《信息系统安全等级保护定级报告》.doc
信息系统安全等级保护定级报告模版
信息系统安全等级保护定级报告模版《信息系统安全等级爱护定级报告》一、XXX信息系统描述简述确定该系统为定级对象的理由。
从三方面进行讲明:一是描述承担信息系统安全责任的相关单位或部门,讲明本单位或部门对信息系统具有信息安全爰护责任,该信息系统为本单位或部门的定级对象;二是该走级对象是否具有信息系统的差不多要素,描述差不多要素、系统网络结构、系统边界和边界设备;三是该走级对象是否承载着单一或相对独立的业务,业务情形描述。
二、XXX信息系统安全爱护等级确定(定级方法参见国家标准《信息系统安全等级爱护定级指南》)(-)业务信息安全爱护等级的确定1、业务信息描述描述信息系统处理的要紧业务信息等。
2、业务信息受到破坏时所侵害客体的确走讲明信息受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。
3.信息受到破坏后对侵害客体的侵害程度的确走讲明信息受到破坏后,会对侵害客体造成什么程度的侵害,即讲明是一样损害、严峻损害依旧专门严峻损害。
4、业务信息安全等级的确走依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级。
(二)系统服务安全爱护等级的确定1、系统服务描述描述信息系统的服务范畴、月艮务对象等。
2、系统服务受到破坏时所侵害客体的确定讲明系统服务受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。
3、系统服务受到破坏后对侵害客体的侵害程度的确定讲明系统服务受到破坏后,会对侵害客体造成什么程度的侵害,即讲明是一样损害、严峻损害依旧专门严峻损害。
4、系统服务安全等级的确走依据系统服务受到破坏时所侵害的客体以及侵害程度确走系统服务安全等级。
(三)安全爱护等级的确定信息系统的安全爰护等级由业务信息安全等级和系统服务安全等级较高者决走最终确走XXX系统安全爰护等级为第几级。
信息系统安全等级保护定级报告示例.docx
信息系统安全等级保护定级报告一、XX平台系统描述(一)2014年8月,XX正式上线,XX隶属于北京XX科技有限公司,该公司是从事网络借贷信息中介业务活动的金融信息服务企业。
主要是通过线上XX平台,将出借人和借款人衔接,为二者提供中介服务进而实现借贷关系。
通过提供信息搜集、信息公布、资信评估、信息交互、借贷撮合等服务解决借款人和出借人的投融资难的问题。
目前该XX平台系统由公司运维部负责维护。
我公司是该平台系统业务的主要负责机构,也是为该信息系统定级的责任单位。
(二)此系统是计算机及其相关的和配套的设备、设施构成的,是按照一定的应用目标和规则对该系统金融业务数据信息进行存储、传输、检索等处理的人机机制。
该系统相关的用户数据中心网络,资金管理等边界部分都是等级保护定级的范围和对象。
在此次定级过程中,将该系统的网络设备和数据中心连同业务数据作为一个定级对象加以考虑,统一进行定级、备案。
该系统的网络设备和数据中心还要作为整个系统的分系统分别进行定级、备案。
(三)该系统业务主要包含:用户身份安全信息、业务平台数据、购买服务等业务,并新增加了法务审核,风险控制等等业务。
系统针对业务实现的差异分别提供实时联机处理和批量处理两种方式。
其中:通过网络与第三方支付平台的连接,均采用约定好的报文格式进行通讯,业务处理流程实时完成。
业务处理系统以内部财务结算模式,负责各类买入转让还款的业务处理,包括与第三方实时连接、接口协议转换、非实时批量数据的采集、业务处理逻辑的实现、与会计核算系统的连接等。
系统结构拓扑图如下:二、XX平台系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》)(一)业务信息安全保护等级的确定1、业务信息描述北京XX科技有限公司是从事网络借贷信息中介业务活动的金融信息服务企业,XX为旗下借贷平台主要是通过线上平台,将出借人和借款人衔接,为二者提供中介服务实现借贷关系。
通过提供信息搜集、信息公布、资信评估、信息交互、借贷撮合等服务,解决借款人和出借人的投融资难的问题。
医院信息系统安全等级保护定级报告
医院信息系统安全等级保护定级报告医院信息系统安全等级保护定级报告一、医院信息系统描述(-) 医院于2008年起逐步建立基于医院信息管理、电子病历的信息系统,该信息系统由医院负责系统管理运维,医院为该信息系统定级的责任单位。
(-) 该信息系统使用了7台HP服务器,安装有Window2003 Server操作系统,Mysql数据库,用于医院信息管理系统的运行。
使用了5台HP服务器,安装有Window 2003 Server操作系统,用于新农合即时结报平台的运行。
医院在内外网之间搭建有天融信防火墙,门诊二楼安有用于无线终端连接内网的两个无线AP,各科室配有连接医院内网的终端计算机。
(三)该信息系统主要包含:医院信息管理系统(HIS),电子病历系统、LIS、卫生统计直报系统、医院门户网站等系统组成。
二、医院信息系统安全保护等级的确定(-)业务信息安全保护等级的确定1、业务信息描述本信息系统主要处理的业务有医院信息管理的曰常运行、在院患者的日常管理、医院院务公开、对外宣传等工作。
旨在保障医院业务正常运行,提高工作效率,增强院务透明度,扩大医院社会影响力。
