安全等级保护-信息系统基本情况调查表.doc

XXXXXXXX 信息系统信息系统 基本情况调查表基本情况调查表 XXXXXXXXXXXXXX 有限责任公司有限责任公司 20112011 年年 8 8 月月 说 明 1 1 请提供信息系统的最新网络结构图 拓扑图 请提供信息系统的最新网络结构图 拓扑图 网络结构图要求 应该标识出网络设备 服务器设备和主要终端设备及其名称 应该标识出服务器设备的 IP 地址 应该标识网络区域划分等情况 应该标识网络与外部的连接等情况 应该能够对照网络结构图说明所有业务流程和系统组成 如果一张图无法表示 可以将核心部分和接入部分分别画出 或以多张 图表示 2 请根据信息系统的网络结构图填写各类调查表格 请根据信息系统的网络结构图填写各类调查表格 调查表清单调查表清单 表表 1 1 1 1 单位基本情况调查单位基本情况调查 4 表表 1 2 1 2 参与人员名单参与人员名单 5 表表 1 3 1 3 物理环境情况物理环境情况 6 表表 1 4 1 4 信息系统基本情况信息系统基本情况 7 表表 1 5 1 5 信息系统承载业务 服务 情况信息系统承载业务 服务 情况 8 表表 1 6 1 6 网络结构 环境 情况调查网络结构 环境 情况调查 9 表表 1 7 1 7 外联 网络边界 情况调查外联 网络边界 情况调查 10 表表 1 8 1 8 网络设备情况调查网络设备情况调查 11 表表 1 9 1 9 安全设备情况调查安全设备情况调查 12 表表 1 10 1 10 服务器设备情况调查服务器设备情况调查 13 表表 1 11 1 11 终端设备情况调查终端设备情况调查 14 表表 1 12 1 12 系统软件情况系统软件情况 15 表表 1 13 1 13 应用系统情况调查应用系统情况调查 16 表表 1 14 1 14 业务数据情况调查业务数据情况调查 17 表表 1 15 1 15 数据备份情况数据备份情况 18 表表 1 16 1 16 应用系统软件处理流程 多表 应用系统软件处理流程 多表 19 表表 1 17 1 17 业务数据流程 多表 业务数据流程 多表 20 表表 1 18 1 18 管理文档情况调查管理文档情况调查 21 表表 1 19 1 19 安全威胁情况表安全威胁情况表 28 表表 1 1 1 1 单位基本情况单位基本情况 填表人 日期 单位全称简称 单位情况简介 单位所属类型 政府机关 国家重要行业 重要领域或重要企事业单位 一般企事业单位 其它类型 单位地址 邮政编码 负责人姓名电话传真电子邮件地址 联系人电话传真电子邮件地址 上级主管部门 注 情况简介栏 请填写与被测评系统有关的机构内容 表表 1 2 1 2 参与人员名单参与人员名单 填表人 日期 序号序号人员姓名人员姓名所属部门所属部门职务职务 职称职称负责范围负责范围联系方法联系方法 1 2 3 4 5 6 7 8 9 10 11 表表 1 3 1 3 物理环境情况物理环境情况 填表人 日期 序号序号物理环境名称物理环境名称物理位置物理位置涉及信息系统涉及信息系统 1 2 3 4 5 6 7 8 9 10 注 物理环境包括主机房 辅机房 办公环境等 表表 1 4 1 4 信息系统基本情况信息系统基本情况 填表人 日期 序号序号信息系统名称信息系统名称安全保护等级安全保护等级业务信息安全保护等级业务信息安全保护等级系统服务安全保护等级系统服务安全保护等级承载业务应用承载业务应用 1 2 3 4 5 6 7 8 9 10 11 表表 1 5 1 5 信息系统承载业务 服务 情况信息系统承载业务 服务 情况 填表人 日期 序号序号 业务 服务 业务 服务 名称名称 业务描述业务描述 业务处业务处 理信息理信息 类别类别 用户用户 数量数量 用户分用户分 布范围布范围 涉及的应用涉及的应用 系统软件系统软件 是否是否 24 小时小时 运行运行 是否可是否可 以脱离以脱离 系统完系统完 成成 重要程度重要程度责任部门责任部门 1 2 3 4 5 6 7 8 注 1 用户分布范围栏填写 全国 全省 本地区 本单位 2 业务信息类别一栏填写 a 国家秘密信息 b 非密敏感信息 机构或公民的专有信息 c 可公开信息 3 重要程度栏填写 非常重要 重要 一般 表表 1 6 1 6 信息系统网络结构 环境 情况信息系统网络结构 环境 情况 填表人 日期 序号序号 网络功网络功 能区域能区域 名称名称 主要业务和信主要业务和信 息描述息描述 IP 网段地址网段地址 服务服务 器数器数 量量 终终 端端 数数 