信息系统安全等级保护定级报告示例.docx

信息系统安全等级保护定级报告一、xxxx市人力资源和社会保障一体化信息平台（一）该平台于2009年底开始正式运行，由惺惺惜惺惺xxxx公司研发。

目前该平台由xxxx市人力资源和社会保障局信息中心负责运行维护。

xxxx市人社会保障局是该平台的主管部门。

（二）此平台是计算机及其相关的配套的设备、设施构成的，是按照一定的应用目标和规则进行布署的。

整个网络连接业务专网，对全市人社系统提供养老、医疗、工伤、生育、失业五个险种征缴、审核及支付等应用。

在市局信息中心的网络中配置了两台与各业务经办机构互联的边界设备：锐捷的三层核心交换机和锐捷的防火墙。

（三）该平台业务主要包含：养老、医疗、工伤、生育、失业等。

本平台采用专门的服务器及配套的网络设备，在安全性和稳定性上得到了很好的保障。

二、xxxx市人力资源和社会保障一体化信息平台安全保护等级的确定（一）业务信息安全保护等级的确定1.业务信息描述该平台业务信息主要用于养老、医疗、工伤、生育、失业五个险种征缴、审核及支付等应用。

2.业务信息受到破坏时所侵害客体的确定其他组织的合法权益。

侵害的客观方面表现为：一旦平台的业务信息遭到入侵、修改、增加、删除等不明侵害，会对公民、法人和其他组织的合法权益造成影响和损害，可以表现为：影响正常工作的开展，导致业务能力下降，造成不良影响，引起法律纠纷等。

3.信息受到破坏后对侵害客体的侵害程度上述结果的程度表现为严重损害，即工作职能收到严重影响，业务能力显着先将，出现较严重的法律问题，较大范围的不良影响等。

4.确定业务信息安全等级查《定级指南》表2知，业务信息安全保护等级为第三级。

（二）系统服务安全保护等级的确定1.系统服务描述该平台属于为公共提供服务的信息系统，其服务范围为全市范围内的所有人群。

2.系统服务受到破坏时所侵害客体的确定其他组织的合法权益，同时也侵害社会秩序和公共利益但不损害国家安全。

客观方面表现得侵害结果为：1可以对公民、法人和其他组织的合法权益造成侵害；2可以对社会秩序公共利益造成侵害。

信息系统安全等级保护定级报告《信息系统安全等级保护定级报告》模版《信息系统安全等级保护定级报告》一、XXX信息系统描述简述确定该系统为定级对象的理由。

从三方面进行说明：一是描述承担信息系统安全责任的相关单位或部门，说明本单位或部门对信息系统具有信息安全保护责任，该信息系统为本单位或部门的定级对象；二是该定级对象是否具有信息系统的基本要素，描述基本要素、系统网络结构、系统边界和边界设备；三是该定级对象是否承载着单一或相对独立的业务，业务情况描述。

二、XXX信息系统安全保护等级确定（定级方法参见国家标准《信息系统安全等级保护定级指南》）（一）业务信息安全保护等级的确定1、业务信息描述描述信息系统处理的主要业务信息等。

2、业务信息受到破坏时所侵害客体的确定说明信息受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

3、信息受到破坏后对侵害客体的侵害程度的确定说明信息受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

4、业务信息安全等级的确定依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级。

（二）系统服务安全保护等级的确定1、系统服务描述描述信息系统的服务范围、服务对象等。

2、系统服务受到破坏时所侵害客体的确定说明系统服务受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

3、系统服务受到破坏后对侵害客体的侵害程度的确定说明系统服务受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

4、系统服务安全等级的确定依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。

（三）安全保护等级的确定信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定，最终确定XXX系统安全保护等级为第几级。

