电力行业信息系统安全等级保护基本情况调查表

附件4各地信息安全基本情况调查表一、系统基本情况梳理系统的实时性、服务对象、连接互联网情况、数据集中情况、灾备情况等基本情况，记录检查结果（表1）。

表1 系统基本情况检查记录表二、系统特征情况分析根据上述系统基本情况核查结果，分析系统停止运行后对主要业务的影响程度、系统遭受攻击破坏后对社会公众的影响程度等安全特征，记录分析结果（表2）。

1、系统停止运行后对主要业务的影响程度按如下标准判定：影响程度高：系统停止运行后，主要业务无法开展或对主要业务运行产生严重影响；影响程度中：系统停止运行后，对主要业务运行有一定影响，1 逻辑强隔离指使用逻辑强隔离设备（使用正向、反向或双向网闸）进行的网络隔离。

可用手工等传统方式替代；影响程度低：系统停止运行后，对主要业务运行影响较小或无影响。

2、系统遭受攻击破坏后对社会公众的影响程度按如下标准判定：影响程度高：系统遭受攻击破坏，造成系统无法正常运行、被劫持、信息泄露等后果后，对社会公众正常生活、公众利益等产生严重影响；影响程度中：系统遭受攻击破坏，造成系统无法正常运行、被劫持、信息泄露等后果后，对社会公众正常生活、公众利益等产生一定影响；影响程度低：系统遭受攻击破坏，造成系统无法正常运行、被劫持、信息泄露等后果后，对社会公众正常生活、公众利益等影响较小或无影响。

表2 系统特征情况分析记录表二、系统构成情况1. 检查主要硬件设备类型、数量、生产商（品牌）情况，记录检查结果（表3）。

硬件设备类型主要有：服务器、路由器、交换机、防火墙、磁盘阵列、磁带库及其他主要安全设备。

硬件设备生产商（品牌）按国内、国外两类进行记录。

其中，国内主要有浪潮、曙光、联想、方正、华为、中兴、天融信、启明星辰、绿盟、联想网御等，国外主要有IBM、HP、DELL、Cisco、Juniper、H3C等。

表3 信息系统主要硬件检查记录表2. 检查主要软件设备类型、套数、生产商（品牌）情况，记录检查结果（表4）。

电力行业信息系统安全等级保护基本要求(总101页)-CAL-FENGHAI.-(YICAI)-Company One1-CAL-本页仅作为文档封面，使用请直接删除ICSDL电力行业信息系统安全等级保护基本要求Baseline for classified protection of power industry informationsystem（征求意见稿）目次前言................................................................ 错误!未定义书签。

引言................................................................ 错误!未定义书签。

第一部分通用要求..................................................... 错误!未定义书签。

1 适用范围............................................................ 错误!未定义书签。

2 规范性参考文件...................................................... 错误!未定义书签。

3 术语和定义.......................................................... 错误!未定义书签。

4 信息系统安全等级保护概述............................................ 错误!未定义书签。

信息系统安全保护等级................................................. 错误!未定义书签。

不同等级的安全保护能力............................................... 错误!未定义书签。

等级保护对象基本情况调查表省信息安全测评中心省电子信息产品监督检验所年月地址：xxxxxxxxxxxxx 邮编：22222222传真：xxxxxxx 电话：1212121212121B.1基本信息表B.1.1单位基本信息B.1.2项目背景介绍（简单介绍项目建设情况，项目规模，目标等）B.1.3等级保护对象基本情况B.2网络结构B.2.1网络拓扑结构图（必须提供）拓扑描述示例：xxx网络安全域分为？个，分别为广域网接入区域、用户接入区域、互联网接入区域、核心交换区域、应用服务区域、核心处理区域、管理区域等等（网络结构描述）XXX平台网络结构主要包括：接入层、汇聚层和核心层。

1、接入层接入层网络主要实现对外部网络的链接功能，通过防火墙（最好具体到防火墙的名称或品牌）、入侵监测系统（IDS）/入侵防护系统（IPS）（最好具体到IDS/IPS的名称或品牌）、防病毒网关（最好具体到名称或品牌）等设备提供网络安全防护。

接入层网络边界主要是，（1）与XXX网接口：XXX平台与XXX网之间的接口，由防火墙（最好具体到名称或品牌）实施网络访问控制；（2）与XXX网接口： XXX平台与XXX网之间的接口，由安全路由器（最好具体到名称或品牌）实施网络访问控制；2、汇聚层汇聚层网络主要实现内部网络链接的汇聚和交换，通过核心交换机（最好具体到名称或品牌）、楼层交换机/汇聚交换机（最好具体到名称或品牌）实现内部网络通信。

