信息系统资产评估报告实例docWord文件下载.docx

1、保障设备6种保障设备通讯线路140条线路软件资产系统软件软件资产调查表11套主机系统赵白、串广义应用软件4套应用系统梁志、梁立新、朱宁宁人员资产中心人员人员资产调查表9人调查访谈、文档检查数据资产信息数据数据资产调查表征管系统数据赵白、梁立新、朱宁宁文档资产资料文档文档资料调查表224个相关文档梁立新、朱宁宁2.3 信息资料识别XX市地税局的信息资产是指在XX市地税局信息系统范围内，具有价值并需要保护的对象。它可能是以多种形式存在，有无形的、有有形的，有硬件、有软件，有数据，也有服务等。它们分别具有不同的价值属性和存在特点，存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。参照国家最

2、新信息安全风险评估规范对信息资产的描述和定义，并结合XX市地税局的基本情况，我们将XX市地税局的信息资产分为5类，分别为：硬件资产、软件资产、数据资产、人员资产、文档资产，以下为本次调查的结果。2.3.1 硬件资产国家信息安全风险评估规范把硬件资产分为以下7大类：1. 网络设备：路由器、网关、交换机等；2. 计算机设备：大型机、小型机、服务器、工作站、台式计算机、便携计算机等；3. 存储设备：磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等；4. 传输线路：光纤、双绞线等；5. 保障设备：动力保障设备（UPS、变电设备等）、空调、保险柜、文件柜、门禁、消防设施等；6. 安全保障设备：防火墙、入侵

3、检测系统、身份鉴别等；7. 其他：打印机、复印机、扫描仪、传真机等。根据XX市地税局实际情况并结合信息安全风险评估规范，我们把XX市地税局的硬件资产分为以下6大类进行分别的调查识别：1. 主机设备：2. 网络设备：3. 安全设备：和信息安全相关的设备；4. 存储设备：5. 传输线路：6. 保障设备：动力保障设备（UPS、变电设备等）、空调、保险柜、文件柜、门禁、消防设施等。2.3.1.1 主机设备序号设备名称硬件型号硬件配置IP地址操作系统用途说明1SJZ_NODE1IBM RS6000RS64 III750MHZ*4 8*512MB*2 18.2GB*2XX.20.225.1AIX征管业务系

4、统数据库2SJZ_NODE2RS64 III750MHZ*4 8*512MB*2 18.2GB*3XX.20.225.33ZG-APP1IBM x440XEON 2.4G*2 4GB 36.4GB*2 XX.20.225.19Win2000 SRV征管业务系统应用4SJAPP2XX.20.225.215SJAPP3XX.20.225.236SJAPP4XX.20.225.257sjdc1XX.20.225.10DC主域控制器8sjdc2XX.20.225.119IBM x366XEON 2.8G*4 4GB 72GB*3XX.20.225.71税收管理员应用10sjz-oa-webHP D36

5、0XEON 3.0G*2 2GB 72GB*2 XX.20.224.10（11）www服务器11sjzds-odpsXX.20.224.19（9）公文流转服务器/瑞星杀毒服务器12XX.168.10.2互联网服务器2.3.1.2 网络设备出产厂商用途安装日期sj7513XX.20.231.254Cisco 7513思科核心路由器2003年5月sj4506XX.20.231.1Cisco 4506核心交换机f5XX.20.225.18负载均衡器2005年9月2.3.1.3 安全设备设备形态品牌IPS硬件XX.20.225.251绿盟冰之眼2.3.1.4 存储设备出产厂商sjnasXX.20.22

6、5.165194-226IBMnas 200Windows 2000 Srv磁盘阵列2.3.1.5 保障设备物理地址UPS机房UL33-0600LEmerson network powerEMERSON停电时供机房所有设备电源空调S23DW001HIROSS机房制冷设备防雷配电柜VAL-MSPhcenixPHCENIX机房防雷设备视频监控器ARES机房视频监控动力、环境监测机房电力、防水监控气体消防系统LD-KP06海湾安全技术有限公司GST机房自动消防系统2.3.1.6 通讯线路用户名称线路供应商端口速率单位责任人市局网通2M*115各税务所各单位8M*25各县（市）区局2.3.2 软件资产

