信息系統(tǒng)安全等級(jí)測(cè)評(píng)-基本情況調(diào)查表

1、信息系統(tǒng)安全等級(jí)測(cè)評(píng)基本情況調(diào)查表* 股份有限公司1-1.單位基本情況調(diào)查 11-2.參與人員名單 21-3.物理環(huán)境情況 31-4.信息系統(tǒng)基本情況 41-5.信息系統(tǒng)承載業(yè)務(wù)（服務(wù)）情況 51-6.網(wǎng)絡(luò)結(jié)構(gòu)（環(huán)境）情況調(diào)查 61-7.外聯(lián)（網(wǎng)絡(luò)邊界）情況調(diào)查 71-8.網(wǎng)絡(luò)設(shè)備情況調(diào)查 81-9.安全設(shè)備情況調(diào)查 91-10.服務(wù)器設(shè)備情況調(diào)查 101-11.終端設(shè)備情況調(diào)查 121-12.系統(tǒng)軟件情況 131-13.應(yīng)用系統(tǒng)情況調(diào)查 141-14.業(yè)務(wù)數(shù)據(jù)情況調(diào)查 151-15.數(shù)據(jù)備份情況 161-16.應(yīng)用系統(tǒng)軟件處理流程（多） 171-17.業(yè)務(wù)數(shù)據(jù)流程（多） 181-18.管理文

2、檔情況調(diào)查 191-19.安全威脅情況 26表1-2.參與人員名單填表人:日期:單位全稱簡(jiǎn)稱單位情況簡(jiǎn)介單位所屬類型政府機(jī)關(guān)國家重要行業(yè)、重要領(lǐng)域或重要企事業(yè)單位口一般企事業(yè)單位其它類型單位地址郵政編碼負(fù)責(zé)人姓名電話傳真電子郵件地址聯(lián)系人電話傳真電子郵件地址上級(jí)主管部門注：情況簡(jiǎn)介欄，請(qǐng)?zhí)顚懪c被測(cè)評(píng)系統(tǒng)有關(guān)的機(jī)構(gòu)內(nèi)容。在舁 廳P人員姓名所屬部門職務(wù)/職稱負(fù)貝沱圍聯(lián)系方法12345678910112 / 27表1-4.信息系統(tǒng)基本情況填表人：日期:在舁 廳P物理環(huán)境名稱物理位置涉及信息系統(tǒng)12345678910注：物理環(huán)境包括主機(jī)房、輔機(jī)房、辦公環(huán)境等。在舁 廳P信息系統(tǒng)名稱安全保護(hù)等級(jí)業(yè)務(wù)信息

3、安全保護(hù)等級(jí)系統(tǒng)服務(wù)安全保護(hù)等級(jí)承載業(yè)務(wù)應(yīng)用12345678910114 / 27填表人：日期:表1-5. 信息系統(tǒng)承載業(yè)務(wù)（服務(wù)）情況序 號(hào)業(yè)務(wù)（服務(wù)） 名稱業(yè)務(wù)描述業(yè)務(wù)處 理信息 類別用戶 數(shù)量用戶分 布范圍涉及的應(yīng)用 系統(tǒng)軟件是否24小時(shí) 運(yùn)行是含可 以脫離 系統(tǒng)兒 成重要程度責(zé)任部門1234567注：1、用戶分布范圍，寫全國、全省、本地區(qū)、本單位2、業(yè)務(wù)信息類別，寫國家秘密信息、非密敏感信息（機(jī)構(gòu)或公民的專有信息）、可公開信息3、重要程度，寫非常重要、重要、一般5 / 27表1-7. 外聯(lián)（網(wǎng)絡(luò)邊界）情況調(diào)查填表人:日期:序 號(hào)網(wǎng)絡(luò)功能 區(qū)域名稱主要功能和作用 描述IP網(wǎng)段地址服務(wù) 器