汇聚层网络防护的主要措施是：（1）内部网络根据业务功能/安全需求不同，在核心交换机（最好具体到名称或品牌）上进行网段划分，包括：XXX网段、XXX网段，不同网段之间的访问进行了严格的/较为严格的/一定的/宽松的/未进行控制；（2）通过部署防火墙（最好具体到名称或品牌）限制xx网络与xx网络之间的访问。

3、核心层核心层网络主要提供核心主机、数据库、存储设备等重要设备的数据交换功能。

核心主机包括：XXX、XXX、XXX（最好具体到名称或品牌），通过部署防火墙/核心交换机ACL等实现严格的/较为严格的/一定的/宽松的/未进行网络访问控制；数据库系统和存储设备主要是：XXX、XXX、XXX（最好具体到名称或品牌），通过部署防火墙/核心交换机ACL等实现严格的/较为严格的/一定的/宽松的/未进行网络访问控制。

电力行业信息系统安全等级保护基本要求(总101页)-CAL-FENGHAI.-(YICAI)-Company One1-CAL-本页仅作为文档封面，使用请直接删除ICSDL电力行业信息系统安全等级保护基本要求Baseline for classified protection of power industry informationsystem（征求意见稿）目次前言................................................................ 错误!未定义书签。

引言................................................................ 错误!未定义书签。

第一部分通用要求..................................................... 错误!未定义书签。

1 适用范围............................................................ 错误!未定义书签。

2 规范性参考文件...................................................... 错误!未定义书签。

3 术语和定义.......................................................... 错误!未定义书签。

4 信息系统安全等级保护概述............................................ 错误!未定义书签。

信息系统安全保护等级................................................. 错误!未定义书签。

不同等级的安全保护能力............................................... 错误!未定义书签。

《信息系统安全等级保护定级报告》
一、系统描述
该系统的安全管理责任单位是办公厅，技术安全责任单位是信息中心。

该系统为总局定级对象。

该系统为总局机关工作人员提供总局办公楼局域网内网上办公和通过互联网，采用VPN和CA技术实现总局系统内各单位间的公文交换等功能。

二、信息安全保护等级确定
（一）业务信息安全保护等级的确定
1、业务信息描述：为总局系统办公服务
2、侵害客体：社会秩序和公共利益
3、侵害程度：严重损害
4、信息保护等级：三级
（二）系统服务安全保护等级的确定
1、服务范围：总局系统内部
2、侵害客体：公民、法人和其他组织合法权益
3、侵害程度：严重损害
4、服务安全等级：二级
（三）安全保护等级的确定
该系统的安全保护等级定为第三级。

