信息系统基本情况调查表

《省级政务信息系统调查表》填表说明为有效推动省级政务信息资源整合共享，准确掌握我省政务信息化发展现状，近期将组织省有关单位填报政务信息系统调查表，对全省政务信息系统进行专项普查。

政务信息系统调查表共设计6个调查子表，186个分项指标。

主要调查统计省级政务信息系统相关的单位基本情况、机房、网络、支撑系统、应用系统五个方面的情况。

调查表填表说明如下：一、总体要求1、政务信息系统调查表包括单位基本情况、机房、网络、支撑系统、应用系统、汇总表6个调查子表。

由于表格中填写项目存在相互关联关系，请严格按表格顺序依次完成填写。

2、填表范围：（1）涉密情况说明：本次填写包括绝密级以外的涉密网络、系统，填报过程中涉密、非涉密应分开填报，上报时须分开刻盘并明确标注。

（2）凡是由财政投资、政务和社会合作建设、政府购买服务、赠送（试用）的正在使用的基础设施资源、网络和系统，均需填报。

（3）企业资金建设（或投入资金中未包含政府资金）的情况，以及运行的网络和系统内不包含政府类数据的情况，此次暂不填报。

（4）本次填报主要针对在建、在用机房、网络、系统等，包括已立项批复但尚未启动采购工作的系统（按在建计）。

停用系统不需填报，尚未或正在申请立项、立项未通过的系统不需填报。

二、单位情况调查表单位情况调查表重点了解信息系统建设单位基本情况，由24个分项指标组成。

本部门及所有二级单位均需逐一在此表中填报，包括没有信息系统的、非独立办公的单位。

主要指标及填表说明包括：（一）单位名称填写部门及其所属二级单位名称，内设机构不必填写。

每个单位填写一行，请填写单位规范全称。

（二）地址填写单位详细地址，精确到门牌号。

如：XX省XX市XX 区XX路XX号。

（三）统一社会信用代码填写本单位的统一社会信用代码；没有的，填写组织机构代码。

（四）性质填写本单位性质，如行政、事业等。

（五）联系人填写本单位该项工作联系人姓名。

（六）联系方式电话：联系人电话，可填固话或手机号码，固话格式为：区号-总机号码-分机号码。

编号：DCB2014- XXXXXX信息系统基本情况调查表四川省软件和信息系统工程测评中心2016年月日共29 页第 1 页说明1、请提供信息系统的最新网络结构图（拓扑图）。

A、应该标识出网络设备、服务器设备和主要终端设备及其名称。

B、应该标识出服务器设备的IP地址。

C、应该标识网络区域划分等情况。

D、应该标识网络与外部的连接等情况。

E、应该能够对照网络结构图说明所有业务流程和系统组成。

（如果一张图无法表示，可以将核心部分和接入部分分别画出，或以多张图表示。

）2、请根据信息系统的网络结构图填写各类调查表。

共29 页第 2 页XXXXXX信息系统工程网络结构图（拓扑图）：共29 页第 3 页调查表清单表1-1 单位基本情况表1-2 参与人员名单表1-3 物理环境情况表1-4 信息系统基本情况表1-5 承载业务（服务）情况调查表1-6 信息系统网络结构（环境）情况调查表1-7 外联线路及设备端口（网络边界）情况调查表1-8 网络设备情况调查表1-9 安全设备情况调查表1-10 服务器设备情况调查表1-11 终端设备情况调查表1-12 系统软件情况调查表1-13 应用系统软件情况调查表1-14 业务数据情况调查表1-15 数据备份情况调查表1-16 应用系统软件处理流程调查表1-17 业务数据流程调查表1-18 管理文档情况调查表1-19 安全威胁情况调查共29 页第 4 页表1-1 单位基本情况共29 页第 5 页表1-2 参与人员名单共29 页第 6 页表1-3 物理环境情况共29 页第7 页表1-4 信息系统基本情况共29 页第8 页表1-5 信息系统承载业务（服务）情况2、业务信息类别一栏填写：a)国家秘密信息 b)非密敏感信息（机构或公民的专有信息） c)可公开信息。