4、數(shù) 量終端 數(shù)量與其連接的 其它網(wǎng)絡(luò)區(qū) 域網(wǎng)絡(luò)區(qū)域之間 的邊界設(shè)備 （互聯(lián)設(shè)備）重要程度備注12345689注：重要程度填寫非常重要、重要、一般序 號(hào)外聯(lián)線路名稱 （邊界名稱）所聯(lián)網(wǎng)絡(luò)區(qū)域外聯(lián)對(duì)象 名稱接入線 路種類傳輸速率 （W）線路接入設(shè)備承載主要業(yè)務(wù)應(yīng)用備注123456789107 / 27表1-9.安全設(shè)備情況調(diào)查填表人:日期:在舁 廳P網(wǎng)絡(luò)設(shè) 備名稱型號(hào)物理位置所屬網(wǎng) 絡(luò)區(qū)域IP地址/掩碼/網(wǎng)關(guān)系統(tǒng)軟件版 本及補(bǔ)丁端口類 型及數(shù) 量主要用途是否 熱備重要程度備注1234567注：重要程度填寫非常重要、重要、一般序 號(hào)網(wǎng)絡(luò)安全設(shè)備 名稱型號(hào)（軟件/硬件）物理位置所屬網(wǎng)絡(luò) 區(qū)域IP地址/

5、掩碼/網(wǎng)關(guān)系統(tǒng)軟件及運(yùn)行 平臺(tái)端口類型 及數(shù)量是否 熱備備注12345678910119 / 27在舁 廳P服務(wù)器設(shè)備名稱型號(hào)物理 位置所屬網(wǎng) 絡(luò)區(qū)域IP地址/掩碼/網(wǎng)關(guān)操作系統(tǒng) 版本/補(bǔ)丁安裝的 數(shù)據(jù)庫 系統(tǒng)承載的 主要業(yè) 務(wù)應(yīng)用安裝的 應(yīng)用系 統(tǒng)軟件 名稱涉及 的業(yè)務(wù) 數(shù)據(jù)是 否 熱 備重要 程度1234廳P服務(wù)器設(shè)備名稱型號(hào)物理 位置所屬網(wǎng) 絡(luò)區(qū)域IP地址/掩碼/網(wǎng)關(guān)操作系統(tǒng) 版本/補(bǔ)丁安裝的 數(shù)據(jù)庫 系統(tǒng)承載的 主要業(yè) 務(wù)應(yīng)用安裝的 應(yīng)用系 統(tǒng)軟件 名稱涉及 的業(yè)務(wù) 數(shù)據(jù)是 否 熱 備重要 程度注：1、重要程度填寫非常重要、重要、一般2、包括數(shù)據(jù)存儲(chǔ)設(shè)備11 / 27表1-12.系統(tǒng)軟

6、件情況填表人：日期:序 號(hào)終端設(shè)備 名稱型號(hào)物理 位置所屬網(wǎng)絡(luò) 區(qū)域設(shè) 備 數(shù) 量IP地址/掩碼/網(wǎng) 關(guān)操作系統(tǒng)安裝的應(yīng) 用系統(tǒng)軟 件名稱涉及 的業(yè)務(wù) 數(shù)據(jù)主要用途重要程度12345678注：1、重要程度填寫非常重要、重要、一般2、包括專用終端設(shè)備以及網(wǎng)管終端、安全設(shè)備控制臺(tái)等在舁 廳P系統(tǒng)軟件名稱版本軟件J商硬件平臺(tái)涉及應(yīng)用系統(tǒng)1234567891011注：包括操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等軟件13 / 27表1-14.業(yè)務(wù)數(shù)據(jù)情況調(diào)查填表人:日期:序 號(hào)業(yè)務(wù)（服 務(wù)）名稱主要功能 描述處理的業(yè) 務(wù)數(shù)據(jù)用戶數(shù)量用戶分布 范圍應(yīng)用系統(tǒng) 軟件名稱開發(fā) 商C/S 或 B/S是否24小 時(shí)運(yùn)行重要程度備注1

7、23456789注：1、用戶分布范圍欄填寫全國、全省、本地區(qū)、本單位2、重要程度欄填寫非常重要、重要、一般序 號(hào)業(yè)務(wù)數(shù)據(jù)名 稱涉及到的 業(yè)務(wù)應(yīng)用數(shù)據(jù)總量及日增量存放所在的服 務(wù)器名稱涉及存儲(chǔ)系統(tǒng)備份周期是否異地保 存重要程度備注12345678注：重要程度欄填寫非常重要、重要、一般15 / 27填表人：日期:表1-15.數(shù)據(jù)備份情況在舁 廳P備份數(shù)據(jù)名介質(zhì)類型備份周期保存期是否異地保存過期處理方法涉及應(yīng)用系統(tǒng)1234567891011注：備份數(shù)據(jù)名與表 1-12的數(shù)據(jù)名稱一致18 / 27表1-16.應(yīng)用系統(tǒng)軟件處理流程（多表）應(yīng)用系統(tǒng)軟件處理流程圖（應(yīng)用軟件名稱：）應(yīng)用系統(tǒng)軟件處理流程圖（應(yīng)