2、业务信息受到破坏时所侵害客体的确定该业务信息遭到破坏后,所侵害的客体是患者、法人和医院职工的合法权益。
侵害的客观方面表现为:—旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害(形式可以包括丢失、破坏、损坏等),会对患者、医院和医院职工的合法权益造成严重影响和损害。
3、信息受到破坏后对侵害客体的侵害程度当此信息受到破坏后,会对患者、医院和医院职工造成严重损害。
4、确定业务信息安全等级依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级为二级。
(-)系统服务安全保护等级的确定1、系统服务描述本信息系统主要为医院业务的日常运行,日常办公活动正常开展和提供医疗咨询等服务。
2、系统服务受到破坏时所侵害客体的确定该系统服务遭到破坏后,所侵害的客体是公民、医院和其他组织的合法权益,同时也会损害社会秩序和公共利益但不侵害国家安全。
《信息系统安全等级保护定级报告》模版
附件1:《信息系统安全等级保护定级报告》模版《信息系统安全等级保护定级报告》一、XXX信息系统描述简述确定该系统为定级对象的理由。
从三方面进行说明:一是描述承担信息系统安全责任的相关单位或部门,说明本单位或部门对信息系统具有信息安全保护责任,该信息系统为本单位或部门的定级对象;二是该定级对象是否具有信息系统的基本要素,描述基本要素、系统网络结构、系统边界和边界设备;三是该定级对象是否承载着单一或相对独立的业务,业务情况描述。
二、XXX信息系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》)(一)业务信息安全保护等级的确定1、业务信息描述描述信息系统处理的主要业务信息等。
2、业务信息受到破坏时所侵害客体的确定说明信息受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织—9 —的合法权益)中的哪些客体造成侵害。
3、信息受到破坏后对侵害客体的侵害程度的确定说明信息受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。
4、业务信息安全等级的确定依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级。
(二)系统服务安全保护等级的确定1、系统服务描述描述信息系统的服务范围、服务对象等。
2、系统服务受到破坏时所侵害客体的确定说明系统服务受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。
3、系统服务受到破坏后对侵害客体的侵害程度的确定说明系统服务受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。
4、系统服务安全等级的确定依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。
(三)安全保护等级的确定—10 —信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定,最终确定XXX系统安全保护等级为第几级。
信息系统安全等级保护定级报告模板
附件3:《信息系统安全等级保护定级报告》一、XXX信息系统描述简述确定该系统为定级对象的理由。
从三方面进行说明:一是描述承担信息系统安全责任的相关单位或部门,说明本单位或部门对信息系统具有信息安全保护责任,该信息系统为本单位或部门的定级对象;二是该定级对象是否具有信息系统的基本要素,描述基本要素、系统网络结构、系统边界和边界设备;三是该定级对象是否承载着单一或相对独立的业务,业务情况描述。
二、XXX信息系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》)(一)业务信息安全保护等级的确定1、业务信息描述描述信息系统处理的主要业务信息等。
2、业务信息受到破坏时所侵害客体的确定说明信息受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。
3、信息受到破坏后对侵害客体的侵害程度的确定说明信息受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。
4、业务信息安全等级的确定依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级。
(二)系统服务安全保护等级的确定1、系统服务描述描述信息系统的服务范围、服务对象等。
2、系统服务受到破坏时所侵害客体的确定说明系统服务受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。
3、系统服务受到破坏后对侵害客体的侵害程度的确定说明系统服务受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。
4、系统服务安全等级的确定依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。
(三)安全保护等级的确定信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定,最终确定XXX系统安全保护等级为第几级。