3、重要程度栏填写：非常重要、重要、一般。

共29 页第9 页表1-6 信息系统网络结构（环境）情况共29 页第10 页表1-7 外联线路及设备端口（网络边界）情况共29 页第11 页表1-8 网络设备情况共29 页第12 页表1-9 安全设备情况共29 页第13 页表1-10 服务器设备情况2、包括数据存储设备。

表1系统基本情况检查记录表
表2 系统特征情况分析记录表
1逻辑强隔离指使用逻辑强隔离设备（使用正向、反向或双向网闸）进行的网络隔离。

表3 信息系统主要硬件检查记录表
表4 信息系统主要软件检查记录表
表5 工业控制系统类型与构成情况检查记录表
表6 信息技术外包服务检查结果记录表
表7 信息安全责任制建立及落实情况检查记录表
表8 日常安全管理制度建立和落实情况检查结果记录表
表9 信息安全经费投入情况表
表10 技术防护情况检查记录表
表11 应急处置及容灾备份情况检查结果记录表
表12 问题和威胁分析记录表
1111。

信息系统基本情况调查表XXX公司20XX-XX第 1 页共39 页1.信息系统基本情况调查表1、请提供信息系统的最新网络结构图（拓扑图）网络结构图要求：●应该标识出网络设备、服务器设备和主要终端设备及其名称●应该标识出服务器设备的IP地址●应该标识网络区域划分等情况●应该标识网络与外部的连接等情况●应该能够对照网络结构图说明所有业务流程和系统组成情况●如果一张图无法表示，可以将核心部分和接入部分分别划出，或以多张图表示。

以下为示例：第 2 页共39 页图示说明辑主机接入主机接入华天天融信安全网关核心交换机主核心交换机备天融信防火墙主天融信防火墙备心跳电信50M国务院XXX政府门户网站拓扑图安全管理区国新办天融信安全网关互联网接入DMZ区服务器接入安全管理区服务器接入拓扑图说明：XXX政府门户网站系统分布在三个不同物理区地点，东四IDC机房、华天大厦机房和国务院XXX机房。

系统在东四机房连接50M 互联网电信线路，向外发布网站服务。

在互联网与XXX政府门户网站边界之间部署防火墙，对内部网络通过安全策略进行防护，防火墙通过双机热备避免因防火墙出现单点故障造成业务中断。

XXX政府门户网站系统内部逻辑上划分为互联网接入区、安全管理区、核心交换区、DMZ区、网站后台服务管理区、用户接入区等六个区域。

互联网接入区包括两台天融信防火墙，一台互联网接入交换机，通过防火墙设置安全策略允许内部编辑人员和运维人员访问互联网，允许瑞星杀毒软件系统管理中心访问互联网升级病毒库；允许互联网用户访问DMZ区的门户网站。

互联网接入的交换机具有冷备，备用交换机已部署在机架上，出现故障时可手动切换。

第 3 页共39 页安全管理区内部署安全管理平台、终端管理系统以及CA服务器/SSLVPN，实现对内部网络的安全管理，在防火墙上配置访问控制策略，允许网络设备和安全设备向安全管理平台发送日志，允许安全管平台对网络设备实时监控，允许终端管理系统与编辑终端之间进行通讯，允许编辑终端访问CA服务器/SSLVPN。

附件4各地信息安全基本情况调查表一、系统基本情况梳理系统的实时性、服务对象、连接互联网情况、数据集中情况、灾备情况等基本情况，记录检查结果（表1）。

表1 系统基本情况检查记录表二、系统特征情况分析根据上述系统基本情况核查结果，分析系统停止运行后对主要业务的影响程度、系统遭受攻击破坏后对社会公众的影响程度等安全特征，记录分析结果（表2）。

1、系统停止运行后对主要业务的影响程度按如下标准判定：影响程度高：系统停止运行后，主要业务无法开展或对主要业务运行产生严重影响；1 逻辑强隔离指使用逻辑强隔离设备（使用正向、反向或双向网闸）进行的网络隔离。