信息系统安全等级保护定级报告（起草参考实例）一、X省邮政金融网中间业务系统描述（一）该中间业务于*年*月*日由*省邮政局科技立项，省邮政信息技术局自主研发。

目前该系统由技术局运行维护部负责运行维护。

省邮政局是该信息系统业务的主管部门，省邮政局委托技术局为该信息系统定级的责任单位。

（二）此系统是计算机及其相关的和配套的设备、设施构成的，是按照一定的应用目标和规则对邮储金融中间业务信息进行采集、加工、存储、传输、检索等处理的人机系统。

整个网络分为两部分，（图略），第一部分为省数据中心，第二部分为市局局域网。

在省数据中心的核心设备部署了华为的S8512三层交换机，……在省数据中心的网络中配置了两台与外部网络互联的边界设备：天融信NGFW 4000防火墙和Cisco 2600路由器……省数据中心网络中剩下的一部分就是与下面各个地市的互联。

其中主要设备部署的是……整个省数据中心网络中的所有设备系统都按照统一的设备管理策略，只能现场配置，不可远程拨号登录。

整个信息系统的网络系统边界设备可定为NGFW 4000 与Cisco 2600。

Cisco 2600 外联的其它系统都划分为外部网络部分，而NGFW 4000 以内的部分包括与各地市互联的部分都可归为中心的内部网络，与中间业务系统相关的省数据中心网络边界部分和内部网络部分都是等级保护定级的范围和对象。

在此次定级过程中，将各市的网络和数据中心连同省中心统一作为一个定级对象加以考虑，统一进行定级、备案。

各市的网络和数据中心还要作为整个系统的分系统分别进行定级、备案。

（三）该信息系统业务主要包含：中国移动代收费、中国联通代收费、代理国债、批量工资代发、批量水电气等费用代扣、代收烟草款等业务，并新增加了代收国税、地税，代办保险等业务。

系统针对业务实现的差异分别提供实时联机处理和批量处理两种方式。

其中：通过网络与第三方机构的连接，均采用约定好的报文格式进行通讯，业务处理流程实时完成。

信息系统平安等级保卫定级报告?模版信息系统平安等级保卫定级报告?一、XXX信息系统描述简述确定该系统为定级对象的理由。

从三方面进行讲明：一是描述担当信息系统平安责任的相关单位或部门，讲明本单位或部门对信息系统具有信息平安保卫责任，该信息系统为本单位或部门的定级对象；二是该定级对象是否具有信息系统的全然要素，描述全然要素、系统网络结构、系统边界和边界设备；三是该定级对象是否承载着单一或相对独立的业务，业务情况描述。

二、XXX信息系统平安保卫等级确定〔定级方法参见国家标准?信息系统平安等级保卫定级指南?〕〔一〕业务信息平安保卫等级确实定1、业务信息描述描述信息系统处理的要紧业务信息等。

2、业务信息受到破坏时所侵害客体确实定讲明信息受到破坏时侵害的客体是什么，即对三个客体〔国家平安；社会秩序和公众利益；公民、法人和其他组织的合法权益〕中的哪些客体造成侵害。

3、信息受到破坏后对侵害客体的侵害程度确实定讲明信息受到破坏后，会对侵害客体造成什么程度的侵害，即讲明是一般损害、严重损害依旧特别严重损害。

4、业务信息平安等级确实定依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息平安等级。

〔二〕系统效劳平安保卫等级确实定1、系统效劳描述描述信息系统的效劳范围、效劳对象等。

2、系统效劳受到破坏时所侵害客体确实定讲明系统效劳受到破坏时侵害的客体是什么，即对三个客体〔国家平安；社会秩序和公众利益；公民、法人和其他组织的合法权益〕中的哪些客体造成侵害。