附件4:信息系统安全等级保护备案表备 案 单 位: (盖章) 备 案 日 期:受理备案单位: (盖章) 受 理 日 期:中华人民共和国公安部监制备案表编号:填表说明一、制表依据。
信息系统安全等级保护定级报告
信息系统安全等级保护定级报告一、背景介绍。
信息系统安全等级保护定级是指根据国家有关规定,对信息系统进行安全等级保护的定级工作。
信息系统安全等级保护定级的目的是为了保护信息系统的安全,防范和减少信息系统遭受各种威胁和攻击的可能性,保障信息系统的正常运行和信息的安全性。
二、定级依据。
1. 国家相关法律法规。
信息系统安全等级保护定级工作依据《中华人民共和国网络安全法》、《信息安全等级保护管理办法》等国家相关法律法规进行。
2. 定级标准。
信息系统安全等级保护定级工作依据《信息安全等级保护定级标准》进行,根据信息系统的安全等级保护需求,对信息系统进行定级评估。
三、定级范围。
1. 定级对象。
本次定级报告的定级对象为公司内部使用的信息系统,包括企业内部网络、数据库系统、办公自动化系统等。
2. 定级内容。
本次定级报告主要对信息系统的安全性能、安全保障措施、安全管理制度等内容进行评估和定级。
四、定级评估。
1. 安全性能评估。
针对信息系统的安全性能,进行了系统的安全性能测试和评估,包括系统的防护能力、安全隐患排查等。
2. 安全保障措施评估。
对信息系统的安全保障措施进行了全面的评估,包括网络安全防护、数据加密、访问控制等方面的措施。
3. 安全管理制度评估。
对信息系统的安全管理制度进行了评估,包括安全管理组织架构、安全管理流程、安全管理规范等方面的评估。
五、定级结果。
根据定级评估的结果,本次定级报告对信息系统的安全等级保护定级结果如下:1. 安全等级。
本次定级报告对信息系统的安全等级定为“中等”安全等级。
2. 安全风险。
根据评估结果,信息系统存在一定的安全风险,需要加强安全管理和加固安全防护措施。
3. 安全改进建议。
针对存在的安全风险,提出了相应的安全改进建议,包括加强安全培训、完善安全管理制度、加强安全监控等方面的建议。
六、定级结论。
本次定级报告对信息系统的安全等级保护定级工作进行了全面的评估和定级,得出了相应的定级结果和安全改进建议,旨在提高信息系统的安全保障能力,保障信息系统的安全运行和信息的安全性。
信息系统安全等级保护定级报告
信息系统安全等级保护定级报告(起草参考实例)一、四川省德昌县职业高级中学中间业务系统描述(一)该中间业务于*年*月*日由*四川省德昌县职业高级中学立项,购买成都新网公司的云服务器和网站模板。
目前该系统由成都新网公司运行维护部负责运行维护。
四川省德昌县职业高级中学是该信息系统业务的主管部门,四川省德昌县职业高级中学为该信息系统定级的责任单位。
(二)此系统是计算机及其相关的和配套的设备、设施构成的,是按照一定的应用目标和规则对四川省德昌县职业高级中学中间业务信息进行采集、加工、存储、传输、检索等处理的人机系统。
整个网络服务器在北京新网在省数据中心的核心设备部署了华为的S8512三层交换机,……在省数据中心的网络中配置了两台与外部网络互联的边界设备:天融信NGFW 4000防火墙和Cisco 2600路由器……省数据中心网络中剩下的一部分就是与下面各个地市的互联。
其中主要设备部署的是……整个省数据中心网络中的所有设备系统都按照统一的设备管理策略,只能现场配置,不可远程拨号登录。
整个信息系统的网络系统边界设备可定为NGFW 4000 与Cisco 2600。
Cisco 2600 外联的其它系统都划分为外部网络部分,而NGFW 4000 以内的部分包括与各地市互联的部分都可归为中心的内部网络,与中间业务系统相关的省数据中心网络边界部分和内部网络部分都是等级保护定级的范围和对象。
在此次定级过程中,将各市的网络和数据中心连同省中心统一作为一个定级对象加以考虑,统一进行定级、备案。
各市的网络和数据中心还要作为整个系统的分系统分别进行定级、备案。
(三)该信息系统业务主要包含:中国移动代收费、中国联通代收费、代理国债、批量工资代发、页脚内容1批量水电气等费用代扣、代收烟草款等业务,并新增加了代收国税、地税,代办保险等业务。
系统针对业务实现的差异分别提供实时联机处理和批量处理两种方式。
其中:通过网络与第三方机构的连接,均采用约定好的报文格式进行通讯,业务处理流程实时完成。
信息系统安全等级保护定级报告
《信息系统安全等级保护定级报告》一、XXX信息系统描述简述确定该系统为定级对象的理由。
从三方面进行说明:一是描述承担信息系统安全责任的相关单位或部门,说明本单位或部门对信息系统具有信息安全保护责任,该信息系统为本单位或部门的定级对象;二是该定级对象是否具有信息系统的基本要素,描述基本要素、系统网络结构、系统边界和边界设备;三是该定级对象是否承载着单一或相对独立的业务,业务情况描述。
二、XXX信息系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》)(一)业务信息安全保护等级的确定1、业务信息描述描述信息系统处理的主要业务信息等。
2、业务信息受到破坏时所侵害客体的确定说明信息受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。
