C.2 信息系統描述規范

在本標準中，根據信息系統安全保障評估的角度，提出了信息系統描述規范。圖C.1描述了信息系統安全保障評估信息系統描述規范。

整個信息系統描述主要包括三個大類：信息系統使命，信息系統概述和信息系統詳細描述，相應的具體描述內容包括:
a) 信息系統使命描述：信息系統的使命，即從目的和意義對信息系統進行高層描述，它是信息系統根本和本質的要求；
b) 信息系統概述：對所要評估的信息系統進行概括性說明和描述：
1) 信息系統標識：應給出系統的正式名稱和標識。系統標識包括其名稱、所屬的組織機構及其地點和包含最終用戶的組織機構及其地點等相關信息；
2) 信息系統環境描述：描述的運行環境以及系統開發、集成和維護的環境；
3) 信息系統評估邊界和接口描述：描述所要評估系統的邊界和相應的外部接口，此描述必須用圖表或文字清晰地描述和界定所要評估的系統部件和邊界；
4) 信息系統安全保障域描述：根據系統的關鍵性（描述系統的關鍵性以及系統的可接受的風險級別）、數據的分類和密級（描述系統所處理的數據類型和機密級別）和系統用戶（描述使用系統的用戶描述）等方面劃分系統的安全域；
c) 信息系統詳細描述：此部分從管理體系、技術體系和業務體系分別對信息系統進行詳細描述：
1) 管理體系：在管理體系中，需要對信息系統現有的管理組織結構、所使用的相應規章制度和所涉及的重要資產進行描述；
——組織機構描述：描述同信息系統相關的管理/使用/開發/集成/支持組織機構的描述，特別是相關安全管理保障的組織機構的描述；
——管理制度、法規描述：列出同信息系統管理相關的目前使用的相應規章制度和相關法規；
——系統資產描述：描述了信息系統的物理資產（指信息系統中的各種硬件、軟件和物理設施）和信息資產（指在信息系統計劃組織、開發采購、實施交付、運行維護和廢棄這一信息系統生命周期過程中產生的同信息系統本身相關的有價值的信息以及信息系統所存儲、處理和傳輸的各種相關的辦公、管理和業務等信息）；
2) 技術體系：技術體系是信息系統描述的基礎，需要對現有的各種應用、相應的網絡基礎設施和所使用的技術標準進行描述，這些描述將幫助了解用戶的信息系統并為進一步描述業務系統提供基礎和支持：
——網絡基礎設施描述：描述了系統的網絡層次等網絡體系結構說明；
——技術應用描述：描述用戶信息系統的各種應用說明；
——適用技術標準描述：列出相關技術應用等所適用的技術標準；
3) 業務體系：業務體系從業務角度和應用角度出發，基于技術體系，對組織機構的主要業務應用進行分類和描述，并通過業務流程和業務信息流來進一步解釋：
——主要業務應用描述：列出組織機構的主要業務應用并進行描述；
——業務流程描述：基于組織機構的管理結構等，描述業務的流程；
——業務信息流描述：描述主要業務應用的接口和相應數據流，數據流描述應包括數據的類型以及數據傳送的一般方式。