定级报告RIS
信息系统安全等级保护定级报告
一、RIS医疗影像管理系统描述
(一)RIS医疗影像管理系统于2017年04月由上海嘉会国际医院有限公司立项,由锐珂亚太投资管理上海有限公司研发。目前该系统由锐珂公司IT部门负责运行维护。上海嘉会国际医院有限公司为该信息系统定级的责任单位。
(二)此系统是计算机及其相关的和配套的设备、设施构成的。系统网络结构较为复杂,整个网络分为X个区域……,系统在互联网边界处部署了XXX品牌的防火墙,进行边界防护。
系统的拓扑图如下:
(三)该信息系统业务主要包含:放射科医生工作站,放射科技师工作站,放射科登记工作站,超声医生工作站。该系统与PACS 医学影像储存和归档系统以及嘉会医院HIS医疗信息管理系统有接口。
二、HIS医疗信息管理系统业务系统安全保护等级的确定(一)业务信息安全保护等级的确定
1、业务信息描述
HIS医院信息系统业务信息包括:病人基本信息,结构化报告,放射影像,病人主诉,诊断及其他相关临床信息。属于公民、法人和其他组织的专有信息。
2、业务信息受到破坏时所侵害客体的确定
该业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益,同时也侵害社会秩序和公共利益,但不损害国家安全。
侵害的客观方面表现为:一旦客户信息被泄露或者篡改,会导致个人隐私泄露,或者经济利益受损,并在社会中造成不良影响,引起法律纠纷等。
3、信息受到破坏后对侵害客体的侵害程度
根据《定级指南》的要求,出现上述两个侵害客体时,优先考虑社会秩序和公共利益,另外一个不做考虑。上述结果的程度表现为对社会秩序和公共利益造成严重损害,即一定范围的不良影响等。
4、确定业务信息安全等级
查《定级指南》表2知,业务信息安全保护等级为第三级。
(二)系统服务安全保护等级的确定
1、系统服务描述
该系统属于提供信息服务的信息系统,其服务范围为全国范围内的普通公民、法人等。
2、系统服务受到破坏时所侵害客体的确定
该系统服务遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益,以及社会秩序和公共利益,但不损害国家安全。
客观方面表现得侵害结果为:一旦系统服务能力下降,可能影响正常工作的开展,导致系统服务能力下降,甚至停止,导致客户无法进行线上产品购买或者赎回,对客户经济利益造成损害,对公司造成不良影响。
3、信息受到破坏后对侵害客体的侵害程度
上述结果的程度表现为:对社会秩序和公共利益造成严重损坏等。
4、确定系统服务安全等级
查《定级指南》表3知,系统服务安全保护等级为第三级。
(三)安全保护等级的确定
信息系统的安全保护等级由业务信息安全等级和系统服务安全保护等级的较高者决定。所以,HIS医疗信息管理系统安全保护等级为第三级。
《信息系统安全等级保护定级报告》.doc
《信息系统安全等级保护定级报告》 一、马尔康县人民检察院门户网站信息系统描述 (一)该信息系统于2014年4月上线。目前该系统由马尔康县人民检察院办信息股负责运行维护。九龙县县政府办是该信息系统业务的主管部门,信息股为该信息系统定级的责任单位。 (二)此系统是计算机及其相关的和配套的设备、设施构成的,是按照一定的应用目标和规则对门户网站信息进行采集、加工、存储、传输、检索等处理的人机系统。 服务器托管在九龙县电信公司机房 (三)该信息系统业务主要包含:等业务。 二、马尔康县人民检察院门户网站信息系统安全保护等级确定 (一)业务信息安全保护等级的确定 1、业务信息描述 该信息系统业务主要包含:九龙新闻、信息公开、在线下载、旅游在线、县长信箱等业务。 2、业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是社会秩序和公众利 —9 —
益。 侵害的客观方面(客观方面是指定级对象的具体侵害行为,侵害形式以及对客体的造成的侵害结果)表现为:一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害(形式可以包括丢失、破坏、损坏等),会对社会秩序和公众利益造成影响和损害,可以表现为:发布虚假信息,影响公共利益,造成不良影响,引起法律纠纷等。 3、信息受到破坏后对侵害客体的侵害程度的确定 上述结果的程度表现为严重损害,即工作职能受到严重影响,造成较大范围的不良影响等。 4、业务信息安全等级的确定 业务信息安全保护等级为第二级。 (二)系统服务安全保护等级的确定 1、系统服务描述 该系统属于为民生、经济、建设等提供信息服务的信息系统,其服务范围为全国范围内的普通公民、法人等。 2、系统服务受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益,同时也侵害社会秩序和公共利益。客观方面表现得侵害结果为:一可以对公民、法人和其他组织的合法权益造成侵害(影响正常工作的开展,造成不良影响,引起法律纠纷等);—10 —
《信息系统安全等级保护定级报告》.doc