3、信息受到破坏后对侵害客体的侵害程度的确定说明信息受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。
4、业务信息安全等级的确定依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级。
(二)系统服务安全保护等级的确定1、系统服务描述描述信息系统的服务范围、服务对象等。
2、系统服务受到破坏时所侵害客体的确定说明系统服务受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。
3、系统服务受到破坏后对侵害客体的侵害程度的确定说明系统服务受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。
4、系统服务安全等级的确定依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。
(三)安全保护等级的确定信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定,最终确定XXX系统安全保护等级为第几级。
信息系统安全等级保护定级报告
信息系统安全等级保护定级报告一、引言随着信息技术的飞速发展,信息系统在各个领域的应用日益广泛,其安全性也越发受到重视。
为了保障信息系统的安全稳定运行,维护国家安全、社会秩序和公共利益,根据国家相关法律法规和标准要求,对信息系统进行安全等级保护定级工作具有重要意义。
二、信息系统概述(一)信息系统名称本次定级的信息系统名称为:系统名称。
(二)信息系统主要功能该信息系统主要用于详细描述系统的主要功能和业务应用,例如数据处理、业务管理、信息发布等。
(三)信息系统服务范围服务范围涵盖了具体说明服务的对象和区域,如内部员工、外部客户、特定地区等。
(四)信息系统网络架构描述信息系统的网络拓扑结构,包括服务器、客户端、网络设备的连接方式等。
三、安全保护等级确定的依据(一)业务信息安全等级1、业务信息的重要性分析系统所处理的业务信息在国家安全、经济建设、社会生活中的重要程度。
例如,举例说明某些关键业务信息的价值和影响。
2、业务信息的敏感性评估业务信息的敏感性,如涉及个人隐私、商业机密、国家秘密等方面的程度。
举例说明敏感信息的类型和可能造成的影响(二)系统服务安全等级1、服务的可用性要求考虑系统服务中断或故障对业务运营的影响程度,如是否会导致重大经济损失、社会秩序混乱等。
举例说明服务不可用的可能后果2、服务的完整性要求分析系统服务在数据完整性、交易完整性等方面的要求,以及数据被篡改或破坏可能带来的影响。
举例说明数据完整性受损的危害(三)综合判定综合考虑业务信息安全等级和系统服务安全等级,按照国家相关标准和规定,确定信息系统的安全保护等级。
四、安全保护等级的初步确定经过对信息系统的全面评估和分析,初步确定该信息系统的安全保护等级为具体等级,如二级、三级等。
五、安全保护等级的调整因素(一)特殊行业要求如果信息系统所属行业存在特殊的安全要求和监管规定,可能需要对初步确定的等级进行调整。
(二)系统规模和复杂性系统的规模大小、技术复杂度以及与其他系统的交互程度等因素,也可能影响安全保护等级的判定。
学校信息系统安全等级保护定级报告
学校信息系统安全等级保护定级报告TPMK standardization office【 TPMK5AB- TPMK08- TPMK2C- TPMK18】《某某学校门户网站信息系统安全等级保护定级报告》一、某某学校门户网站信息系统我校门户网站信息系统主要提供学校信息发布,校务公开,政策宣传等,并且也是我校对外宣传具有组织合法权益的窗口阵地之一。
该信息系统的平台搭建、程序设计和运行维护主要有网络中心承担,学校始终将信息安全建设作为安全重中之重建设和管理,将其确定为定级对象进行监督并责成网络中心进行自查和整改,网络中心具有信息安全保护责任。
此系统主要由提供网络连接、网络服务的硬件和数据控制的软件程序两大要素构成,提供网络连接和服务的硬件设备如路由器、交换机和服务器构成了该信息系统的基础,其主要为保障数据的传输和程序文件的运行;数据控制文件系统、程序源码如新闻发布程序文件等成为信息表现的载体,二者共同完成校内相关公文、通知、公告信息、思政宣传和校务公开的管理。
二、某某学校门户网站信息系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》)(一)业务信息安全保护等级的确定1、业务信息描述本信息系统主要处理的业务有校内通知、校务公开;校外公告和学校对外宣传工作等。
旨在提高工作效率、明细办事职责、增强校务透明度、扩大学校社会影响力。
2、业务信息受到破坏时所侵害客体的确定本信息系统由于具有一定的脆弱性,需要不定时进行对该系统网站程序升级和漏洞防范,所以很容易受到“黑客”攻击和破坏,可能会影响学校正常秩序和正常行使工作职能,从某种角度可侵害学校、教师、学生合法权益。
3、信息受到破坏后对侵害客体的侵害程度的确定当此信息受到破坏后,会对学校和部分师生造成一些严重损害。
4、业务信息安全等级的确定依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级为二级。