3、系统效劳受到破坏后对侵害客体的侵害程度确实定讲明系统效劳受到破坏后，会对侵害客体造成什么程度的侵害，即讲明是一般损害、严重损害依旧特别严重损害。

4、系统效劳平安等级确实定依据系统效劳受到破坏时所侵害的客体以及侵害程度确定系统效劳平安等级。

〔三〕平安保卫等级确实定信息系统的平安保卫等级由业务信息平安等级和系统效劳平安等级较高者决定，最终确定XXX系统平安保卫等级为第几级。

信息系统安全等级保护定级报告一、背景介绍。

信息系统安全等级保护定级是指根据国家有关规定，对信息系统进行安全等级保护的定级工作。

信息系统安全等级保护定级的目的是为了保护信息系统的安全，防范和减少信息系统遭受各种威胁和攻击的可能性，保障信息系统的正常运行和信息的安全性。

二、定级依据。

1. 国家相关法律法规。

信息系统安全等级保护定级工作依据《中华人民共和国网络安全法》、《信息安全等级保护管理办法》等国家相关法律法规进行。

2. 定级标准。

信息系统安全等级保护定级工作依据《信息安全等级保护定级标准》进行，根据信息系统的安全等级保护需求，对信息系统进行定级评估。

三、定级范围。

1. 定级对象。

本次定级报告的定级对象为公司内部使用的信息系统，包括企业内部网络、数据库系统、办公自动化系统等。

2. 定级内容。

本次定级报告主要对信息系统的安全性能、安全保障措施、安全管理制度等内容进行评估和定级。

四、定级评估。

1. 安全性能评估。

针对信息系统的安全性能，进行了系统的安全性能测试和评估，包括系统的防护能力、安全隐患排查等。

2. 安全保障措施评估。

对信息系统的安全保障措施进行了全面的评估，包括网络安全防护、数据加密、访问控制等方面的措施。

3. 安全管理制度评估。

对信息系统的安全管理制度进行了评估，包括安全管理组织架构、安全管理流程、安全管理规范等方面的评估。

五、定级结果。

根据定级评估的结果，本次定级报告对信息系统的安全等级保护定级结果如下：1. 安全等级。

本次定级报告对信息系统的安全等级定为“中等”安全等级。

2. 安全风险。

根据评估结果，信息系统存在一定的安全风险，需要加强安全管理和加固安全防护措施。

3. 安全改进建议。

针对存在的安全风险，提出了相应的安全改进建议，包括加强安全培训、完善安全管理制度、加强安全监控等方面的建议。

六、定级结论。

本次定级报告对信息系统的安全等级保护定级工作进行了全面的评估和定级，得出了相应的定级结果和安全改进建议，旨在提高信息系统的安全保障能力，保障信息系统的安全运行和信息的安全性。

信息系统安全等级保护定级报告（起草参考实例）一、四川省德昌县职业高级中学中间业务系统描述（一）该中间业务于*年*月*日由*四川省德昌县职业高级中学立项，购买成都新网公司的云服务器和网站模板。

目前该系统由成都新网公司运行维护部负责运行维护。

四川省德昌县职业高级中学是该信息系统业务的主管部门，四川省德昌县职业高级中学为该信息系统定级的责任单位。

（二）此系统是计算机及其相关的和配套的设备、设施构成的，是按照一定的应用目标和规则对四川省德昌县职业高级中学中间业务信息进行采集、加工、存储、传输、检索等处理的人机系统。

整个网络服务器在北京新网在省数据中心的核心设备部署了华为的S8512三层交换机，……在省数据中心的网络中配置了两台与外部网络互联的边界设备：天融信NGFW 4000防火墙和Cisco 2600路由器……省数据中心网络中剩下的一部分就是与下面各个地市的互联。

其中主要设备部署的是……整个省数据中心网络中的所有设备系统都按照统一的设备管理策略，只能现场配置，不可远程拨号登录。

整个信息系统的网络系统边界设备可定为NGFW 4000 与Cisco 2600。

Cisco 2600 外联的其它系统都划分为外部网络部分，而NGFW 4000 以内的部分包括与各地市互联的部分都可归为中心的内部网络，与中间业务系统相关的省数据中心网络边界部分和内部网络部分都是等级保护定级的范围和对象。

在此次定级过程中，将各市的网络和数据中心连同省中心统一作为一个定级对象加以考虑，统一进行定级、备案。

各市的网络和数据中心还要作为整个系统的分系统分别进行定级、备案。

（三）该信息系统业务主要包含：中国移动代收费、中国联通代收费、代理国债、批量工资代发、页脚内容1批量水电气等费用代扣、代收烟草款等业务，并新增加了代收国税、地税，代办保险等业务。

