信息系统基本信息调查表模板

第第页共39页表1-3.物理环境情况填表人： 日期：序号物理环境名称物理位置涉及信息系统1XXX主机房XXX大厦XX层所有信息系统2办公环境XXX大厦XX层日常办公计算机34567注：物理环境包括主机房、辅机房、办公环境等。

表1-4.信息系统基本情况填表人： 日期：序号信息系统名称安全保护等级G业务信息安全保护等级S系统服务安全保护等级A承载业务应用1办公自动化系统二级二级二级日常公文流转2综合管理信息系统二级二级二级财务、人力、资产等3部门政府门户网站三级三级三级对公众发布新闻报道，介绍中国的内外方针政策、经济社会发展情况456789

表1-5.信息系统承载业务（服务）情况填表人： 日期：序号业务（服务）名称业务描述业务处理信息类别用户数量用户分布范围涉及的应用系统软件是否24小时运行重要程度责任部门1办公自动化应用该系统完成日常办公相关业务非密敏感信息2000集团OA系统是重要办公厅2ERP系统完成财务、采购、销售、设备等业务管理非密敏感信息11119集团ERP是非常重要财务管理部345678注：1、用户分布范围栏填写全国、全省、本地区、本单位2、业务信息类别一栏填写：a）国家秘密信息b）非密敏感信息（机构或公民的专有信息）c）可公开信息3、重要程度填写非常重要、重要、一般

表1-6.信息系统网络结构（环境）情况填表人： 日期：序号网络区域名称主要业务和信息描述IP网段地址服务器数量终端数量与其连接的其它网络区域网络区域边界设备重要程度责任部门备注1办公区域负责所有信息系统的承载、员工互联网访问。391二级企业本地网接入层设备到集团核心交换重要信息管理部2345注：重要程度填写非常重要、重要、一般

表1-7.外联线路及设备端口（网络边界）情况调查填表人： 日期：序号外联线路名称（边界名称）所属网络区域连接对象名称接入线路种类传输速率（带宽）线路接入设备承载主要业务应用备注1中国电信办公区域互联网光纤20MCISCO38252中国联通办公区域互联网光纤30MCISCO2825345678910

表1-8.网络设备情况填表人： 日期：序号网络设备名称品牌型号物理位置所属网络区域IP地址/掩码/网关操作系统端口类型及数量主要用途是否热备重要程度备注1互联网专线负载均衡设备1优势OM10002互联网专线负载均衡设备2优势OM10003ERP应用系统负载均衡设备1F516004ERP应用系统负载均衡设备2F516005ERP设备接入交换机CISCO37506ERP服务器接入交换机CISCO29607ERP管理设备接入交换机CISCO29608网络核心交换机（主）CISCO6509

9网络核心交换机（备）CISCO650910中心路由器1CISCO750711接网通专线internet路由器CISCO282512接电信专线internet路由器CISCO382513中心路由器2（原进出口公司）CISCO720614中心路由器（备用，原ISDN）CISCO7206注：重要程度填写非常重要、重要、一般

表1-9.安全设备情况填表人： 日期：序号网络安全设备名称品牌型号（软件/硬件）物理位置所属网络区域IP地址/掩码/网关操作系统端口类型及数量是否热备备注1局域网上网行为管理设备网康NS25002互联网病毒防火墙设备安启华5003反垃圾邮件网关设备敏迅1004SSLVPN接入网络设备CITRIX20105IDS入侵检测设备启明NS5006互联网专线防火墙（主）PIX5257互联网专线防火墙（备）PIX5258深信服VPN设备1（两台负载均衡）深信服4.39深信服VPN设备2（两台负载均衡）深信服4.3

