公司信息安全測試驗收

1、文檔序號：XXGS-AQSC-001文檔編號：AQSC-20XX-001XXX （單位）公司信息安全測試驗收編制科室：知丁日期：年 月 日信息安全測試驗收文檔準備系統(tǒng)建設(shè)完成后，項目承建方要依據(jù)項目合同的交付部 分向應(yīng)用主管部門進行項目交付，但交付的內(nèi)容至少包括：1）制定的系統(tǒng)交付清單，對交付的設(shè)備、軟件和文檔進 行清點；2）對系統(tǒng)運維人員進行技能培訓(xùn)，要求系統(tǒng)運維人員能 進行日常的維護；3）提供系統(tǒng)建設(shè)的過程文檔，包括實施方案、實施記錄 等；4）提供系統(tǒng)運行維護的幫助和操作手冊確認簽字系統(tǒng)交付要項目實施和應(yīng)用主管部門的相關(guān)項目負責(zé) 人進行簽字確認。專人負責(zé)系統(tǒng)交付由項目應(yīng)用系統(tǒng)主管部門負責(zé)，

2、必須安照系統(tǒng) 交付的要求完成交付工作。測試方案應(yīng)制定投產(chǎn)與驗收測試大綱，在項目實施完成后，由項 目應(yīng)用主管單位和項目開發(fā)承擔(dān)單位共同組織進行測試。在 測試大綱中應(yīng)至少包括以下安全性測試和評估要求：1）配置管理：系統(tǒng)開發(fā)單位應(yīng)使用配置管理系統(tǒng)，并提供配置管理文檔；2）安裝、生成和啟動程序：應(yīng)制定安裝、生成和啟動程 序，并保證最終產(chǎn)生了安全的配置；3）安全功能測試：對系統(tǒng)的安全功能進行測試，以保證 其符合詳細設(shè)計并對詳細設(shè)計進行檢查，保證其符合概要設(shè) 計以及總體安全方案；4）系統(tǒng)管理員指南：應(yīng)提供如何安全地管理系統(tǒng)和如何 高效地利用系統(tǒng)安全功能的優(yōu)點和保護功能等詳細準確的 信息；5）系統(tǒng)用戶指南：

3、必須包含兩方面的內(nèi)容：首先，它必 須解釋那些用戶可見的安全功能的用途以及如何使用它們， 這樣用戶可以持續(xù)有效地保護他們的信息；其次，它必須解 釋在維護系統(tǒng)的安全時用戶所能起的作用；6）安全功能強度評估：功能強度分析應(yīng)說明以概率或排 列機制（如，口令字或哈希函數(shù)）實現(xiàn)的系統(tǒng)安全功能。例 如，對口令機制的功能強度分析可以通過說明口令空間是否 有足夠大來指出口令字功能是否滿足強度要求；7）脆弱性分析：應(yīng)分析所采取的安全對策的完備性（安 全對策是否可以滿足所有的安全需求）以及安全對策之間的 依賴關(guān)系。通?？梢允褂么┩感詼y試來評估上述內(nèi)容，以判 斷它們在實際應(yīng)用中是否會被利用來削弱系統(tǒng)的安全。第五條 測試完成后，項目測試小組應(yīng)提交測試報告， 其中應(yīng)包括安全性測試和評估