6.5 安全需求调研表

前期调查表 项目编号： 系统安全需求前期调查表1 单位基本情况表 填表人： 日期： 单位全称武汉市建筑垃圾管理办公室简称武汉市渣土办上级主管部门武汉市环卫局下属单位单位情况简介单位所属类型 党政机关 国家重要行业、重要领域或重要企事业单位 一般企事业单位 其它类型信息系统主要承载的业务范围武汉市建筑垃圾管理平台，单位地址邮政编码负责人姓名电话传真电子邮件地址联系人电话传真电子邮件地址第 16 页共 30 页 2 参与人员名单 填表人： 日期：序号人员名称所属部门职务/职称负责范围联系方式1刘超稽查第一大队副队长渣土车违规违法稽查139955640282董童林信息技术管理科科员系统管理平台维护159274058773邓明人事科科员人事管理152718788364黄诚信息指挥中心科长信息指挥中心管理189712231775李雪莹信息指挥中心调度员日常调度186729283786廖春明设备科科员硬软件维护180866178087刘晓友设备科科员软硬件维护180627850838罗雪婷财务科科长财会13476030158910113 物理环境情况 填表人： 日期：序号物理环境名称物理位置涉及信息系统1主机服务器机房武汉建筑垃圾管理平台系统2信息指挥终端渣土办3301武汉建筑垃圾管理平台指挥端3办公室各督察办公室武汉建筑垃圾管理平台客户端4567注：物理环境包括主机房、辅助房、办公室等等。4 信息系统基本情况填表人： 日期：序号信息系统名称安全保护等级业务信息安全保护等级系统服务安全保护等级承载业务应用1武汉建筑垃圾管理平台系统三级三级二级建筑垃圾专项管理2城管委OA系统三级三级二级办公自动化3财务系统四级四级四级拆屋办公软件4物资管理系统二级二级二级材料物资管理软件567895 信息系统承载业务（服务）情况调查填表人： 日期：序号业务（服务）名称业务描述业务处理信息类别用户数量用户分布范围涉及的应用系统软件是否24小时运行是否可以脱离系统完成重要程度责任部门1建筑垃圾管理渣土企业车辆运输综合管理数据处理5渣土办各部门建筑垃圾管理平台是否非常重要信息管理中心2办公自动化企业内部办公自动化办公系统数据处理50办公室电脑城管委OA系统是是重要设备科3财务系统企业收支账目数据处理4财务科财务软件是否非常重要财务科4物资管理物质采购发放数据处理5物料科物料管理系统是是重要物料科5676 信息系统网络结构（环境）情况调查填表人： 日期： 序号网络功能区域名称主要功能和作用描述IP网段地址服务器数量终端数量与其连接的其它网络区域网络区域之间的边界设备（互联设备）重要程度责任部门备注12345678910注：重要程度填写非常重要、重要、一般7 外联路线及设备端口（网络边界）情况调查填表人： 日期： 序号外联线路名称(边界名称)所属网络区域外联对象名称接入线路种类传输速率（带宽）线路接入设备承载主要业务应用备注12345678910118 网络设备情况调查 填表人： 日期： 序号网络设备名称型号物理位置所属网络区域IP地址/掩码/网关系统软件版本及补丁端口类型及数量主要用途是否热备重要程度备注12345678910119 安全设备情况调查 填表人： 日期： 序号网络安全设备名称型号(软件/硬件)物理位置所属网络区域IP地址/掩码/网关系统软件及运行平台端口类型及数量是否热备备注123456789101110 服务器设备情况调查填表人： 日期： 序号服务器设备名称型号物理位置所属网络区域IP地址/掩码/网关操作系统版本/补丁安装的数据库系统承载的主要业务应用安装的应用系统软件名称涉及的业务数据是否热备重要程度12345678注：1、重要程度填写非常重要、重要、一般2、包括数据存储设备11 终端设备情况调查填表人： 日期： 