表1-10.服务器设备情况填表人： 日期：序号服务器设备名称品牌型号物理位置所属网络区域IP地址/掩码/网关操作系统版本/补丁安装应用系统软件名称主要业务应用涉及数据是否热备重要程度1ERP服务器AP1P595501服务器VLAN172.16.0.201Aix6.1EBS应用程序ERP应用程序ERP应用程序负载均衡非常重要2ERP服务器DB1P595501服务器VLAN172.16.0.202Aix6.1EBS数据库ERP数据库ERP数据库程序RAC非常重要3ERP服务器BI1P595501服务器VLAN172.16.0.203Aix6.1海波龙报表数据库海波龙报表数据库海波龙报表数据库否重要4ERP服务器AP2P595501服务器VLAN172.16.0.204Aix6.1EBS应用程序ERP应用程序ERP应用程序负载均衡非常

重要5ERP服务器DB2P595501服务器VLAN172.16.0.205Aix6.1EBS数据库ERP数据库ERP数据库程序RAC非常重要6ERP服务器BI2P595501服务器VLAN172.16.0.206Aix6.1测试环境测试环境测试环境否般7ERP测试开发培训服务器DEVP570501服务器VLAN172.16.0.220Aix6.1测试环境测试环境测试环境否般8ERP测试开发培训服务器TEST1P570501服务器VLAN172.16.0.221Aix6.1测试环境测试环境测试环境否般9ERP测试开发培训服务器TEST2P570501服务器VLAN172.16.0.222Aix6.1测试环境测试环境测试环境否般10ERP存储设备DS8100501服务器VLAN无无ERP生产数据ERP生产数据ERP生产数据否非常重

要11ERP存储设备DS4700501服务器VLAN无无ERP测试开发数据ERP测试开发数据ERP测试开发数据否般12邮件服务器1（主）P740501服务器VLAN172.16.0.245Aix6.1邮件邮件邮件冷备非常重要13邮件服务器2（备）P740501服务器VLAN172.16.0.246Aix6.1邮件邮件邮件冷备非常重要14OA服务器1（主）P740501服务器VLAN172.16.0.247Aix6.1OAOAOA冷备非常重要15OA服务器2（备）P740501服务器VLAN172.16.0.248Aix6.1OAOAOA冷备非常重要

16OA存储DS5300501服务器VLAN无无邮件及OA数据存储邮件及OA数据存储邮件及OA数据存储无非常重要17mail归档1X3850501服务器VLAN172.16.0.197WIN2003企业版mail归档mail归档mail归档无重要18mail归档2X3850501服务器VLAN172.16.0.250WIN2008标准版mail归档mail归档mail归档无重要19移动办公系统X3850501服务器VLAN172.16.0.97WIN2003企业版移动办公系统移动办公系统移动办公系统无重要20移动终端管理Afaria系统X3850501服务器VLAN172.16.0.50WIN2008企业版移动终端管理Afaria系统移动终端管理Afaria系统移动终端管理Afaria系统无重要21电子印章SQLX3850501服务器VLAN172.16.0.9WIN2003标准版电子印章SQL电子印章SQL电子印章SQL无重要注：1、重要程度填写非常重要、重要、一般2、包括数据存储设备第20页共39页第第21页共39页第第21页共39页表1-11.终端设备情况填表人： 日期：序号终端设备名称品牌型号物理位置所属网络区域设备数量IP地址/掩码/网关操作系统安装应用系统软件名称涉及数据主要用途重要程度1管理员笔记本X200601公司内网1172.16.5.6Win7SecureCRT远程桌面运维数据OA、ERP生产服务器AIX系统及硬件操作重要2服务器DL380501服务器VLAN1172.16.0.41WIN2003SecureCRT远程桌面运维数据OA、ERP生产服务器AIX系统及硬件操作重要192.16.2.1非3HMC501直连4192.16.3.1192.16.4.1linux硬件管理控制台P595\P570\P740用于管理OA、ERP硬件服务器常重12.12.12.16要注：1、重要程度填写非常重要、重要、一般2、包括专用终端设备以及网管终端、安全设备控制台等