7、国家信息安全风险评估规范把软件资产分为以下3大类：1. 系统软件：操作系统、语句包、工具软件、各种库等；2. 应用软件：外部购买的应用软件，外包开发的应用软件等；3. 源程序：各种共享源代码、自行或合作开发的各种代码等。根据XX市地税局实际情况并结合信息安全风险评估规范，我们把XX市地税局的软件资产分为以下2大类进行分别的调查识别：外部购买的应用软件，外包开发的应用软件等。2.3.2.1 系统软件系统名称版本号对应主机资产应用服务软件服务期限windows 2000 servertcp/ip 8020 8090 80Microsoft是tcp/iptcp/ip XX.20.225.14tcp/

8、ip 110 25 804.3.3IbmOracle9.2.0.1tcp/ip 1521甲骨文2.3.2.2 应用软件应用软件名称软件版本号XX地税税收征收管理系统2005版北京华安通联有限责任公司2.3.3 数据资产国家信息安全风险评估规范把数据资产定义为保存在信息媒介上的各种数据资料，包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等根据XX市地税局实际情况并结合信息安全风险评估规范，我们把XX市地税局数据资产的评估范围设定在核心征管系统的数据库数据。数据名称分发范围数据期限税收征管相关资料反映纳税人相关情况地税系统内部XX.20.225.1 XX.20.225.3税收

9、征管系统10年2.3.4 文档资产国家信息安全风险评估规范文档资产定义为纸质的各种文件，如传真、电报、财务报告、发展计划等。根据XX市地税局实际情况并结合信息安全风险评估规范，我们把XX市地税局的文档资产的评估范围设定在信息中心现存的重要的文档、规范、制度及培训手册等。此次共整理224个各类文档，从中提取出31个文档作为此次文档资产评估范围。文档年份文档名称存放方式2006XX地税计算机系统管理制度系统管理制度纸质文档与电子档系统数据库口令管理2004XX市地方税务局信息化星级管理办法管理制度XX市地方税务局2004年信息化建设实施方案信息化主要建设项目实行统一审批管理关于成立信息化工作领导小

10、组XX市地方税务局基层局机房维护管理制度XX市地方税务局计算机使用维护管理制度XX市地方税务局网络安全管理制度XX市地方税务局网络运行维护管理制度XX市地方税务局应用软件维护管理（暂行）办法2004-7-29信息化星级管理办法13XX地税计算机系统管理制度（定稿）14XX地税市局机房维护制度15应用软件维护制度22号文1620072007年信息化工作要点（定稿）17XX市基层单位兼职信息化管理人员职责（新）18信息化星级管理办法200719XX地税市局征管数据库备份系统维护管理办法202005XX地税市局征管数据库备份系统维护手册维护手册21XX地税数据复制系统使用维护手册22XX地税数据复制

11、系统维护管理办法（试行）232005版征管系统税务登记说明书（一）征管软件说明书242005版征管系统申报征收说明书（二）252005版征管系统税收计会说明书（三）262005版征管系统税务管理说明书（四）272005版征管系统征收管理说明书（五）282005版征管系统文书审批说明书（六）292005版征管系统基层查询说明书（七）302005版征管系统设置说明书（八）312005版征管系统典型业务说明书（九）2.3.5 人员资产国家信息安全风险评估规范人员资产定义为掌握重要信息和核心业务的人员，如主机维护主管、网络维护主管及应用项目主管等。根据XX市地税局实际情况并结合信息安全风险评估规范，我

12、们把XX市地税局的人员资产的评估范围设定在信息中心在职工作人员。信息中心在职人员共有13人，主要进行高级管理的主任或副级的人员有三人，重要系统管理人员为六人。因此，此次人员资产的评估范围是信息中心高级管理人员及重要资产管理人员共九人。人员名称所属部门人员职务人员职责XXX信息中心主任1 负责全面工作。2 负责全系统信息化建设规划和实施方案的组织制定工作。3 负责协调组织全系统信息化建设规划和方案的实施工作。4 负责信息化队伍建设工作。5 完成领导交办的其他工作。副主任1主管软件维护工作。2主管软件试点和推广工作。3主管办公自动化工作。4主管安全防范工作。5完成领导交办的其他工作。1主管网络维护