序号终端设备名称型号物理位置所属网络区域设备数量IP地址/掩码/网关操作系统安装的应用系统软件名称涉及的业务数据主要用途重要程度12345678910注：1、重要程度填写非常重要、重要、一般2、包括专用终端设备以及网管终端、安全设备控制台等12 系统软件情况调查 填表人： 日期：序号系统软件名称版本软件厂商硬件平台涉及应用系统1武汉建筑垃圾管理平台定制版智麟信息2办公自动化OA系统专业版慧点科技3财务软件企业版金蝶软件4物料系统企业版易思软件5678910注：包括操作系统、数据库系统等软件13 应用系统软件情况调查填表人： 日期： 序号业务（服务）名称主要功能描述涉及的业务数据用户数量用户分布范围应用系统软件名称开发商C/S或B/S模式是否24小时运行重要程度备注1234567891014 业务数据情况调查填表人： 日期： 序号业务数据名称数据使用者或管理者及其访问权限数据总量及日增量涉及业务应用涉及存储系统与处理设备数据安全性要求备注保密完整可用12345678注：数据安全性要求每项填写高、中、低 如本页不够，请续页填写15 数据备份情况调查填表人： 日期：序号备份数据名介质类型备份周期保存期是否异地保存过期处理方法所属备份系统12345678910注：备份数据名与1-12对应的数据名称一致16 应用系统软件处理流程调查（多表）填表人： 日期：应用系统软件处理流程图（应用软件名称： ）应用系统软件处理流程图（应用软件名称： ）注：重要应用系统软件应该描绘处理流程图，说明主要处理步骤、过程、流向、涉及设备和用户如本页不够，请续页填写。 17 业务数据流程调查填表人： 日期： 数据流程图（数据名称： ）数据流程图（数据名称： ）注：重要数据应该描绘数据流程图，从数据产生到传输经过的主要设备，再到存储设备等流程。如本页不够，请续页填写。18 管理文档情况调查 填表人： 日期：制度类文档序号文档要求相关文档名称备注1机构总体安全方针和政策方面的管理制度关于做好城市建筑垃圾管理方针2部门设置、岗位设置及工作职责定义方面的管理制度关于各部门工作及绩效考核方案3授权审批、审批流程等方面的管理制度关于渣土企业审核审批备案方案4安全审核和安全检查方面的管理制度关于渣土企业年检管理办法5管理制度、操作规程修订、维护方面的管理制度关于各部门管理制度方案6人员录用、离岗、考核等方面的管理制度人员聘用离岗培训管理考核和奖惩制度7人员安全教育和培训方面的管理制度安全教育培训管理制度8第三方人员访问控制方面的管理制度关于违规操作处理处罚条例9工程实施过程管理方面的管理制度无10产品选型、采购方面的管理制度物料采购流程及报备方案11软件外包开发或自我开发方面的管理制度无12测试、验收方面的管理制度无13机房安全管理方面的管理制度设备定期检修更换报备方案14办公环境安全管理方面的管理制度无15资产、设备、介质安全管理方面的管理制度物料出入库管理条例16信息分类、标识、发布、使用方面的管理制度关于公共信息管理发布管理方案17配套设施、软硬件维护方面的管理制度系统第三方维护条例18网络安全管理（网络配置、帐号管理等）方面的管理制度系统第三方维护条例19系统安全管理（系统配置、帐号管理等）方面的管理制度部门职责权限管理制度20系统监控、风险评估、漏洞扫描方面的管理制度系统第三方维护条例21病毒防范方面的管理制度系统第三方维护条例22系统变更控制方面的管理制度系统第三方维护条例23密码管理方面的管理制度部门职责权限管理制度24备份和恢复方面的管理制度关于做好数据备份处理方案25安全事件报告和处置方面的管理制度关于重大事件应急处理方案26应急响应方法、应急响应计划等方面的文件关于重大事件应急处理方案27其他文档注：请在相关文档名称栏填写对应的文档名称，如果相关内容在多个文档中涉及，填写多个文档名称。