（电力行业）电力行业信息系统安全等级保护基本要求1DL/T××××—××××电力行业信息系统安全等级保护基本要求Baseline for classified protection of power industry information system（征求意见稿）2目次前言 (V)引言 (VI)第一部分通用要求 (1)1 适用范围 (1)2 规范性参考文件 (1)3 术语和定义 (1)4 信息系统安全等级保护概述 (1)4.1 信息系统安全保护等级 (1)4.2 不同等级的安全保护能力 (1)4.3 总体要求、基本技术要求和基本管理要求 (2)4.4 基本技术要求的三种类型 (2)第二部分：管理信息系统类要求 (3)5 总体要求 (3)5.1 总体技术要求 (3)5.2 总体管理要求 (3)6 第一级基本要求 (4)6.1 技术要求 (4)6.1.1 物理安全 (4)6.1.2 网络安全 (4)6.1.3 主机安全 (5)6.1.4 应用安全 (5)6.1.5 数据安全及备份恢复 (5)6.2 管理要求 (5)6.2.1 安全管理制度 (5)6.2.2 安全管理机构 (6)6.2.3 人员安全管理 (6)6.2.4 系统建设管理 (6)6.2.5 系统运维管理 (7)7 第二级基本要求 (9)7.1 技术要求 (9)7.1.1 物理安全 (9)7.1.2 网络安全 (10)7.1.3 主机安全 (11)7.1.4 应用安全 (12)I7.2 管理要求 (13)7.2.1 安全管理制度 (13)7.2.2 安全管理机构 (13)7.2.3 人员安全管理 (14)7.2.4 系统建设管理 (15)7.2.5 系统运维管理 (16)8 第三级基本要求 (18)8.1 技术要求 (19)8.1.1 物理安全 (19)8.1.2 网络安全 (20)8.1.3 主机安全 (22)8.1.4 应用安全 (23)8.1.5 数据安全 (25)8.2 管理要求 (25)8.2.1 安全管理制度 (25)8.2.2 安全管理机构 (26)8.2.3 人员安全管理 (27)8.2.4 系统建设管理 (28)8.2.5 系统运维管理 (30)第三部分：生产控制信息系统类要求 (35)9 总体要求 (35)9.1 总体技术要求 (35)9.2 总体管理要求 (35)10 第一级基本要求 (36)10.1 技术要求 (36)10.1.1 物理安全 (36)10.1.2 网络安全 (36)10.1.3 主机安全 (37)10.1.4 应用安全 (37)10.1.5 数据安全及备份恢复 (37)10.2 管理要求 (37)10.2.1 安全管理制度 (37)10.2.2 安全管理机构 (38)10.2.3 人员安全管理 (38)10.2.4 系统建设管理 (39)10.2.5 系统运维管理 (40)11 第二级基本要求 (41)11.1 技术要求 (41)II11.1.2 网络安全 (42)11.1.3 主机安全 (43)11.1.4 应用安全 (44)11.1.5 数据安全 (45)11.2 管理要求 (46)11.2.1 安全管理制度 (46)11.2.2 安全管理机构 (46)11.2.3 人员安全管理 (47)11.2.4 系统建设管理 (48)11.2.5 系统运维管理 (49)12 第三级基本要求 (51)12.1 技术要求 (51)12.1.1 物理安全 (51)12.1.2 网络安全 (53)12.1.3 主机安全 (55)12.1.4 应用安全 (56)12.1.5 数据安全 (58)12.2 管理要求 (58)12.2.1 安全管理制度 (58)12.2.2 安全管理机构 (59)12.2.3 人员安全管理 (60)12.2.4 系统建设管理 (61)12.2.5 系统运维管理 (63)13 第四级基本要求 (67)13.1 技术要求 (67)13.1.1 物理安全 (67)13.1.2 网络安全 (68)13.1.3 主机安全 (70)13.1.4 应用安全 (72)13.1.5 数据安全 (73)13.2 管理要求 (74)13.2.1 安全管理制度 (74)13.2.2 安全管理机构 (75)13.2.3 人员安全管理 (76)13.2.4 系统建设管理 (77)13.2.5 系统运维管理 (79)附录A 关于信息系统整体安全保护能力的要求 (84)附录B 基本安全要求的选择和使用 (85)IV前言本标准的附录A和附录B是规范性附录。

1B.1基本信息表B.1.1单位基本信息等级保护对象基本情况调查表省信息安全测评中心 省电子信息产品监督检验所年 月地址：xxxxxxxxxxxxx 邮编：22222222 传真：xxxxxxx 电话：12121212121212B.1.2项目背景介绍（简单介绍项目建设情况，项目规模，目标等）B.1.3等级保护对象基本情况3B.2网络结构B.2.1网络拓扑结构图（必须提供）拓扑描述示例：xxx网络安全域分为？个，分别为广域网接入区域、用户接入区域、互联网接入区域、核心交换区域、应用服务区域、核心处理区域、管理区域等等（网络结构描述）XXX平台网络结构主要包括：接入层、汇聚层和核心层。

1、接入层接入层网络主要实现对外部网络的链接功能，通过防火墙（最好具体到防火墙的名称或品牌）、入侵监测系统（IDS）/入侵防护系统（IPS）（最好具体到IDS/IPS的名称或品牌）、防病毒网关（最好具体到名称或品牌）等设备提供网络安全防护。

接入层网络边界主要是，（1）与XXX网接口：XXX平台与XXX网之间的接口，由防火墙（最好具体到名称或品牌）实施网络访问控制；（2）与XXX网接口： XXX平台与XXX网之间的接口，由安全路由器（最好具体到名称或品牌）实施网络访问控制；2、汇聚层汇聚层网络主要实现内部网络链接的汇聚和交换，通过核心交换机（最好具体到名称或品牌）、楼层交换机/汇聚交换机（最好具体到名称或品牌）实现内部网络通信。

4汇聚层网络防护的主要措施是：（1）内部网络根据业务功能/安全需求不同，在核心交换机（最好具体到名称或品牌）上进行网段划分，包括：XXX网段、XXX网段，不同网段之间的访问进行了严格的/较为严格的/一定的/宽松的/未进行控制；（2）通过部署防火墙（最好具体到名称或品牌）限制xx网络与xx网络之间的访问。

