系统基本情况调研表模板.doc

表1-1 单位基本情况表 填表人：XXXX 日期：XXXXX单位全称XXXX股份有限责任公司简称XXXXX单位情况简介 XXXX有限责任公司是江苏省第一家XXXX公司，全国首批规范类XXXX公司。2007年7月，获得XXXX类XXXX公司资格。公司控股XXXXX有限责任公司，奠定了XXXX业务平台；发起设立XXXX公司。XXXX业务范围涵盖XXXXXXXXXX等多个领域；设有20多个职能管理和业务部门，在全国设有XXXXX家分支机构，可为XXXXXXXXX.单位所属类型 党政 机关 国家重要行业、重要领域或重要企事业单位 一般企事业单位 其它类型单位地址XXXXXXXXXXXXXXX邮政编码XXXXXXXXX负责人姓名XXXX电话XXXXXXXXXXXXXXXX传真XXXXXXXXXXXXXXX电子邮件地址XXXXXXXXXXXXXX联系人XXXX电话XXXXXXXXXXXXXX传真XXXXXXXXXXXXX电子邮件地址XXXXXXXXXXXXXX上级主管部门XXXXXXXXXXXXX注：情况简介一栏，请写与被测评系统有关的机构的内容。表1-2 参与人员名单 填表人： XXXXX 日期：XXXXX序号人员姓名所属部门职务/职称负责范围联系方法1江XXX电脑中心技术总监公司信息技术管理，系统安全负责人XXXX2孙XXX电脑中心副总经理负责配合总经理管理电脑中心各项工作XXXXX3案XXXX电脑中心系统网络负责人XXXX4丁XXXX电脑中心系统安全员XXXX5XXXX电脑中心系统安全审核员6成XX电脑中心XXXX系统负责人7XX电脑中心XXXX系统负责人8XXX电脑中心管理制度负责人9XXX电脑中心等保申报工作联络人10XXX电脑中心机房物理与环境负责人11XXX电脑中心资产管理，资料管理负责人表1-3 物理环境情况 填表人：XXXXX 日期：XXXXX序号物理环境名称物理位置涉及信息系统1XXXXX中心机房XX市XXXXX 8号X楼XXXX系统2XXXX灾备机房XX市XXXX大街XX号X楼XXXX系统3银川XXXXX机房XX市XX街XX号XXXX系统45678注：物理环境包括主机房、辅机房、办公环境等。表1-4 信息系统基本情况 填表人： XXXX 日期：XXXX序号信息系统名称安全保护等级业务信息安全保护等级系统服务安全保护等级承载业务应用1XXXX系统第三级第三级第三级XXXXX、账户查询等服务表1-5 信息系统运维管理责任情况 填表人： 日期：信息系统名称：XXXXXX系统建设部门： 电脑中心使用部门：营销管理总部、运维管理总部运维部门：电脑中心 人员信息人员角色姓名所在部门联系电话系统建设责任人 江XXX电脑中心XXXXXX系统运维责任人成XXX电脑中心XXXXXXX物理安全责任人韩XXX电脑中心XX资产管理员姚XXX电脑中心操作系统管理员何XXX电脑中心应用系统管理员XXX电脑中心数据库管理员XXX电脑中心网络管理员XX电脑中心安全主管江XX电脑中心安全管理员XX电脑中心安全审计员XXXX电脑中心备注：填表说明：1、各种角色的管理员如有多名，填写一名熟悉整体情况，现场测评时可以配合访谈等工作的人员即可。表1-6 信息系统承载业务（服务）情况 填表人： 日期：序号业务（服务）名称业务描述业务处理信息类别用户数量用户分布范围涉及的应用系统软件是否24小时运行是否可以离系统完成重要程度责任部门1XXXXXXXXX,账户查询等服务非敏感信息（机构或公民的专有信息）全国XXXXA.Boss 2.0XXXX系统是不能非常重要电脑中心23456注：1、用户分布范围一栏写：全国、全省、本地区、本单位2、业务信息类别一栏写：a)国家秘密信息 b)非密敏感信息（机构或公民的专有信息） c)可公开信息3、业务重要程度一栏写: 非常重要、重要、一般表1-7 