《信息安全系统建设测试验收管理办法》由会员分享,可在线阅读,更多相关《信息安全系统建设测试验收管理办法(4页珍藏版)》请在金锄头文库上搜索。
1、信息安全信息安全系统建设测试验收系统建设测试验收管理办法管理办法 1.文档准备文档准备 系统建设完成后,项目承建方要依据项目合同的交付部 分向应用主管部门进行项目交付,但交付的内容至少包括 1)制定的系统交付清单,对交付的设备、软件和文档进行 清点; 2)对系统运维人员进行技能培训,要求系统运维人员能 进行日常的维护; 3)提供系统建设的过程文档,包括实施方案、实施记录等 4)提供系统运行维护的帮助和操作手册 2.确认签字确认签字 系统交付要项目实施和应用主管部门的相关项目负责人 进行签字确认。 3.专人负责专人负责 系统交付由项目应用系统主管部门负责,必须安照系统 交付的要求完成交付工作。
2、4.测试方案测试方案 应制定投产与验收测试大纲,在项目实施完成后,由项 目应用主管单位和项目开发承担单位共同组织进行测试。在 测试大纲中应至少包括以下安全性测试和评估要求: 1)配置管理:系统开发单位应使用配置管理系统,并提 供配置管理文档; 2)安装、生成和启动程序:应制定安装、生成和启动程序 并保证最终产生了安全的配置; 3)安全功能测试:对系统的安全功能进行测试,以保证 其符合详细设计并对详细设计进行检查,保证其符合概要 设计以及总体安全方案; 4)系统管理员指南:应提供如何安全地管理系统和如何 高效地利用系统安全功能的优点和保护功能等详细准确的 信息; 5)系统用户指南:必须包含两方面
3、的内容:首先,它必 须解释那些用户可见的安全功能的用途以及如何使用它们 这样用户可以持续有效地保护他们的信息;其次,它必须 解释在维护系统的安全时用户所能起的作用; 6)安全功能强度评估:功能强度分析应说明以概率或排 列机制(如,口令字或哈希函数)实现的系统安全功能。例 如,对口令机制的功能强度分析可以通过说明口令空间是 否有足够大来指出口令字功能是否满足强度要求; 7)脆弱性分析:应分析所采取的安全对策的完备性(安 全对策是否可以满足所有的安全需求)以及安全对策之间 的依赖关系。通常可以使用穿透性测试来评估上述内容,以 判断它们在实际应用中是否会被利用来削弱系统的安全。 第五条 测试完成后,项目测试小组应提交 测试报告 ,其 中应包括安全性测试和评估的结果。不能通过安全性测试评 估的,由测试小组提出修改意见,项目开发承担单位应作 进一步修改