《信息系统安全等级保护定级报告》 一、潜江新闻网信息系统描述 (一)该信息系统于年月由潜江新闻网自主研发。目前该系统由潜江新闻网技术部负责运行维护。潜江市委宣传部是该信息系统的主管部门,潜江新闻网为该信息系统定级的责任单位。 (二)此系统是计算机及其相关的和配套的设备,设施构成的,是按照一定的应用目标和新闻信息进行采集,加工,存储,发布,检索等处理的人机系统。同时在潜江新闻网技术部建立了独立机房,数据中心的核心设备部署了交换机,配置了两台与外部网络互联的浪潮服务器、专业级防火墙和路由器等…… (三)该信息系统业务主要包含:新闻发布,采集系统,网友报料,论坛,视频发布系统等模块功能。 二、信息系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》) (一)业务信息安全保护等级的确定 、业务信息描述 潜江新闻网新闻信息系统主要以发布潜江市域内对内外宣传新闻,发布潜江市各项政府公告及政策,收集网上百姓心声等各项信息业务。 、业务信息受到破坏时所侵害客体的确定
侵害的客观方面(客观方面是指定级对象的具体侵害行为,侵害形式以及对客体的造成的侵害结果)表现为:一旦信息系统的业务信息遭到入侵,修改,增加,删除等不明侵害(形式可以包括丢失,破坏,损坏等),会对公民,法人和其他组织的合法权益造成影响和损害,可以表现为:影响正常工作的开展,导致社公不安,造成不良影响,引起法律纠纷等. 、信息受到破坏后对侵害客体的侵害程度的确定 说明信息受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。 、业务信息安全等级的确定 依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级。 (二)系统服务安全保护等级的确定 、系统服务描述 描述信息系统的服务范围、服务对象等。 、系统服务受到破坏时所侵害客体的确定 说明系统服务受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。 、系统服务受到破坏后对侵害客体的侵害程度的确定 说明系统服务受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。 、系统服务安全等级的确定
信息系统定级报告
《信息系统安全等级保护定级报告》模版 《信息系统安全等级保护定级报告》 一、XXX信息系统描述 简述确定该系统为定级对象的理由。从三方面进行说明:一是描述承担信息系统安全责任的相关单位或部门,说明本单位或部门对信息系统具有信息安全保护责任,该信息系统为本单位或部门的定级对象;二是该定级对象是否具有信息系统的基本要素,描述基本要素、系统网络结构、系统边界和边界设备;三是该定级对象是否承载着单一或相对独立的业务,业务情况描述。 二、XXX信息系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》) (一)业务信息安全保护等级的确定 1、业务信息描述 描述信息系统处理的主要业务信息等。 2、业务信息受到破坏时所侵害客体的确定 说明信息受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权
益)中的哪些客体造成侵害。 3、信息受到破坏后对侵害客体的侵害程度的确定 说明信息受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。 4、业务信息安全等级的确定 依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级。 (二)系统服务安全保护等级的确定 1、系统服务描述 描述信息系统的服务范围、服务对象等。 2、系统服务受到破坏时所侵害客体的确定 说明系统服务受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。 3、系统服务受到破坏后对侵害客体的侵害程度的确定 说明系统服务受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。 4、系统服务安全等级的确定 依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。 (三)安全保护等级的确定
信息系统定级备案
信息系统定级备案 (一)信息系统定级工作原则 信息系统定级工作应按照“自主定级、专家评审、主管部门审批、公安机关审核”的原则进行。定级工作的主要内容包括:确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核,具体可按照《关于开展全国重要信息系统安全等级保护定级工作的通知》要求执行。各信息系统运营使用单位和主管部门是信息安全等级保护的责任主体,根据所属信息系统的重要程度和遭到破坏后的危害程度,确定信息系统的安全保护等级。同时,按照所定等级,依照相应等级的管理规范和技术标准,建设信息安全保护设施,建立安全制度,落实安全责任,对信息系统进行保护。 在等级保护工作中,信息系统运营使用单位和主管部门按照“谁主管谁负责,谁运营谁负责”的原则开展工作,并接受信息安全监管部门对开展等级保护工作的监管。运营使用单位和主管部门是信息系统安全的第一责任人,对所属信息系统安全负有直接责任;公安、保密、密码部门对运营使用单位和主管部门开展等级保护工作进行监督、检查、指导,对重要信息系统安全负监管责任。由于重要信息系统的安全运行不仅影响本行业、本单位的生产和工作秩序,也会影响国家安全、社会稳定、公共利益,因此,国家必然要对重要信息系统的安全进行监管。
