信息系统基本情况调查表(模板).doc

1、XXXXXX信息系统基本情况调查表 编号：DCB2014-XXXX 编号：DCB2014-XXXXXX信息系统基本情况调查表四川省软件和信息系统工程测评中心2016年 月 日说 明1、请提供信息系统的最新网络结构图（拓扑图）。A、应该标识出网络设备、服务器设备和主要终端设备及其名称。B、应该标识出服务器设备的IP地址。C、应该标识网络区域划分等情况。D、应该标识网络与外部的连接等情况。E、应该能够对照网络结构图说明所有业务流程和系统组成。（如果一张图无法表示，可以将核心部分和接入部分分别画出，或以多张图表示。）2、请根据信息系统的网络结构图填写各类调查表。XXXXXX信息系统工程网络结构图（拓

2、扑图）：调查表清单表1-1 单位基本情况表1-2 参与人员名单表1-3 物理环境情况表1-4 信息系统基本情况表1-5 承载业务（服务）情况调查表1-6 信息系统网络结构（环境）情况调查表1-7 外联线路及设备端口（网络边界）情况调查表1-8 网络设备情况调查表1-9 安全设备情况调查表1-10 服务器设备情况调查表1-11 终端设备情况调查表1-12 系统软件情况调查表1-13 应用系统软件情况调查表1-14 业务数据情况调查表1-15 数据备份情况调查表1-16 应用系统软件处理流程调查表1-17 业务数据流程调查表1-18 管理文档情况调查表1-19 安全威胁情况调查表1-1 单位基本情

3、况 填表人： 日期： 单位全称简称单位情况简介单位所属类型行政机关 国家重要行业、重要领域或重要企事业单位 一般企事业单位 其它类型单位地址邮政编码负责人姓名电话传真电子邮件地址联系人电话传真电子邮件地址上级主管部门注：情况简介一栏，请填写与被测评系统有关的机构内容。表1-2 参与人员名单 填表人： 日期： 序号人员姓名所属部门职务/职称负责范围联系方法123456789表1-3 物理环境情况填表人： 日期： 序号物理环境名称物理位置涉及信息系统123456789注：物理环境包括主机房、辅机房、办公环境等。表1-4 信息系统基本情况填表人： 日期： 序号信息系统名称安全保护等级业务信息安全保护

4、等级系统服务安全保护等级承载业务应用123456789表1-5 信息系统承载业务（服务）情况填表人： 日期： 序号业务（服务）名称业务描述业务处理信息类别用户数量用户分布范围涉及的应用系统软件是否24小时运行是否可以 脱离系统完成重要程度责任部门1234567注：1、用户分布范围栏填写：全国、全省、本地区、本单位。 2、业务信息类别一栏填写：a)国家秘密信息 b)非密敏感信息（机构或公民的专有信息） c)可公开信息。 3、重要程度栏填写：非常重要、重要、一般。表1-6 信息系统网络结构（环境）情况填表人： 日期： 序号网络区域名称主要业务和信息描述IP网段地址服务器数量终端数量与其连接的其它网

5、络区域网络区域边界设备重要程度责任部门备注1234567注：重要程度填写：非常重要、重要、一般。表1-7 外联线路及设备端口（网络边界）情况填表人： 日期： 序号外联线路名称（边界名称）所属网络区域连接对象名称接入线路种类传输速率（宽带）线路接入设备承载主要业务应用备注12345678910表1-8 网络设备情况填表人： 日期： 序号网络设备名称型号物理位置所属网络区域IP地址/网关系统软件及版本端口类型及数量主要用途是否热备重要程度备注12345678910注：重要程度填写：非常重要、重要、一般。表1-9 安全设备情况填表人： 日期： 序号网络安全设备名称型号（软件/硬件）物理位置所属网络区

6、域IP地址/网关系统及运行平台端口类型及数量是否热备备注123456789表1-10 服务器设备情况填表人： 日期： 序号服务器设备名称型号物理位置所属网络区域IP地址/子网掩码/网关操作系统版本/补丁安装应用系统软件名称主要业务应用涉及数据是否热备重要程度12345678910注：1、重要程度填写：非常重要、重要、一般。 2、包括数据存储设备。表1-11 终端设备情况填表人： 日期： 序号终端设备名称型号物理位置所属网络区域设备数量IP地址 /子网掩码/网关操作系统安装应用系统软件名称涉及数据主要用途重要程度123456789注：1、重要程度填写：非常重要、重要、一般。2、包括专用终端设备以