系统针对业务实现的差异分别提供实时联机处理和批量处理两种方式。

其中：通过网络与第三方机构的连接，均采用约定好的报文格式进行通讯，业务处理流程实时完成。

《信息系统安全等级保护定级报告》一、XXX信息系统描述简述确定该系统为定级对象的理由。

从三方面进行说明：一是描述承担信息系统安全责任的相关单位或部门，说明本单位或部门对信息系统具有信息安全保护责任，该信息系统为本单位或部门的定级对象；二是该定级对象是否具有信息系统的基本要素，描述基本要素、系统网络结构、系统边界和边界设备；三是该定级对象是否承载着单一或相对独立的业务，业务情况描述。

二、XXX信息系统安全保护等级确定（定级方法参见国家标准《信息系统安全等级保护定级指南》）（一）业务信息安全保护等级的确定1、业务信息描述描述信息系统处理的主要业务信息等。

2、业务信息受到破坏时所侵害客体的确定说明信息受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

3、信息受到破坏后对侵害客体的侵害程度的确定说明信息受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

4、业务信息安全等级的确定依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级。

（二）系统服务安全保护等级的确定1、系统服务描述描述信息系统的服务范围、服务对象等。

2、系统服务受到破坏时所侵害客体的确定说明系统服务受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

3、系统服务受到破坏后对侵害客体的侵害程度的确定说明系统服务受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

4、系统服务安全等级的确定依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。

（三）安全保护等级的确定信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定，最终确定XXX系统安全保护等级为第几级。

信息系统安全等级保护定级报告一、背景信息系统在现代社会中扮演着重要的角色，但随之而来的风险与威胁也不容忽视。

为了保护关键信息资产的安全，我们对本公司的信息系统进行了等级保护定级评估，并制定了相应的保护方案。

二、评估目标本次评估旨在确定信息系统的安全等级，并提出相应的保护建议，以确保信息系统的安全性、可靠性和完整性。

三、评估范围评估范围包括本公司所有关键信息系统，包括但不限于网络系统、数据库系统、应用系统以及与之相关的硬件设备和软件系统。

四、评估方法本次评估采用了国家相关标准和规范，结合本公司信息系统的特点，采用定性和定量相结合的方法进行评估，并综合考虑了系统的安全策略、技术实施和管理控制等方面。

五、保护等级分级根据评估结果，将信息系统的安全等级划分为不同级别，包括一级到四级，等级越高，对信息系统安全的要求越严格。

六、评估结果和建议1. 信息系统等级划分：- 一级：对系统的安全性要求最高，适用于涉密级核心业务系统。

- 二级：对系统的安全性要求较高，适用于重要业务系统。

- 三级：对系统的安全性要求一般，适用于普通业务系统。

- 四级：对系统的安全性要求较低，适用于非关键业务系统。

2. 保护建议：- 一级系统建议采用多层次的安全防护措施，包括但不限于网络安全设备、安全审计系统和数据加密技术等。

- 二级系统建议加强对系统的访问控制和身份认证，确保关键业务数据的安全。

- 三级系统建议建立完善的安全管理制度和流程，定期进行系统漏洞扫描和安全测试。

- 四级系统建议采用基本的安全防护措施，包括但不限于防病毒软件、防火墙和访问权限控制等。

七、保护计划根据评估结果和建议，我们制定了相应的保护计划，包括但不限于：1. 加强网络安全设备的更新和维护，确保网络的安全稳定；2. 建立完善的安全培训计划，提高员工的安全意识和技能水平；3. 定期对系统进行安全检查和漏洞扫描，并及时修复发现的安全漏洞；4. 系统的安全事件应急处理，包括安全事件的报告、跟踪和整改等；八、总结本次信息系统安全等级保护定级评估为本公司的信息系统安全提供了重要的参考依据，通过合理的等级定级和相应的保护措施，可以最大限度地保障信息系统的安全性和可靠性。