3、核心层核心层网络主要提供核心主机、数据库、存储设备等重要设备的数据交换功能。

核心主机包括：XXX、XXX、XXX（最好具体到名称或品牌），通过部署防火墙/核心交换机ACL等实现严格的/较为严格的/一定的/宽松的/未进行网络访问控制；数据库系统和存储设备主要是：XXX、XXX、XXX（最好具体到名称或品牌），通过部署防火墙/核心交换机ACL等实现严格的/较为严格的/一定的/宽松的/未进行网络访问控制。

电力行业信息系统安全等级保护基本要求Company Document number：WUUT-WUUY-WBBGB-BWYTT-1982GTICSDL电力行业信息系统安全等级保护基本要求Baseline for classified protection of power industry information system（征求意见稿）目次前言.................................................................................. 引言.................................................................................. 第一部分通用要求....................................................................... 1适用范围............................................................................. 2规范性参考文件....................................................................... 3术语和定义.. (1)4信息系统安全等级保护概述............................................................. 信息系统安全保护等级.................................................................. 不同等级的安全保护能力................................................................ 总体要求、基本技术要求和基本管理要求 .................................................. 基本技术要求的三种类型................................................................ 第二部分：管理信息系统类要求...........................................................5 总体要求............................................................................. 总体技术要求.......................................................................... 总体管理要求.......................................................................... 6第一级基本要求....................................................................... 技术要求.............................................................................. 物理安全.............................................................................. 网络安全.............................................................................. 主机安全.............................................................................. 应用安全.............................................................................. 数据安全及备份恢复.................................................................... 管理要求.............................................................................. 安全管理制度.......................................................................... 安全管理机构.......................................................................... 人员安全管理.......................................................................... 系统建设管理.......................................................................... 系统运维管理.......................................................................... 7第二级基本要求 (10)技术要求.............................................................................. 物理安全..............................................................................主机安全.............................................................................. 应用安全.............................................................................. 数据安全. (15)管理要求.............................................................................. 安全管理制度.......................................................................... 安全管理机构.......................................................................... 人员安全管理.......................................................................... 系统建设管理.......................................................................... 系统运维管理.......................................................................... 8第三级基本要求....................................................................... 技术要求.............................................................................. 物理安全.............................................................................. 网络安全.............................................................................. 主机安全.............................................................................. 应用安全.............................................................................. 数据安全.............................................................................. 管理要求.............................................................................. 安全管理制度.......................................................................... 安全管理机构.......................................................................... 人员安全管理 (31)系统建设管理.......................................................................... 系统运维管理.......................................................................... 第三部分：生产控制信息系统类要求.......................................................9 总体要求............................................................................. 总体技术要求.......................................................................... 总体管理要求.......................................................................... 10第一级基本要求...................................................................... 技术要求.............................................................................. 物理安全............................................................................... 网络安全............................................................................... 主机安全............................................................................... 应用安全............................................................................... 数据安全及备份恢复.....................................................................安全管理制度........................................................................... 安全管理机构........................................................................... 人员安全管理. (43)系统建设管理........................................................................... 系统运维管理........................................................................... 11第二级基本要求...................................................................... 技术要求.............................................................................. 物理安全............................................................................... 网络安全............................................................................... 主机安全............................................................................... 应用安全............................................................................... 数据安全............................................................................... 管理要求.............................................................................. 安全管理制度........................................................................... 安全管理机构........................................................................... 人员安全管理........................................................................... 系统建设管理........................................................................... 系统运维管理........................................................................... 12第三级基本要求...................................................................... 技术要求. (56)物理安全............................................................................... 网络安全............................................................................... 主机安全............................................................................... 应用安全............................................................................... 数据安全............................................................................... 管理要求.............................................................................. 安全管理制度........................................................................... 安全管理机构........................................................................... 人员安全管理........................................................................... 系统建设管理........................................................................... 系统运维管理. (68)13第四级基本要求...................................................................... 技术要求..............................................................................网络安全............................................................................... 主机安全............................................................................... 应用安全.. (76)数据安全............................................................................... 管理要求.............................................................................. 安全管理制度........................................................................... 安全管理机构........................................................................... 人员安全管理........................................................................... 系统建设管理........................................................................... 系统运维管理........................................................................... 附录A 关于信息系统整体安全保护能力的要求............................................... 附录B 基本安全要求的选择和使用......................................................... 参考文献...............................................................................前言本标准的附录A和附录B是规范性附录。