7、及网管终端、安全设备控制台等。表1-12 系统软件情况填表人： 日期： 序号系统软件名称版本软件厂商硬件平台涉及应用系统12345678910注：包括操作系统、数据库系统等软件。表1-13 应用系统软件情况填表人： 日期： 序号应用系统软件名称开发商硬件/软件平台C/S或B/S模式涉及数据现有用户数量主要用户角色1234567891011表1-14 业务数据情况填表人： 日期： 序号数据名称数据使用者或管理者及其访问权限数据安全性要求数据总量及日增量涉及业务应用涉及存储系统与处理设备保密完整可用123456789注：1、数据安全性要求每项填写：高、中、低。 2、如果本页不够，请续页填写。表1-

8、15 数据备份情况填表人： 日期： 序号备份数据名介质类型备份周期保存期是否异地保存过期处理方法所属备份系统1234567891011注：“备份数据名”与表1-12对应的“数据名称”一致。表1-16 应用系统软件处理流程（多表）填表人： 日期： 应用系统软件处理流程图（应用系统名称）应用系统软件处理流程图（应用系统名称）注：1、重要应用系统软件应该描述处理流程图，说明主要处理步骤、过程、流向、涉及设备和用户。2、如本页不够，请续页填写。表1-17 业务数据流程（多表）填表人： 日期：数据流程图（应用系统名称）数据流程图（应用系统名称）注：1、重要数据应该描绘数据流程图，从数据产生到传输经过的主

9、要设备，再到存储设备等流程。2、如本页不够，请续页填写。表1-18 管理文档情况填表人： 日期： A、制度类文档序号文档要求相关文档名称备注1机构总体安全方针和政策方面的管理制度2部门设置、岗位设置及工作职责定义方面的管理制度3授权审批、审批流程等方面的管理制度4安全审批和安全检查方面的管理制度5管理制度、操作规程修订、维护方面的管理制度6人员录用、离岗、考核等方面的管理制度7人员安全教育和培训方面的管理制度8第三方人员访问控制方面的管理制度9工程实施过程管理方面的管理制度10产品选型、采购方面的管理制度11软件外包开发或自我开发方面的管理制度12测试、验收方面的管理制度13机房安全管理方面的

10、管理制度14办公环境安全管理方面的管理制度15资产、设备、介质安全管理方面的管理制度16信息分类、标识、发布、使用方面的管理制度17配置设施、软硬件维护方面的管理制度18网络安全管理（网络配置、帐号管理等）方面的管理制度19系统安全管理（系统配置、帐号管理等）方面的管理制度20系统监控、风险评估、漏洞扫描方面的管理制度21病毒防范方面的管理制度22系统变更控制方面的管理制度23密码管理方面的管理制度24备份和恢复方面的管理制度25安全事件报告和处置方面的管理制度26应急响应方法、应急响应计划等方面的文件27其他文档注：请在相关文档名称栏填写对应的文档名称，如果相关内容在多个文档中涉及，则填写多

11、个文档名称。B、记录文档序号记录类文档要求备注1机房出入登记记录（包括第三方人员）2机房基础设施维护记录3各类会议纪要或记录（部门内、部门间协调会、领导小组）4各类评审和修订记录（安全管理制度评审和修订记录、体系评审记录等）5人员考核、审查、培训记录（人员录用、人员定期考核）、离岗手续6各项审批和批准执行记录（来访人员进入机房审批、介质/设备外带审批、系统外联审批等）7安全管理制度收发登记记录8产品的选型测试结果记录9系统验收测试记录、报告10介质归档、查询等的登记记录11主机系统、网络、安全设备等的操作日志和维护记录12机房日常巡检记录13对主机、网络设备和应用软件等的监控记录和分析报告14

12、恶意代码检测、升级记录和分析报告15备份过程记录16变更方案评审记录和变更过程记录17安全事件处理过程记录18应急预案培训、演练、审查记录19其他记录文档C、证据类文档序号证据类文档要求备注1资产清单2机构安全管理人员岗位名单3外联单位联系列表4人员保密协议5关键岗位安全协议6候选产品名单7信息系统定级报告或定级建议书8系统备案材料9近期和远期安全建设工作计划、总体建设规划书10详细设计方案11系统建设项目工程实施方案12系统验收测试方案13系统建设项目系统测试、验收报告14系统交付清单15变更方案16变更申请书17信息系统定期安全检查的检查表和安全检查报告18主要设备漏洞扫描报告19系统异常