(二)系统服务安全保护等级的确定1、系统服务描述本信息系统主要为校内外关注本门户网站的网友提供消息通知公告和咨询等服务。
信息系统安全等级保护定级报告
信息系统安全等级保护定级报告一、报告背景信息系统的安全等级保护是指根据信息系统的重要性、风险等级等因素,将信息系统划分为不同的安全等级,然后对不同等级的信息系统进行相应的安全保护。
定级报告是对信息系统进行安全等级保护定级的一份文档,通过对信息系统的详细评估和分析,提供具体的安全等级定级建议,为信息系统的后续安全保护工作提供指导。
二、报告目的本报告旨在通过评估信息系统的重要性、安全风险等级、信息资源、安全需求等因素,为信息系统的安全等级保护提供定级建议。
报告将通过对信息系统的现状、安全保护需求等方面的研究和分析,为信息系统制定相应的安全保护措施提供依据。
三、评估方法本报告采用综合评估方法对信息系统进行评估。
综合评估方法包括对信息系统的重要性、风险等级、信息资源、安全需求等方面进行评估,并综合考虑其背景及安全环境等因素,以确定信息系统的最终安全等级。
四、评估内容1.信息系统的重要性评估:对信息系统进行综合评估,考虑其在组织中的重要性、对业务的影响程度等因素,从而确定其在安全等级中的位置。
2.安全风险等级评估:对信息系统的各种安全风险进行评估,考虑其可能带来的损失及对业务的影响程度等因素,以确定信息系统的风险等级。
3.信息资源评估:对信息系统所涉及的各种信息资源进行评估,包括其数量、重要性、保密性、完整性等方面,从而确定信息系统的资源等级。
4.安全需求评估:对信息系统的安全需求进行评估,考虑其安全控制需求、保密需求、完整性需求、可用性需求等因素,从而确定信息系统的安全需求等级。
五、评估结果经过综合评估,本报告对所评估的信息系统提出了相应的安全等级建议。
根据信息系统的重要性、安全风险等级、资源等级和安全需求等因素,具体建议如下:1.将信息系统定级为高等级保护:该信息系统在组织中具有重要的业务地位,其安全风险等级较高,涉及的信息资源极其重要,安全需求较高,因此建议将其划定为高等级保护,实施严格的安全控制措施。
信息系统安全等级保护定级报告
信息系统安全等级保护定级报告一、背景信息系统在现代社会中扮演着重要的角色,但随之而来的风险与威胁也不容忽视。
为了保护关键信息资产的安全,我们对本公司的信息系统进行了等级保护定级评估,并制定了相应的保护方案。
二、评估目标本次评估旨在确定信息系统的安全等级,并提出相应的保护建议,以确保信息系统的安全性、可靠性和完整性。
三、评估范围评估范围包括本公司所有关键信息系统,包括但不限于网络系统、数据库系统、应用系统以及与之相关的硬件设备和软件系统。
四、评估方法本次评估采用了国家相关标准和规范,结合本公司信息系统的特点,采用定性和定量相结合的方法进行评估,并综合考虑了系统的安全策略、技术实施和管理控制等方面。
五、保护等级分级根据评估结果,将信息系统的安全等级划分为不同级别,包括一级到四级,等级越高,对信息系统安全的要求越严格。
六、评估结果和建议1. 信息系统等级划分:- 一级:对系统的安全性要求最高,适用于涉密级核心业务系统。
- 二级:对系统的安全性要求较高,适用于重要业务系统。
- 三级:对系统的安全性要求一般,适用于普通业务系统。
- 四级:对系统的安全性要求较低,适用于非关键业务系统。
2. 保护建议:- 一级系统建议采用多层次的安全防护措施,包括但不限于网络安全设备、安全审计系统和数据加密技术等。
- 二级系统建议加强对系统的访问控制和身份认证,确保关键业务数据的安全。
- 三级系统建议建立完善的安全管理制度和流程,定期进行系统漏洞扫描和安全测试。
- 四级系统建议采用基本的安全防护措施,包括但不限于防病毒软件、防火墙和访问权限控制等。
七、保护计划根据评估结果和建议,我们制定了相应的保护计划,包括但不限于:1. 加强网络安全设备的更新和维护,确保网络的安全稳定;2. 建立完善的安全培训计划,提高员工的安全意识和技能水平;3. 定期对系统进行安全检查和漏洞扫描,并及时修复发现的安全漏洞;4. 系统的安全事件应急处理,包括安全事件的报告、跟踪和整改等;八、总结本次信息系统安全等级保护定级评估为本公司的信息系统安全提供了重要的参考依据,通过合理的等级定级和相应的保护措施,可以最大限度地保障信息系统的安全性和可靠性。
信息系统安全等级保护定级报告示例
信息系统安全等级保护定级报告示例一、引言信息系统安全等级保护定级是指按照《信息安全等级保护管理办法》的要求,通过对信息系统的安全保护等级进行评估和确定,为信息系统的安全防护提供依据和指导。
本报告根据实际需求,对XXX公司的信息系统进行安全等级保护定级,并提供相关建议。
二、背景1.信息系统概述XXX公司信息系统作为公司的核心运营系统,主要包括生产管理系统、财务管理系统、人力资源管理系统和客户关系管理系统等。
这些系统承载了公司日常的各项业务活动,对公司的运营和发展起到了至关重要的作用。
2.信息系统安全现状为了保障信息系统的安全运行,XXX公司已经采取了一系列安全防护措施,包括网络隔离、防火墙设置、入侵检测系统等。
然而,基于系统漏洞、安全策略和人为操作等因素,仍存在安全隐患。
三、安全定级分析根据《信息安全等级保护管理办法》的要求,我们对XXX公司的信息系统进行了安全定级分析。
通过对系统的安全性能、敏感性、业务影响度和整体安全管理能力的评估,结合公司实际需求,将该信息系统定级为“三级”。