8、用軟件名稱：）注：重要應(yīng)用系統(tǒng)軟件應(yīng)該描述處理流程圖，說明主要處理步驟、過程、流向、涉及設(shè)備和用戶。如本頁不夠，請(qǐng)續(xù)頁。表1-17.業(yè)務(wù)數(shù)據(jù)流程（多表）數(shù)據(jù)流程圖（數(shù)據(jù)名稱：）數(shù)據(jù)流程圖（數(shù)據(jù)名稱：）注：重要數(shù)據(jù)應(yīng)該描述數(shù)據(jù)流程圖，從數(shù)據(jù)產(chǎn)生到傳輸經(jīng)過的主要設(shè)備，再到存儲(chǔ)設(shè)備等流程。如本頁不夠，請(qǐng)續(xù)頁。填表人：日期:表1-18.管理文檔情況調(diào)查制度類文檔在舁 廳P文檔要求相關(guān)文檔名稱備注1機(jī)構(gòu)總體安全方針和政策方面的管理制度2部門設(shè)置、崗位設(shè)置及工作職責(zé)定義方面的管理 制度3授權(quán)審批、審批流程等方面的管理制度4安全審核和安全檢查方面的管理制度5管理制度、操作規(guī)程修訂、維護(hù)方面的管理制度6人員錄

9、用、離崗、考核等方面的管理制度7人員安全教育和培訓(xùn)方面的管理制度8第二方人員訪問控制方面的管理制度9工程實(shí)施過程管理方面的管理制度10產(chǎn)品選型、采購方面的管理制度11軟件外包開發(fā)或自我開發(fā)方面的管理制度19 / 27在舁 廳P文檔要求相關(guān)文檔名稱備注12測(cè)試、驗(yàn)收方面的管理制度13機(jī)房安全管理方面的管理制度14辦公環(huán)境安全管理方面的管理制度15資產(chǎn)、設(shè)備、介質(zhì)安全管理方面的管理制度16信息分類、標(biāo)識(shí)、發(fā)布、使用方面的管理制度17配套設(shè)施、軟硬件維護(hù)方面的管理制度18網(wǎng)絡(luò)安全管理（網(wǎng)絡(luò)配置、帳號(hào)管理等）方面的 管理制度19系統(tǒng)安全管理（系統(tǒng)配置、帳號(hào)管理等）方面的 管理制度20系統(tǒng)監(jiān)控、風(fēng)險(xiǎn)評(píng)估

10、、漏洞掃描方面的管理制度21病毒防范方面的管理制度22系統(tǒng)變更控制方面的管理制度23密碼管理方面的管理制度24備份和恢復(fù)方面的管理制度在舁 廳P文檔要求相關(guān)文檔名稱備注25安全事件報(bào)告和處置方面的管理制度26應(yīng)急響應(yīng)方法、應(yīng)急響應(yīng)計(jì)劃等方面的文件27其它文檔注：請(qǐng)?jiān)谙嚓P(guān)文檔名稱欄填寫對(duì)應(yīng)的文檔名稱，如果相關(guān)內(nèi)容在多個(gè)文檔中涉及，填寫多個(gè)文檔名稱。記錄類文檔在舁 廳P記錄類文檔要求備注1機(jī)房出入登記記錄（包括第二方人員）2機(jī)房基礎(chǔ)設(shè)施維護(hù)記錄3各類會(huì)議紀(jì)要或記錄（部門內(nèi)、部門間協(xié)調(diào)會(huì)、領(lǐng)導(dǎo)小組）4各類評(píng)審和修訂記錄（安全管理制度評(píng)審和修訂記錄、體 系評(píng)審記錄等）5人員考核、審查、培訓(xùn)記錄（人員錄

11、用、人員定期考核）、 離崗手續(xù)6各項(xiàng)審批和批準(zhǔn)執(zhí)行記錄（來訪人員進(jìn)入機(jī)房審批、介質(zhì) /設(shè)備外帶審批、系統(tǒng)外聯(lián)審批等）7安全管理制度收發(fā)登記記錄8產(chǎn)品的選型測(cè)試結(jié)果記錄9系統(tǒng)驗(yàn)收測(cè)試記錄、10介質(zhì)歸檔、查詢等的登記記錄11主機(jī)系統(tǒng)、網(wǎng)絡(luò)、安全設(shè)備等的操作日志和維護(hù)記錄12機(jī)房日常巡檢記錄在舁 廳P記錄類文檔要求備注13對(duì)主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件等的監(jiān)控記錄和分析報(bào)告14惡意代碼檢測(cè)、升級(jí)記錄和分析報(bào)告15備份過程記錄16變更方案評(píng)審記錄和變更過程記錄17安全事件處理過程記錄18應(yīng)急預(yù)不培訓(xùn)、演練、審查記錄19其它記錄文檔證據(jù)類文檔在舁 廳P證據(jù)類文檔要求備注1資產(chǎn)清單2機(jī)構(gòu)安全管理人員崗位名單3

