信息系统基本情况调查表

海南正邦信息科技有限公司信息系统基本情况调查表(V3.1)海南正邦信息科技有限公司2012年12月

说明1、请提供信息系统的最新网络结构图（拓扑图）网络结构图要求：应该标识网络功能区域划分等情况应该标识网络与外部的连接等情况应该标识出网络设备、服务器设备和主要终端设备及其名称应该标识出主要服务器设备和网络设备的IP地址应该能够对照网络结构图说明所有业务流程和系统组成（如果一张图无法表示，可以将核心部分和接入部分分别画出，或以多张图表示。）请根据信息系统的网络结构图填写各类调查表格。3、请根据实际情况填写管理文档内容。

目录表1-1.单位基本情况 1表1-2.参与人员名单 2表1-3.物理环境情况 3表1-4.信息系统基本情况 4表1-5.信息系统承载业务（服务）情况 5表1-6.信息系统网络结构（环境）情况 6表1-7.外联线路及设备（网络边界）情况 7表1-8.网络设备情况 8表1-9.安全产品情况 9表1-10.服务器设备情况 10表1-11.终端设备情况 11表1-12.系统软件情况 12表1-13.应用系统软件情况 13表1-14.业务数据情况 14表1-15.数据备份情况 15表1-16.应用系统软件处理流程（多表） 16表1-17.业务数据流程（多表） 17表1-18.管理文档情况 18表1-19.安全威胁情况 24海南正邦信息科技有限公司第14页表1-1.单位基本情况填表人：日期：单位全称海南省住房和城乡建设厅信息中心简称住建厅信息中心上级主管部门海南省住房和城乡建设厅下属单位无单位情况简介承担全省住房和城乡建设系统信息化建设的规划制定并组织实施，接受厅机关各信息系统软硬件资产的统一拨付并管理、运行、维护及安全保密等工作，配合有关部门开展住房和城乡建设系统信息化技术指导。上级主管部门、下属单位情况简介海南省住房和城乡建设行政主管单位。信息系统主要承载的业务范围房屋建筑工程全过程的信息化监督单位地址海口市海府路59号海南省住房和城乡建设厅610室邮政编码570204负责人姓名丁飞电话65368680传真电子邮件地址联系人黄畅电真65883796电子邮件地注：情况简介栏，请填写与被测评系统有关的机构内容。表1-2.参与人员名单填表人：日期：序号人员姓名所属部门职务/职称负责范围联系方法1黄畅工程师系统建设系统运维网络安全主机安全135188600212陈士辉工程师系统建设机房安全数据库安全135198610813叶睿晟工程师数据库安全应用安全数据安全1897638500145678910111213注：负责范围请填写安全管理制度、安全管理机构、人员安全管理、系统建设、系统运维、网络安全、主机安全、数据库安全、应用安全、数据安全、机房安全。表1-3.物理环境情况填表人：日期：序号物理环境名称物理位置涉及信息系统1主机房海南省建筑设计院11楼网络、存储、服务器2辅机房海南省住房和城乡建设厅5楼备份3办公环境海南省建筑设计院11、12楼日常运行、维护45678910111213注：物理环境包括主机房、辅机房、办公环境等。表1-4.信息系统基本情况填表人：日期：序号信息系统名称安全保护等级业务信息安全保护等级系统服务安全保护等级承载业务应用1海南省房屋建筑工程全过程监管信息平台2345678910111213注：根据定级报告填写被测系统的相应安全等级级别。表1-5.信息系统承载业务（服务）情况填表人：日期：序号业务（服务）名称业务描述业务处理信息类别用户数量用户分布范围涉及的应用系统软件是否可以脱离系统完成是否24小时运行重要程度责任部门1设计与施工图审查系统非密敏感信息全省否是重要2招标投标管理系统非密敏感信息全省否是重要3工程质量监管系统非密敏感信息全省否是重要4施工现场与施工安全监管系统非密敏感信息全省否是重要5施工许可与竣工验收备案管理系统非密敏感信息全省否是重要6企业资质、企业准入和人员资格管理系统非密敏感信息全省否是重要7市场监管与诚信体系系统非密敏感信息全省否是重要8910注：1、业务（服务）名称填写涉及到被测系统的相关需要处理的事务。