信息系统网络（环境）情况 填表人： 日期：序号网络区域名称主要业务和信息描述IP网段地址服务器数量终端数量与其连接的其它网络区域网络区域边界设备重要程度责任部门备注1核心内网XXXXX中间件网段10.X.5.xxx10.X.6.xxx504无无非常重要电脑中心2广域网XXXXX汇聚区10.X.255.xxx17无无路由器、防火墙重要电脑中心3外联网XXX与XXX网段172.X.1.xxx10.X.1.xxx218.X.85.xxx222.X.28.xxx10.X.48.xxx23无路由器重要电脑中心456注：重要程度一栏写: 非常重要、重要、一般表1-8 外联线路及设备端口（网路边界）情况 填表人： 日期：序号外联线路名称（边界名称）所属网络区域连接对象名称接入线路种类传输速率（带宽）线路接入设备承载主要业务应用备注1XXX光纤CPOS接入广域网XXXX部光纤155M华为NEXXXXXXX2XXX光纤CPOS接入广域网XXX部光纤155M华为NEXXXXXXX3XXXX光纤CPOS接入外联网XXXX行光纤155MH3C XXXXXX4XXXXX光纤CPOS接入外联网XXXX行光纤155MH3CXXXXXXXX5XXXX2M接入-电信外联网XXX公司SDH2MCiscoXXXXXX6XXXXX2M接入-电信外联网XXX公司SDH2MCisco XXXX7XXXXXX2M接入-电信外联网XXX公司SDH2MCiscoXXXXX8XX2M接入-电信外联网XXX公司SDH2MCisco 12XXXXX9XXXXX卫星外联网XX公司以太接入128KLINKSTARXXX卫星XXX10XXXXX双向卫星外联网XXX公司以太接入128KLINKSTARXXXX卫星XXX11XXXX卫星外联网XXX公司以太接入128KLINKSTARXX卫星XX12XXXX卫星外联网XXX公司以太接入128KLINKSTARXX卫星XX表1-9 网络设备情况 填表人： 日期：序号网络设备名称型号物理位置所属网络区域IP地址/掩码/网关系统软件及版本端口类型及数量主要用途是否热备重要程度备注1XXX主路由器华为NEXXXXX中心广域网10.XXX.XXX.251 /24VRP（R）software，version5.10 （RELEASE1253.05）Cpos光纤口：1；千兆以太口：4；Console：1；AUX：1； XXXX2M SDH线路通讯是非常重要2XXX备路由器华为NEXXXX中心广域网10.XX.XX.XX/24VRP（R）software，version 5.30 （NEXXXXX）Cpos光纤口：1；千兆以太口：4；Console：1；AUX：1；与XXX2M SDH线路通讯是重要3XXX主路由器H3C XXXXXX中心外联网172.XXXX.XX/24Comware software，Version5.20 Release 1206，BasicCpos光纤口：1；千兆以太口：2；Console：1；AUX：1；与XXXX2M SDH线路通讯是非常重要45678注：重要程度一栏写: 非常重要、重要、一般表1-10 安全设备情况 填表人： 日期：序号网络安全设备名称型号（软件/硬件）物理位置所属网络区域IP地址/掩码/网关系统及运行平台端口类型及数量是否热备重要程度备注1XXXX防火墙R70（软件）XXX中心广域网XXXX.19.XX/24Redhat Linux+checkpoint R704个千兆以太口否重要2XXX隔离防火墙-AR70（软件）XXX中心DMZ区XX.2XX.XX.246/24XX.XXXX.19.246/24XX.XX.XX246/24Redhat Linux+checkpoint R704个千兆以太口是一般3456表1-11 服务器设备情况 填表人： 