、作业目的信息系统风险评估作业是我公司的主要服务内容之一，其目的是通过发现客户系统中的安全风险和威胁，对客户系统进行真实、可靠的安全评估，为客户信息系统的安全整改提供依据和建议，从而帮助客户切实改进自身信息系统，使客户系统顺利达到相关安全接入标准。2、作业范围信息系统风险评估作业的范围主要包括：2.1信息系统用户访问针对信息系统的风险评估作业的主要依据和方法是对信息系统的用户访问，通过访问发现系统资产的重要性、操作方法、业务流程、依赖程度、受攻击情况、安全管理制度、人员管理制度、管理机构设置以及管理状况等等。2.2信息系统现场勘察针对信息系统的现场勘察作业，可以发现系统的物理安全环境、实际拓扑结构以及实际的管理状况，并可通过现场勘察验证资产信息和配置状况。对于内网系统，现场勘察过程中也可进行必要测试和验证作业。2.3信息系统远程测试针对信息系统的远程测试主要目的是通过远程方式，在时间相对宽裕的条件下通过善意扫描和渗透，测试客户信息系统的安全状况和安全程度，并提出适当报告和相关建议。但远程测试并非每个评估作业项目都必需的作业方式，除非经过用户许可或现实条件允许，否则不应采用远程测试方式进行评估作业。2.4信息系统威胁分析通过人员访问、现场勘察、远程测试等途径，从客户资产识别、脆弱性识别以及威胁性识别三个方面出发，基于信息系统的可用性、完整性、安全性三原则出发，根据资料对比、客户沟通结果进行分析和验证。2.5信息系统评估报告针对客户信息系统威胁分析结果生成评估报告并附加安全整改建议。2.6信息系统安全演练信息系统安全演练的主要目的是基于作业员工的评估素质出发，进行日常训练。内容包括评估方法训练、测试技术训练、资料分析训练等等。3、职责划分3.1评估管理小组因为信息系统的风险评估工作本身带有一定的风险，因此加强作业管理、重视客户沟通就必然成为评估作业首要的保障手段。评估管理小组的主要职责正是通过对作业人员、作业行为、作业工具、作业结果、历史档案以及客户资料的管理，保证整个评估项目的顺利进行和成功交付。3.2评估作业小组评估作业小组的主要职责包括:针对资产的依赖性识别、重要性识别等；针对系统脆弱性的用户访问、历史资料分析、拓扑结构分析、稳定性分析等；针对系统威胁的历史资料分析和用户访问。以及通过分析历史资料、安全环境、用户习惯、测试结果、标准规范等