2、业务处理信息类别一栏填写：a）国家秘密信息b）非密敏感信息（机构或公民的专有信息）c）可公开信息。3、用户分布范围栏填写“全国”、“全省”、“本地区”、“本单位”。4、重要程度栏填写“非常重要”、“重要”、“一般”。表1-6.信息系统网络结构（环境）情况填表人：日期：序号网络功能区域名称主要业务和信息描述IP网段地址服务器数量终端数量与其连接的其它网络区域网络区域边界设备重要程度责任部门备注1外网服务器区供互联网用户连接信息系统/244互联网接入区H3C5500重要信息中心2互联网接入区3外网服务器区外网办公区内网核心区H3CF1000非常重要信息中心3外网办公区工作人员日常办公/2412互联网接入区SG4500一般信息中心4党政外联区与政务外网连接互联网接入区H3CF1000重要信息中心5省厅外联区与厅办公网互联/20核心区H3C7503重要信息中心6核心区6/30互联网接入区外联区内网服务器区H3C7503F5000非常重要信息中心7内网服务器区数据库/272/27/242核心区F5000非常重要信息中心8内网管理区内部设备管理/24内网安全区H3C5500一般信息中心注：1、网络功能区域指按照系统应用功能将网络拓扑划分为不同的区域，每个功能区域提供的服务主要局限于该网络区域中。2、终端指专用终端设备、网管终端以及安全设备控制台等3、重要程度填写“非常重要”、“重要”、“一般”。表1-7.外联线路及设备（网络边界）情况填表人：日期：序号外联线路名称(边界名称)所属网络区域连接对象名称接入线路种类传输速率（带宽）线路接入设备承载主要业务应用备注1电信提供商外网接入区H3CF1000光纤50MH3CF1000信息系统及日常办公2党政外联区外联区H3CF1000光纤H3CF10003省厅外联区外联区H3C7503光纤1000MH3C7503信息系统内部访问456789注：1、外联线路指被测评单位的网络对外连接的互联网服务提供商、分支机构、上级部门及合作单位等的线路。2、承载主要业务应用填写与表1-5的“业务（服务）名称”一致。表1-8.网络设备情况填表人：日期：序号网络设备名称型号系统版本号物理位置所属网络区域IP地址/掩码/网关端口类型/数量主要用途是否热备重要程度备注1交换机H3C55005.2主机房11机柜外网服务器区/24电口/24外网服务器数据交换否重要2上网行为管理深信服SG45504.6主机房11机柜外网办公区0/24电口/6上网行为管理否一般3交换机H3C55005.2主机房9机柜外网办公区/24电口/24办公人员接入层交换机否一般4交换机H3C55005.2主机房11机柜外联区无电口/24与省厅互联否重要5VPN深信服60505.7主机房12机柜内网安全区/24电口/4移动用户与内网互联是一般6交换机H3C7503E5.2主机房12机柜核心区电口/28与内网管理区互联是一般7交换机H3C55005.2主机房内网服务器区/24电口/24与数据库服务器互联否重要8交换机H3CSAN无主机房5机柜内网服务器区无光口/24应用服务器与数据库服务器数据交换是重要9交换机H3C55005.2主机房9机柜内网管理区光口/24管理设备交换机否一般注：1、网络设备名称请填写“路由器”、“交换机”、“VPN”等。2、重要程度填写“非常重要”、“重要”、“一般”。表1-9.安全产品情况填表人：日期：序号网络安全产品名称软件/硬件厂家及型号物理位置所属网络区域IP地址/掩码/网关系统及运行平台端口类型/数量是否热备备注1防火墙硬件H3CF1000主机房互联网接入区/24光口/12否2IPS硬件H3CSECBLADE主机房核心区5/24电口/2否3防火墙硬件网域F5000主机房核心区7/30光口/4是4负载均衡硬件F5-BIG-3600主机房内网服务器区0/24电口/8否567注：1、网络安全设备名称请填写“防火墙”、“防病毒网关”、“异常流量管理系统”、“审计系统”、“网页应用防火墙”、“入侵检测系统”等。