量量 与其连接的与其连接的 其它网络区其它网络区 域域 网络区域边网络区域边 界设备界设备 重要程度重要程度责任部门责任部门备注备注 1 2 3 4 5 6 7 8 9 注 重要程度填写 非常重要 重要 一般 表表 1 7 1 7 外联线路及设备商品 网络边界 情况外联线路及设备商品 网络边界 情况 填表人 日期 序号序号 外联线路名称外联线路名称 边界名称边界名称 所属网络区域所属网络区域 连接对象连接对象 名称名称 接入线接入线 路种类路种类 传输速率传输速率 带宽 带宽 线路接入设备线路接入设备承载主要业务应用承载主要业务应用备注备注 1 2 3 4 5 6 7 8 9 10 表表 1 8 1 8 网络设备情况网络设备情况 填表人 日期 序号序号 网络设网络设 备名称备名称 型号型号 物理物理 位置位置 所属网所属网 络区域络区域 IP 地址地址 掩码掩码 网关网关 系统软件及系统软件及 版本版本 端口类端口类 型及数型及数 量量 主要用途主要用途 是否是否 热备热备 重要程度重要程度备注备注 1 2 3 4 5 6 7 8 9 10 注 重要程度填写 非常重要 重要 一般 表表 1 9 1 9 安全设备情况安全设备情况 填表人 日期 序号序号 网络安全设备网络安全设备 名称名称 型号型号 软件软件 硬件硬件 物理物理 位置位置 所属网络所属网络 区域区域 IP 地址地址 掩码掩码 网关网关系统及运行平台系统及运行平台 端口类型端口类型 及数量及数量 是否是否 热备热备 备注备注 1 2 3 4 5 6 7 8 9 10 11 表表 1 10 1 10 服务器设备情况服务器设备情况 填表人 日期 序号序号 服务器服务器 设备名称设备名称 型号型号 物理物理 位置位置 所属所属 网络网络 区域区域 IP 地址地址 掩码掩码 网关网关 操作系统操作系统 版本版本 补丁补丁 安装应用系安装应用系 统软件名称统软件名称 主要业务主要业务 应用应用 涉及涉及 数据数据 是否是否 热备热备 重要程重要程 度度 1 2 3 4 5 6 7 8 注 1 重要程度填写 非常重要 重要 一般 2 包括数据存储设备 表表 1 11 1 11 终端设备情况终端设备情况 填表人 日期 序号序号 终端设备终端设备 名称名称 型号型号 物理物理 位置位置 所属网络所属网络 区域区域 设设 备备 数数 量量 IP 地址地址 掩码掩码 网网 关关 操作系统操作系统 安装的应安装的应 用系统软用系统软 件名称件名称 涉及涉及 数据数据 主要用途主要用途重要程度重要程度 1 2 3 4 5 6 7 8 注 1 重要程度填写 非常重要 重要 一般 2 包括专用终端设备以及网管终端 安全设备控制台等 表表 1 12 1 12 系统软件情况系统软件情况 填表人 日期 序号序号系统软件名称系统软件名称版本版本软件厂商软件厂商硬件平台硬件平台涉及应用系统涉及应用系统 1 2 3 4 5 6 7 8 9 10 11 注 包括操作系统 数据库系统等软件 表表 1 13 1 13 应用系统软件情况应用系统软件情况 填表人 日期 序号序号应用系统软件名称应用系统软件名称开发商开发商硬件硬件 软件平台软件平台 C S 或或 B S 模模 式式 涉及数据涉及数据现有用户数量现有用户数量主要用户角色主要用户角色 1 2 3 4 5 6 7 8 9 10 表表 1 14 1 14 业务数据情况业务数据情况 填表人 日期 数据安全性要求数据安全性要求 序号序号数据名称数据名称 数据使用者或数据使用者或 管理者及其访管理者及其访 问权限问权限保密保密完整完整可用可用 数据总量及日数据总量及日 增量增量 涉及业务应涉及业务应 用用 涉及存储系统与处理涉及存储系统与处理 设备设备 1 2 3 4 5 6 7 8 9 注 1 数据安全性要求每项填写 高 中 低 2 如本页不够 请续页填写 表表 1 15 1 15 数据备份情况数据备份情况 填表人 日期 序号序号备份数据名备份数据名介质类型介质类型备份周期备份周期保存期保存期是否异地保存是否异地保存过期处理方法过期处理方法所属备份系统所属备份系统 1 2 3 4 5 6 7 8 9 10 11 注 备份数据名 与表 1 12 对应的 数据名称 一致 表表 1 16 1 16 应用系统软件处理流程 多表 应用系统软件处理流程 多表 填表人 日期 应用系统软件处理流程图 应用软件名称 应用系统软件处理流程图 应用软件名称 应用系统软件处理流程图 应用软件名称 应用系统软件处理流程图 应用软件名称 注 1 