信息系統(tǒng)基本情況調(diào)查表(共28頁)

1、精選優(yōu)質(zhì)文檔-傾情為你奉上信息系統(tǒng)基本情況調(diào)查表深圳市信息安全測評中心2009年7月說 明1、 請?zhí)峁┬畔⑾到y(tǒng)的最新網(wǎng)絡(luò)結(jié)構(gòu)圖（拓撲圖）網(wǎng)絡(luò)結(jié)構(gòu)圖要求：l 應(yīng)該標(biāo)識出網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備和主要終端設(shè)備及其名稱l 應(yīng)該標(biāo)識出服務(wù)器設(shè)備的IP地址l 應(yīng)該標(biāo)識網(wǎng)絡(luò)區(qū)域劃分等級情況l 應(yīng)該標(biāo)識網(wǎng)絡(luò)與外部的鏈接等情況l 應(yīng)該能對照網(wǎng)絡(luò)結(jié)構(gòu)圖說明所有業(yè)務(wù)流程和系統(tǒng)組成如果一張圖無法表示，可以將核心部分和接入部分分別劃出，或以多張圖表示。2、 請根據(jù)信息系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)圖填寫各類調(diào)查表格表1-2. 參與人員名單填表人： 日期： 序號人員名稱所屬部門職務(wù)/職稱負責(zé)范圍聯(lián)系方法12345678910表1-3.物理

2、環(huán)境情況填表人： 日期： 序號物理環(huán)境名稱物理位置涉及信息系統(tǒng)123456789注：物理環(huán)境包括主機房、輔機房、辦公環(huán)境等等表1-4.信息系統(tǒng)基本情況填表人： 日期： 序號信息系統(tǒng)名稱安全保護等級業(yè)務(wù)信息安全保護等級系統(tǒng)服務(wù)安全保護等級承載業(yè)務(wù)應(yīng)用123456789表1-5.信息系統(tǒng)承載業(yè)務(wù)情況（服務(wù)）情況填表人： 日期： 序號業(yè)務(wù)（服務(wù)）名稱業(yè)務(wù)描述業(yè)務(wù)處理信息類別用戶數(shù)量用戶分布范圍涉及的應(yīng)用系統(tǒng)軟件是否24小時運行是否可以脫離系統(tǒng)完成重要程度責(zé)任部門123456注：1、用戶分布范圍欄填寫全國、全省、本地區(qū)、本單位2、業(yè)務(wù)信息類別一欄填寫：a）國家秘密信息b）非密敏感信息（機構(gòu)或公民的專有

3、信息）c）可公開信息3、重要程度欄填寫非常重要、重要、一般表1-6.信息系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)（環(huán)境）情況填表人： 日期： 序號網(wǎng)絡(luò)區(qū)域名稱主要業(yè)務(wù)和信息描述IP網(wǎng)絡(luò)地址服務(wù)器數(shù)量終端數(shù)量與其連接的其他網(wǎng)絡(luò)區(qū)域網(wǎng)絡(luò)區(qū)域邊界設(shè)備重要程度責(zé)任部門備注1234567注：重要程度填寫非常重要、重要、一般表表1-7.外聯(lián)線路及設(shè)備端口（網(wǎng)絡(luò)邊界）情況填表人： 日期： 序號外聯(lián)線路名稱（邊界名稱）所屬網(wǎng)絡(luò)區(qū)域連接對象名稱接入線路種類傳輸速率（帶寬）線路接入設(shè)備承載主要業(yè)務(wù)應(yīng)用備注12345678表1-8.網(wǎng)絡(luò)設(shè)備情況填表人： 日期： 序號網(wǎng)絡(luò)設(shè)備名稱型號物理位置所屬網(wǎng)絡(luò)區(qū)域IP地址/掩碼/網(wǎng)關(guān)系統(tǒng)軟件版本端口類型及

4、數(shù)量主要用途是否熱備重要程度備注1234567注：重要程度填寫非常重要、重要、一般表1-9.安全設(shè)備情況填表人： 日期： 序號網(wǎng)絡(luò)安全設(shè)備型號（軟件/硬盤）物理位置所屬網(wǎng)絡(luò)區(qū)域IP地址/掩碼/網(wǎng)關(guān)系統(tǒng)及運行平臺端口類型及數(shù)量是否熱備備注12345678表1-10服務(wù)器設(shè)備情況填表人： 日期： 序號服務(wù)器設(shè)備名稱型號物理位置所屬網(wǎng)絡(luò)區(qū)域IP地址/掩碼/網(wǎng)關(guān)操作系統(tǒng)版本/補丁安裝應(yīng)用系統(tǒng)軟件名稱主要業(yè)務(wù)應(yīng)用涉及數(shù)據(jù)是否熱備重要程度123456注：1、重要程度填寫非常重要、重要、一般2、包括數(shù)據(jù)存儲設(shè)備表1-11.終端設(shè)備情況填表人： 日期： 序號終端設(shè)備名稱型號物理位置所屬網(wǎng)絡(luò)區(qū)域設(shè)備數(shù)量IP地址

