最新XXX系统安全风险评估调查表.doc

Four short words sum up what has lifted most successful individuals above the crowd: a little bit more.-author-dateXXX系统安全风险评估调查表信息系统安全风险评估报告XX系统安全风险评估调查表系统名称： 申请单位： 申请日期： -填 写 说 明1. 申请表一律要求用计算机填写，内容应真实、具体、准确。2. 如填写内容较多，可另加附页或以附件形势提供。3. 申报资料份数为纸版和电子版各一份。目 录填 写 说 明II目 录I一、申请单位信息2二、系统评估委托书3三、信息系统基本情况调查表4四、信息系统的最新网络拓扑图6五、根据信息系统的网络结构图填写各类调查表格。7表3-1. 第三方服务单位基本情况9表3-2. 项目参与人员名单10表3-3. 信息系统承载业务（服务）情况调查11表3-4. 信息系统网络结构（环境）情况调查12表3-5. 外联线路及设备端口（网络边界）情况调查13表3-6. 网络设备情况调查14表3-7. 安全设备情况调查15表3-8. 服务器设备情况调查16表3-9. 终端设备情况调查17表3-10. 系统软件情况调查18表3-11. 应用系统软件情况调查19表3-12. 业务数据情况调查20表3-13. 数据备份情况调查21表3-14. 应用系统软件处理流程调查（多表）22表3-15. 业务数据流程调查（多表）23表3-16. 管理文档情况调查24六、信息系统安全管理情况25七、信息系统安全技术方案25一、 申请单位信息申请单位全称（中文）： 申请单位全称（英文）： 单位性质： 上级主管部门： 地址： 邮政编码 单位网址： 法定代表人姓名： 职务： 联系人姓名： 职务： 联系方式： 电话： 传真： 手机： 电子邮箱：工商登记注册号（附企业法人营业执照副本或上级主管部门批准成立文件复印件）： 法人机构代码（附法人机构代码证副本复印件）： 密码主管部门的批文文号（附复印件）： 其他重要的法律文件附：代理人简况姓名性别年龄现任职务电话传真 电子邮箱邮政编码 通信地址二、 信息系统基本情况调查表系统名称系统规模承载的主要业务是否有业务子系统0是 0否业务子系统个数 个信息系统所属类型0属于一般企事业单位，处理其内部事务的信息系统。0属于重要行业、重要领域和国家基础设施，为国计民生、经济建设等提供重要服务的信息系统，或本身虽属一般企事业单位，但为党政或重要信息系统提供支撑服务的信息系统。0属于党政机关，处理国家事务的信息系统。系统业务信息类型0可以对外公开发布的信息，或不对外发布的单位内部一般信息。0法人和其他组织及公民的专有信息，例如内部敏感信息、关键技术数据、科技情报、商业秘密等。0涉及国家安全利益，影响国家经济建设的信息。系统业务依赖程度0业务处理流程的大部分可以通过手工方式或其他方式完成，自动化程度低。0业务处理流程的部分环节可以通过手工方式或其他方式替代完成，自动化程度中。0业务处理流程完全依赖信息系统，手工方式无法完成，自动化程度高。信息系统服务范围0地区范围的服务网络 0省级范围的服务网络 0全国范围的服务网络系统所含业务子系统名称是否跨省域0是 0否跨省域数 个跨省域名称系统总用户数量网络类型0局域网 0园区网 0城域网 0广域网 0其他类型 是否是涉及国家秘密的信息系统0是 0否系统是否采用符合国家规定的专用密码产品0是 0否信息系统确定安全保护等级情况信息系统的安全保护等级0一级 0二级 0三级 0四级 定级说明0初次定级 0重新定级三、 信息系统的最新网络拓扑图网络结构图要求：l 应该标识出网络设备、服务器设备和主要终端设备及其名称l 应该标识出服务器设备的IP地址l 应该标识网络区域划分等情况l 应该标识网络与外部的连接等情况l 应该能够对照网络结构图说明所有业务流程和系统组成如果一张图无法表示，可以将核心部分和接入部分分别划出，或以多张图表示。四、 根据信息系统的网络结构图填写各类调查表格。·设备统计表： 品 牌型 号类 型·对外IP统计表：型 号服 务IP 地 址调查表清单表3-1. 第三方服务单位基本情况表3-2. 第三方服务三维项目参与人员名单表3-3. 信息系统承载业务（服务）情况调查表3-4. 信息系统网络结构（环境）情况调查表3-5. 外联线路及设备端口（网络边界）情况调查表3-6. 网络设备情况调查表3-7. 安全设备情况调查表3-8. 服务器设备情况调查表3-9. 终端设备情况调查表3-10. 系统软件情况调查表3-11. 应用系统软件情况调查表3-12. 业务数据情况调查表3-13. 数据备份情况调查表3-14. 应用系统软件处理流程调查表3-15. 业务数据流程调查表3-16. 管理文档情况调查表3-1. 第三方服务单位基本情况填表人： 日期： 单位全称简称单位情况简介单位所属类型o 党政机关 o 国家重要行业、重要领域或重要企事业单位 V 一般企事业单位 o 其它类型单位地址邮政编码负责人姓名电话传真电子邮件地址联系人电话传真电子邮件地址上级主管部门注：情况简介一栏，请填写与被测评系统有关的机构的内容。表3-2. 项目参与人员名单填表人： 日期： 序号人员名称所属部门职务/职称负责范围联系方法123456789表3-3. 