6.5 安全安全需求調(diào)研表

1、PAGE40項目編號： 系統(tǒng)安全需求前期調(diào)查表單位基本情況表 填表人： 日期： 單位全稱武漢市建筑垃圾管理辦公室簡稱武漢市渣土辦上級主管部門武漢市環(huán)衛(wèi)局下屬單位單位情況簡介單位所屬類型黨政機關(guān) 國家重要行業(yè)、重要領(lǐng)域或重要企事業(yè)單位 eq oac(,) 一般企事業(yè)單位 其它類型信息系統(tǒng)主要承載的業(yè)務(wù)范圍武漢市建筑垃圾管理平臺，單位地址郵政編碼負責(zé)人姓名電話傳真電子郵件地址聯(lián)系人電話傳真電子郵件地址參與人員名單 填表人： 日期：序號人員名稱所屬部門職務(wù)/職稱負責(zé)范圍聯(lián)系方式1劉超稽查第一大隊副隊長渣土車違規(guī)違法稽查2董童林信息技術(shù)管理科科員系統(tǒng)管理平臺維護3鄧明人事科科員人事管理4黃誠信息指揮中

2、心科長信息指揮中心管理5李雪瑩信息指揮中心調(diào)度員日常調(diào)度6廖春明設(shè)備科科員硬軟件維護7劉曉友設(shè)備科科員軟硬件維護8羅雪婷財務(wù)科科長財會91011物理環(huán)境情況 填表人： 日期：序號物理環(huán)境名稱物理位置涉及信息系統(tǒng)1主機服務(wù)器機房武漢建筑垃圾管理平臺系統(tǒng)2信息指揮終端渣土辦3301武漢建筑垃圾管理平臺指揮端3辦公室各督察辦公室武漢建筑垃圾管理平臺客戶端4567注：物理環(huán)境包括主機房、輔助房、辦公室等等。信息系統(tǒng)基本情況填表人： 日期：序號信息系統(tǒng)名稱安全保護等級業(yè)務(wù)信息安全保護等級系統(tǒng)服務(wù)安全保護等級承載業(yè)務(wù)應(yīng)用1武漢建筑垃圾管理平臺系統(tǒng)三級三級二級建筑垃圾專項管理2城管委OA系統(tǒng)三級三級二級辦公

3、自動化3財務(wù)系統(tǒng)四級四級四級拆屋辦公軟件4物資管理系統(tǒng)二級二級二級材料物資管理軟件56789信息系統(tǒng)承載業(yè)務(wù)（服務(wù)）情況調(diào)查填表人： 日期：序號業(yè)務(wù)（服務(wù)）名稱業(yè)務(wù)描述業(yè)務(wù)處理信息類別用戶數(shù)量用戶分布范圍涉及的應(yīng)用系統(tǒng)軟件是否24小時運行是否可以脫離系統(tǒng)完成重要程度責(zé)任部門1建筑垃圾管理渣土企業(yè)車輛運輸綜合管理數(shù)據(jù)處理5渣土辦各部門建筑垃圾管理平臺是否非常重要信息管理中心2辦公自動化企業(yè)內(nèi)部辦公自動化辦公系統(tǒng)數(shù)據(jù)處理50辦公室電腦城管委OA系統(tǒng)是是重要設(shè)備科3財務(wù)系統(tǒng)企業(yè)收支賬目數(shù)據(jù)處理4財務(wù)科財務(wù)軟件是否非常重要財務(wù)科4物資管理物質(zhì)采購發(fā)放數(shù)據(jù)處理5物料科物料管理系統(tǒng)是是重要物料科567信息

4、系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)（環(huán)境）情況調(diào)查填表人： 日期： 序號網(wǎng)絡(luò)功能區(qū)域名稱主要功能和作用描述IP網(wǎng)段地址服務(wù)器數(shù)量終端數(shù)量與其連接的其它網(wǎng)絡(luò)區(qū)域網(wǎng)絡(luò)區(qū)域之間的邊界設(shè)備（互聯(lián)設(shè)備）重要程度責(zé)任部門備注12345678910注：重要程度填寫非常重要、重要、一般外聯(lián)路線及設(shè)備端口（網(wǎng)絡(luò)邊界）情況調(diào)查填表人： 日期： 序號外聯(lián)線路名稱(邊界名稱)所屬網(wǎng)絡(luò)區(qū)域外聯(lián)對象名稱接入線路種類傳輸速率（帶寬）線路接入設(shè)備承載主要業(yè)務(wù)應(yīng)用備注1234567891011網(wǎng)絡(luò)設(shè)備情況調(diào)查 填表人： 日期： 序號網(wǎng)絡(luò)設(shè)備名稱型號物理位置所屬網(wǎng)絡(luò)區(qū)域IP地址/掩碼/網(wǎng)關(guān)系統(tǒng)軟件版本及補丁端口類型及數(shù)量主要用途是否熱備重要程度備注1

