信息系統(tǒng)基本情況調(diào)查表(模板)

1、編號(hào)： DCB2014- XXXXX）信息系統(tǒng)基本情況調(diào)查表 四川省軟件和信息系統(tǒng)工程測(cè)評(píng)中心 2016 年 月 日 說(shuō)明 1、請(qǐng)?zhí)峁┬畔⑾到y(tǒng)的最新網(wǎng)絡(luò)結(jié)構(gòu)圖（拓?fù)鋱D）。 A、應(yīng)該標(biāo)識(shí)出網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備和主要終端設(shè)備及其名稱。 B、應(yīng)該標(biāo)識(shí)出服務(wù)器設(shè)備的IP地址。 C應(yīng)該標(biāo)識(shí)網(wǎng)絡(luò)區(qū)域劃分等情況。 D應(yīng)該標(biāo)識(shí)網(wǎng)絡(luò)與外部的連接等情況。 E、應(yīng)該能夠?qū)φ站W(wǎng)絡(luò)結(jié)構(gòu)圖說(shuō)明所有業(yè)務(wù)流程和系統(tǒng)組成。 （如果一張圖無(wú)法表示，可以將核心部分和接入部分分別畫出，或以多張圖表示。 ） 2、請(qǐng)根據(jù)信息系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)圖填寫各類調(diào)查表。 xxxxxX言息系統(tǒng)工程網(wǎng)絡(luò)結(jié)構(gòu)圖（拓?fù)鋱D） 29 / 29 調(diào)查表清單 表 1

2、-1 單位基本情況 表 1-2 參與人員名單 表 1-3 物理環(huán)境情況 表 1-4 信息系統(tǒng)基本情況 表 1-5 承載業(yè)務(wù)（服務(wù)）情況調(diào)查 表 1-6 信息系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)（環(huán)境）情況調(diào)查 表 1-7 外聯(lián)線路及設(shè)備端口（網(wǎng)絡(luò)邊界）情況調(diào)查 表 1-8 網(wǎng)絡(luò)設(shè)備情況調(diào)查 表 1-9 安全設(shè)備情況調(diào)查 表 1-10 服務(wù)器設(shè)備情況調(diào)查 表 1-11 終端設(shè)備情況調(diào)查 表 1-12 系統(tǒng)軟件情況調(diào)查 表 1-13 應(yīng)用系統(tǒng)軟件情況調(diào)查 表 1-14 業(yè)務(wù)數(shù)據(jù)情況調(diào)查 表 1-15 數(shù)據(jù)備份情況調(diào)查 表 1-16 應(yīng)用系統(tǒng)軟件處理流程調(diào)查 表 1-17 業(yè)務(wù)數(shù)據(jù)流程調(diào)查 表 1-18 管理文檔情況調(diào)查

3、表 1-19 安全威脅情況調(diào)查 表1-1 單位基本情況 填表人：日期: 單位全稱 簡(jiǎn)稱 單位情況簡(jiǎn)介 單位所屬類型 行政機(jī)關(guān)國(guó)家重要行業(yè)、重要領(lǐng)域或重要企事業(yè)單位 一般企事業(yè)單位其它類型 單位地址 郵政編碼 負(fù)責(zé)人姓名 電話 傳真 電子郵件 地址 聯(lián)系人 電話 傳真 電子郵件 地址 上級(jí)主管部門 注：情況簡(jiǎn)介一欄，請(qǐng)?zhí)顚懪c被測(cè)評(píng)系統(tǒng)有關(guān)的機(jī)構(gòu)內(nèi)容 表1-2參與人員名單 填表人：日期: 序號(hào) 人員姓名 所屬部門 職務(wù)/職稱 負(fù)責(zé)范圍 聯(lián)系方法 1 2 3 4 5 6 7 8 9 表1-3物理環(huán)境情況 填表人：日期: 序號(hào) 物理環(huán)境名稱 物理位置 涉及信息系統(tǒng) 1 2 3 4 5 6 7 8 9