5、/掩碼/網(wǎng)關(guān)操作系統(tǒng)安裝應(yīng)用系統(tǒng)軟件名稱涉及數(shù)據(jù)主要用途重要程度123456注：1、重要程度填寫非常重要、重要、一般2、包括專用終端設(shè)備及網(wǎng)管終端、安全設(shè)備控制臺等表1-12.系統(tǒng)軟件情況填表人： 日期： 序號系統(tǒng)軟件名稱版本軟件廠商硬件平臺涉及應(yīng)用系統(tǒng)123456789注：包括操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等軟件表1-13.應(yīng)用系統(tǒng)軟件情況填表人： 日期： 序號應(yīng)用系統(tǒng)軟件名稱開發(fā)商硬件/軟件平臺C/S或B/S模式涉及數(shù)據(jù)現(xiàn)有用戶數(shù)量主要用戶角色12345678表1-14.業(yè)務(wù)數(shù)據(jù)情況填表人： 日期： 序號數(shù)據(jù)名稱數(shù)據(jù)使用者或管理者及訪問權(quán)限數(shù)據(jù)安全性要求數(shù)據(jù)總量及日增量涉及業(yè)務(wù)應(yīng)用涉及存儲系統(tǒng)及處理

6、設(shè)備保密完整可用123456注：數(shù)據(jù)安全性要求每項填寫高、中、低表1-15.數(shù)據(jù)備份情況填表人： 日期： 序號備份數(shù)據(jù)名介質(zhì)類型備份周期保存期是否異地備份過期處理方法所屬備份系統(tǒng)12345678注：備份數(shù)據(jù)名與1-12對應(yīng)的數(shù)據(jù)名稱一致表1-16.應(yīng)用系統(tǒng)軟件處理流程（多表）填表人： 日期： 應(yīng)用系統(tǒng)軟件處理流程圖（應(yīng)用軟件名稱： ）應(yīng)用系統(tǒng)軟件處理流程圖（應(yīng)用軟件名稱： ）注：重要應(yīng)用系統(tǒng)軟件應(yīng)該描繪處理流程圖，說明主要處理步驟、過程、流向、涉及設(shè)備和用戶。表1-17業(yè)務(wù)數(shù)據(jù)流程（多表）填表人： 日期： 數(shù)據(jù)流程圖（應(yīng)用軟件名稱： ）數(shù)據(jù)流程圖（應(yīng)用軟件名稱： ）注：重要數(shù)據(jù)應(yīng)該描繪數(shù)據(jù)流程

7、圖，從數(shù)據(jù)產(chǎn)生到傳輸經(jīng)過的主要設(shè)備，再到存儲設(shè)備等流程。表1-18.管理文檔情況填表人： 日期： 制度類文檔序號文檔要求相關(guān)文檔名稱備注1機構(gòu)總體安全方針和政策方面的管理制度2部門設(shè)置、崗位設(shè)置及工作職責(zé)定義方面的管理政策3授權(quán)審批、審批流程等方面的管理制度4安全審核和安全檢查方面的管理制度5管理制度、操作規(guī)程修訂、維護方面的管理制度6人員錄用、離崗、考核等方面的管理制度7人員安全教育和培訓(xùn)方面的管理制度8第三方人員訪問制度方面的管理制度9工程實施過程管理方面的管理制度序號文檔要求相關(guān)文檔名稱備注10產(chǎn)品選型、采購方面的管理制度11軟件外包開發(fā)或自我開發(fā)方面的管理制度12測試、驗收方面的管理制

8、度13機房安全管理方面的管理制度14辦公環(huán)境安全管理方面的管理制度15資產(chǎn)、設(shè)備、介質(zhì)安全管理方面的管理制度16信息分類、標(biāo)識、發(fā)布、使用方面的管理制度17配套設(shè)施、軟硬件維護方面的管理制度18網(wǎng)絡(luò)安全管理（網(wǎng)絡(luò)配置、賬號管理等）方面的管理制度19系統(tǒng)安全管理（系統(tǒng)配置、賬號管理等）方面的管理制度20系統(tǒng)監(jiān)控、風(fēng)評評估、漏洞掃描方面的管理制度序號文檔要求相關(guān)文檔名稱備注21病毒防范方面的管理制度22系統(tǒng)變更控制方面的制度23密碼管理方面的管理制度24備份和恢復(fù)方面的管理制度25安全事件報告和處置方面的管理制度26應(yīng)急響應(yīng)方法、應(yīng)急響應(yīng)計劃等方面的文件27其他文檔注：請在相關(guān)文檔名稱欄填寫對應(yīng)的