日期：序号服务器设备名称型号物理位置所属网络区域IP地址/掩码/网关操作系统版本/补丁安装的数据库系统承载的主要业务应用安装的应用系统软件名称涉及的业务数据是否热备重要程度1600XXXX1A746DS4800XX中心存储网1XX.1XX.1XX.1/06.60.08.00数据存储XX业务否非常重要2P570aIBM P570XX中心核心内网1XX.1XX.1XX.1/5300-05部分06、07Oracle XXX软同步XX业务是非常重要3P570bIBM P570XX中心核心内网11XX.1XX.1XX.1/5300-05部分06、07Oracle XXX无XX业务是非常重要注：1、重要程度一栏写非常重要、重要、一般 2、包括数据存储设备表1-12 管理终端设备情况 填表人： 日期：序号终端设备名称型号物理位置所属网络区域设备数量IP地址/掩码/网关操作系统安装应用系统软件名称涉及数据主要用途重要程度1XXX-jfXXl2HP PCXX中心核心内网1XXX.1XX.5.XX/XX.1XX.XX.45/1XX.XX.6.4XX/2003XX软件、XX管理软件系统运维重要2XX-jfXX1HP PCXX中心核心内网12003XX软件、XX管理软件系统运维重要3XXp-XXHP PCXX中心核心内网12003XX软件、XX管理软件系统运维一般456注：1、重要程度一栏写非常重要、重要、一般 2、包括专用终端设备以及网管终端、安全设备控制台等表1-13 系统软件情况 填表人： 日期：序号系统软件名称版本软件厂商硬件平台涉及应用系统1WINDOWS2003SP2MICROSOFTPCSEVERABOSSXXXXX系统2WINDOWS2000SP4MICROSOFTPCSEVERABOSSXXXX系统3AIX5.3IBMIBM570ABOSSXXXX系统4REDHATES4U62.6.9-67NOVELLPCSERVERABOSSXXXX系统5678注：包括操作系统、数据库系统等软件表1-14 应用系统软件情况 填表人： 日期：序号应用系统软件名称开发商硬件/软件平台C/S或B/C模式涉及数据现有用户数量主要用户角色1ABXXXXX系统XXX股份有限公司IBM570/AIX5.3C/SXXX业务数据XXX万机房运行管理客户管理等23456表1-15 业务数据情况 填表人： 日期：序号数据名称数据使用者或管理者及其访问权限数据安全性要求数据总量及日增量涉及业务应用涉及存储系统及处理设备保密完整可用1XX库XXX人员高高高2.08GABOSXXXX系统IBM DS48002XXX库XXX人员高高高250GAXXXX系统IBM DS48003456注：数据安全性要求每项写高、中、低表1-16 数据备份情况 填表人： 日期：序号备份数据名介质类型备份周期保存期是否异地保存过期处理方法所属备份系统1XX库磁盘每天一天是覆盖2XX库磁盘每天长期是删除3XX库光盘每月长期是不过期XXX库磁盘实时-是-XXX同步系统XXX数据同步系统5历史库磁盘实时-是-XXX同步系统IBM数据同步系统67注：备份数据名与表1-12对应的数据名称一致表1-17 应用系统软件处理流程（多表） 填表人： 日期：重要应用系统软件应该描述处理流程图，说明主要处理步骤、过程、流向、涉及设备和用户。应用系统软件处理流程图（应用软件名称：XXXX系统 ）应用系统软件处理流程图（应用软件名称：）表1-18 业务数据流程（多表） 填表人： 日期：数据流程图（数据名称：XXXX系统 ）注：重要数据应该描述数据流程图，从数据产生到传输经过的主要设备，再到存储设备等流程。