13、行为审计分析报告20机房安全设计和验收方面的文档21总体安全策略等配套文件的专家论证文档22与安全服务商或外包开发商签订的服务合同和安全协议23软件开发设计和用户指南等相关文档（目录体系框架或交换原型系统）、软件测试报告表1-19 安全威胁情况填表人： 日期： 序号安全事件调查调查结果1是否发生过网络安全事件没有 1次/年 2次/年 3次以上/年 不清安全事件说明：（时间、影响）2发生的网络安全事件类型（多选）感染病毒/蠕虫/特殊木马程序 拒绝服务攻击 端口扫描攻击数据窃取 破坏数据或网络 篡改网页 垃圾邮件内部人员有意破坏 内部人员滥用网络端、系统资源被利用发送和传播有害信息 网络诈骗和盗窃

14、 其他其他说明：3如何发现网络安全事件（多选）网络（系统）管理员工作监测发现 通过事后分析发现通过安全产品发现 有关部门通知或意外发现他人告知 其他其他说明： 4网络安全事件造成的损失评估非常严重 严重 一般 比较轻微 轻微 无法评估5可能的攻击来源内部 外部 都有 病毒 其他原因 不清楚攻击来源说明：6导致发生网络安全事件的可能原因未修补或防范软件漏洞 网络或软件配置错误 登录密码过于简单或未修改 缺少访问控制 攻击者使用拒绝服务攻击攻击者利用软件默认设置 利用内部用户安全管理漏洞或内部人员作案 内部网络违规连接互联网 攻击者使用欺诈方法不知原因 其他其他说明： 7是否发生过硬件故障 有 （

15、注明时间、频率） 无造成的影响是：8是否发生过软件故障 有 （注明时间、频率） 无造成的影响是：9是否发生过维护失误 有 （注明时间、频率） 无造成的影响是：10是否发生过因用户操作失误引起的安全事件 有 （注明时间、频率） 无造成的影响是：11是否发生过物理设施/设备被物理破坏 有 （注明时间、频率） 无造成的影响是：12有无遭受自然性破坏（如雷击等） 有 （注明时间、频率） 无有请注明时间、事件后果：13有无发生过莫名其妙的故障 有 （注明时间、频率） 无有请注明时间、事件后果：其中专业理论知识内容包括：保安理论知识、消防业务知识、职业道德、法律常识、保安礼仪、救护知识。作技能训练内容包括

16、：岗位操作指引、勤务技能、消防技能、军事技能。二培训的及要求培训目的安全生产目标责任书为了进一步落实安全生产责任制，做到“责、权、利”相结合，根据我公司2015年度安全生产目标的内容，现与财务部签订如下安全生产目标：一、目标值：1、全年人身死亡事故为零，重伤事故为零，轻伤人数为零。2、现金安全保管，不发生盗窃事故。3、每月足额提取安全生产费用，保障安全生产投入资金的到位。4、安全培训合格率为100%。二、本单位安全工作上必须做到以下内容： 1、对本单位的安全生产负直接领导责任，必须模范遵守公司的各项安全管理制度，不发布与公司安全管理制度相抵触的指令，严格履行本人的安全职责，确保安全责任制在本单

17、位全面落实，并全力支持安全工作。 2、保证公司各项安全管理制度和管理办法在本单位内全面实施，并自觉接受公司安全部门的监督和管理。 3、在确保安全的前提下组织生产，始终把安全工作放在首位，当“安全与交货期、质量”发生矛盾时，坚持安全第一的原则。 4、参加生产碰头会时，首先汇报本单位的安全生产情况和安全问题落实情况；在安排本单位生产任务时，必须安排安全工作内容，并写入记录。 5、在公司及政府的安全检查中杜绝各类违章现象。 6、组织本部门积极参加安全检查，做到有检查、有整改，记录全。 7、以身作则，不违章指挥、不违章操作。对发现的各类违章现象负有查禁的责任，同时要予以查处。 8、虚心接受员工提出的问题，杜绝不接受或盲目指挥；9、发生事故，应立即报告主管领导，按照“四不放过”的原则召开事故分析会，提出整改措施和对责任者的处理意见，并填写事故登记表，严禁隐瞒不报或降低对责任者的处罚标准。 10、必须按规定对单位员工进行培训和新员工上岗教育；11、严格执行公司安全生产十六项禁令，保证本单位所有人员不违章作业。 三、 安全奖惩： 1、对于全年实现安全目标的按照公司生产现场管理规定和工作说明书进行考核奖励；对于未实现安全目标的按照公司规定进行处罚。 2、每月接受主管领导指派人员对安全生产责任状的落 共 31 页 第 31 页