1.安全性能评估安全性能评估主要从系统的机密性、完整性、可用性和性能安全等方面进行综合评估。
通过分析系统的安全策略、加密算法、访问控制机制等,确认XXX公司信息系统的安全性能较高,能够满足基本的安全需求。
2.敏感性评估敏感性评估主要从系统处理的数据敏感性、业务敏感性和系统接入网络的敏感性等方面进行评估。
经过分析,XXX公司信息系统处理的数据具有较高的敏感性,如果泄露可能对公司的声誉和利益造成重大损失。
因此,该系统被定为敏感性较高的等级。
3.业务影响度评估业务影响度评估主要从系统的稳定性和可靠性等方面进行综合评估。
XXX公司信息系统作为核心运营系统,一旦发生安全事故会对公司的正常运营产生严重影响。
因此,系统的业务影响度属于较高等级。
4.安全管理能力评估安全管理能力评估主要从公司的安全组织架构、安全培训、事件响应和应急预案等方面进行评估。
信息系统安全等级保护信息系统定级报告
信息系统安全等级保护信息系统定级报告一、引言随着信息技术的飞速发展,信息系统在各个领域的应用日益广泛。
然而,信息系统面临的安全威胁也与日俱增,为了保障信息系统的安全稳定运行,对其进行安全等级保护定级至关重要。
二、信息系统概述(一)系统名称及主要功能本信息系统名为“_____信息系统”,主要用于_____(详细描述系统的主要功能和应用场景)。
(二)系统服务范围及用户群体该系统服务于_____(说明系统的服务范围,如企业内部、特定行业、公众等),用户群体包括_____(列举主要的用户类型,如员工、客户、合作伙伴等)。
(三)系统网络架构描述系统的网络拓扑结构,包括服务器、客户端、网络设备等的连接方式和分布情况。
(四)系统软硬件环境介绍系统所采用的硬件设备(如服务器、存储设备等)和软件平台(如操作系统、数据库、应用软件等)。
三、安全保护等级确定(一)业务信息安全等级1、业务信息描述对系统处理的业务信息进行详细描述,包括信息的类型、内容、重要程度等。
2、业务信息受到破坏后的侵害程度分析业务信息受到破坏后,可能对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成的损害程度。
(二)系统服务安全等级1、系统服务描述阐述系统提供的服务类型、服务质量要求等。
2、系统服务受到破坏后的侵害程度评估系统服务受到破坏后,可能对国家安全、社会秩序、公共利益以及服务对象造成的影响。
(三)安全等级综合确定根据业务信息安全等级和系统服务安全等级,综合确定信息系统的安全保护等级。
四、安全需求分析(一)物理安全需求包括机房环境、设备设施、访问控制等方面的安全需求。
(二)网络安全需求涵盖网络拓扑结构、网络访问控制、网络安全防护等方面的要求。
(三)主机安全需求涉及服务器和客户端的操作系统安全、身份认证、访问控制等内容。
(四)应用安全需求针对应用软件的安全功能、数据完整性和保密性等方面的需求进行分析。
(五)数据安全需求重点关注数据的备份与恢复、数据加密、数据访问控制等方面的要求。
信息系统安全等级保护定级报告
信息系统安全等级保护定级报告(起草参考实例之二)一、公文处理系统描述(一)公文处理系统于2000年7月由xx部公厅立项,xx部组织开发。
目前该系统由xx部信息中心负责运行维护。
xx部办公厅是该信息系统业务的主管部门,xx部为该信息系统定级的责任单位。
(二)该系统按照xx部系统公文处理系统的应用目标和规则对公文处理系统业务信息进行采集、加工、存储、传输、检索等处理的人机系统。
该系统所涵盖网络分为两部分,第一部分为xx部数据中心,第二部分为xx部到各省厅的垂直主干网络。
主干网的连接具体如下:下联省厅:在省厅数据中心网络中,与下面各省厅互联主要设备是路由器、防火墙和主交换机,整个xx部数据中心网络中的所有设备系统都按照统一的设备管理策略。
整个网络是公文处理系统的支撑环境,在此次定级过程中,与各省厅互联的网络、横向网络以及xx部数据中心统一作为一个定级对象加以考虑,统一进行定级、备案。
公文处理系统核心部分部署在多台主机上,就信息系统角度而言,其边界应描述成主机与所连接的核心交换机的边界。
在核心交换机上通过划分单独的VLAN来实现与其它系统的隔离。
公文处理系统包括公文处理系统的主要功能包括收文发文管理、文件传递运转、立卷归档和查询统计等功能。
将核心业务独立,可以保证信息化建设时,抓住主要矛盾,便于分步实施。
同时,在进行业务处理时,可以把核心业务部署单独部署,以保证核心业务稳定、高效和安全地进行。
公文处理系统为B/S/S三层体系结构,基于J2EE架构,应用服务器和数据库服务器均部署在xx部数据中心,所有用户通过浏览器方式获取系统服务。
二、公文处理系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》)(一)业务信息安全保护等级的确定1、业务信息描述公文处理系统包括公文处理系统的主要功能包括收文发文管理、文件传递运转、立卷归档和查询统计等功能。
与公文处理系统相联终端上传的信息是xx部系统内部信息。
《信息系统安全等级保护定级报告》
《信息系统安全等级保护定级报告》一、XXX系统描述(一)XXXX年XX月XX日XXX系统正式上线。
XX部门是该信息系统业务的主管部门和定级的责任单位,该信息系统为本单位的定级对象。
