信息安全风险评估调查表

《信息安全风险评估调查表》由会员分享，可在线阅读，更多相关《信息安全风险评估调查表（23页珍藏版）》请在金锄头文库上搜索。

1、表 1：基本信息调查1.单位基本情况单位名称单位地址（公章）联系人Email信息安全主管领导检查工作负责人（签字）（签字）联系电话填表时间职务职务2.1.网络设备情况网络设备名称型号物理位置所属网络 区域IP地址/掩码/网关系统软件及版本端口类型 及数量主要2.2.安全设备情况安全设备名称型号（软件/ 硬件）物理位 置所属网络 区域IP地址/掩码/网 关系统及运行 平台端口类型及 数量23服务器设备情况设备名称型号物理位置所属网络 区域IP地址/掩码/网关操作系统 版本/补丁安装应用系统软 件名称用2.4.终端设备情况终端设备名称型号物理位置所属网络 区域设备数量ip地址/掩码/网关操作系统安

2、装应 件名称填写说明 网络设备：路由器、网关、交换机等。 安全设备：防火墙、入侵检测系统、身份鉴别等。 服务器设备：大型机、小型机、服务器、工作站、台式计算机、便携计算机等。 终端设备：办公计算机、移动存储设备。重要程度：依据被检查机构数据所有者认为资产对业务影响的重要性填写非常重要、重要、一般。3.1.系统软件情况版本ME3.2.应用软件情况硬件/软件平台C/S或B/S模式填写说明 系统软件：操作系统、系统服务、中间件、数据库管理系统、开发系统等。 应用软件：项目管理软件、网管软件、办公软件等。4.服务资产情况5.人员资产情况6. 文档资产情况填写说明信息系统文档类别：信息系统组织机构及管理

3、制度、信息系统安全设计、实施、运维文档；系统开发程序文件、资7. 信息系统情况7.1、系统网络拓扑图网络结构图要求：1、应该标识出网络设备、服务器设备和主要终端设备及其名称；2、应该标识出服务器设备的IP地址；3、应该标识网络区域划分等情况；4、应该标识网络与外部的连接等情况；5、应该能够对照网络结构图说明所有业务流程和系统组成。如果一张图无法表示，可以将核心部分和接入部分分别画出，或以多张图表示。7.2、信息系统承载业务情况信息系统名称业务描述业务处理信息 类别用户数量用户分布范围填写说明:1、用户分布范围栏填写全国、全省、本地区、本单位2、业务处理信息类别一栏填写：a）国家秘密信息；b）非

4、密敏感信息（机构或公民的专有信息）；c）可公开信息3、重要程度栏填写非常重要、重要、一般4、如通过测评，请填写时间和测评机构名称。7.3、信息系统网络结构情况网络区域名称主要业务和信息描述ip网段地址服务器数量与其连接的其它 网络区域网络区域 界设备填写说明：1、网络区域主要包括： 服务器域、数据存储域、网管域、数据中心域、核心交换域、涉密终端域、办公域、接入2、重要程度填写非常重要、重要、一般。7.4、外联线路及设备端口（网络边界）情况外联线路名称（边界名称）所属网络区域连接对象接入线路种类传输速率（带宽）线路接入设备7.5、业务数据情况数据名称数据使用者或管理 者及其访问权限数据安全性要求

5、数据总量及日增量保密完整可用注:数据安全性要求每项填写高、中、底7.6、数据备份情况备份数据名介质类型备份周期保存期是否异地保存过期处理方法7.7、一年来信息安全事件情况安全事件类别特别重大事 件次数重大事件次数较大事件次数一般事件次数线路接入设备有害程序安全事件网络攻击事件信息破坏事件信息内容安全事件设备设施故障灾害性事件其它事件注：安全事件的类别和级别定义请参照GB/Z20986-2007信息安全事件分类分级指南10 / 22表 2：安全状况调查1. 安全管理机构 安全组织体系是否健全，管理职责是否明确，安全管理机构岗位 设置、人员配备是否充分合理。序号检杳项结果备注1.信息安全管理机构设

