信息安全风险评估表

1 表 1 基本信息调查 1 硬件资产情况 康建森 郭旭东 周长福 王海飞 1 1 网络设备情况 网络设备名称 型号 物理位置 所属网络 区域 IP 地址 掩码 网关 系统软件 及版本 端口类型 及数量 主要用途 是否热备 重要程度 1 2 安全设备情况 康建森 郭旭东 王海飞 安全设备名称 型号 软件 硬件 物理位 置 所属网络 区域 IP 地址 掩码 网 关 系统及运行 平台 端口类型及 数量 主要用途 是否热备 重要程 度 2 1 3 服务器设备情况 康建森 郭旭东 李国龙 陈召 张振军 王海飞 设备名称 型号 物理位置 所属网络 区域 IP 地址 掩码 网关 操作系统 版本 补丁 安装应用系统软 件名称 主要业务应 用 涉及数据 是否热备 1 4 终端设备情况 郭旭东 周长福 王海飞 终端设备名称 型号 物理位置 所属网络 区域 设备数量 IP 地址 掩码 网关 操作系统 安装应用系统软 件名称 涉及数据 主要用途 填写说明 网络设备 路由器 网关 交换机等 安全设备 防火墙 入侵检测系统 身份鉴别等 服务器设备 大型机 小型机 服务器 工作站 台式计算机 便携计算机等 终端设备 办公计算机 移动存储设备 重要程度 依据被检查机构数据所有者认为资产对业务影响的重要性填写非常重要 重要 一般 3 2 软件资产情况 所有人 2 1 系统软件情况 系统软件名称 版本 软件厂商 硬件平台 涉及应用系统 2 2 应用软件情况 应用系统软件名称 开发商 硬件 软件平台 C S 或 B S 模式 涉及数据 现有用户数量 主要用户角色 康仁堂药材采购招标系统 1 0 新敏 B S 招标采购数据 50 康仁堂采购部 填写说明 系统软件 操作系统 系统服务 中间件 数据库管理系统 开发系统等 应用软件 项目管理软件 网管软件 办公软件等 4 3 文档资产情况 所有人 各自整理相关系统文档 3 1 信息系统安全文档列表 文档类别 文档名称 填写说明 信息系统文档类别 信息系统组织机构及管理制度 信息系统安全设计 实施 运维文档 系统开发程序文件 资料等 5 4 信息系统情况 康建森 王海飞 4 1 系统网络拓扑图 网络结构图要求 1 应该标识出网络设备 服务器设备和主要终端设备及其名称 2 应该标识出服务器设备的 IP 地址 3 应该标识网络区域划分等情况 4 应该标识网络与外部的连接等情况 5 应该能够对照网络结构图说明所有业务流程和系统组成 如果一张图无法表示 可以将核心部分和接入部分分别画出 或以多张图表示 6 4 2 信息系统承载业务情况 所有人 信息系统名称 业务描述 业务处理信息 类别 用户数量 用户分布范围 重要程度 是否通过第三方安全 测评 康仁堂采购招标系统 药材的采购招标 50 填写说明 1 用户分布范围栏填写全国 全省 本地区 本单位 2 业务处理信息类别一栏填写 a 国家秘密信息 b 非密敏感信息 机构或公民的专有信息 c 可公开信息 3 重要程度栏填写非常重要 重要 一般 4 如通过测评 请填写时间和测评机构名称 4 3 信息系统网络结构情况 康建森 王海飞 网络区域名称 主要业务和信息描述 IP 网段地址 服务器 数量 与其连接的其它 网络区域 网络区域边 界设备 重要程度 备注 填写说明 1 网络区域主要包括 服务器域 数据存储域 网管域 数据中心域 核心交换域 涉密终端域 办公域 接入域和外联域等 2 重要程度填写非常重要 重要 一般 4 4 外联线路及设备端口 网络边界 情况 康建森 王海飞 外联线路名称 边界名称 所属网络区域 连接对象 接入线路种类 传输速率 带宽 线路接入设备 承载主要业务应用 备注 7 4 5 业务数据情况 所有人 数据安全性要求数据名称 数据使用者或管理 者及其访问权限 保密 完整 可用 数据总量及日增 量 涉及业务应用 涉及存储系统与 处理设备 采购招标数据 康仁堂采购部 10G 注 数据安全性要求每项填写高 中 底 4 6 数据备份情况 所有人 备份数据名 介质类型 备份周期 保存期 是否异地保存 过期处理方法 所属备份系统 备注 Bidding 每天 4 7 一年来信息安全事件情况 暂不写 安全事件类别 特别重大事 件次数 重大事件次数 较大事件次数 一般事件次数 线路接入设备 承载主要业务应用 备注 有害程序安全事件 网络攻击事件 信息破坏事件 信息内容安全事件 设备设施故障 灾害性事件 其它事件 注 安全事件的类别和级别定义请参照 GB Z20986 2007 信息安全事件分类分级指南