系统调研报告模板.docx

上海观安信息技术股份有限公司系统调研报告模版TSC-RA-4-02本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属上海观安信息技术股份有限公司和客户公司所有，受到有关产权及版权法保护。任何个人、机构未经上海观安信息技术股份有限公司和客户公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。修订历史记录版本号拟制人/修改人拟制/修改日期审批人更改原因主要更改内容（写要点即可）VLO陈芳2019-10-26李俊定稿目录1 .概述41.1. 项目背景41.2. 调研对象41. 3.调研依据41.4. 调研方法42. XXX应用系统调研52.1.XXX系统现状52. 1.1.XXXX信息安全制度体系建设情况53. 1.2.XXXX技术体系建设53 .调研总结64 .后续工作及建议61.概述1.1. 项目背景为加强【客户】公司应用系统的信息安全管理，了解【客户】在信息系统部门的XXX应用系统在各业务环节的安全保障程度，摸清与客户信息安全保障相关的制度及控制手段的落实情况，为进一步提升客户信息安全管控提供依据。响应通用总公司的年重点工作的要求，在领导的协调下，观安信息开展了本次应用系统的现状调研活动。1.2. 调研对象XXXX1.3. 调研依据本项目的调研主要参照了以下标准：ISO27001：信息安全管理体系要求。世界广泛采用的关于信息安全管理体系的国际标准；ISO13335：信息技术安全管理指导。有效实施IT安全管理的建议和指南；GB/T22239-2008：信息系统安全等级保护基本要求。关于信息系统安全等级保护的中国国家标准；OWASPChecklistsOWASP（OpenWebApplicationSecurityProject,开放式Web应用程序安全项目）是一个非营利性的开放组织，其主要目标是制定Web应用安全标准与技术文件、开发WCb应用安全工具；1. 4.调研方法对XXX系统的调研主要采取以下方法：/根据项目需求结合【客户】的实际情况，制定相应的调研表，采集调研信息；/现场调研、人员访谈，实时收集资料；/电话、邮件等联系方式，跟踪调研进度;2. XXX应用系统调研2.1. XXX系统现状正文。2. 1.1.XXXX信息安全制度体系建设情况本次调研访谈工作中，就XXX的系统XXXX相关活动等情况进行了充分的了解，同时对涉及到的信息安全制度在原有调阅的基础上进行补充调阅，累计共调阅原文件XXX个。从人员访谈以及信息安全制度的调阅分析了解到：当前XXXX系统的建设包括了数据芟会物理安全、主机安全、应用安全、终端安全、帐号权限管理等与客户信息相关的制度。其中与XXX系统关系最强的文件是XXX,细则中对客户信息的分级、操作管理、技术管控、安全审核等提出了具体的要求，这些要求也是本次调研最主要的参考依据之一。序号安全域制度数1数据安全42主机安全23应用安全64终端安全25账号权限管理46物理安全22.1. 2.XxXX技术体系建设当前XXX已采用的技术控制措施包括：安全域划分：网络已按不同安全级别划分安全域，XXX部署在核心安全域，安全域边界部署了防火墙、IDS等防护手段；系统终端安全管理：采用了以AD域管理与F8终端管理工具相结合的终端安全管理机制。系统安全加固：所有的客户信息系统都定期进行风险评估，进行安全加固，通过这种加固，来减少系统自身存在的各种安全风险。上线前的安全评估、基线审核，封堵和修补系统、数据库、中间件、应用层的漏洞，升级安全补丁，防止系统被攻击和入侵。3 .调研总结正文。4 .后续工作及建议正文。