9、文檔名稱，如果相關(guān)內(nèi)容在多個文檔中涉及，填寫多個文檔名稱。記錄類文檔序號記錄類文檔要求備注1機房出入登記記錄（包括第三方人員）2機房基礎(chǔ)設(shè)施維護記錄3各類會議紀(jì)要或記錄（部門內(nèi)、部門間協(xié)調(diào)會、領(lǐng)導(dǎo)小組）4各類評審和修訂記錄（安全管理制度評審和修訂記錄、體系評審記錄等）5人員考核、審查、培訓(xùn)記錄（人員錄用、人員定期考核）、離崗手續(xù)6各項審批和批準(zhǔn)執(zhí)行記錄（來訪人員進入機房審批、介質(zhì)/設(shè)備外帶審批、系統(tǒng)外聯(lián)審批等）7安全管理制度收發(fā)登記記錄8產(chǎn)品的選型測試結(jié)果記錄9系統(tǒng)驗收測試記錄、報告10介質(zhì)歸檔、查詢等的登記記錄序號記錄類文檔要求備注11主機系統(tǒng)、網(wǎng)絡(luò)、安全設(shè)備等的操作日志和維護記錄12機房日

10、常巡檢記錄13對主機、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件等的監(jiān)控記錄和分析報告14惡意代碼檢測、升級記錄和分析報告15備份過程記錄16變更方案評審記錄和變更過程記錄17安全事件處理過程記錄18應(yīng)急預(yù)案培訓(xùn)、演練、審查記錄19其他記錄文檔證據(jù)類文檔序號證據(jù)類文檔要求備注1資產(chǎn)清單2機構(gòu)安全管理人員崗位名單3外聯(lián)單位聯(lián)系列表4人員保密協(xié)議5關(guān)鍵崗位安全協(xié)議6候選產(chǎn)品名單7信息系統(tǒng)定級報告或定級建設(shè)書8系統(tǒng)備案材料9近期和遠期安全建設(shè)工作計劃、總體建設(shè)規(guī)劃書10詳細設(shè)計方案11系統(tǒng)建設(shè)項目工程實施方案12系統(tǒng)驗收測試方案13系統(tǒng)測試、驗收報告14系統(tǒng)交付清單15變更方案16變更申請書17信息系統(tǒng)定期安全檢查的檢查表

11、和安全檢查報告18主要設(shè)備漏洞掃描報告19系統(tǒng)異常行為審計分析報告序號證據(jù)類文檔要求備注20機房安全設(shè)計和驗收方面的文檔21總體安全策略等配套文件的專家論證文檔22與安全服務(wù)商或外包開發(fā)商簽訂的服務(wù)合同和安全協(xié)議23軟件開發(fā)設(shè)計和用戶指南等相關(guān)文檔（目錄體系框架或交換原形系統(tǒng)）、軟件測試報告表1-19.安全威脅情況填表人： 日期： 序號安全事件調(diào)查調(diào)查結(jié)果1是否發(fā)生過網(wǎng)絡(luò)安全事件沒有 1次/年 2次/年 3次/年 不清楚安全事件說明（時間、影響）：2發(fā)生的網(wǎng)絡(luò)安全事件類型（多選）感染病毒/蠕蟲/特洛伊木馬程式 拒絕服務(wù)攻擊端 口掃描攻擊數(shù)據(jù)竊取 破壞數(shù)據(jù)或網(wǎng)絡(luò) 篡改網(wǎng)頁 垃圾郵件內(nèi)部人員有意破

12、壞 內(nèi)部人員濫用網(wǎng)絡(luò)端口、系統(tǒng)資源被利用發(fā)送和傳播有害信息 網(wǎng)絡(luò)詐騙和盜竊 其他其他說明：3如何發(fā)現(xiàn)網(wǎng)絡(luò)安全事件（多選）網(wǎng)路（系統(tǒng)）管理員工作監(jiān)測發(fā)現(xiàn) 通過事后分析發(fā)現(xiàn)通過安全產(chǎn)品發(fā)現(xiàn) 有關(guān)部門通知或意外發(fā)現(xiàn)他人發(fā)現(xiàn) 其他其他說明：4網(wǎng)絡(luò)安全事件造成損失評估非常嚴(yán)重 嚴(yán)重 一般 比較輕微 輕微 無法評估5可能的攻擊來源內(nèi)部 外部 都有 病毒 其他原因 不清楚攻擊來源說明：6導(dǎo)致發(fā)生網(wǎng)絡(luò)安全事件的可能原因未修補或防范軟件漏洞 網(wǎng)絡(luò)或軟件配置錯誤 口登錄密碼過于簡單或未修改缺少訪問控制 攻擊者使用拒絕服務(wù)攻擊 攻擊者利用軟件默認配置 利用內(nèi)部用戶安全管理漏洞或內(nèi)部人員作案 內(nèi)部網(wǎng)絡(luò)違規(guī)連接互聯(lián)網(wǎng)攻擊者使用欺詐方法 不知原因 其他其他說明7是否發(fā)生過硬件故障有 （注明時間、頻率） 無造成的影響是8是否發(fā)生過軟件故障有 （注明時間、頻率） 無造成的影響是9