信息系统承载业务（服务）情况调查填表人： 日期： 序号业务（服务）名称业务描述业务处理信息类别用户数量用户分布范围涉及的应用系统软件是否24小时运行是否可以脱离系统完成重要程度责任部门12345注：1、用户分布范围栏填写全国、全省、本地区、本单位2、业务信息类别一栏填写：a)国家秘密信息b)非密敏感信息（机构或公民的专有信息）c)可公开信息3、重要程度栏填写非常重要、重要、一般表3-4. 信息系统网络结构（环境）情况调查填表人： 日期： 序号网络区域名称主要业务和信息描述IP网段地址服务器数量终端数量与其连接的其它网络区域网络区域边界设备重要程度责任部门备注123456注：重要程度填写非常重要、重要、一般表3-5. 外联线路及设备端口（网络边界）情况调查填表人： 日期： 序号外联线路名称(边界名称)所属网络区域连接对象名称接入线路种类传输速率（带宽）线路接入设备承载主要业务应用备注12345678910表3-6. 网络设备情况调查填表人： 日期： 序号网络设备名称型号物理位置所属网络区域IP地址/掩码/网关系统软件及版本端口类型及数量主要用途是否热备重要程度备注123456789注：重要程度填写非常重要、重要、一般表3-7. 安全设备情况调查 填表人： 日期： 序号网络安全设备名称型号(软件/硬件)物理位置所属网络区域IP地址/掩码/网关系统及运行平台端口类型及数量是否热备备注12345678910表3-8. 服务器设备情况调查填表人： 日期： 序号服务器设备名称型号物理位置所属网络区域IP地址/掩码/网关操作系统版本/补丁安装应用系统软件名称主要业务应用涉及数据是否热备重要程度12345678注：1、重要程度填写非常重要、重要、一般2、包括数据存储设备表3-9. 终端设备情况调查填表人： 日期： 序号终端设备名称型号物理位置所属网络区域设备数量IP地址/掩码/网关操作系统安装应用系统软件名称涉及数据主要用途重要程度12345678注：1、重要程度填写非常重要、重要、一般2、包括办公终端、专用终端设备以及网管终端、安全设备控制台等3、仅当本次评估范围包括办公终端时才需填写办公终端情况，按部门填写。表3-10. 系统软件情况调查填表人： 日期： 序号系统软件名称版本软件厂商硬件平台涉及应用系统12345678910注：包括操作系统、数据库系统等软件表3-11. 应用系统软件情况调查填表人： 日期： 序号应用系统软件名称开发商硬件/软件平台C/S或B/S模式涉及数据现有用户数量主要用户角色123456789表3-12. 业务数据情况调查填表人： 日期： 序号数据名称数据使用者或管理者及其访问权限数据安全性要求数据总量及日增量涉及业务应用涉及存储系统与处理设备保密完整可用12345678注：数据安全性要求每项填写高、中、低如本页不够，请续页填写。表3-13. 数据备份情况调查填表人： 日期： 序号备份数据名介质类型备份周期保存期是否异地保存过期处理方法所属备份系统123456789注：备份数据名与表3-12对应的数据名称一致表3-14. 应用系统软件处理流程调查（多表）填表人： 日期： 应用系统软件处理流程图（例如内容管理系统 ）应用系统软件处理流程图注：重要应用系统软件应该描绘处理流程图，说明主要处理步骤、过程、流向、涉及设备和用户。表3-15. 业务数据流程调查（多表）填表人： 日期： 数据流程图（数据名称：内容管理系统 ）数据流程图注：重要数据应该描绘数据流程图，从数据产生到传输经过的主要设备，再到存储设备等流程。表3-16. 管理文档情况调查填表人： 日期： 序号文档要求相关文档名称备注1机构总体安全方针和政策方面的管理制度2部门设置、岗位设置及工作职责定义方面的管理制度3授权审批、审批流程等方面的管理制度4安全审核和安全检查方面的管理制度5管理制度、操作规程修订、维护方面的管理制度6人员录用、离岗、考核等方面的管理制度7人员安全教育和培训方面的管理制度8第三方人员访问控制方面的管理制度9工程实施过程管理方面的管理制度10产品选型、采购方面的管理制度11软件外包开发或自我开发方面的管理制度12测试、验收方面的管理制度13机房安全管理方面的管理制度14办公环境安全管理方面的管理制度15资产、设备、介质安全管理方面的管理制度16信息分类、标识、发布、使用方面的管理制度17配套设施、软硬件维护方面的管理制度18网络安全管理（网络配置、帐号管理等）方面的管理制度19系统安全管理（系统配置、帐号管理等）方面的管理制度20系统监控、风险评估、漏洞扫描方面的管理制度21病毒防范方面的管理制度22系统变更控制方面的管理制度23密码管理方面的管理制度24备份和恢复方面的管理制度25安全事件报告和处置方面的管理制度26应急响应方法、应急响应计划等方面的文件27其他文档注：请在相关文档名称栏填写对应的文档名称，如果相关内容在多个文档中涉及，填写多个文档名称。五、 信息系统安全管理文档请提供表3-16中的安全管理文档。六、 信息系统安全技术方案信息系统安全技术方案应在信息系统高层安全策略的指导之下完成，包括网络层、主机层、应用层、数据层的安全设计方案。其具体的内容要求如下：1 信息系统业务体系、业务流、用户对象2 信息系统数据流3 信息系统网络拓扑、安全域、接口描述4 信息系统所包含数据信息的类别及相应处理原则5 信息系统应用层中使用的安全功能、安全技术及其实现6 信息系统基础设施层使用的安全功能、安全技术及实现（包括网络、主机、安全设备）7 业务数据的安全保护措施8 适用安全技术标准