XXXX信息系统基本情况调查表XXXXXXX有限责任公司2011年8月说明1、请提供信息系统的最新网络结构图（拓扑图）网络结构图要求：●应该标识出网络设备、服务器设备和主要终端设备及其名称●应该标识出服务器设备的IP地址●应该标识网络区域划分等情况●应该标识网络与外部的连接等情况●应该能够对照网络结构图说明所有业务流程和系统组成（如果一张图无法表示，可以将核心部分和接入部分分别画出，或以多张图表示。

）2、请根据信息系统的网络结构图填写各类调查表格。

调查表清单表1-1. 单位基本情况调查 (1)表1-2. 参与人员名单 (2)表1-3. 物理环境情况 (3)表1-4. 信息系统基本情况 (4)表1-5. 信息系统承载业务（服务）情况 (5)表1-6. 网络结构（环境）情况调查 (6)表1-7. 外联（网络边界）情况调查 (7)表1-8. 网络设备情况调查 (8)表1-9. 安全设备情况调查 (9)表1-10. 服务器设备情况调查 (10)表1-11. 终端设备情况调查 (11)表1-12. 系统软件情况 (12)表1-13. 应用系统情况调查 (13)表1-14. 业务数据情况调查 (14)表1-15. 数据备份情况 (15)表1-16. 应用系统软件处理流程（多表） (16)表1-17. 业务数据流程（多表） (17)表1-18. 管理文档情况调查 (17)表1-19. 安全威胁情况表 (25)表1-1. 单位基本情况注：情况简介栏，请填写与被测评系统有关的机构内容。

表1-2. 参与人员名单表1-3. 物理环境情况注：物理环境包括主机房、辅机房、办公环境等。

表1-4. 信息系统基本情况表1-5. 信息系统承载业务（服务）情况注：1、用户分布范围栏填写“全国”、“全省”、“本地区”、“本单位”。

2、业务信息类别一栏填写：a）国家秘密信息b）非密敏感信息（机构或公民的专有信息）c）可公开信息。

3、重要程度栏填写“非常重要”、“重要”、“一般”。

信息系统基本情况调查表XXXX安全需求调查表被检测信息系统名称：填表人/部门：填表日期：1、被检测信息系统的安全利益主体属以下哪种系统类型？A、党政机关B、国家重要行业和重要基础设施的企事业单位C、一般企事业单位D、其它系统类型，______________________2、被检测信息系统内处理的主要信息属于以下哪种信息类别？A、国家秘密信息B、非密敏感信息（法人和其他组织及公民的专有信息）C、公开信息D、其它信息类型，_______________________3、被检测信息系统被破坏后将可能对以下哪种范畴造成较大安全影响？A、国家安全利益范畴B、国家经济建设、社会秩序或公共利益范畴C、单位自身利益D、其它范畴，__________________________4、被检测信息系统的主要服务范围、业务范围与下列哪种选择最接近？A、对外服务，且服务覆盖全国范围B、对外服务，且服务覆盖省级范围C、对内服务，或对外服务覆盖市、县级以下范围D、其他范围，_______________________5、对于系统内的主要业务处理过程，被检测信息系统实现的自动化程度与下列哪种选择最接近？A、业务处理流程完全依赖信息系统，手工方式无法完成B、业务处理流程的部分环节可以通过手工方式或其他方式替代完成C、整个业务处理流程可以通过手工方式或其他方式完成6、如果被检测系统内的数据被非授权泄漏或修改，会对被检测系统造成何种损失？A、很严重损失B、严重损失C、部分损失D、轻微损失7、正常业务处理过程的未预期中断时间达到下列哪种情况时，会受到单位管理层的关注？A、中断3小时以下B、中断8小时C、中断24小时D、中断3天E、中断7天F、中断10天以上G、其它，_______________8、请选择被检测系统的指定恢复时间目标（RTO）。