(二)信息系统安全保护等级 信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为五级,从第一级到第五级逐级增高。 (三)信息系统安全保护等级的定级要素 信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。 1.受侵害的客体 等级保护对象受到破坏时所侵害的客体包括以下三个方面:一是公民、法人和其他组织的合法权益;二是社会秩序、公共利益;三是国家安全。 2. 对客体的侵害程度 对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。等级保护对象受到破坏后对客体造成侵害的程度有三种:一是造成一般损害;二是造成严重损害;三是造成特别严重损害。 (四)五级保护和监管 信息系统运营、使用单位依据国家信息安全等级保护政策和相
信息系统定级、备案、专家评审流程【最新版】
信息系统定级、备案、专家评审流程 一、系统定级 请参考GAT 1389-2017信息安全技术网络安全等级保护定级指南(见第二步相关材料文件夹)定级,定级对象的运营使用单位应组织专家召开专家定级评审会(专家组由最低由三名信息安全专家和业务专家组成,其中一名应为等级保护高级测评师),出具初步定级建议并上报行业主管部门或上级主管部门审核后到公安机关备案(备案审查不通过运营使用单位重新组织定级工作)。 1、等保2.0定级备案流程: 确定定级对象、初步确定等级、专家评审、主管部门审核、公安机关备案审查、最终确定等级。 2、信息系统定级备案工作 甲方可以自己独立完成,也可以聘请等保测评机构、有等保安全建设服务机构的安全厂商及其他有资质单位协助完成定级备案工作。
3、定级参考 《GAT 1389-2017信息安全技术网络安全等级保护定级指南》第四章定级原理及流程。(附件1) 4、等级保护对象的安全保护等级分为以下五级 a)第一级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益; b)第二级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全; c)第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害; d)第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;
e)第五级,等级保护对象受到破坏后,会对国家安全造成特别严重损害。 解读: 县级重要的信息系统,地市级和省级的一般信息系统,这里的一般信息系统指的是不涉及敏感信息、重要信息的信息系统,这些系统都可以定为二级系统; ●省级门户网站和地市级及以上重要的业务网站需要定为三级,地市级及以上内部涉及到工作秘密、敏感信息、重要信息的办公系统,管理系统需要定到三级,跨省的用于生产、调度、管理、指挥等在省、市的分支系统需要定为三级,跨省联结的网络系统要定为三级(这个一般都是全国运营的专网系统)。 现在一些地区区县虽然行政是区县,但是实际经济总量和人口已经远远大于中西部一些地级市,所以我们在系统定级的时候还是要结合系统的重要性去实际定级,切勿死搬硬套,例如我们在某区一个系统里面存储了全区上百万的人口信息,住房信息等等敏感信息,这样的系统就得定到三级。
网络安全等级保护之信息系统定级备案工作方案
网络安全等级保护之信息系统定级备案工作方案 一、信息系统安全保护等级的划分与保护 (一)信息系统定级工作原则 信息系统定级工作应按照“自主定级、专家评审、主管部门审批、公安机关审核”的原则进行。定级工作的主要内容包括:确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核,具体可按照《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字〔2007〕861号)要求执行。各信息系统运营使用单位和主管部门是信息安全等级保护的责任主体,根据所属信息系统的重要程度和遭到破坏后的危害程度,确定信息系统的安全保护等级。同时,按照所定等级,依照相应等级的管理规范和技术标准,建设信息安全保护设施,建立安全制度,落实安全责任,对信息系统进行保护。 在等级保护工作中,信息系统运营使用单位和主管部门按照“谁主管谁负责,谁运营谁负责”的原则开展工作,并接受信息安全监管部门对开展等级保护工作的监管。运营使用单位和主管部门是信息系统安全的第一责任人,对所属信息系统安全负有直接责任;公安、保密、密码部门对运营使用单位和主管部门开展等级保护工作进行监督、检查、指导,对重要信息系统安全负监管责任。由于重要信息系统的安全运行不仅影响本行业、本单位的生产和工作秩序,也会影响国家安全、社会稳定、公共利益,因此,国家必然要对重要信息系统的安全进行监管。 (二)信息系统安全保护等级 信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的