13、工作。2主管系统运维工作。3主管软件开发工作。4主管综合工作。组长1负责网络管理工作2负责系统维护工作3负责DC1、DC2服务器的硬件及系统的维护4负责FTP服务器的硬件及软件的维护5负责NAS服务器的硬件及数据备份的管理与维护6负责Exchange服务器的硬件及邮件系统的维护7负责辅助应用系统的硬件及操作系统的升级与维护8负责机房空调维护工作9负责消防系统维护工作10负责机房环境监控工作11负责软件开发的前期开发工作12领导安排的其他工作科员1. 负责市局办公网站的框架规划、版式设计及组织编写网站程序。2. 负责办公网站的部署实施与程序维护。3. 负责办公网站的信息发布工作的技术指导和培训。

14、4. 负责市局办公网站的数据备份及服务器日常管理。5. 负责全系统计算机防病毒工作的维护工作，定时升级防病毒软件。6. 负责监控全系统下级防计算机病毒中心，督导客户端及时升级查杀。7. 负责全系统每年的计算机安全培训工作。8. 负责长安办公楼的办公网站服务器的资源管理。9完成领导交办的其他工作。1.负责机房UPS维护工作2.负责UPS电池维护工作3.负责机房强电维护工作4.负责机房KVM维护工作5.负责主控室设备维护工作6.负责软件开发的后期工作7.负责1721层电脑维护及局域网维护工作8.负责弱电井设备维护工作9.负责视频会议会前调试和维护工作10.负责数据分析工作1. 负责有关网络的日常事

15、务性维护；2. 负责市局中心端内、外网网络设备故障的排除；3. 负责 CDMA线路故障的排除；4. 负责市局内、外网监控与管理；5. 与有关同志共同负责网络建设项目；6. 与有关同志共同负责有关网络知识的培训；7. 协助基层单位分析网络故障；8. 协调网通、基层局排除广域网线路故障；9. 了解网络现状，适时向领导提出网络发展规划；10. 领导交办的其它工作。1负责小型机硬件维护、调试及保养2负责小型机操作系统AIX的升级、维护3负责征管系统后台Oracle数据库的日常维护、数据备份、状态监控及性能调优4负责征管系统应用服务器的硬件及操作系统的维护及升级5负责DC1、DC2服务器的硬件及系统的维

16、护7负责FTP服务器的硬件及软件的维护8负责NAS服务器的硬件及数据备份的管理与维护9负责辅助应用系统的硬件及操作系统的升级与维护10负责培训环境的硬件及操作系统的升级与维护11负责车船税征收管理软件、建安房地产软件相关设备维护及软件运行管理12负责软件开发工作13领导安排的其他工作1. 负责征管软件的运行维护工作.2. 负责个人所得税软件的运行维护工作.3. 负责网上报税软件的运行维护工作.4. 负责决策支持系统的运行维护工作.5. 负责法制软件的运行维护工作.6. 负责人事管理软件维护工作.7. 负责其它软件的维护工作.8. 负责应用软件的试点测试工作,做好方案制定、培训和试点软件技术问题

17、搜集、分析、解答工作。9. 负责应用软件的推广工作，做好方案制定、培训和技术问题分析、解答工作。10. 完成其它工作。3 资产赋值方法信息资产价值有别于资产的帐面价值和重置价值，而是指资产在安全方面的相对价值。本文中所指的信息资产价值全部都表示相对价值。进行资产估价时，不仅要考虑资产的帐面价值，更重要的是考虑资产对于组织商务或业务的重要性，即资产损失所引发潜在的商务或业务的影响来决定，例如导致业务中断、资金和市场份额的损失、企业形象的损害等直接和间接的经济损失。为确保资产估价的一致性和准确性，应建立一个资产的价值尺度，即资产评价标准，以明确如何对资产进行赋值。信息资产分别具有不同的安全属性，机

18、密性、完整性和可用性分别反映了资产在三个不同方面的特性。安全属性的不同通常也意味着安全控制、保护功能需求的不同。通过考察三种不同安全属性，可以得出一个能够基本反映资产价值的定性的数值。在信息资产估价时，主要对资产的这三个安全属性分别赋予价值，以此反映出信息资产的价值。密性、完整性和可用性的定义如下： 保密性：确保只有经过授权的人才能访问信息。如果信息或者服务被无关甚至怀有恶意的人获得，则表明该资产的保密性受到了损害。 完整性：保护信息和信息的处理方法准确而完整；如果信息或者服务在传递过程中因为系统故障或者恶意的方法导致被修改，并引起错误，则表明该资产的完整性受到了损害。 可用性：确保经过授权的用户在需要时可以访问信息并使用相关信息资产。如果信息非正常丢失或者服务非正常中断，则表明该资产