表1-12.系统软件情况填表人： 日期：序号系统软件名称版本软件厂商硬件平台涉及应用系统1LotusDomino8.5IBMP740办公自动化系统2Indi.OfficeV4.5慧点科技P740办公自动化系统3OracleDatabase11.1.0.7OracleAIXERP系统4OracleClusterware11.1.0.7OracleAIXERP系统5注：包括操作系统、数据库系统等软件

表1-13.应用系统软件情况填表人： 日期：序号应用系统软件名称开发商硬件/软件平台C/S或B/S模式涉及数据现有用户数量主要用户角色1办公自动化系统慧点科技Ibmp740IBMLotusDomino8.5/Indi.Officev4.5B/S公文管理数据、行政管理数据、集团化管理数据、用户及权限管理数据、日志数据等2000管理员、公司内部职员2Oraclee-BusinessSuiteOracleIBMP595双主机,IBM8100存储/AIXB/S财务/人力/生产等11119管理员/公司内部员工3

表1-14.业务数据情况填表人： 日期：序号数据名称数据类别数据使用者或管理者及其访问权限数据安全性要求数据总量及日增量涉及业务应用涉及存储系统与处理设备保密完整可用1办公日常公文处理数据日常公文处理人员中高高300G/150M办公自动化服务器p7402ERP系统公司各业务部门员工高高高1200G每天约1G增量财务/人力/生产/库存等IBM8100存储/IBMP595服务器345注：数据安全性要求每项填写高、中、低如本页不够、请继页填写。数据类别如鉴别数据、管理信息和业务数据等，而业务数据可从安全防护需求（保密、完整等）的角度进一步细分

表1-15.数据备份情况填表人： 日期：序号备份数据名介质类型备份周期保存期是否异地保存过期处理办法所属备份系统1ERP系统虚拟带库+物理带库每周四周日全备，每天增量备3个月是删除T7650+T3310+TSM2345注：备份数据名与表1-12对应的数据名称一致

表1-16.应用系统软件处理流程（多表）填表人： 日期：应用系统软件处理流程图（应用软件名称： ）应用系统软件处理流程图（应用软件名称： ）注：重要应用系统软件应该描绘处理流程图，说明主要处理步骤、过程、流向、涉及设备和用户。如本页不够，请续页填写。表1-17.业务数据流程（多表）填表人： 日期：数据流程图（数据名称：财务凭证处理流程图）数据流程图（数据名称：采购标准结算流程图）第第28页共39页第第28页共39页17—财务人员总账会计20提交审批业务部门人员一递交原始凭证原始单—据10审核原始凭证如果审核通过

，则进入17一总账会计总账会计80□果审批不通过，则进入第第21页共39页第第21页共39页第第29页共39页注：重要数据应该描绘数据流程图，从数据产生到传输经过的主要设备，再到存储设备等流程

表1-18.安全威胁情况填表人： 日期：序号安全事件调查调查结果1是否发生过网络安全事件□没有□l次/年端次/年常次以上/年□不清楚安全事件说明：（时间、影响）2发生的网络安全事件类型（多选）感染病毒/蠕虫/特洛伊木马程序 □拒绝服务攻击 □端口扫描攻击数据窃取□破坏数据或网络 □篡改网页 □垃圾邮件内部人员有意破坏 □内部人员滥用网络端口、系统资源被利用发送和传播有害信息 □网络诈骗和盗窃 □其他其他说明：3如何发现网络安全事件（多选）网络（系统）管理员工作检测发现□通过事后分析发现通过安全产品发现 □有关部门通知或意外发现他人告知 □其他其他说明：4网络安全事件造成损失评估□非常严重 □严重 □一般 □比较轻微 □轻微 □无法评估5可能的攻击来源□内部 □外部 □都有 □叫 □其他原因 □不清楚6导致发生网络安全事件的可能原因未修补或防范软件漏洞 □网络或软件配置错误□登陆密码过于简单或未修改缺少访问控制 □攻击者使用拒绝服务攻击攻击者方」用软件默认设置 □利用内部用户安全管理漏洞或内部人员作案