二、定级工作的主要步骤 信息系统定级是等级保护工作的首要环节和关键环节,是开展信息系统备案、建设整改、等级测评、监督检查等工作的重要基础。这里先明确一个概念,信息系统包括起支撑、传输作用的基础信息网络和各类应用系统。信息系统安全级别定级不准,系统备案、建设整改、等级测评等后续工作都会失去基础,信息系统安全就没有保证。定级工作可以按照下列步骤进行。 (一)开展摸底调查 按照《定级工作通知》确定的定级范围,各单位、各部门可以组织开展对所属信息系统进行摸底调查,摸清信息系统底数,掌握信息系统(包括信息网络)的业务类型、应用或服务范围、系统结构等基本情况,为下一步明确要求、落实责任奠定基础。(二)确定定级对象 在全国重要信息系统安全等级保护定级工作(以下简称“定级工作”)中,如何科学、合理地确定定级对象是最关键的问题。信息系统运营使用单位或主管部门按如下原则确定定级对象。 一是起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统)要作为定级对象。但不是将整个网络作为一个定级对象,而是要从安全管理和安全责任的角度将基础信息网络划分成若干个最小安全域或最小单元去定级。 二是用于生产、调度、管理、作业、指挥、办公等目的的各类业务系统,要按照不同业务类别单独确定为定级对象,不以系统是否进行数据交换、是否独享设备为确定定级对象条件。不能将某一类信息系统作为一个定级对象去定级。
信息系统安全等级保护定级报告示例
信息系统安全等级保护定级报告 一、XX平台系统描述 (一)2014年8月,XX正式上线,XX隶属于北京XX科技有限公司,该公司是从事网络借贷信息中介业务活动的金融信息服务企业。主要是通过线上XX平台,将出借人和借款人衔接,为二者提供中介服务进而实现借贷关系。通过提供信息搜集、信息公布、资信评估、信息交互、借贷撮合等服务解决借款人和出借人的投融资难的问题。目前该XX平台系统由公司运维部负责维护。我公司是该平台系统业务的主要负责机构,也是为该信息系统定级的责任单位。 (二)此系统是计算机及其相关的和配套的设备、设施构成的,是按照一定的应用目标和规则对该系统金融业务数据信息进行存储、传输、检索等处理的人机机制。 该系统相关的用户数据中心网络,资金管理等边界部分都是等级保护定级的范围和对象。在此次定级过程中,将该系统的网络设备和数据中心连同业务数据作为一个定级对象加以考虑,统一进行定级、备案。该系统的网络设备和数据中心还要作为整个系统的分系统分别进行定级、备案。 (三)该系统业务主要包含:用户身份安全信息、业务平台数据、购买服务等业务,并新增加了法务审核,风险控制等等业
务。系统针对业务实现的差异分别提供实时联机处理和批量处理两种方式。其中:通过网络与第三方支付平台的连接,均采用约定好的报文格式进行通讯,业务处理流程实时完成。 业务处理系统以内部财务结算模式,负责各类买入转让还款的业务处理,包括与第三方实时连接、接口协议转换、非实时批量数据的采集、业务处理逻辑的实现、与会计核算系统的连接等。系统结构拓扑图如下: 二、XX平台系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》) (一)业务信息安全保护等级的确定 1、业务信息描述 北京XX科技有限公司是从事网络借贷信息中介业务活动的金融信息服务企业,XX为旗下借贷平台主要是通过线上平台,将出借人和借款人衔接,为二者提供中介服务实现借贷关系。通过提供信息搜集、信息公布、资信评估、信息交互、借贷撮合等服务,解决借款人和出借人的投融资难的问题。 2、业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益。 侵害的客观方面表现为:一旦信息系统的业务信息遭到入侵、
等保2.0信息系统定级备案专家评审流程
等保2.0:信息系统定级、备案、专家评审流程 一.系统定级 请参考GAT 1389—2017信息安全技术网络安全等级保护定级指南(见第二步相关材料文件夹)定级,定级对象的运营使用单位应组织专家召开专家定级评审会(专家组由最低由三名信息安全专家和业务专家组成,其中一名应为等级保护高级测评师),出具初步定级建议并上报行业 主管部门或上级主管部门审核后到公安机关备案(备案审查不通过运营使用单位重新组织定级工作)。 解读: 1、等保2.0定级备案流程:确定定级对象、初步确定等级、专家评审、主管部门审核、公安机关备案审查、最终确定等级。 2、信息系统定级备案工作,甲方可以自己独立完成,也可以聘请等保测评机构、有等保安全建设服务机构的安全厂商及其他有资质单位协助完成定级备案工作。 3、定级参考《GAT 1389—2017信息安全技术网络安全等级保护定级指南》第四章定级原理及流程。(附件1) 4、等级保护对象的安全保护等级分为以下五级: a)第一级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益: b)第二级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全; c)第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产