(二)该信息系统具有信息系统的基本要素,是按照一定的应用目标和规则组合而成的有形实体,整个信息系统网络结构情况如下:XXX系统网络结构图学校网络结构包含本地数据中心及异地数据中心,两个数据中心互为备份。
该信息系统部署于本地数据中心,其网络结构由边界层、核心层、汇聚层、接入层组成。
边界层包括路由器、流量控制;核心层包括核心交换机、上网行为审计;汇聚层包括web应用防火墙、数据中心交换机、接入层包括备份系统服务器、服务器群、网络存储即光纤网络存储及IP网络存储。
本地数据中心以1台核心交换机作为核心网络交换设备,并部署了安全审计系统进行上网行为审计。
对外有2个网络出口,分别是电信网和教育网。
两个出口部署一个路由器、流量控制设备。
此外,在局域网内部单独为重要服务器划分了服务器区域,该区域由1台统一web应用防火墙和1台数据中心交换机作为核心设备,组成服务器区子网。
异地数据中心由1台核心交换机作为核心网络交换设备,在局域网内部部署了1台数据中心交换机作为核心设备。
XXX系统的服务器设备位于上图中的本地数据中心服务器群区域,根据系统实际对XXX系统环境进行详细描述,包括系统所包含的各个服务器(比如XX系统前端服务器、XX系统后台服务器等)的名称、服务器物理位置、服务器型号、服务器IP地址、服务器操作系统类型及版本,使用的数据库及IP地址,中间件,是否热备,应用提供服务的范围(内网服务、内外网服务、互联网服务)等。
(三)该信息系统主要实现XX、XX、XX等功能。
二、XXX系统安全保护等级的确定(一)业务信息安全保护等级的确定1、业务信息的描述XXX系统主要实现XX、XX、XX等功能。
该系统包含的信息有:XX信息、XX 信息、XX信息等。
信息系统安全等级保护定级报告
信息系统安全等级保护定级报告信息系统安全等级保护定级报告一、 5173电子商务平台系统描述5173电子商务平台系统是B2B电子商务平台。
此系统是计算机及其相关的和配套的设备、设施构成的~是按照一定的应用目标和规则对5173电子商务平台系统信息进行采集、加工、存储、传输、检索等处理的人机系统。
整个网络分为两部分~第一部分为企业内部ERP~第二部分为外网。
在企业网络信息部部署了2台华为的Dlink交换机、12台IBM3650服务器以及1台SonciMALL2040路由器。
主要承担企业内部ERP系统的互联以及外部托管机房的数据交换。
整个网络中的所有设备系统都按照统一的设备管理策略~只能现场配置~不可远程拨号登录。
电子商务系统相关的中心网络都是等级保护定级的范围和对象。
在此次定级过程中~将企业内部网络和数据中心连同托管机房统一作为一个定级对象加以考虑~统一进行定级。
,三,该信息系统业务主要包含:网上会员服务、企业品牌宣传、促销信息发布、数据查询服务、物流信息服务、在线搜索、网上订购、在线支付等。
系统针对业务实现的差异分别提供实时联机处理和批量处理两种方式。
其中:通过网络与第三方机构的连接~均采用约定好的报文格式进行通讯~业务处理流程实时完成。
二、 5173电子商务平台系统安全保护等级的确定,一, 业务信息安全保护等级的确定1、业务信息描述5173电子商务平台系统信息包括:药品产品信息~合作法人和其他组织的的个人,单位,信息~交易情况~以及合作的网上银行等部门的信息等。
属于公民、法人和其他组织的专有信息。
2、业务信息受到破坏时所侵害客体的确定,侵害的客体包括:1国家安全~2社会秩序和公共利益~3公民、法人和其他组织的合法权益等共三个客体, 该业务信息遭到破坏后~所侵害的客体是公民、法人和其他组织的合法权益。
侵害的客观方面,客观方面是指定级对象的具体侵害行为~侵害形式以及对客体的造成的侵害结果,表现为:一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害,形式可以包括丢失、破坏、损坏等,~会对公民、法人和其他组织的合法权益造成影响和损害~可以表现为:影响正常工作的开展~导致业务能力下降~造成不良影响~引起法律纠纷等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
《信息系统安全等级保护定级报告》
一、马尔康县人民检察院门户网站信息系统描述
(一)该信息系统于2014年4月上线。
目前该系统由马尔康县人民检察院办信息股负责运行维护。
九龙县县政府办是该信息系统业务的主管部门,信息股为该信息系统定级的责任单位。
(二)此系统是计算机及其相关的和配套的设备、设施构成的,是按照一定的应用目标和规则对门户网站信息进行采集、加工、存储、传输、检索等处理的人机系统。
服务器托管在九龙县电信公司机房
(三)该信息系统业务主要包含:等业务。
二、马尔康县人民检察院门户网站信息系统安全保护等级确定
(一)业务信息安全保护等级的确定
1、业务信息描述
该信息系统业务主要包含:九龙新闻、信息公开、在线下载、旅游在线、县长信箱等业务。
2、业务信息受到破坏时所侵害客体的确定
该业务信息遭到破坏后,所侵害的客体是社会秩序和公众利
—9 —
益。
侵害的客观方面(客观方面是指定级对象的具体侵害行为,侵害形式以及对客体的造成的侵害结果)表现为:一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害(形式可以包括丢失、破坏、损坏等),会对社会秩序和公众利益造成影响和损害,可以表现为:发布虚假信息,影响公共利益,造成不良影响,引起法律纠纷等。
