信息系统测评相关要求
申请资格
1、申请者资格
向测评中心提交信息系统安全测评申请的用户,须是具有独立法人资格
的政府机关、各类合法经营机构或研究机构。
2、申请者的义务
1) 申请者有义务按照《系统安全测评申请书》的要求,向测评中心提交测评所
需的信息系统技术、人员和管理文件,材料应真实、详细、准确。
2) 申请者应配合测评中心的测评人员的现场工作,为其提供必要的场地、资源
和环境。
系统测评的 A/B 类要求
考虑到目前本省各信息系统的安全建设基础、安全建设情况不一,测评
中心制定了信息系统的 A、B 两类不同测评要求。需要特别指出的是:系统测评
要求的 A、B 分类不代表等级划分。A 类测评要求是本市系统测评的较高要求,B
类测评要求是本市系统测评的较低要求,属系统测评过程中的阶段性成果。原则
上由用户根据系统安全建设实际情况自行选择 A 类或 B 类测评要求。系统测评工
程师可根据系统申请书的填写情况提出修改建议。
1、 A 类测评要求
1.1 受理阶段
当用户申请材料至少但不限于满足以下条件时,系统测评工程师可建议
用户选择 A 类测评要求:
1) 用户对申请书及其附件(需求分析及安全设计方案、安全机构及管理制度、
自测分析报告)形式上都能系统完整的填写;
2) 经测评工程师进行技术审查,认为申请材料中,系统能根据行业要求、自身
应用、安全威胁及存在的风险组织较为体系的安全策略,依据 GB/T 18336 、
DB31/T 272 等规范要求采用了合理的安全机制,在基础设施、网络结构、应用
信息保护、管理体系等层次上实现了较为完整的安全服务,并经对各部分内容技
术审查结果的汇总分析,认为“不符合”项的内容小于 25%;
3) 系统申请文档中涉及的商用密码算法(对称密钥算法、非对称密钥算法、HASH
算法、数字签名算法等)和算法实现方法(硬件、软件)经过商密办批准。
1.2 测评结论阶段