生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害; d)第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害; e)第五级,等级保护对象受到破坏后,会对国家安全造成特别严重损害。5、定级范围:包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统、大数据等。 6、以上信息确定好,根据甲方信息系统及机房实际情况,编写《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》。(附件2、3) 7、定级备案表和定级报告编写完成,下一步进行专家评审工作,专家组由最低由三名信息安全专家和业务专家组成,其中一名应为等级保护高级测评师,专家现场会根据甲方负责人对公司及信息系统的介绍,提出定级是否合理相关建议并形成专家评审意见表; 专家评审流程:根据要求确定专家评审名单、编辑专家评审会议程(附件4)、专家签到表(附件5)、信息系统定级专家评审意见表(附件6)、被定级单位及信息系统介绍PPT(附件7)。 专家评审现场工作流程:专家到现场签到入座、甲方会议负责人将定级备案表及定级报告纸质版给专家查阅,甲方信息安全负责人宣布会议开始,由甲方负责人介绍公司及信息系统实际情况,专家根据公司介绍、现场访谈、备案表、定级报告等信息提出建议,专家提出建议形成专家评审意见表,现场打印由专家签字,专家评审工作完成。 二.备案需要提交的材料
信息系统安全等级保护定级报告实例
信息系统安全等级保护定级报告 (起草参考实例) 一、支付通网上支付服务系统描述 (一)该中间业务于*年*月*日由*省邮政局科技立项,省邮政信息技术局自主研发。目前该系统由技术局运行维护部负责运行维护。省邮政局是该信息系统业务的主管部门,省邮政局委托技术局为该信息系统定级的责任单位。 (二)此系统是计算机及其相关的和配套的设备、设施构成的,是按照一定的应用目标和规则对邮储金融中间业务信息进行采集、加工、存储、传输、检索等处理的人机系统。整个网络分为两部分,(图略),第一部分为省数据中心,第二部分为市局局域网。 在省数据中心的核心设备部署了华为的S**三层交换机,…… 在省数据中心的网络中配置了两台与外部网络互联的边界设备:天融信 NGFW 4**防火墙和Cisco 2**路由器…… 省数据中心网络中剩下的一部分就是与下面各个地市的互联。其中主要设备部署的是……整个省数据中心网络中的所有设备系统都按照统一的设备管理策略,只能现场配置,不可远程拨号登录。 整个信息系统的网络系统边界设备可定为NGFW 4** 与 Cisco 2**。Cisco 2** 外联的其它系统都划分为外部网络部分,而NGFW 4** 以内的部分包括与各地市互联的部分都可归为中心的内部网络,与中间业务系统相关的省数据中心网络边界部分和内部网络部分都是等级保护定级的范围和对象。在此次定级过程中,将各市的网络和数据中心连同省中心统一作为一个定级对象加以考虑,统一进行定级、备案。各市的网络和数据中心还要作
为整个系统的分系统分别进行定级、备案。 (三)该支付服务系统业务主要包含:网络表够电、IC卡购电、抄表购电等便民缴费服务。用户不必受网点营业时间限制,足不出户在线完成各类行业IC卡的充值及信用卡还款、手机充值、游戏点卡、航空客票购买等增值服务。支付宝账号充值和订单支付服务。为银行和银行卡用户提供服务通道,借助支付通平台和支付通终端提供的通路,银行卡用户可在线办理银行卡余额查询、转账等银行卡业务。信息订阅:针对支付通平台用户提供各类信息订阅,为用户提供合作商户及支付通的各类优惠打折信息订阅,主要是通过手机短信或彩信、网页显示方式推送给用户。支付宝账号充值和订单支付服务。后续还会有诸如歌华宽带、速通卡业务、各类手机账单缴费业务、账单支付业务等。 涵盖了网上购物、保险、教育、旅游、交通等行业的电子商务业务的网络支付服务。系统针对业务实现的差异分别提供实时联机处理和批量处理两种方式。其中:通过网络与第三方机构的连接,均采用约定好的报文格式进行通讯,业务处理流程实时完成。 业务处理系统以省集中结构模式,负责各类中间业务的业务处理,包括与第三方实时连接、接口协议转换、非实时批量数据的采集、业务处理逻辑的实现、与会计核算系统的连接等。 二、X省邮政金融网中间业务系统安全保护等级的确定 (一)业务信息安全保护等级的确定 1、业务信息描述 金融网中间业务信息包括:代收费情况信息,缴费公民、法人和其他组织的的个人(单位)信息,欠费情况,以及代收费的银行、电信、燃气、税务、保险等部门的信息等。属于公民、法人和其他组织的专有信息。
信息系统安全等级保护定级报告
信息系统安全等级保护定级报告 一、中国农业大学www服务系统描述 (一) 该系统由中国农业大学网络中心搭建并负责运行维 护。中国农业大学网络中心为该信息系统的主管部门 和定级的责任单位。 (二) 该系统是由三台核心服务器系统及其相关配套的设 备、设施构成的。该系统在校园网内,有两个出口, 第一个出口处部署了流控设备和控制网关,再通过 Extreme6808三层交换机接入教育网,在校园网和教 育网的边界设备是思科防火墙设备;第二个出口处部 署了阿姆瑞特防火墙设备,该出口通过该防火墙直接 接入公网。 (三) 该系统的主要业务是为学校各部门、学院、重点实验 室、优秀社团提供网站动、静态数据存储、网站浏览 和虚拟主机服务。 (四) 二、中国农业大学www服务系统安全保护等级确定 (一)信息安全保护等级的确定 1(业务信息描述 www服务系统传输、存贮的信息主要是学校各部 门、学院、重点实验室、优秀社团网站的动、静态信息。 2(业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是公民、 法人和其他组织的合法权益。