5、234567891011安全設(shè)備情況調(diào)查 填表人： 日期： 序號網(wǎng)絡(luò)安全設(shè)備名稱型號(軟件/硬件)物理位置所屬網(wǎng)絡(luò)區(qū)域IP地址/掩碼/網(wǎng)關(guān)系統(tǒng)軟件及運行平臺端口類型及數(shù)量是否熱備備注1234567891011服務(wù)器設(shè)備情況調(diào)查填表人： 日期： 序號服務(wù)器設(shè)備名稱型號物理位置所屬網(wǎng)絡(luò)區(qū)域IP地址/掩碼/網(wǎng)關(guān)操作系統(tǒng)版本/補丁安裝的數(shù)據(jù)庫系統(tǒng)承載的主要業(yè)務(wù)應(yīng)用安裝的應(yīng)用系統(tǒng)軟件名稱涉及的業(yè)務(wù)數(shù)據(jù)是否熱備重要程度12345678注：1、重要程度填寫非常重要、重要、一般2、包括數(shù)據(jù)存儲設(shè)備終端設(shè)備情況調(diào)查填表人： 日期： 序號終端設(shè)備名稱型號物理位置所屬網(wǎng)絡(luò)區(qū)域設(shè)備數(shù)量IP地址/掩碼/網(wǎng)關(guān)操作系統(tǒng)安裝

6、的應(yīng)用系統(tǒng)軟件名稱涉及的業(yè)務(wù)數(shù)據(jù)主要用途重要程度12345678910注：1、重要程度填寫非常重要、重要、一般2、包括專用終端設(shè)備以及網(wǎng)管終端、安全設(shè)備控制臺等系統(tǒng)軟件情況調(diào)查 填表人： 日期：序號系統(tǒng)軟件名稱版本軟件廠商硬件平臺涉及應(yīng)用系統(tǒng)1武漢建筑垃圾管理平臺定制版智麟信息2辦公自動化OA系統(tǒng)專業(yè)版慧點科技3財務(wù)軟件企業(yè)版金蝶軟件4物料系統(tǒng)企業(yè)版易思軟件5678910注：包括操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等軟件應(yīng)用系統(tǒng)軟件情況調(diào)查填表人： 日期： 序號業(yè)務(wù)（服務(wù)）名稱主要功能描述涉及的業(yè)務(wù)數(shù)據(jù)用戶數(shù)量用戶分布范圍應(yīng)用系統(tǒng)軟件名稱開發(fā)商C/S或B/S模式是否24小時運行重要程度備注1234567891

7、0業(yè)務(wù)數(shù)據(jù)情況調(diào)查填表人： 日期： 序號業(yè)務(wù)數(shù)據(jù)名稱數(shù)據(jù)使用者或管理者及其訪問權(quán)限數(shù)據(jù)總量及日增量涉及業(yè)務(wù)應(yīng)用涉及存儲系統(tǒng)與處理設(shè)備數(shù)據(jù)安全性要求備注保密完整可用12345678注：數(shù)據(jù)安全性要求每項填寫高、中、低 如本頁不夠，請續(xù)頁填寫數(shù)據(jù)備份情況調(diào)查填表人： 日期：序號備份數(shù)據(jù)名介質(zhì)類型備份周期保存期是否異地保存過期處理方法所屬備份系統(tǒng)12345678910注：備份數(shù)據(jù)名與1-12對應(yīng)的數(shù)據(jù)名稱一致應(yīng)用系統(tǒng)軟件處理流程調(diào)查（多表）填表人： 日期：應(yīng)用系統(tǒng)軟件處理流程圖（應(yīng)用軟件名稱： ）應(yīng)用系統(tǒng)軟件處理流程圖（應(yīng)用軟件名稱： ）注：重要應(yīng)用系統(tǒng)軟件應(yīng)該描繪處理流程圖，說明主要處理步驟、過程

8、、流向、涉及設(shè)備和用戶如本頁不夠，請續(xù)頁填寫。 業(yè)務(wù)數(shù)據(jù)流程調(diào)查填表人： 日期： 數(shù)據(jù)流程圖（數(shù)據(jù)名稱： ）數(shù)據(jù)流程圖（數(shù)據(jù)名稱： ）注：重要數(shù)據(jù)應(yīng)該描繪數(shù)據(jù)流程圖，從數(shù)據(jù)產(chǎn)生到傳輸經(jīng)過的主要設(shè)備，再到存儲設(shè)備等流程。如本頁不夠，請續(xù)頁填寫。管理文檔情況調(diào)查 填表人： 日期：制度類文檔序號文檔要求相關(guān)文檔名稱備注1機構(gòu)總體安全方針和政策方面的管理制度關(guān)于做好城市建筑垃圾管理方針2部門設(shè)置、崗位設(shè)置及工作職責(zé)定義方面的管理制度關(guān)于各部門工作及績效考核方案3授權(quán)審批、審批流程等方面的管理制度關(guān)于渣土企業(yè)審核審批備案方案4安全審核和安全檢查方面的管理制度關(guān)于渣土企業(yè)年檢管理辦法5管理制度、操作規(guī)程修