RTO定义为从业务处理过程的未预期中断到业务恢复到某个低服务等级的时间间隔。

A、2小时B、8小时C、24小时D、3天E、7天F、10天以上G、其它，_______________信息系统基本情况调查表表1. 被检测单位基本情况表2.需要配合检测工作的人员名单表3.管理部分调查表1、单位是否有负责计算机信息系统安全的组织？ A、是； B、否安全组织名称：主要负责人姓名：职务：技术职称：联系电话：2、是否指定专职或兼职安全员具体负责计算机信息系统安全维护工作？A、是； B、否3、建立了以下哪些管理制度？A、信息技术人员管理制度；B、设备管理制度；C、系统网络管理制度；D、软件管理制度；E、数据管理制度；F、机房安全管理制度；G、技术资料管理制度；H、操作安全管理制度；I、病毒防范制度； J、其它，请说明：4、对安全制度的执行情况进行检查的方法是： A、定期，周期是：周； B、不定期； C、不检查5、电脑部门如何配合人事部门对信息技术人员进行考核？A、定期考核，周期是：月；B、不定期考核； C、不考核6、中心机房建成时间是：年月中心机房是否经过专门机构验收？ A、是； B、否机房验收标准是： A、A类；B、B类； C、C类； D、D类7、有如下哪些管理记录？ A、机房人员的值班记录； B、完整的计算机系统运行日志、操作记录8、机房是否有单独的配电柜？ A、是； B、否9、机房是否有专用的供配电线路？ A、是； B、否10、机房是否采用双路供电？ A、是； B、否11、机房供电系统容量是否有一定的余量？A、是； B、否12、采用何种措施以保证机房设备在断电情况下能维持运行？A、不间断电源，功率是，可供电时间小时；B、备用发电机；C、其它，请说明：13、机房是否有独立的空调设备？A、是；B、否14、机房的操作间是否与设备间相互分隔？A、是； B、否15、计算机系统直流地和防雷保护地之间的距离是米，直流地的接地电阻是欧姆，交流工作地的接地电阻是欧姆，防雷保护地的接地电阻是欧姆。

附件1：《信息系统安全等级保护定级报告》模版《信息系统安全等级保护定级报告》一、XXX信息系统描述简述确定该系统为定级对象的理由。

从三方面进行说明：一是描述承担信息系统安全责任的相关单位或部门，说明本单位或部门对信息系统具有信息安全保护责任，该信息系统为本单位或部门的定级对象；二是该定级对象是否具有信息系统的基本要素，描述基本要素、系统网络结构、系统边界和边界设备；三是该定级对象是否承载着单一或相对独立的业务，业务情况描述。

二、XXX信息系统安全保护等级确定（定级方法参见国家标准《信息系统安全等级保护定级指南》）（一）业务信息安全保护等级的确定1、业务信息描述描述信息系统处理的主要业务信息等。

2、业务信息受到破坏时所侵害客体的确定说明信息受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

3、信息受到破坏后对侵害客体的侵害程度的确定说明信息受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

94、业务信息安全等级的确定依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级。

（二）系统服务安全保护等级的确定1、系统服务描述描述信息系统的服务范围、服务对象等。

2、系统服务受到破坏时所侵害客体的确定说明系统服务受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

3、系统服务受到破坏后对侵害客体的侵害程度的确定说明系统服务受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

4、系统服务安全等级的确定依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。

（三）安全保护等级的确定信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定，最终确定XXX系统安全保护等级为第几级。

附件1：信息系统安全等级保护基础调查表填表人：__________填表日期：2006年月日【填表说明】1、本表主要用于调查信息系统及单位的基本情况；2、本表中的“单位”是指信息系统的运营、使用单位；3、本表主要由各级信息系统运营、使用单位负责填写；4、本表中位置不够填写的地方可自行调整或另附纸张说明；5、本表中有选择的地方，如未作特殊说明均为单选项。

用户在选择时请在左侧“0”内划“√”，如选择“其他”，请在其后的横线中注明详细内容；6、本表中需要填写数字代码的地方，请在“0”中直接填写；7、本表中02项“行政区划代码”中6位代码是指单位所在地地(区、市、州、盟)的代码，该代码需与《中华人民共和国行政区划代码》（GB 2260-1995）一致。

台州市标准6位地址码的构成如下：331100 台州市331001市辖区331002椒江区 331003黄岩区 331004 路桥区331021玉环县331022三门县 331023天台县 331024仙居县331081温岭市331082临海市8、表中第04项“隶属关系”填写时可以参考《单位隶属关系代码》（GB/T 12404-1997）；9、本表中第06项，信息系统运营、使用单位所属行业类别可以多项选择；10、本表中第08项，“系统”是指依据《信息系统安全保护等级定级指南》，信息系统中可以为定级要素赋值的最小单元。

该名称的填写请遵循“信息系统名：业务子系统名”的命名规则，无业务子系统的直接填写信息系统名；11、本表中第09项，填写“系统情况”时可参考《信息系统安全保护等级定级指南》；12、本表中07项上级主管名称指上级业务单位名称，例如：临海市国土局的上级主管为台州市国土局。