重要应用系统软件应该描绘处理流程图 说明主要处理步骤 过程 流向 涉及设备和用户 2 如本页不够 请续页填写 表表 1 17 1 17 业务数据流程 多表 业务数据流程 多表 填表人 日期 数据流程图 数据名称 数据流程图 数据名称 数据流程图 数据名称 数据流程图 数据名称 注 1 重要数据应该描绘数据流程图 从数据产生到传输经过的主要设备 再到存储设备等流程 2 如本页不够 请续页填写 表表 1 18 1 18 管理文档情况管理文档情况 a 制度类文档制度类文档 填表人 日期 序号序号文档要求文档要求相关文档名称相关文档名称备注备注 1 机构总体安全方针和政策方面的管理制度 2 部门设置 岗位设置及工作职责定义方面的管 理制度 3 授权审批 审批流程等方面的管理制度 4 安全审核和安全检查方面的管理制度 5 管理制度 操作规程修订 维护方面的管理制 度 6 人员录用 离岗 考核等方面的管理制度 7 人员安全教育和培训方面的管理制度 8 第三方人员访问控制方面的管理制度 9 工程实施过程管理方面的管理制度 10 产品选型 采购方面的管理制度 序号序号文档要求文档要求相关文档名称相关文档名称备注备注 11 软件外包开发或自我开发方面的管理制度 12 测试 验收方面的管理制度 13 机房安全管理方面的管理制度 14 办公环境安全管理方面的管理制度 15 资产 设备 介质安全管理方面的管理制度 16 信息分类 标识 发布 使用方面的管理制度 17 配套设施 软硬件维护方面的管理制度 18 网络安全管理 网络配置 帐号管理等 方面 的管理制度 19 系统安全管理 系统配置 帐号管理等 方面 的管理制度 20 系统监控 风险评估 漏洞扫描方面的管理制 度 21 病毒防范方面的管理制度 22 系统变更控制方面的管理制度 23 密码管理方面的管理制度 序号序号文档要求文档要求相关文档名称相关文档名称备注备注 24 备份和恢复方面的管理制度 25 安全事件报告和处置方面的管理制度 26 应急响应方法 应急响应计划等方面的文件 27 其它文档 注 请在相关文档名称栏填写对应的文档名称 如果相关内容在多个文档中涉及 填写多个文档名称 b 记录类文档记录类文档 序号序号记录类文档要求记录类文档要求备注备注 1机房出入登记记录 包括第三方人员 2机房基础设施维护记录 3 各类会议纪要或记录 部门内 部门间协调会 领导小 组 4 各类评审和修订记录 安全管理制度评审和修订记录 体系评审记录等 5 人员考核 审查 培训记录 人员录用 人员定期考核 离岗手续 6 各项审批和批准执行记录 来访人员进入机房审批 介 质 设备外带审批 系统外联审批等 7安全管理制度收发登记记录 8产品的选型测试结果记录 9系统验收测试记录 报告 10介质归档 查询等的登记记录 11主机系统 网络 安全设备等的操作日志和维护记录 序号序号记录类文档要求记录类文档要求备注备注 12机房日常巡检记录 13对主机 网络设备和应用软件等的监控记录和分析报告 14恶意代码检测 升级记录和分析报告 15备份过程记录 16变更方案评审记录和变更过程记录 17安全事件处理过程记录 18应急预案培训 演练 审查记录 19其它记录文档 c 证据类文档证据类文档 序号序号证据类文档要求证据类文档要求备注备注 1资产清单 2机构安全管理人员岗位名单 3外联单位联系列表 4人员保密协议 5关键岗位安全协议 6候选产品名单 7信息系统定级报告或定级建议书 8系统备案材料 9近期和远期安全建设工作计划 总体建设规划书 10详细设计方案 11 系统建设项 目 工程实施方案 序号序号证据类文档要求证据类文档要求备注备注 12系统验收测试方案 13系统测试 验收报告 14系统交付清单 15变更方案 16变更申请书 17信息系统定期安全检查的检查表和安全检查报告 18主要设备漏洞扫描报告 19系统异常行为审计分析报告 20机房安全设计和验收方面的文档 21总体安全策略等配套文件的专家论证文档 22与安全服务商或外包开发商签订的服务合同和安全协议 23 软件开发设计和用户指南等相关文档 目录体系框架或 交换原形系统 软件测试报告 表表 1 19 1 19 安全威胁情况安全威胁情况 填表人 日期 序号序号安全事件调查安全事件调查调查结果调查结果 1 1 是否发生过网络安全事件 没有 1 次 年 2 次 年 3 次以上 年 不清楚 安全事件说明 时间 影响 2 2 发生的网络安全事件类型 多选 感染病毒 蠕虫 特洛伊木马程序 拒绝服务攻击 端口扫描攻击 数据窃取 破坏数据或网络 篡改网页 垃圾邮件 内部人员有意