信息系统安全等级保护定级报告一、引言信息系统安全已成为现代社会中最为重要的问题之一。

随着网络技术的不断发展，信息交换的方式越来越多样化，信息的传输也变得日益便捷，但同时也带来了新的安全隐患。

为了保障国家安全、社会稳定和个人隐私，我公司在信息系统安全等级保护方面进行了认真的研究和实践。

本报告将针对我公司的信息系统进行安全等级保护定级。

二、保护等级定级依据我公司共有3个信息系统需要进行等级保护，其中一个属于重要信息系统，两个属于一般信息系统。

为了便于管理，我公司采用《信息系统安全等级保护管理办法》第四章第二十四条规定的等保测评方法进行等级保护定级。

三、测评结果1. 重要信息系统保护等级定级结果：本次等保测评结果表明，我公司重要信息系统的保护等级为三级，具体测评结果如下：控制类别保密性等级完整性等级可用性等级技术控制核心级核心级核心级管理控制重要级重要级重要级物理控制重要级重要级重要级2. 一般信息系统保护等级定级结果：本次等保测评结果表明，我公司两个一般信息系统的保护等级均为二级，具体测评结果如下：控制类别保密性等级完整性等级可用性等级技术控制重要级重要级重要级管理控制次要级次要级次要级物理控制次要级次要级次要级四、结论与建议我公司信息系统等级保护工作取得了初步成果，但同时也存在部分方面亟需改进。

建议公司在下一步的等保工作中，加强以下方面的保护措施：1. 强化技术控制，加强对网络环境的保护。

2. 完善管理措施，增加内部审计力度，及时发现和处理安全风险。

3. 加强物理措施，提升系统设备的安全性能。

4. 加强人员素质培训，提高全员安全意识。

五、总结本次信息系统安全等级保护定级报告，是公司信息安全保护工作的重要组成部分。

本次等保测评工作在实践中完善了公司的信息安全保护等级体系，有助于提高公司信息安全保护水平，为公司的健康发展提供保障。

信息系统安全等级保护定级报告示例一、引言信息系统安全等级保护定级是指按照《信息安全等级保护管理办法》的要求，通过对信息系统的安全保护等级进行评估和确定，为信息系统的安全防护提供依据和指导。