6、置以下发公文方式正式设置了信息安全管理工作的 专门职能机构。设立了信息安全管理工作的职能机构，但还不是专 门的职能机构。其它。2.信息安全管理 职责分工情况信息安全管理的各个方面职责有正式的书面分工， 并明确具体的责任人。有明确的职责分工，但责任人不明确。其它。3.人员配备配备一定数量的系统管理人员、网络管理人员、安 全管理人员等；安全管理人员不能兼任网络管理员、 系统管理员、数据库管理员等。配备一定数量的系统管理人员、网络管理人员、安 全管理人员等，但安全管理人员兼任网络管理员、系 统管理员、数据库管理员等。其它。4.关键安全管理 活动的授权和 审批定义关键安全管理活动的列表，并有正式成文的

7、审 批程序，审批活动有完整的记录。有正式成文的审批程序，但审批活动没有完整的记 录。其它。5.与外部组织沟 通合作与外部组织建立沟通合作机制，并形成正式文件和 程序。与外部组织仅进行了沟通合作的口头承诺。其它。6.与组织机构内 部沟通合作各部门之间建立沟通合作机制，并形成正式文件和 程序。各部门之间的沟通合作基于惯例，未形成正式文件 和程序。其它。2. 安全管理制度安全策略及管理规章制度的完善性、可行性和科学性的有关规章 制度的制定、发布、修订及执行情况。检杳项结果备注1信息安全朿略明确信息安全策略，包括总体目标、范围、原则 和安全框架等内容。包括相关文件，但内容覆盖不全面。其它2安全管理制度

8、安全管理制度覆盖物理、网络、主机系统、数据、 应用、建设和管理等层面的重要管理内容。有安全管理制度，但不全而面。其它。3操作规程应对安全管理人员或操作人员执行的重要管理操 作建立操作规程。有操作规程，但不全面。其它。4安全管理制度 的论证和审定组织相关人员进行正式的论证和审定，具备论证 或审定结论。其它。5安全管理制度 的发布文件发布具备明确的流程、方式和对象范围。部分文件的发布不明确。其它。6安全管理制度 的维护有正式的文件进行授权专门的部门或人员负责安 全管理制度的制定、保存、销毁、版本控制，并定期 评审与修订。安全管理制度分散管理，缺乏定期修订。其它。7执行情况所有操作规程的执行都具备详

9、细的记录文档。部分操作规程的执行都具备详细的记录文档。其它。3. 人员安全管理人员的安全和保密意识教育、安全技能培训情况，重点、敏感岗位人员有无特殊管理措施以及对外来人员的管理情况。序号检杳项结果备注1.重点、敏感 岗位人员 录用和审 查为与信息安全密切相关的重点、敏感岗位人员制定特殊 的录用要求。对被录用人的身份、背景和专业资格进行审 查，对技术人员的技术技能进行考核，有严格的制度规定 要求。其它。2保密协议 的签署与从事关键岗位的人员签署保密协议，包括保密范围、 保密责任、违约责任、协议的有效期限和责任人签字等内 容。其它。3人员离岗规范人员离岗过程，有具体的离岗控制方法，及时终止 离岗人

10、员的所有访问权限并取回各种身份证件、钥匙、徽 章等以及机构提供的软硬件设备。其它。4安全意识 教育根据岗位要求进行有针对性的信息安全意识培训。未根据岗位要求进行有针对性的信息安全意识培训，仅 开展全员安全意识教育。其它。5安全技能 培训制定了有针对性的安全技能培训计划，培训内容包含信 息安全基础知识、岗位操作规程等，并认真实施，而且有 培训记录。安全技能培训针对性不强，效果不显著。其它。6在岗人员 考核定期对所有人员进行安全技能及安全知识的考核，对重 点、敏感岗位的人员进行全面、严格的安全审查。仅对重点、敏感岗位的人员进行全面、严格的安全审查， 未普及到全员。其它。7惩戒措施告知人员相关的安全

11、责任和惩戒措施，并对违反违背安 全朿略和规定的人员进行惩戒。有惩戒措施，但效果不佳。其它。8外部人员 访问管理外部人员访问受控区域前得到授权或审批，批准后由专 人全程陪同或监督，并登记备案。外部人员访问受控区域前得到授权或审批，但不能全程 陪同或监督。其它。4. 系统建设管理 关键资产采购时是否进行了安全性测评，对服务机构和人员的保 密约束情况如何，在服务提供过程中是否采取了管控措施。信息系统 开发过程中设计、开发和验收的管理情况。序号检杳项结果备注1关键资产采 购时进行安 全性测评相关专门部门负责产品的采购，产品的选用符合 国家的有关规定。资产采购之前进行选型测试，确定产品 的候选范围，具有产品选型测试结果、候选产品名单审定 记录或更新的候选产品名单，经过主