影响程度中：系统停止运行后，对主要业务运行有一定影响，可用手工等传统方式替代；影响程度低：系统停止运行后，对主要业务运行影响较小或无影响。

2、系统遭受攻击破坏后对社会公众的影响程度按如下标准判定：影响程度高：系统遭受攻击破坏，造成系统无法正常运行、被劫持、信息泄露等后果后，对社会公众正常生活、公众利益等产生严重影响；影响程度中：系统遭受攻击破坏，造成系统无法正常运行、被劫持、信息泄露等后果后，对社会公众正常生活、公众利益等产生一定影响；影响程度低：系统遭受攻击破坏，造成系统无法正常运行、被劫持、信息泄露等后果后，对社会公众正常生活、公众利益等影响较小或无影响。

表2 系统特征情况分析记录表二、系统构成情况1. 检查主要硬件设备类型、数量、生产商（品牌）情况，记录检查结果（表3）。

硬件设备类型主要有：服务器、路由器、交换机、防火墙、磁盘阵列、磁带库及其他主要安全设备。

硬件设备生产商（品牌）按国内、国外两类进行记录。

其中，国内主要有浪潮、曙光、联想、方正、华为、中兴、天融信、启明星辰、绿盟、联想网御等，国外主要有IBM、HP、DELL、Cisco、Juniper、H3C等。

表3 信息系统主要硬件检查记录表2. 检查主要软件设备类型、套数、生产商（品牌）情况，记录检查结果（表4）。

信息系统等级测评文档准备指南电力行业等级保护测评中心华电卓识实验室2009年9月目录一、文档提交要求 (3)二、准备文档时需注意的问题 (3)附件一信息系统基本情况调查表 (5)表1-1. 单位基本情况 (7)表1-2. 参与人员名单 (8)表1-3. 物理环境情况 (9)表1-4. 信息系统基本情况 (10)表1-5. 信息系统承载业务（服务）情况 (11)表1-6. 信息系统网络结构（环境）情况 (12)表1-7. 外联线路及设备端口（网络边界）情况调查 (13)表1-8. 网络设备情况 (14)表1-9. 安全设备情况 (15)表1-10. 服务器设备情况 (16)表1-11. 终端设备情况 (17)表1-12. 系统软件情况 (18)表1-13. 应用系统软件情况 (19)表1-14. 业务数据情况 (20)表1-15. 数据备份情况 (21)表1-16. 应用系统软件处理流程（多表） (22)表1-17. 业务数据流程（多表） (23)表1-18. 安全威胁情况 (24)附件二信息系统安全技术方案 (26)附件三信息安全管理制度 (27)表3-1. 安全管理机构类文档 (27)表3-2. 安全管理制度类文档 (28)表3-3. 人员安全管理类文档 (29)表3-4. 系统建设管理类文档 (30)表3-5. 系统运维管理类文档 (32)一、文档提交要求当委托机构正式委托电力行业等级保护测评中心华电卓识实验室对其信息系统实施等级测评时，为了使测评人员在现场测评前期就能够对被评估系统有清晰而全面地了解，委托机构应根据申请的测评类型准备文档。

委托测评类型主要包括：●等级符合性检验●风险评估●渗透测试●方案咨询需准备的测评文档主要包括：●《信息系统基本情况调查表》●《信息系统安全技术方案》●《信息安全管理制度》●《其他》委托单位在准备测评文档时，应根据所申请的测评业务类型准备相应的文档。

二者对应关系如下：二、准备文档时需注意的问题●保证提交文档内容真实、全面、详细、准确●文档材料，纸版和电子版文档均可●提交文档时做好详细的文档交接记录附件一信息系统基本情况调查表1、请提供信息系统的最新网络结构图（拓扑图）网络结构图要求：●应该标识出网络设备、服务器设备和主要终端设备及其名称●应该标识出服务器设备的IP地址●应该标识网络区域划分等情况●应该标识网络与外部的连接等情况●应该能够对照网络结构图说明所有业务流程和系统组成如果一张图无法表示，可以将核心部分和接入部分分别划出，或以多张图表示。