本报告根据实际需求，对XXX公司的信息系统进行安全等级保护定级，并提供相关建议。

二、背景1.信息系统概述XXX公司信息系统作为公司的核心运营系统，主要包括生产管理系统、财务管理系统、人力资源管理系统和客户关系管理系统等。

这些系统承载了公司日常的各项业务活动，对公司的运营和发展起到了至关重要的作用。

2.信息系统安全现状为了保障信息系统的安全运行，XXX公司已经采取了一系列安全防护措施，包括网络隔离、防火墙设置、入侵检测系统等。

然而，基于系统漏洞、安全策略和人为操作等因素，仍存在安全隐患。

三、安全定级分析根据《信息安全等级保护管理办法》的要求，我们对XXX公司的信息系统进行了安全定级分析。

通过对系统的安全性能、敏感性、业务影响度和整体安全管理能力的评估，结合公司实际需求，将该信息系统定级为“三级”。

1.安全性能评估安全性能评估主要从系统的机密性、完整性、可用性和性能安全等方面进行综合评估。

通过分析系统的安全策略、加密算法、访问控制机制等，确认XXX公司信息系统的安全性能较高，能够满足基本的安全需求。

2.敏感性评估敏感性评估主要从系统处理的数据敏感性、业务敏感性和系统接入网络的敏感性等方面进行评估。

经过分析，XXX公司信息系统处理的数据具有较高的敏感性，如果泄露可能对公司的声誉和利益造成重大损失。

因此，该系统被定为敏感性较高的等级。

3.业务影响度评估业务影响度评估主要从系统的稳定性和可靠性等方面进行综合评估。

XXX公司信息系统作为核心运营系统，一旦发生安全事故会对公司的正常运营产生严重影响。

因此，系统的业务影响度属于较高等级。

4.安全管理能力评估安全管理能力评估主要从公司的安全组织架构、安全培训、事件响应和应急预案等方面进行评估。

信息系统安全等级保护定级报告一、xxxx市人力资源和社会保障一体化信息平台（一）该平台于2009年底开始正式运行，由惺惺惜惺惺xxxx 公司研发。

目前该平台由xxxx市人力资源和社会保障局信息中心负责运行维护。

xxxx市人社会保障局是该平台的主管部门。

（二）此平台是计算机及其相关的配套的设备、设施构成的，是按照一定的应用目标和规则进行布署的。

整个网络连接业务专网，对全市人社系统提供养老、医疗、工伤、生育、失业五个险种征缴、审核及支付等应用。

在市局信息中心的网络中配置了两台与各业务经办机构互联的边界设备：锐捷的三层核心交换机和锐捷的防火墙。

（三）该平台业务主要包含：养老、医疗、工伤、生育、失业等。

本平台采用专门的服务器及配套的网络设备，在安全性和稳定性上得到了很好的保障。

二、xxxx市人力资源和社会保障一体化信息平台安全保护等级的确定（一）业务信息安全保护等级的确定1.业务信息描述该平台业务信息主要用于养老、医疗、工伤、生育、失业五个险种征缴、审核及支付等应用。

业务信息受到破坏时所侵害客体的确定2.该业务信息遭到破坏后，所侵害的客体是公民、法人和其他组织的合法权益。

侵害的客观方面表现为：一旦平台的业务信息遭到入侵、修改、增加、删除等不明侵害，会对公民、法人和其他组织的合法权益造成影响和损害，可以表现为：影响正常工作的开展，导致业务能力下降，造成不良影响，引起法律纠纷等。

3.信息受到破坏后对侵害客体的侵害程度上述结果的程度表现为严重损害，即工作职能收到严重影响，业务能力显着先将，出现较严重的法律问题，较大范围的不良影响等。

4.确定业务信息安全等级查《定级指南》表2知，业务信息安全保护等级为第三级。

（二）系统服务安全保护等级的确定系统服务描述1.该平台属于为公共提供服务的信息系统，其服务范围为全市范围内的所有人群。

2.系统服务受到破坏时所侵害客体的确定该业务信息遭到破坏后，所侵害的客体是公民、法人和其他组织的合法权益，同时也侵害社会秩序和公共利益但不损害国家安全。

信息系统安全等级保护定级报告（范例）一、X省邮政金融网中间业务系统描述（一）该中间业务于*年*月*日由*省邮政局科技立项，省邮政信息技术局自主研发。

目前该系统由技术局运行维护部负责运行维护。

省邮政局是该信息系统业务的主管部门，省邮政局委托技术局为该信息系统定级的责任单位。

（二）此系统是计算机及其相关的和配套的设备、设施构成的，是按照一定的应用目标和规则对邮储金融中间业务信息进行采集、加工、存储、传输、检索等处理的人机系统。

整个网络分为两部分，（图略），第一部分为省数据中心，第二部分为市局局域网。

在省数据中心的核心设备部署了华为的S**三层交换机，在省数据中心的网络中配置了两台与外部网络互联的边界设备：天融信 NGFW 4**防火墙和Cisco 2**路由器省数据中心网络中剩下的一部分就是与下面各个地市的互联。

其中主要设备部署的是整个省数据中心网络中的所有设备系统都按照统一的设备管理策略，只能现场配置，不可远程拨号登录。

整个信息系统的网络系统边界设备可定为NGFW 4** 与 Cisco 2**。

Cisco 2** 外联的其它系统都划分为外部网络部分，而NGFW 4** 以内的部分包括与各地市互联的部分都可归为中心的内部网络，与中间业务系统相关的省数据中心网络边界部分和内部网络部分都是等级保护定级的范围和对象。

