信息系统等级保护定级报告(模板)

XXX单位

XX系统安全等级保护定级报告

一、XXX系统描述

（一）系统责任单位

XXX系统于20XX年X月由XXX单位负责建设，目前由XXX单位负责系统运行维护工作。XXX单位是XXX系统的安全责任单位。

（二）系统基本要素

此平台的服务器、网络设备和配套的设备包括：x台服务器、x台网络设备和x台安全设备。

（请描述清楚系统IP、域名）

（三）系统网络结构

(拓扑图)

（四）系统边界和边界设备

XXX系统部署在XXX网络区域。（具体描述系统应用的口令策略要求，比如英文、数字、字符及长度；应用口令传输采用什么技术手段进行加密传输；数据备份是采用本地或异地备份方式，备份频率是怎么样，若异地是备份到哪里）（请描述清楚存在边界设备、如何和互联网或上下级专用网络连通）

（五）业务情况描述

XXX系统的主要业务信息包括xxx业务。

二、XXX系统安全保护等级确定（定级方法参见国家标准《信息安全技术网络安全等级保护定级指南》）（一）业务信息安全保护等级的确定

1、业务信息描述

系统主要业务信息包括xxx等业务信息。

本系统XXX（系统有无收集个人信息，收集个人信息分别为：XX、XX等，个人信息是否为业务必需收集，有无明确是经过用户同意后进行收集个人信息（详细描述经过什么同意，某些说明条款之类），个人信息那些人员可使用，数据量为多少，使用什么方式对个人信息进行保护，比如数据库加密等；是否存在法人信息；是否涉及个人支付、金融帐号信息。）

本系统XXX（数据来源是自身还是通过第三方，如果是第三方的数据，是否属于公开内容，是否跟其他系统存在数据交互，如果存在交互，是通过什么方式交互，有无安全措施）

本系统用户对象为XX单位或企业，用户数量X个。

2、业务信息受到破坏时所侵害客体的确定（侵害的客体包括：1国家安全，2社会秩序和公共利益，3公民、法人和其他组织的合法权益等共三个客体）

XXX系统遭到破坏后，所侵害的客体是XXXX的合法权益，属于“公民、法人和其他组织”。

3、信息受到破坏后对侵害客体的侵害程度的确定

XXX系统一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害（形式可以包括丢失、破坏、损坏等），将对XXX造成影响等（参考定级指南）；属于“对公民、法人和其他组织”造成严重损害。

4、业务信息安全等级的确定

核查《信息安全技术网络安全等级保护定级指南》表2，依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级为二级。

（二）系统服务安全保护等级的确定

1、系统服务描述

XXX系统的服务范围是深圳市。服务对象为XXX人员。

2、系统服务受到破坏时所侵害客体的确定

XXX系统服务受到破坏时，侵害的客体是XXX，属于“公民、法人和其他组织的合法权益”。

3、系统服务受到破坏后对侵害客体的侵害程度的确定

XXX系统服务遭到入侵、修改、增加、删除等不明侵害，将对XXX造成影响（参考定级指南），属于“对公民、法人和其他组织的合法权益”造成严重损害。

4、系统服务安全等级的确定

核查《信息安全技术网络安全等级保护定级指南》表3，依据服务受到破坏时所侵害的客体以及侵害程度，确定系统

（三）安全保护等级的确定

信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定，最终确定XXX系统安全保护等级为第二级。