侵害的客观方面表现为:一旦信息系统的业务信息 遭到入侵、修改、增加、删除等不明侵害,会对公民、 法人和其他组织的合法权益造成影响和损害,可以表 现为:影响正常工作的开展,导致业务能力下降,泄 露公民隐私,有的甚至给公民造成经济或其它损失。 3(信息受到破坏后对侵害客体的侵害程度 上述结果的程度表现为严重损害。 4(确定业务信息安全等级 查《定级指南》表2知,业务信息安全保护等级为 第二级。 对相应客体的侵害程度业务信息安全被破坏时所侵害的客体一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级 (二) 系统服务安全保护等级的确定 1(系统服务描述 该系统服务的主要功能是为用户提供网站数据存 贮和浏览服务。其服务范围为学校各部门、学院、重 点实验室、优秀社团。 2(系统服务受到破坏时所侵害客体的确定 该系统服务遭到破坏后,客观方面表现的侵害结果 为:1可能对公民、法人和其他组织的合法权益造成侵害; 2可能对公共利益造成侵害。根据《定级指南》的要求, 出现上述两个侵害客体时,优先考虑社会秩序和公共利 益,另外一个不做考虑。
等保2.0 信息系统定级、备案、专家评审流程
等保2.0 | 信息系统定级、备案、专家评审流程 一.系统定级 请参考GAT 1389—2017信息安全技术网络安全等级保护定级指南(见第二步相关材料文件夹)定级,定级对象的运营使用单位应组织专家召开专家定级评审会(专家组由最低由三名信息安全专家和业务专家组成,其中一名应为等级保护高级测评师),出具初步定级建议并上报行业主管部门或上级主管部 门审核后到公安机关备案(备案审查不通过运营使用单位重新组织定级工作)。安全专家解读:1、等保2.0定级备案流程:确定定级对象、初步确定等级、专家评审、主管部门审核、公安机关备案审查、最终确定等级。2、信息系统定级备案工作,甲方可以自己独立完成,也可以聘请等保测评机构、有等保安全建设服务机构的安全厂商及其他有资质单位协助完成定级备案工作。3、定级参考《GAT 1389—2017信息安全技术网络安全等级保护定级指南》第四章定级原理及流程。(附件1)4、等级保护对象的安全保护等级分为以下五级:a)第一级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益:b)第二级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全; c)第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;d)第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害; e)第五级,等级保护对象受到破坏后,会对国家安全造成特别严重损害。5、定级范围:包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统、大数据等。6、以上信息确定好,根据甲方信息系统及机房实际情况,编写《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》。(附件2、3)7、定级备案表和定级报告编写完成,下一步进行专家评审工作,专家组由最低由三名信息安全专家和业务专家组成,其中一名应为等级保护高级测评师,专家现场会根据甲方负责人对公司及信息系统的介绍,提出定级是否合理相关建议并形成专家评审意见表;专家评审流程:根据要求确定专家评审名单、编辑专家评审会议程(附件4)、专家签到表(附件5)、信息系统定级专家评审意见表(附件6)、被定级单位及信息系统介绍PPT(附件7)。专家评审现场工作流程:专家到现场签到入座、甲方会议负责人将定级备案表及定级报告纸质版给专家查阅,甲方信息安全负责人宣布会议开始,由甲方负责人介绍公司及信息系统实际情况,专家根据公司介绍、现场访谈、备案表、定级报告等信息提出建议,专家提出建议形成专家评审意见表,现场打印由专家签字,专家评审工作完成。二.备案需要提交的材料提交网安大队纸质版:按照纸质版文件夹内材料进行准备,提交时备案材料按照第三步提交网安大队纸质版文件夹内序号排列。电子版压缩包要求:以“单位全称-系统名称”命名压缩包,将以下文件放入压缩包内,提交纸质材料的同时在钉钉内向负责民警提交电子版压缩包。原件扫描件要求,分辨率300dpi---jpg格式。纸质版:1. 信息系统安全等级保护备案表一式两份(封面单位名称处盖章)。应填写完整、无漏项,不得改动备案表版面格式。机打,不可手写,单面打印。2. 信息系统安全等级保护定级报告一式两份(定级表格处盖章)。机打,单面打印。3. 信息安全承诺书签字盖章。法人亲笔签字4. 相关证件复印件
学校信息系统安全等级保护定级报告