在此次定级过程中，将各市的网络和数据中心连同省中心统一作为一个定级对象加以考虑，统一进行定级、备案。

各市的网络和数据中心还要作为整个系统的分系统分别进行定级、备案。

（三）该信息系统业务主要包含：中国移动代收费、中国联通代收费、代理国债、批量工资代发、批量水电气等费用代扣、代收烟草款等业务，并新增加了代收国税、地税，代办保险等业务。

系统针对业务实现的差异分别提供实时联机处理和批量处理两种方式。

其中：通过网络与第三方机构的连接，均采用约定好的报文格式进行通讯，业务处理流程实时完成。

业务处理系统以省集中结构模式，负责各类中间业务的业务处理，包括与第三方实时连接、接口协议转换、非实时批量数据的采集、业务处理逻辑的实现、与会计核算系统的连接等。

信息系统安全等级保护定级报告一、XX平台系统描述(一)2014年8月,XX正式上线,XX隶属于北京XX科技有限公司,该公司就是从事网络借贷信息中介业务活动的金融信息服务企业。

主要就是通过线上XX平台,将出借人与借款人衔接,为二者提供中介服务进而实现借贷关系。

通过提供信息搜集、信息公布、资信评估、信息交互、借贷撮合等服务解决借款人与出借人的投融资难的问题。

目前该XX平台系统由公司运维部负责维护。

我公司就是该平台系统业务的主要负责机构,也就是为该信息系统定级的责任单位。

(二)此系统就是计算机及其相关的与配套的设备、设施构成的,就是按照一定的应用目标与规则对该系统金融业务数据信息进行存储、传输、检索等处理的人机机制。

该系统相关的用户数据中心网络,资金管理等边界部分都就是等级保护定级的范围与对象。

在此次定级过程中,将该系统的网络设备与数据中心连同业务数据作为一个定级对象加以考虑,统一进行定级、备案。

该系统的网络设备与数据中心还要作为整个系统的分系统分别进行定级、备案。

(三)该系统业务主要包含:用户身份安全信息、业务平台数据、购买服务等业务,并新增加了法务审核,风险控制等等业务。

系统针对业务实现的差异分别提供实时联机处理与批量处理两种方式。

其中:通过网络与第三方支付平台的连接,均采用约定好的报文格式进行通讯,业务处理流程实时完成。

业务处理系统以内部财务结算模式,负责各类买入转让还款的业务处理,包括与第三方实时连接、接口协议转换、非实时批量数据的采集、业务处理逻辑的实现、与会计核算系统的连接等。

系统结构拓扑图如下:二、XX平台系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》)(一)业务信息安全保护等级的确定1、业务信息描述北京XX科技有限公司就是从事网络借贷信息中介业务活动的金融信息服务企业,XX为旗下借贷平台主要就是通过线上平台,将出借人与借款人衔接,为二者提供中介服务实现借贷关系。

《信息系统安全等级保护定级报告》
一、CIS信息系统描述
临汾市第四人民医院CIS系统是由临汾市第四人民医院规划建设，由临汾市第四人民医院微机室负责运行维护。

该系统用来承载不涉及国家秘密的收费业务，上联临汾市医保中心。

实现特定信息传输。

二、CIS信息系统安全保护等级确定
（一）业务信息安全保护等级的确定
1、业务信息描述
住院病人医嘱管理。

2.业务信息受到破坏时所侵害的客体
业务信息受到破坏时，侵害的客体是公民、法人和其他组织的合法权益。

3.业务信息受到破坏后对侵害客体的侵害程度
业务信息受到破坏后，会对侵害客体造成严重损害。

4.业务信息安全保护等级的确定
依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全保护等级为二级。

（二）系统服务安全保护等级的确定
1、系统服务描述
住院病人医嘱管理。

系统服务受到破坏时，侵害的客体是公民、法人和其他组织的合法权益。

3.系统服务受到破坏后对侵害客体的侵害程度
系统服务受到破坏后，会对侵害客体造成严重损害。

4.系统服务安全保护等级的确定
依据系统服务受到破坏时所侵害的客体以及侵害程度，确定系统服务安全保护等级为二级。

（三）安全保护等级的确定
临汾市第四人民医院CIS系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级较高者决定，最终确定临汾市中心支行业务网网络系统安全保护等级为二级。