2、型号请填写“软件”或“硬件”。3、系统及运行平台请填写该硬件或软件的系统版本号或引擎版本号。表1-10.服务器设备情况填表人：日期：序号服务器设备名称厂家及型号物理位置所属网络区域IP地址/掩码/网关操作系统版本及补丁安装应用系统软件名称安装的数据库系统版本所属信息系统主要业务应用是否热备重要程度1内网应用服务器IBMX3850机房0WindowsServer2012信息平台所有业务系统的主管部门监管部分重要2外网应用服务器IBMX3850机房2WindowsServer2012信息平台所有业务系统相关单位使用部分重要3数据库服务器IBMX3850机房WindowsServer2012SQLServer2012信息平台非常重要45注：1、服务器设备包括数据存储设备，名称填写格式如“XXX服务器”、“XXX服务器（备用）”等等。2、主要业务应用填写内容与表1-5业务（服务）名称的内容要一致。3、所属信息系统填写内容与表1-4信息系统名称的内容要一致。4、重要程度填写“非常重要”、“重要”、“一般”。表1-11.终端设备情况填表人：日期：序号终端设备名称厂家及型号物理位置所属网络区域设备数量IP地址/掩码/网关操作系统安装的应用系统软件名称所属信息系统涉及的业务数据主要用途重要程度1网管终端浪潮机房110Server2003IBMDSStorageManagement存储系统管理和分配一般23456注：1、终端设备指专用终端设备以及网管终端、安全设备控制台等。2、所属信息系统填写内容与表1-4信息系统名称的内容要一致。3、重要程度填写“非常重要”、“重要”、“一般”。表1-12.系统软件情况填表人：日期：序号系统软件名称版本软件厂商硬件平台涉及应用系统1WindowsServer2012/2012R2MicrosoftIBMX3850信息平台2SQLServer2012MicrosoftIBMX3850信息平台数据库345678910注：1、系统软件包括操作系统、数据库系统等软件。表1-13.应用系统软件情况填表人：日期：序号应用系统软件名称开发商硬件/软件平台涉及业务数据C/S或B/S模式现有用户数量主要用户角色1设计与施工图审查系统B/S审查机构2招标投标管理系统B/S招投标服务中心、市县住建局3工程质量监管系统B/S、C/S质量安全监管处4施工现场与施工安全监管系统B/S质量安全监管处5施工许可与竣工验收备案管理系统B/S市县住建局、市县监督站6企业资质、企业准入和人员资格管理系统B/S审批办7市场监管与诚信体系系统B/S市场处、市县住建局8注：1、涉及业务（服务）名称填写内容与表1-5业务（服务）名称相一致。 表1-14.业务数据情况填表人：日期：序号数据名称数据使用者或管理者及其访问权限涉及业务应用所属信息系统涉及的存储系统/处理设备数据安全性要求数据总量及日增量保密完整可用1定义？234567注：1、涉及业务应用填写内容与表1-5业务（服务）名称的内容要一致。2、所属信息系统填写内容与表1-4信息系统名称的内容要一致。3、数据安全性要求每项填写“高”“中”“低”。表1-15.数据备份情况填表人：日期：序号备份数据名介质类型备份周期保存期是否异地保存过期处理方法所属备份系统1现在是人工备份234567注：1、备份数据名填写内容与表1-14的数据名称要一致。表1-16.应用系统软件处理流程（多表）填表人：日期：应用系统软件处理流程图（应用软件名称：门户网站）应用系统软件处理流程图（应用软件名称：财务管理系统）所有系统的？很多哦，质量安全表单很多注：1.重要应用系统软件应该描绘处理流程图，说明主要处理步骤、过程、流向、涉及设备和用户。2.如本页不够，请续页填写。表1-17.业务数据流程（多表）填表人：日期：数据流程图（数据名称：信息发布数据）数据流程图（数据名称：财务管理数据）注：1.