12、外聯(lián)單位聯(lián)系列表4人員保密協(xié)議5關(guān)鍵崗位安全協(xié)議6候選產(chǎn)品名單7信息系統(tǒng)定級(jí)報(bào)告或定級(jí)建議書8系統(tǒng)備案材料9近期和遠(yuǎn)期安全建設(shè)工作計(jì)劃、總體建設(shè)規(guī)劃書10性息設(shè)計(jì)方案11系統(tǒng)建設(shè)項(xiàng)目工程實(shí)施方案12系統(tǒng)驗(yàn)收測(cè)試方案在舁 廳P證據(jù)類文檔要求備注13系統(tǒng)測(cè)試、驗(yàn)收?qǐng)?bào)告14系統(tǒng)交付清單15變更力殺16變更申請(qǐng)書17信息系統(tǒng)定期安全檢查的檢查表和安全檢查報(bào)告18主要設(shè)備漏洞掃描報(bào)告19系統(tǒng)異常行為審計(jì)分析報(bào)告20機(jī)房安全設(shè)計(jì)和驗(yàn)收方面的文檔21總體安全策略等配套文件的專家論證文檔22與安全服務(wù)商或外包開發(fā)商簽訂的服務(wù)合同和安全協(xié)議23軟件開發(fā)設(shè)計(jì)和用戶指南等相關(guān)文檔（目錄體系框架或交 換原形系統(tǒng)）、軟

13、件測(cè)試報(bào)告表1-19.安全威脅情況表填表人：日期:在舁 廳P安全事件調(diào)查調(diào)查結(jié)果1是否發(fā)生過網(wǎng)絡(luò)安全事件口沒有 口1次/年 口2次/年 口3次以上/年 不清 安全事件說明：（時(shí)間、影響）2發(fā)生的網(wǎng)絡(luò)安全事件類型（多選） 感染病毒/蠕蟲/特洛伊木馬程序口拒絕服務(wù)攻擊口端口掃描攻擊 數(shù)據(jù)竊取 口破壞數(shù)據(jù)或網(wǎng)絡(luò)口篡改網(wǎng)頁口垃圾郵件 內(nèi)部人員后意破壞口內(nèi)部人員濫用網(wǎng)絡(luò)端口、系統(tǒng)資源 被利用發(fā)送和傳播后害信息口網(wǎng)絡(luò)詐騙和盜竊其它其它說明：3如何發(fā)現(xiàn)網(wǎng)絡(luò)安全事件（多選）口網(wǎng)絡(luò)（系統(tǒng)）管理員工作檢測(cè)發(fā)現(xiàn)口通過事后分析發(fā)現(xiàn)通過安全產(chǎn)品發(fā)現(xiàn)口有關(guān)部門通知或意外發(fā)現(xiàn)他人告知其它其它說明：4網(wǎng)絡(luò)安全事件造成損失評(píng)估口非常嚴(yán)重 嚴(yán)重 口一般口比較輕微口輕微口無法評(píng)估5可能的攻擊來源內(nèi)部 口外部 口都有 病毒 口其他原因口不清攻擊來源說明：6導(dǎo)致發(fā)生網(wǎng)絡(luò)安全事件的可能原因口未修補(bǔ)或防范軟件漏洞口網(wǎng)絡(luò)或軟件配置錯(cuò)誤口登錄密碼過十簡(jiǎn)單或未修改口缺少訪問控制 口攻擊者使用拒絕服務(wù)攻擊口攻擊者利用軟件默認(rèn)設(shè)置口利用內(nèi)部用戶安全管理漏洞或內(nèi)部人員作案內(nèi)部網(wǎng)絡(luò)違規(guī)連接互聯(lián)網(wǎng)口攻擊者使用欺詐方法口/、知原因 其它其它說明：在舁 廳P安全事件調(diào)查調(diào)查結(jié)果7是否發(fā)生過硬件故障啟造成的影響是：（注明時(shí)間、概