二〇一三年二月二十一日。

信息系统安全等级保护定级报告（起草参考实例）一、X省邮政金融网中间业务系统描述（一）该中间业务于*年*月*日由*省邮政局科技立项，省邮政信息技术局自主研发。

目前该系统由技术局运行维护部负责运行维护。

省邮政局是该信息系统业务的主管部门，省邮政局委托技术局为该信息系统定级的责任单位。

（二）此系统是计算机及其相关的和配套的设备、设施构成的，是按照一定的应用目标和规则对邮储金融中间业务信息进行采集、加工、存储、传输、检索等处理的人机系统。

整个网络分为两部分，（图略），第一部分为省数据中心，第二部分为市局局域网。

在省数据中心的核心设备部署了华为的S8512三层交换机，……在省数据中心的网络中配置了两台与外部网络互联的边界设备：天融信NGFW 4000防火墙和Cisco 2600路由器……省数据中心网络中剩下的一部分就是与下面各个地市的互联。

其中主要设备部署的是……整个省数据中心网络中的所有设备系统都按照统一的设备管理策略，只能现场配置，不可远程拨号登录。

整个信息系统的网络系统边界设备可定为NGFW 4000 与Cisco 2600。

Cisco 2600 外联的其它系统都划分为外部网络部分，而NGFW 4000 以内的部分包括与各地市互联的部分都可归为中心的内部网络，与中间业务系统相关的省数据中心网络边界部分和内部网络部分都是等级保护定级的范围和对象。

在此次定级过程中，将各市的网络和数据中心连同省中心统一作为一个定级对象加以考虑，统一进行定级、备案。

各市的网络和数据中心还要作为整个系统的分系统分别进行定级、备案。

（三）该信息系统业务主要包含：中国移动代收费、中国联通代收费、代理国债、批量工资代发、批量水电气等费用代扣、代收烟草款等业务，并新增加了代收国税、地税，代办保险等业务。

系统针对业务实现的差异分别提供实时联机处理和批量处理两种方式。

其中：通过网络与第三方机构的连接，均采用约定好的报文格式进行通讯，业务处理流程实时完成。

《信息系统安全等级保护定级报告》一、NG-CRM信息系统描述中国移动CRM系统是基于计算机应用技术，用以支撑中国移动以客户为导向的运营体系的信息系统。

中国移动各省公司的CRM系统包含市场营销、销售管理、客户服务、渠道管理、客户管理、产品管理、资源管理等多方面的功能。

简述确定该系统为定级对象的理由。

从三方面进行说明：一是描述承担信息系统安全责任的相关单位或部门，说明本单位或部门对信息系统具有信息安全保护责任，该信息系统为本单位或部门的定级对象；二是该定级对象是否具有信息系统的基本要素，描述基本要素、系统网络结构、系统边界和边界设备；三是该定级对象是否承载着单一或相对独立的业务，业务情况描述。

二、NG-CRM信息系统安全保护等级确定（定级方法参见国家标准《信息系统安全等级保护定级指南》）（一）业务信息安全保护等级的确定1、业务信息描述CRM系统包含市场营销、销售管理、客户服务、渠道管理、客户管理、产品管理、资源管理等多方面的功能，处理以上所有业务的相关信息。

2、业务信息受到破坏时所侵害客体的确定说明信息受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

3、信息受到破坏后对侵害客体的侵害程度的确定说明信息受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

4、业务信息安全等级的确定依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级。

（二）系统服务安全保护等级的确定1、系统服务描述CRM系统的服务对象为所有在网的移动客户。

2、系统服务受到破坏时所侵害客体的确定说明系统服务受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

3、系统服务受到破坏后对侵害客体的侵害程度的确定说明系统服务受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。