《某某学校门户网站信息系统安全等级保护定级报告》 一、某某学校门户网站信息系统 我校门户网站信息系统主要提供学校信息发布,校务公开,政策宣传等,并且也是我校对外宣传具有组织合法权益的窗口阵地之一。该信息系统的平台搭建、程序设计和运行维护主要有网络中心承担,学校始终将信息安全建设作为安全重中之重建设和管理,将其确定为定级对象进行监督并责成网络中心进行自查和整改,网络中心具有信息安全保护责任。此系统主要由提供网络连接、网络服务的硬件和数据控制的软件程序两大要素构成,提供网络连接和服务的硬件设备如路由器、交换机和服务器构成了该信息系统的基础,其主要为保障数据的传输和程序文件的运行;数据控制文件系统、程序源码如新闻发布程序文件等成为信息表现的载体,二者共同完成校内相关公文、通知、公告信息、思政宣传和校务公开的管理。 二、某某学校门户网站信息系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》) (一)业务信息安全保护等级的确定 1、业务信息描述 本信息系统主要处理的业务有校内通知、校务公开;校外公告和学校对外宣传工作等。旨在提高工作效率、明细办事职责、增强校务透明度、扩大学校社会影响力。
2、业务信息受到破坏时所侵害客体的确定 本信息系统由于具有一定的脆弱性,需要不定时进行对该系统网站程序升级和漏洞防范,所以很容易受到“黑客”攻击和破坏,可能会影响学校正常秩序和正常行使工作职能,从某种角度可侵害学校、教师、学生合法权益。 3、信息受到破坏后对侵害客体的侵害程度的确定 当此信息受到破坏后,会对学校和部分师生造成一些严重损害。 4、业务信息安全等级的确定 依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级为二级。 (二)系统服务安全保护等级的确定 1、系统服务描述 本信息系统主要为校内外关注本门户网站的网友提供消息通知公告和咨询等服务。 2、系统服务受到破坏时所侵害客体的确定 本系统受到破坏时,主要对学校公信力和社会形象造成危害,误导一些引导性的政策实施,使得信息失真。 3、系统服务受到破坏后对侵害客体的侵害程度的确定 当系统服务受到破坏后,会对一些紧急公告失去信服力,对学校名誉造成严重损害。 4、系统服务安全等级的确定
信息系统安全等级保护定级备案相关表格
附件1:《信息系统安全等级保护定级报告》模版 信息系统安全等级保护定级报告》 一、XXX信息系统描述 简述确定该系统为定级对象的理由。从三方面进行说明:一是描述承担信息系统安全责任的相关单位或部门,说明本单位或部门对信息系统具有信息安全保护责任,该信息系统为本单位或部门的定级对象;二是该定级对象是否具有信息系统的基本要素,描述基本要素、系统网络结构、系统边界和边界设备;三是该定级对象是否承载着单一或相对独立的业务,业务情况描述。 二、XXX信息系统安全保护等级确定(定级方法参见国家标准《信息系统 安全等级保护定级指南》) (一)业务信息安全保护等级的确定 1、业务信息描述 描述信息系统处理的主要业务信息等。 2、业务信息受到破坏时所侵害客体的确定 说明信息受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。 3、信息受到破坏后对侵害客体的侵害程度的确定 说明信息受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。 —9 —
4、业务信息安全等级的确定 依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级。 (二)系统服务安全保护等级的确定 1、系统服务描述 描述信息系统的服务范围、服务对象等。 2、系统服务受到破坏时所侵害客体的确定 说明系统服务受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。 3、系统服务受到破坏后对侵害客体的侵害程度的确定 说明系统服务受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。 4、系统服务安全等级的确定 依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。 (三)安全保护等级的确定 信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较咼者决定,最终确定XXX系统安全保护等级为第几级。 —10 —
医院信息系统安全等级保护定级报告
医院信息系统安全等级保护定级报告 一、医院信息系统描述 (一)医院于2008年起逐步建立基于医院信息管理、电子病历的信息系统,该信息系统由医院负责系统管理运维,医院为该信息系统定级的责任单位。 (二)该信息系统使用了7台HP服务器,安装有Window2003 Server操作系统,Mysql数据库,用于医院信息管理系统的运行。使用了5台HP服务器,安装有Window 2003 Server操作系统,用于新农合即时结报平台的运行。医院在内外网之间搭建有天融信防火墙,门诊二楼安有用于无线终端连接内网的两个无线AP,各科室配有连接医院内网的终端计算机。 (三)该信息系统主要包含:医院信息管理系统(HIS),电子病历系统、LIS、卫生统计直报系统、医院门户网站等系统组成。 二、医院信息系统安全保护等级的确定 (一)业务信息安全保护等级的确定 1、业务信息描述 本信息系统主要处理的业务有医院信息管理的日常运行、在院患者的日常管理、医院院务公开、对外宣传等工作。 旨在保障医院业务正常运行,提高工作效率,增强院务透明度,扩大医院社会影响力。 2、业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是患者、法人和医院职工的合法权益。 侵害的客观方面表现为:一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害(形式可以包括丢失、破坏、损坏等),会对患者、医院和医院职工的合法权益造成严重影响和损害。