4、注：物理環(huán)境包括主機(jī)房、輔機(jī)房、辦公環(huán)境等。 表1-4信息系統(tǒng)基本情況 填表人：日期: 序號(hào) 信息系統(tǒng)名稱 安全保護(hù)等級(jí) 業(yè)務(wù)信息安全保護(hù)等級(jí) 系統(tǒng)服務(wù)安全保護(hù)等級(jí) 承載業(yè)務(wù)應(yīng)用 1 2 3 4 5 6 7 8 9 表1-5信息系統(tǒng)承載業(yè)務(wù)（服務(wù)）情況 填表人：日期: 序號(hào) 業(yè)務(wù)（服務(wù)） 名稱 業(yè)務(wù)描述 業(yè)務(wù)處理 信息類別 用戶 數(shù)量 用戶分 布范圍 涉及的 應(yīng)用系 統(tǒng)軟件 是否 24小 時(shí)運(yùn)行 是否可以 脫離系統(tǒng) 完成 重要程度 責(zé)任部門 1 2 3 4 5 6 7 注：1、用戶分布范圍欄填寫：全國(guó)、全省、本地區(qū)、本單位。 2 、業(yè)務(wù)信息類別一欄填寫：a）國(guó)家秘密信息b）非密敏感信息（機(jī)構(gòu)或

5、公民的專有信息）c）可公開信息 3 、重要程度欄填寫：非常重要、重要、一般。 表1-6信息系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)（環(huán)境）情況 填表人：日期: 序 號(hào) 網(wǎng)絡(luò)區(qū) 域名稱 主要業(yè)務(wù)和信息描述 IP網(wǎng)段 地址 服務(wù) 器數(shù) 量 終端 數(shù)量 與其連接的 其它網(wǎng)絡(luò) 區(qū)域 網(wǎng)絡(luò)區(qū)域 邊界設(shè)備 重要程度 責(zé)任部門 備注 1 2 3 4 5 6 7 注：重要程度填寫：非常重要、重要、一般 表1-7 外聯(lián)線路及設(shè)備端口（網(wǎng)絡(luò)邊界）情況 填表人：日期: 序 號(hào) 外聯(lián)線路名稱 （邊界名稱） 所屬網(wǎng)絡(luò)區(qū)域 連接對(duì)象 名稱 接入線路 種類 傳輸速率 （寬帶） 線路接入設(shè)備 承載主要 業(yè)務(wù)應(yīng)用 備注 1 2 3 4 5 6 7 8 9

6、 10 表1-8網(wǎng)絡(luò)設(shè)備情況 填表人：日期: 序 號(hào) 網(wǎng)絡(luò)設(shè)備 名稱 型號(hào) 物理 位置 所屬網(wǎng) 絡(luò)區(qū)域 IP地址 /網(wǎng)關(guān) 系統(tǒng)軟件 及版本 端口 類型 及數(shù) 量 主要用途 是否 熱備 重要程度 備 注 1 2 3 4 5 6 7 8 9 10 注：重要程度填寫：非常重要、重要、一般 表1-9 安全設(shè)備情況 填表人：日期: 序 號(hào) 網(wǎng)絡(luò)安全設(shè) 備名稱 型號(hào) （軟件/硬件） 物理 位置 所屬網(wǎng)絡(luò) 區(qū)域 IP地址/網(wǎng)關(guān) 系統(tǒng)及運(yùn)行平臺(tái) 端口類型 及數(shù)量 是否 熱備 備注 1 2 3 4 5 6 7 8 9 表1-10 服務(wù)器設(shè)備情況 填表人：日期: 序 號(hào) 服務(wù)器 設(shè)備名稱 型號(hào) 物理 位置 所屬網(wǎng)