等保系列之——网络安全等级保护测评工作流程及工作内容一、网络安全等级保护测评过程概述网络安全等级保护测评工作过程包括四个基本测评活动：测评准备活动、方案编制活动、现场测评活动、报告编制活动。

而测评相关方之间的沟通与洽谈应贯穿整个测评过程。

每一项活动有一定的工作任务。

如下表。

01基本工作流程①测评准备活动本活动是开展等级测评工作的前提和基础，是整个等级测评过程有效性的保证。

测评准备工作是否充分直接关系到后续工作能否顺利开展。

本活动的主要任务是掌握被测系统的详细情况，准备测试工具，为编制测评方案做好准备。

②方案编制活动本活动是开展等级测评工作的关键活动，为现场测评提供最基本的文档和指导方案。

本活动的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等，并根据需要重用或开发测评指导书测评指导书，形成测评方案。

③现场测评活动本活动是开展等级测评工作的核心活动。

本活动的主要任务是按照测评方案的总体要求，严格执行测评指导书测评指导书，分步实施所有测评项目，包括单元测评和整体测评两个方面，以了解系统的真实保护情况，获取足够证据，发现系统存在的安全问题。

④分析与报告编制活动本活动是给出等级测评工作结果的活动，是总结被测系统整体安全保护能力的综合评价活动。

本活动的主要任务是根据现场测评结果和《信息安全技术网络安全等级保护测评要求》GB/T28448-2023的有关要求，通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法，找出整个系统的安全保护现状与相应等级的保护要求之间的差距，并分析这些差距导致被测系统面临的风险，从而给出等级测评结论，形成测评报告文本。

02工作方法网络安全等级保护测评主要工作方法包括访谈、文档审查、配置检查、工具测试和实地察看。

访谈是指测评人员与被测系统有关人员（个人/群体）进行交流、讨论等活动，获取相关证据，了解有关信息。

访谈的对象是人员，访谈涉及的技术安全和管理安全测评的测评结果，要提供记录或录音。

信息系统基本情况调查表深圳市信息安全测评中心2009年7月说明1、请提供信息系统的最新网络结构图（拓扑图）网络结构图要求：应该标识出网络设备、服务器设备和主要终端设备及其名称应该标识出服务器设备的IP地址应该标识网络区域划分等级情况应该标识网络与外部的链接等情况应该能对照网络结构图说明所有业务流程和系统组成如果一张图无法表示，可以将核心部分和接入部分分别划出，或以多张图表示。

2、请根据信息系统的网络结构图填写各类调查表格表1-2. 参与人员名单填表人：日期：表1-3.物理环境情况填表人：日期：注：物理环境包括主机房、辅机房、办公环境等等表1-4.信息系统基本情况填表人：日期：表1-5.信息系统承载业务情况（服务）情况填表人：日期：2、业务信息类别一栏填写：a）国家秘密信息b）非密敏感信息（机构或公民的专有信息）c）可公开信息3、重要程度栏填写非常重要、重要、一般表1-6.信息系统网络结构（环境）情况填表人：日期：表1-7.外联线路及设备端口（网络边界）情况填表人：日期：表1-8.网络设备情况填表人：日期：表1-9.安全设备情况填表人：日期：表1-10服务器设备情况填表人：日期：2、包括数据存储设备表1-11.终端设备情况填表人：日期：2、包括专用终端设备及网管终端、安全设备控制台等表1-12.系统软件情况填表人：日期：表1-13.应用系统软件情况填表人：日期：表1-14.业务数据情况填表人：日期：表1-15.数据备份情况填表人：日期：表1-16.应用系统软件处理流程（多表）填表人：日期：表1-17业务数据流程（多表）填表人：日期：表1-18.管理文档情况填表人：日期：表1-19.安全威胁情况填表人：日期：。