3、信息受到破坏后对侵害客体的侵害程度的确定
上述结果的程度表现为严重损害,即工作职能受到严重影响,造成较大范围的不良影响等。
4、业务信息安全等级的确定
业务信息安全保护等级为第二级。
(二)系统服务安全保护等级的确定
1、系统服务描述
该系统属于为民生、经济、建设等提供信息服务的信息系统,其服务范围为全国范围内的普通公民、法人等。
2、系统服务受到破坏时所侵害客体的确定
该业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益,同时也侵害社会秩序和公共利益。
客观方面表现得侵害结果为:一可以对公民、法人和其他组织的合法权益造成侵害(影响正常工作的开展,造成不良影响,引起法律纠纷等);—10 —
二可以对社会秩序公共利益造成侵害(造成社会不良影响,引起公共利益的损害等)。
根据《定级指南》的要求,出现上述两个侵害客体时,优先考虑社会秩序和公共利益,另外一个不做考虑。
3、系统服务受到破坏后对侵害客体的侵害程度的确定
上述结果的程度表现为:对社会秩序和公共利益造成严重损害,即会出现较大范围的社会不良影响和较大程度的公共利益的损害等。
4、系统服务安全等级的确定
系统服务安全保护等级为第二级。
(三)安全保护等级的确定
信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定,最终确定马尔康县人民检察院门户网站系统安全保护等级为第三级。
—11 —
—12 —
— 13 —
附件2:
信息系统安全等级保护
备案表
备 案 单 位: 九龙县人民政府办公室 备 案 日 期: 2012年6月15日
受理备案单位: 受 理 日 期:
备案表编号:
中华人民共和国公安部监制
填表说明
一、制表依据。
根据《信息安全等级保护管理办法》(公通字[2007]43号)之规定,制作
本表;
二、填表范围。
本表由第二级以上信息系统运营使用单位或主管部门(以下简称“备案单
位”)填写;本表由四张表单构成,表一为单位信息,每个填表单位填写一张;表二为信息系统基本信息,表三为信息系统定级信息,表二、表三每个信息系统填写一张;
表四为第三级以上信息系统需要同时提交的内容,由每个第三级以上信息系统填写一张,并在完成系统建设、整改、测评等工作,投入运行后三十日内向受理备案公安机关提交;表二、表三、表四可以复印使用;
三、保存方式。
本表一式二份,一份由备案单位保存,一份由受理备案公安机关存档;
四、本表中有选择的地方请在选项左侧“ ”划“√”,如选择“其他”,请在其后的横线
中注明详细内容;
五、封面中备案表编号(由受理备案的公安机关填写并校验):分两部分共11位,第一部
分6位,为受理备案公安机关代码前六位(可参照行标GA380-2002)。
第二部分5位,为受理备案的公安机关给出的备案单位的顺序编号;
六、封面中备案单位:是指负责运营使用信息系统的法人单位全称;
七、封面中受理备案单位:是指受理备案的公安机关公共信息网络安全监察部门名称。
此
项由受理备案的公安机关负责填写并盖章;
八、表一04行政区划代码:是指备案单位所在的地(区、市、州、盟)行政区划代码;
九、表一05单位负责人:是指主管本单位信息安全工作的领导;
十、表一06责任部门:是指单位内负责信息系统安全工作的部门;
十一、表一08隶属关系:是指信息系统运营使用单位与上级行政机构的从属关系,须按照单位隶属关系代码(GB/T12404―1997)填写;
十二、表二02系统编号:是由运营使用单位给出的本单位备案信息系统的编号;
十三、表二05系统网络平台:是指系统所处的网络环境和网络构架情况;
十四、表二07关键产品使用情况:国产品是指系统中该类产品的研制、生产单位是由中国公民、法人投资或者国家投资或者控股,在中华人民共和国境内具有独立的法人资格,产品的核心技术、关键部件具有我国自主知识产权;
十五、表二08系统采用服务情况:国内服务商是指服务机构在中华人民共和国境内注册成立(港澳台地区除外),由中国公民、法人或国家投资的企事业单位;
十六、表三01、02、03项:填写上述三项内容,确定信息系统安全保护等级时可参考《信息系统安全等级保护定级指南》,信息系统安全保护等级由业务信息安全等级和系统服务安全等级较高者决定。
01、02项中每一个确定的级别所对应的损害客体及损害程度可多选;
十七、表三06主管部门:是指对备案单位信息系统负领导责任的行政或业务主管单位或部门。
部级单位此项可不填;
—14 —
十八、解释:本表由公安部公共信息网络安全监察局监制并负责解释,未经允许,任何单位和个人不得对本表进行改动。
—15 —
表一单位基本情况
—16 —
表二( / )信息系统情况
—18 —
备案审核民警:审核日期:年月日
—19 —
表四( / )第三级以上信息系统提交材料情况
—20 —
附件3:
涉及国家秘密的信息系统分级保护备案表
填报日期:年月日填报单位:(盖章)
填表说明:
1.“系统密级”依据《涉及国家秘密的信息系统分级保护管理办法》和国家保密标准BMB17-2006确定。
2.涉密信息系统一般应划分安全域,同一系统内的不同安全域根据所处理
—21 —
信息的重要程度,可分别确定密级。
3.表中“□”项,确认划“√”。
4.填报多个涉密信息系统,可复印此表。
国家保密局制—22 —。