7、 絡(luò)區(qū)域 IP地址/子網(wǎng) 掩碼/網(wǎng)關(guān) 操作系統(tǒng)版 本/補(bǔ)丁 安裝應(yīng)用系 統(tǒng)軟件名稱 主要業(yè)務(wù) 應(yīng)用 涉及 數(shù)據(jù) 是否 熱備 重要 程度 1 2 3 4 5 6 7 8 9 10 注：1、重要程度填寫：非常重要、重要、一般 2 、包括數(shù)據(jù)存儲(chǔ)設(shè)備。 表1-11終端設(shè)備情況 填表人：日期: 序 號(hào) 終端 設(shè)備名稱 型號(hào) 物理 位置 所屬網(wǎng) 絡(luò)區(qū)域 設(shè)備 數(shù)量 IP地址/子網(wǎng) 掩碼/網(wǎng)關(guān) 操作系統(tǒng) 安裝應(yīng)用系 統(tǒng)軟件名稱 涉及數(shù)據(jù) 主要用途 重要程度 1 2 3 4 5 6 7 8 9 注：1、重要程度填寫：非常重要、重要、一般。 2、包括專用終端設(shè)備以及網(wǎng)管終端、安全設(shè)備控制臺(tái)等。 表1-12 系

8、統(tǒng)軟件情況 填表人：日期: 序號(hào) 系統(tǒng)軟件名稱 版本 軟件廠商 硬件平臺(tái) 涉及應(yīng)用系統(tǒng) 1 2 3 4 5 6 7 8 9 10 注：包括操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)等軟件 表1-13 應(yīng)用系統(tǒng)軟件情況 填表人：日期: 序號(hào) 應(yīng)用系統(tǒng)軟件名稱 開發(fā)商 硬件/軟件平臺(tái) C/S或B/S模式 涉及數(shù)據(jù) 現(xiàn)有用戶數(shù)量 主要用戶角色 1 2 3 4 5 6 7 8 9 10 11 表1-14業(yè)務(wù)數(shù)據(jù)情況 填表人：日期: 序 號(hào) 數(shù)據(jù)名稱 數(shù)據(jù)使用者或管理者及 其訪問(wèn)權(quán)限 數(shù)據(jù)安全性要求 數(shù)據(jù)總量及日 增量 涉及業(yè)務(wù)應(yīng)用 涉及存儲(chǔ)系統(tǒng)與處理 設(shè)備 保密 完整 可用 1 2 3 4 5 6 7 8 9 注：1、數(shù)據(jù)

9、安全性要求每項(xiàng)填寫：高、中、低 2 、如果本頁(yè)不夠，請(qǐng)續(xù)頁(yè)填寫。 表1-15 數(shù)據(jù)備份情況 填表人：日期: 序號(hào) 備份數(shù)據(jù)名 介質(zhì)類型 備份周期 保存期 是否異地保存 過(guò)期處理方法 所屬備份系統(tǒng) 1 2 3 4 5 6 7 8 9 10 11 注：“備份數(shù)據(jù)名”與表1-12對(duì)應(yīng)的“數(shù)據(jù)名稱”一致 表1-16 應(yīng)用系統(tǒng)軟件處理流程（多表） 填表人：日期: 應(yīng)用系統(tǒng)軟件處理流程圖（應(yīng)用系統(tǒng)名稱） 應(yīng)用系統(tǒng)軟件處理流程圖（應(yīng)用系統(tǒng)名稱） 注：1、重要應(yīng)用系統(tǒng)軟件應(yīng)該描述處理流程圖，說(shuō)明主要處理步驟、過(guò)程、流向、涉及設(shè)備和用戶 2、如本頁(yè)不夠，請(qǐng)續(xù)頁(yè)填寫 表1-17 業(yè)務(wù)數(shù)據(jù)流程（多表） 填表人：日期

10、: 數(shù)據(jù)流程圖（應(yīng)用系統(tǒng)名稱） 數(shù)據(jù)流程圖（應(yīng)用系統(tǒng)名稱） 注：1、重要數(shù)據(jù)應(yīng)該描繪數(shù)據(jù)流程圖，從數(shù)據(jù)產(chǎn)生到傳輸經(jīng)過(guò)的主要設(shè)備，再到存儲(chǔ)設(shè)備等流程。 2、如本頁(yè)不夠，請(qǐng)續(xù)頁(yè)填寫 表1-18 管理文檔情況 序號(hào) 文檔要求 相關(guān)文檔名稱 備注 1 機(jī)構(gòu)總體安全方針和政策方面的管理制度 2 部門設(shè)置、崗位設(shè)置及工作職責(zé)定義方面的管理制 度 3 授權(quán)審批、審批流程等方面的管理制度 4 安全審批和安全檢查方面的管理制度 5 管理制度、操作規(guī)程修訂、維護(hù)方面的管理制度 6 人員錄用、離崗、考核等方面的管理制度 7 人員安全教育和培訓(xùn)方面的管理制度 8 第三方人員訪問(wèn)控制方面的管理制度 9 工程實(shí)施過(guò)程管理