重要数据应该描绘数据流程图，从数据产生到传输经过的主要设备，再到存储设备等流程。2.如本页不够，请续页填写。表1-18.管理文档情况A:制度类文档 填表人：日期：序号文档要求相关文档名称备注1机构总体安全方针和政策方面的管理制度如有相关的文档，填写文档名称，下同。2部门设置、岗位设置及工作职责定义方面的管理制度？？？？？3授权审批、审批流程等方面的管理制度4安全审核和安全检查方面的管理制度5管理制度、操作规程修订、维护方面的管理制度6人员录用、离岗、考核等方面的管理制度7人员安全教育和培训方面的管理制度8第三方人员访问控制方面的管理制度9工程实施过程管理方面的管理制度10产品选型、采购方面的管理制度11软件外包开发或自我开发方面的管理制度12测试、验收方面的管理制度13机房安全管理方面的管理制度14办公环境安全管理方面的管理制度15资产、设备、介质安全管理方面的管理制度16信息分类、标识、发布、使用方面的管理制度17配套设施、软硬件维护方面的管理制度18网络安全管理（网络配置、帐号管理等）方面的管理制度19系统安全管理（系统配置、帐号管理等）方面的管理制度20系统监控、风险评估、漏洞扫描方面的管理制度21病毒防范方面的管理制度22系统变更控制方面的管理制度23密码管理方面的管理制度24备份和恢复方面的管理制度25安全事件报告和处置方面的管理制度26应急响应方法、应急响应计划等方面的文件27其他文档注：请在相关文档名称栏填写对应的文档名称，如果相关内容在多个文档中涉及，填写多个文档名称。B:记录类文档 填表人：日期：序号记录文档要求相关文档名称备注1机房出入登记记录如有相关的文档，填写文档名称，下同。2机房集成设施维护记录3各类会议纪要或记录（部门内、部门间协调会、领导小组）4各类审批和修订记录（安全管理制度审批修订记录、体系审批记录）。5人员考核、审查、培训记录（人员录用、人员定期考核）、离岗手续6各项审批和批准执行记录（来访人员进入机房审批、介质/设备外带审批、系统外联审批等）7安全管理制度收发记录8产品的选型测试结果记录9系统验收测试记录、报告10介质归档、查询等的登记记录11主机系统、网络、安全设备等的操作日志和维护记录12机房日常检查记录13对机房、网络设备和应用软件等的监控记录和分析报告14恶意代码检测、升级记录和分析报告15备份过程记录16变更方案评审记录和变更过程记录17安全事件处理过程记录18应急预案培训、演练、审查记录19其他记录文档注：请在相关文档名称栏填写对应的文档名称，如果相关内容在多个文档中涉及，填写多个文档名称。

C:证据类文档 填表人：日期：序号证据文档要求相关文档名称备注1资产清单如有相关的文档，填写文档名称，下同。2机构安全管理人员岗位清单3外联单位联系列表4人员保密协议5关键岗位安全协议6后选产品名单7信息系统定级报告或定级建议书8系统备案材料9近期和远期安全建设工作计划、总体建设规划书10详细设计方案11系统建设项目—工程实施方案12系统建设项目—系统验收测试方案13系统建设项目—系统测试、验收报告14系统建设项目—系统交付清单15变更方案16变更申请书17信息系统定期安全检查的检查表和安全检查报告18主要设备漏洞扫描报告19系统异常行为审计分析报告20机房安全设计和验收方面的文档21总体安全策略等配套文件的专家论证文档22与安全服务商或外包开发商签订的服务合同和安全协议23软件开发设计和用户指南等相关文档（目录体系框架或交换原型系统）软件测试报告注：请在相关文档名称栏填写对应的文档名称，如果相关内容在多个文档中涉及，填写多个文档名称。表1-19.安全威胁情况填表人：日期：序号安全事件调查调查结果1是否发生过网络安全事件√没有□1次/年□2次/年□3次以上/年□不清楚安全事件说明：（时间、影响）2发生的网络安全事件类型（多选）□感染病毒/蠕虫/特洛伊木马程序□拒绝服务攻击□端口扫描攻击□数据窃取□破