9、訂、維護方面的管理制度關(guān)于各部門管理制度方案6人員錄用、離崗、考核等方面的管理制度人員聘用離崗培訓(xùn)管理考核和獎懲制度7人員安全教育和培訓(xùn)方面的管理制度安全教育培訓(xùn)管理制度8第三方人員訪問控制方面的管理制度關(guān)于違規(guī)操作處理處罰條例9工程實施過程管理方面的管理制度無10產(chǎn)品選型、采購方面的管理制度物料采購流程及報備方案11軟件外包開發(fā)或自我開發(fā)方面的管理制度無12測試、驗收方面的管理制度無13機房安全管理方面的管理制度設(shè)備定期檢修更換報備方案14辦公環(huán)境安全管理方面的管理制度無15資產(chǎn)、設(shè)備、介質(zhì)安全管理方面的管理制度物料出入庫管理條例16信息分類、標(biāo)識、發(fā)布、使用方面的管理制度關(guān)于公共信息管理發(fā)

10、布管理方案17配套設(shè)施、軟硬件維護方面的管理制度系統(tǒng)第三方維護條例18網(wǎng)絡(luò)安全管理（網(wǎng)絡(luò)配置、帳號管理等）方面的管理制度系統(tǒng)第三方維護條例19系統(tǒng)安全管理（系統(tǒng)配置、帳號管理等）方面的管理制度部門職責(zé)權(quán)限管理制度20系統(tǒng)監(jiān)控、風(fēng)險評估、漏洞掃描方面的管理制度系統(tǒng)第三方維護條例21病毒防范方面的管理制度系統(tǒng)第三方維護條例22系統(tǒng)變更控制方面的管理制度系統(tǒng)第三方維護條例23密碼管理方面的管理制度部門職責(zé)權(quán)限管理制度24備份和恢復(fù)方面的管理制度關(guān)于做好數(shù)據(jù)備份處理方案25安全事件報告和處置方面的管理制度關(guān)于重大事件應(yīng)急處理方案26應(yīng)急響應(yīng)方法、應(yīng)急響應(yīng)計劃等方面的文件關(guān)于重大事件應(yīng)急處理方案27其他

11、文檔注：請在相關(guān)文檔名稱欄填寫對應(yīng)的文檔名稱，如果相關(guān)內(nèi)容在多個文檔中涉及，填寫多個文檔名稱。證據(jù)類文檔序號證據(jù)類文檔要求備注1資產(chǎn)清單2結(jié)構(gòu)安全管理人員3外聯(lián)單位聯(lián)系列表4人員保密協(xié)議5關(guān)鍵崗位安全協(xié)議6候選產(chǎn)品名單7信息系統(tǒng)定級報告或定級建議書8系統(tǒng)備案材料9近期和遠期安全建設(shè)工作計劃、總體建設(shè)規(guī)劃書10詳細設(shè)計方案11系統(tǒng)建設(shè)項目工程實施方案12系統(tǒng)驗收測試方案13系統(tǒng)建設(shè)項目系統(tǒng)測試、驗收報告14系統(tǒng)交付清單15變更方案16變更申請書17信息系統(tǒng)定期安全檢查的檢查表和安全檢查報告18主要設(shè)備漏洞掃描報告19系統(tǒng)異常行為審計分析報告20機房安全設(shè)計和驗收方面的文檔21總體安全策略等配套文

12、件的專家論證文檔22與安全服務(wù)商或外包開發(fā)商簽訂的服務(wù)合同和安全協(xié)議23軟件開發(fā)商設(shè)計和用戶指南等相關(guān)文檔（目錄體系框架或交換原形系統(tǒng)）、軟件測試報告安全威脅情況調(diào)查 填表人： 日期：序號安全事件調(diào)查調(diào)查結(jié)果1是否發(fā)生過網(wǎng)路安全事件沒有 eq oac(,)1次/年 2次/年 3次以上/年 不清楚安全事件說明： （時間、影響）2發(fā)生的網(wǎng)路安全事件類型（多選） eq oac(,)感染病毒/蠕蟲/特洛伊木馬 拒絕服務(wù)攻擊 端口掃面攻擊數(shù)據(jù)竊取 破壞數(shù)據(jù)或網(wǎng)絡(luò) 篡改網(wǎng)頁內(nèi)部人員有意破壞 內(nèi)部人員濫用網(wǎng)絡(luò)端口、系統(tǒng)資源被利用發(fā)送和傳播有害信息 網(wǎng)絡(luò)詐騙和盜竊 其他其他說明：3如何發(fā)現(xiàn)網(wǎng)絡(luò)安全事件（多選）