11、方面的管理制度 10 產(chǎn)品選型、采購(gòu)方面的管理制度 填表人: 日期: A、制度類文檔 11 軟件外包開發(fā)或自我開發(fā)方面的管理制度 12 測(cè)試、驗(yàn)收方面的管理制度 13 機(jī)房安全管理方面的管理制度 14 辦公環(huán)境安全管理方面的管理制度 15 資產(chǎn)、設(shè)備、介質(zhì)安全管理方面的管理制度 16 信息分類、標(biāo)識(shí)、發(fā)布、使用方面的管理制度 17 配置設(shè)施、軟硬件維護(hù)方面的管理制度 18 網(wǎng)絡(luò)安全管理（網(wǎng)絡(luò)配置、帳號(hào)管理等）方面的管 理制度 19 系統(tǒng)安全管理（系統(tǒng)配置、帳號(hào)管理等）方面的管 理制度 20 系統(tǒng)監(jiān)控、風(fēng)險(xiǎn)評(píng)估、漏洞掃描方面的管理制度 21 病毒防范方面的管理制度 22 系統(tǒng)變更控制方面的管理制

12、度 23 密碼管理方面的管理制度 24 備份和恢復(fù)方面的管理制度 25 安全事件報(bào)告和處置方面的管理制度 26 應(yīng)急響應(yīng)方法、應(yīng)急響應(yīng)計(jì)劃等方面的文件 27 其他文檔 注：請(qǐng)?jiān)谙嚓P(guān)文檔名稱欄填寫對(duì)應(yīng)的文檔名稱，如果相關(guān)內(nèi)容在多個(gè)文檔中涉及，則填寫多個(gè)文檔名稱 B、記錄文檔 序號(hào) 記錄類文檔要求 備注 1 機(jī)房出入登記記錄（包括第三方人員） 2 機(jī)房基礎(chǔ)設(shè)施維護(hù)記錄 3 各類會(huì)議紀(jì)要或記錄（部門內(nèi)、部門間協(xié)調(diào)會(huì)、領(lǐng)導(dǎo)小組） 4 各類評(píng)審和修訂記錄（安全管理制度評(píng)審和修訂記錄、 審記錄等） 體系評(píng) 5 人員考核、審查、培訓(xùn)記錄（人員錄用、人員定期考核） 崗手續(xù) 、離 6 各項(xiàng)審批和批準(zhǔn)執(zhí)行記錄（來(lái)

13、訪人員進(jìn)入機(jī)房審批、介質(zhì) 備外帶審批、系統(tǒng)外聯(lián)審批等） /設(shè) 7 安全管理制度收發(fā)登記記錄 8 產(chǎn)品的選型測(cè)試結(jié)果記錄 9 系統(tǒng)驗(yàn)收測(cè)試記錄、報(bào)告 10 介質(zhì)歸檔、查詢等的登記記錄 11 主機(jī)系統(tǒng)、網(wǎng)絡(luò)、安全設(shè)備等的操作日志和維護(hù)記錄 12 機(jī)房日常巡檢記錄 13 對(duì)主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件等的監(jiān)控記錄和分析報(bào)告 14 惡意代碼檢測(cè)、升級(jí)記錄和分析報(bào)告 15 備份過(guò)程記錄 16 變更方案評(píng)審記錄和變更過(guò)程記錄 17 安全事件處理過(guò)程記錄 18 應(yīng)急預(yù)案培訓(xùn)、演練、審查記錄 19 其他記錄文檔 C證據(jù)類文檔 序號(hào) 證據(jù)類文檔要求 備注 1 資產(chǎn)清單 2 機(jī)構(gòu)安全管理人員崗位名單 3 外聯(lián)單位聯(lián)系