表1-19 管理文档情况制度类文档 填表人： 日期：序号文档要求相关文档名称备注1机构总体安全方针和政策方面的管理制度2部门设置、岗位设置及工作职责定义方面的管理制度XXXXXX电脑中心网络与信息安全管理岗位职责3授权审批、审批流程等方面的管理制度XXXXX有限责任公司授权管理办法4安全审核和安全检查方面的管理制度5管理制度、操作规程修订、维护方面的管理制度XXXXX责任公司档案管理暂行办法6人员录用、离岗、考核等方面的管理制度XXXX公司专业技术职称评定与职务聘任实施办法7人员安全教育和培训方面的管理制度XXXX安全培训管理规定8第三方人员访问控制方面的管理制度XXXX电脑中心账号、口令及权限管理规定XXXX访问控制管理规定9工程实施过程管理方面的管理制度XXXX公司证券营业部装修改造工程管理规定10产品选型、采购方面的管理制度11软件外包开发或自我开发方面的管理制度XXXX有限责任公司计算机软件管理办法12测试、验收方面的管理制度13机房安全管理方面的管理制度XXXX有限责任公司计算机系统运行管理办法14办公环境安全管理方面的管理制度XXXX公司宽带接入网管理办法15资产、设备、介质安全管理方面的管理制度XXXXX公司计算机设备管理办法16信息分类、标识、发布、使用方面的管理制度17配套设施、软硬件维护方面的管理制度18网络安全管理（网络配置、账号管理等）方面的管理制度XXXX电脑中心网络安全管理规定19系统安全管理（网络配置、账号管理等）方面的管理制度XXXX公司计算机安全管理办法XXX电脑中心账号、口令及权限管理规定20系统监控、风险评估、漏洞扫描方面的管理制度21病毒防范方面的管理制度XXXX有限责任公司计算机病毒防范办法22系统变更控制方面的管理制度23密码管理方面的管理制度XXXX有系统特殊用户管理办法限责任公司24备份和恢复方面的管理制度XXXX公司数据备份操作与查询管理办法25安全事件报告和处置方面的管理制度XXXX公司网络与信息安全事件应急预案26应急响应方法、应急响应计划等方面的文件XXXX公司计算机系统应急管理办法27其他文档注：请在相关文档名称一栏写对应的文档名称，如果相关内容在多个文档中涉及，写多个文档的名称。记录类文档序号记录文档要求备注1机房出入登记记录（包括第三方人员）有2机房基础设施维护记录有3各类会议纪要或记录（部门核心内网、部门间协调会、领导小组）有4各类评审和修订记录（安全管理制度评审和修订记录、体系评审记录等）无5人员考核、审查、培训记录（人员录用、人员定期考核）、离岗手续有6各项审批和批准执行记录（来访人员进入机房审批、介质/设备外带审批、系统外联审批等）无7安全管理制度的收发登记记录无8产品的选型测试结果记录有9系统验收测试记录、报告有10介质归档、查询等的登记记录有归档记录11主机系统、网络、安全设备等的操作日志和维护记录有12机房日常巡检记录有13对主机、网络设备和应用软件等的监控记录和分析报告有14恶意代码检测、升级记录和分析报告无15备份过程记录无16变更方案评审记录和变更过程记录有17安全事件处理过程记录无18应急预案培训、演练、审查记录有演练记录19其他记录文档无证据类文档序号证据类文档要求备注1资产清单有2机构安全管理人员岗位名单有3外联单位联系列表有4人员保密协议有5关键岗位安全协议有6候选产品名单无7信息系统定级报告或定级建议书有8系统备案材料无9近期和远期安全建设工作计划、总体建设规划书无10详细设计方案无11系统建设项目工程实施方案无12系统验收测试方案无13系统测试验收报告有14系统交付清单有15变更方案有16变更申请书有17信息系统定期安全检查的检查表和安全检查报告无18主要设备漏洞扫描报告有19系统异常行为审计分析报告无20机房安全设计和验收方面的文档有xxx验收报告21总体安全策略等配套文件的专家论证文档无22与安全服务商或外包开发商签订的服务合同和安全协议有23软件开发设计和用户指南等相关文档（目录体系框架或交换原型系统）、软件测试报告有表1-