13、 eq oac(,)網(wǎng)絡(luò)（系統(tǒng)）管理員工作監(jiān)測發(fā)現(xiàn) eq oac(,)通過事件后分析發(fā)現(xiàn)通過安全產(chǎn)品發(fā)現(xiàn) 有關(guān)部門通知或意外發(fā)現(xiàn)他人告知 其他其他說明：4網(wǎng)絡(luò)安全事件造成損失評估非常嚴(yán)重 嚴(yán)重 一般 比較輕 oac(,)輕微 無法評估5可能的攻擊來源內(nèi)部 外部 eq oac(,)都有 病毒 其他原因 不清楚攻擊來源說明：6導(dǎo)致發(fā)生網(wǎng)路事件的可能原因 eq oac(,) 未修補或防范軟件漏洞 網(wǎng)絡(luò)或軟件配置錯誤 登錄密碼過于簡單或未修改 eq oac(,) 缺少訪問控制 攻擊者使用拒絕服務(wù)攻擊攻擊者利用軟件默認設(shè)置 利用內(nèi)部用戶安全管理漏洞或內(nèi)部人員作案 eq oac(,) 內(nèi)部網(wǎng)絡(luò)違規(guī)連接互聯(lián)

14、網(wǎng) 攻擊者使用欺詐方法不知原因 其他其它說明：7是否發(fā)生過硬件故障 eq oac(,)有 1次/年 （注明時間、頻率） 無造成的影響是：硬件故障導(dǎo)致系統(tǒng)無法正常工作8是否發(fā)生過軟件故障 eq oac(,)有 1次/年 （注明時間、頻率） 無造成的影響是：無法正常登錄系統(tǒng)后臺造成系統(tǒng)局部癱瘓9是否發(fā)生過維護失誤有 （注明時間、頻率） eq oac(,)無造成的影響是10是否發(fā)生過因用戶操作失誤引起的安全事件有 （注明時間、頻率） eq oac(,)無造成的影響是11是否發(fā)生過物理設(shè)施/設(shè)備被物理破壞有 （注明時間、頻率） eq oac(,)無造成的影響是12有無遭受自然性破壞（如雷擊等）有 （注

15、明時間、頻率） eq oac(,)無有請注明時間、事件后果13有無發(fā)生過莫名其妙的故障有 （注明時間、頻率） eq oac(,)無有請注明時間、事件后果管理措施調(diào)研表大類明細調(diào)研情況人員管理情況重要崗位信息安全與保密責(zé)任制度（）已建立 （）未建立重要崗位人安全保密協(xié)議（）全部簽訂 （）部分簽訂 （）沒有簽訂人員離崗離職信息安全管理規(guī)定（）已制定 （）未制定資產(chǎn)管理情況資產(chǎn)管理制度（）已建立 （）未建立計算機及相關(guān)設(shè)備維修維護管理規(guī)定（）已制定 （）未制定存儲設(shè)備報廢銷毀管理規(guī)定（）已制定 （）未制定應(yīng)急管理信息安全應(yīng)急預(yù)案（）已制定 （）未制定信息安全應(yīng)急演練（）已開展 （）未開展應(yīng)急技術(shù)支援隊伍（）部門所屬單位 （）外部專業(yè)機構(gòu) （）無信息安全災(zāi)難備份重要數(shù)據(jù)備份情況（）備份 （）未備份重要信息系統(tǒng)備份情況（）備份 （）未備份網(wǎng)站備份情況（）備份 （）未備份培訓(xùn)培訓(xùn)人數(shù)-占本部門總?cè)藬?shù)比例（）10% （）5% （）2% （）2%以下開展系統(tǒng)安全教育培訓(xùn)次數(shù)（1）次/年專業(yè)培訓(xùn)（30）人次安全防護手段調(diào)研表大類調(diào)研內(nèi)容網(wǎng)絡(luò)邊界安全防護聯(lián)網(wǎng)接入口數(shù)量 個互聯(lián)網(wǎng)接入口安全防護設(shè)備部署情況防火墻 入侵檢測識別 安全審計設(shè)備 防病毒網(wǎng)關(guān) 其他互聯(lián)網(wǎng)訪問日志 留存 未留存安全防護設(shè)備策略使用