14、列表 4 人員保密協(xié)議 5 關(guān)鍵崗位安全協(xié)議 6 候選產(chǎn)品名單 7 信息系統(tǒng)疋級(jí)報(bào)告或疋級(jí)建議書 8 系統(tǒng)備案材料 9 近期和遠(yuǎn)期安全建設(shè)工作計(jì)劃、總體建設(shè)規(guī)劃書 10 詳細(xì)設(shè)計(jì)方案 11 系統(tǒng)建設(shè)項(xiàng)目 工程實(shí)施方案 12 系統(tǒng)驗(yàn)收測(cè)試方案 13 系統(tǒng)建設(shè)項(xiàng)目 系統(tǒng)測(cè)試、驗(yàn)收?qǐng)?bào)告 14 系統(tǒng)交付清單 15 變更方案 16 變更申請(qǐng)書 17 信息系統(tǒng)定期安全檢查的檢查表和安全檢查報(bào)告 18 主要設(shè)備漏洞掃描報(bào)告 19 系統(tǒng)異常行為審計(jì)分析報(bào)告 20 機(jī)房安全設(shè)計(jì)和驗(yàn)收方面的文檔 21 總體安全策略等配套文件的專家論證文檔 22 與安全服務(wù)商或外包開發(fā)商簽訂的服務(wù)合同和安全協(xié)議 23 軟件開發(fā)設(shè)計(jì)

15、和用戶指南等相關(guān)文檔（目錄體系框架或交 換原型系統(tǒng)）、軟件測(cè)試報(bào)告 表1-19 安全威脅情況 填表人：日期: 序號(hào) 安全事件調(diào)查 調(diào)查結(jié)果 1 是否發(fā)生過(guò)網(wǎng)絡(luò)安全事件 沒(méi)有 1次/年 2次/年 3次以上/年 不清 安全事件說(shuō)明：（時(shí)間、影響） 2 發(fā)生的網(wǎng)絡(luò)安全事件類型（多選） 感染病毒/蠕蟲/特殊木馬程序拒絕服務(wù)攻擊端口掃描攻擊 數(shù)據(jù)竊取破壞數(shù)據(jù)或網(wǎng)絡(luò)篡改網(wǎng)頁(yè)垃圾郵件 內(nèi)部人員有意破壞內(nèi)部人員濫用網(wǎng)絡(luò)端、系統(tǒng)資源 被利用發(fā)送和傳播有害信息網(wǎng)絡(luò)詐騙和盜竊其他 其他說(shuō)明： 3 如何發(fā)現(xiàn)網(wǎng)絡(luò)安全事件（多選） 網(wǎng)絡(luò)（系統(tǒng)）管理員工作監(jiān)測(cè)發(fā)現(xiàn)通過(guò)事后分析發(fā)現(xiàn) 通過(guò)安全產(chǎn)品發(fā)現(xiàn)有關(guān)部門通知或意外發(fā)現(xiàn) 他人告知其他 其他說(shuō)明： 4 網(wǎng)絡(luò)安全事件造成的損失評(píng)估 非常嚴(yán)重嚴(yán)重一般比較輕微輕微無(wú)法評(píng)估 5 可能的攻擊來(lái)源 內(nèi)部外部都有病毒其他原因不清楚 攻擊來(lái)源說(shuō)明： 6 導(dǎo)致發(fā)生網(wǎng)絡(luò)安全事件的可能原因 未修補(bǔ)或防范軟件漏洞網(wǎng)絡(luò)或軟件配置錯(cuò)誤登錄密碼過(guò)于簡(jiǎn)單或 未修改缺少訪問(wèn)控制攻擊者使用拒絕服務(wù)攻擊 攻擊者利用軟件默認(rèn)設(shè)置利用內(nèi)部用戶安全管理漏洞或內(nèi)部人員作案 內(nèi)部網(wǎng)絡(luò)違規(guī)連接互聯(lián)網(wǎng)攻擊者使用欺詐方法 不知原因其他 其他說(shuō)明： 7 是否發(fā)生過(guò)硬件故障 有（注明