第 23 页共 30 页 19 证据类文档序号证据类文档要求备注1资产清单2结构安全管理人员3外联单位联系列表4人员保密协议5关键岗位安全协议6候选产品名单7信息系统定级报告或定级建议书8系统备案材料9近期和远期安全建设工作计划、总体建设规划书10详细设计方案11系统建设项目工程实施方案12系统验收测试方案13系统建设项目系统测试、验收报告14系统交付清单15变更方案16变更申请书17信息系统定期安全检查的检查表和安全检查报告18主要设备漏洞扫描报告19系统异常行为审计分析报告20机房安全设计和验收方面的文档21总体安全策略等配套文件的专家论证文档22与安全服务商或外包开发商签订的服务合同和安全协议23软件开发商设计和用户指南等相关文档（目录体系框架或交换原形系统）、软件测试报告20 安全威胁情况调查 填表人： 日期：序号安全事件调查调查结果1是否发生过网路安全事件没有 1次/年 2次/年 3次以上/年 不清楚安全事件说明： （时间、影响）2发生的网路安全事件类型（多选）感染病毒/蠕虫/特洛伊木马 拒绝服务攻击 端口扫面攻击数据窃取 破坏数据或网络 篡改网页内部人员有意破坏 内部人员滥用网络端口、系统资源被利用发送和传播有害信息 网络诈骗和盗窃 其他其他说明：3如何发现网络安全事件（多选）网络（系统）管理员工作监测发现 通过事件后分析发现通过安全产品发现 有关部门通知或意外发现他人告知 其他其他说明：4网络安全事件造成损失评估非常严重 严重 一般 比较轻微 轻微 无法评估5可能的攻击来源 内部 外部 都有 病毒 其他原因 不清楚攻击来源说明：6导致发生网路事件的可能原因 未修补或防范软件漏洞 网络或软件配置错误 登录密码过于简单或未修改 缺少访问控制 攻击者使用拒绝服务攻击 攻击者利用软件默认设置 利用内部用户安全管理漏洞或内部人员作案 内部网络违规连接互联网 攻击者使用欺诈方法 不知原因 其他其它说明：7是否发生过硬件故障有 1次/年 （注明时间、频率） 无造成的影响是：硬件故障导致系统无法正常工作8是否发生过软件故障有 1次/年 （注明时间、频率） 无造成的影响是：无法正常登录系统后台造成系统局部瘫痪9是否发生过维护失误有 （注明时间、频率） 无造成的影响是10是否发生过因用户操作失误引起的安全事件有 （注明时间、频率） 无造成的影响是11是否发生过物理设施/设备被物理破坏有 （注明时间、频率） 无造成的影响是12有无遭受自然性破坏（如雷击等）有 （注明时间、频率） 无有请注明时间、事件后果13有无发生过莫名其妙的故障有 （注明时间、频率） 无有请注明时间、事件后果21 管理措施调研表大类明细调研情况人员管理情况重要岗位信息安全与保密责任制度（）已建立 （）未建立重要岗位人安全保密协议（）全部签订 （）部分签订 （）没有签订人员离岗离职信息安全管理规定（）已制定 （）未制定资产管理情况资产管理制度（）已建立 （）未建立计算机及相关设备维修维护管理规定（）已制定 （）未制定存储设备报废销毁管理规定（）已制定 （）未制定应急管理信息安全应急预案（）已制定 （）未制定信息安全应急演练（）已开展 （）未开展应急技术支援队伍（）部门所属单位 （）外部专业机构 （）无信息安全灾难备份重要数据备份情况（）备份 （）未备份重要信息系统备份情况（）备份 （）未备份网站备份情况（）备份 （）未备份培训培训人数-占本部门总人数比例（）10% （）5% （）2% （）2%以下开展系统安全教育培训次数（1）次/年专业培训（30）人次22 安全防护手段调研表大类调研内容网络边界安全防护联网接入口数量 个互联网接入口安全防护设备部署情况防火墙 入侵检测识别 安全审计设备 防病毒网关 其他互联网访问日志 留存 未留存安全防护设备策略使用默认配置 根据应用