□内部网络违规连接互联网口攻击者使用欺诈方法□不知原因 □其他其他说明：7是否发生过硬件故障□有 （注明时间、频率） □无造成的影响是8是否发生过软件故障□有 （注明时间、频率） □无造成的影响是9是否发生过维护失误□有 （注明时间、频率） □无造成的影响是10是否发生过因用户操作失误引起的安全事件□有 （注明时间、频率） □无造成的影响是11是否发生过物理设施/设备被物理破坏□有 （注明时间、频率） □无造成的影响是12有无遭受自然性破坏（如雷击等）□有 （注明时间、频率） □无有请注明时间、事件后果13有无发生过莫名其妙的故障□有 （注明时间、频率） □无有请注明时间、事件后果2.信息安全管理制度表2-1.安全管理机构类文档安全管理机构提交文档名称提交人提交时间制度类1《部门设置、岗位设置及工作职责定义方面的管理制度》XXX公司信息化工作管理办法（试行）2《安全保障人事管理制度》信息技术管理中心岗位替补管理办法3《授权和审批流程》4《安全审批和安全检查方面的管制制度》证据类5《机构安全管理人员岗位名单》表1-26《外联单位联系列表》记录类7《各类会议纪要或记录（部门内、部门间协调会、领导小组）》其他

表2-2.安全管理制度类文档安全管理制度提交文档名称提交人提交时间制度类1《机构总体安全方针和政策方面的管理制度》XXX公司信息化总体规划2《管理制度、操作规程修订、维护方面的管理制度》3《安全管理制度改收发规范》4《授权审批、审批流程等方面的管理制度》证据类5《总体安全策略等配套文件的专家论证文档》记录类6《安全管理制度的收发登记记录》7《各类评审和修订记录》（安全制「度和体系）其他

表2-3.人员安全管理类文档人员安全管理提交文档名称提交人提交时间制度类1《人员录用、离岗、考核等方面的管理制度》XXX公司所属企业信息化工作考核办法2《人员安全教育和培训方面的管理制度》3《第三方人员访问控制方面的管理制度》证据类4《人员保密协议》5《关键岗位安全协议》6《离岗人员保密协议》记录类7《人员考核、审查、培训记录（人员录用、人员定期考核）、离岗手续》8《各项审批和批准执行记录（来访人员进入机房审批、介质/设备外带审批、系统外联审批等）》（外联接入、服务访问、配置变更、采购、外来人员访问和管理）其他

表2-4.系统建设管理类文档系统建设管理提交文档名称提交人提交时间制度类1《产品选型、采购方面的管理制度》信息技术管理中心采购管理办法（试行）2《软件外包开发或自我开发方面的管理制度》XXX公司应用软件开发和管理制度3《工程实施过程管理方面的管理制度》4《测试、验收方面的管理制度》证据类5《信息系统定级报告或定级建议书》6《近期和远期安全建设工作计划、总体建设规划书》本次项目负责提供7《详细设计方案》8《候选产品名单》9《软件开发协议》10《与安全服务商或外包开发商签订的服务合同和安全协议》11《软件开发设计和用户指南等相关文档（目录体系框架或交换原形系统）、软件测试报告》12《工程实施方案》13《系统交付清单》14《系统验收测试方案》15《系统测试、验收报告》

16《系统备案材料》《信息系统安全等级保护备案表》17《前一次测评报告》无（本次为初次测评）18《测评资质条件》记录类19《产品的选型测试结果记录》20《系统验收测试记录、报告》其他

表2-5.系统运维管理类文档系统运维管理提交文档名称提交人提交时间制度类1《机房安全管理方面的管理制度》XXX司计算机机房管理制度2《办公环境安全管理方面的管理制度》XXX公司总部客户端计算机及相关设备支持服务管理办法（试行）3《资产、设备、介质安全管理方面的管理制度》4《信息分类、标识、发布、使用方面