3、信息受到破坏后对侵害客体的侵害程度 当此信息受到破坏后,会对患者、医院和医院职工造成严重损害。 4、确定业务信息安全等级 依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级为二级。 (二)系统服务安全保护等级的确定 1、系统服务描述 本信息系统主要为医院业务的日常运行,日常办公活动正常开展和提供医疗咨询等服务。 2、系统服务受到破坏时所侵害客体的确定 该系统服务遭到破坏后,所侵害的客体是公民、医院和其他组织的合法权益,同时也会损害社会秩序和公共利益但不侵害国家安全。 客观方面表现的侵害结果为:可以对患者、法人和医院职工的合法权益造成侵害(影响正常工作的开展,导致业务 能力下降,造成不良影响,引起医患法律纠纷等)。可以对社会秩序和公共利益造成一般的损害(造成社会不良影响,引起公共利益的损害等)。 3、信息受到破坏后对侵害客体的侵害程度 上述结果的程度表现为:患者、医院和医院职工的合法权益造成损害,会出现一定范围的社会不良影响和一定程度的公共利益的损害等。 4、确定系统服务安全等级 依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级为第二级。 (三)安全保护等级的确定
信息系统安全等级保护定级报告
附件2: 《信息系统安全等级保护定级报告》 一、易财经描述 (一)该系统于 2018年投入运营,开发服务商为广州致仪计算机软件科技有限公司。目前该信息系统由广州致仪计算机软件科技有限公司技术部负责运行维护。广州致仪计算机软件科技有限公司技术部是该系统业务的主管部门,广州致仪计算机软件科技有限公司总经办为该信息系统定级的责任单位。 (二)该信息系统部署在阿里云云服务器ECS。由主机服务器、网络设备、防火墙设备、存储系统及其相关的配套的设备、设施构成的,是按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 易财经服务器mysql数据库由2台阿里云云服务器ECS E5互为备份,同时接入校园网络中心机房。实现校内、校外全天侯工作的功能。该系统的外部网部络和内部网络部分都是等级保护定级的范围和对象。 (三)该信息系统目前承载的主要业务包括:系统管理、组织管理、课程管理、排课管理、知识库管理、排课管理、考练测评、论文管理、实训中心、资讯管理、法规库管理、资源库、订单管理、积分优惠卷系统等等。系统针对业务的
差异分别提供联机处理和批量处理两种方式。 二、易财经系统安全保护等级确定 (一)业务信息安全保护等级的确定 1、业务信息描述 该信息系统业务主要包括:系统管理、组织管理、课程管理、排课管理、知识库管理、排课管理、考练测评、论文管理、实训中心、资讯管理、法规库管理、资源库、订单管理、积分优惠卷系统等等。 2、业务信息受到破坏时所侵害客体的确定(根据实际描述) 该业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益。 侵害的客观方面(客观方面是指定级对象的具体侵害行为,侵害形式以及对客体的造成的侵害结果)表现为:一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害(形式可以包括丢失、破坏、损坏等),会对公民、法人和其他组织的合法权益造成影响和损害,可以表现为:影响正常工作的开展,导致业务能力下降,造成不良影响,引起法律纠纷等。 3、信息受到破坏后对侵害客体的侵害程度的确定(根据实际描述) 上述结果的程度表现为严重损害,即工作职能受到严重
信息系统安全等级保护备案表
《信息系统安全等级保护备案表》 数据项说明 1.填表范围:本表由第二级以上信息系统运营使用单位或主管部门(以下简称“备案单位”) 填写;本表由四张表单构成,表一为单位信息,每个备案单位填写一张;表二为信息系统基本信息,表三为信息系统定级信息,表二、表三每个信息系统填写一张;表四为第三级以上信息系统需要同时提交的内容,由每个第三级以上信息系统填写,并在完成系统建设、整改、测评等工作,投入运行后30日内向受理备案公安机关提交;表二、表 三、表四可以复印使用,在使用过程中注意信息系统编号,如某单位共有6个信息系统, 则填写过程中要遵循表二(1/6)、表二(2/6)……表二(6/6)的编号和命名规则。如果6个信息系统中有3个是第三级以上信息系统,则表四的编号要和同一信息系统的表 二、三的编号保持一致。如,单位共有6个信息系统,其中有一个第三级以上信息系统 A,则该单位需要填写1张表一,6张表二和表三,1张表四。假设A系统表二的编号为表二(2/6),则相对应的表四的编号也应当是表四(2/6)。 2.保存方式:本表一式二份,由备案单位和受理备案的公安机关分别盖章后,一份由备案 单位保存,一份交受理备案公安机关存档。 3.《备案表》中有选择的地方请在选项左侧划“√”,如选择“其他”,请在其后的横线中 注明详细内容,需要填写数字代码的地方,请在“ ”中直接填写。 4.备案表编号:封面中的“备案表编号”由两组共11位数字组成,第一组6位,代表受 理备案的公安机关代码前六位(可参照行标GA380-2002);第二组5位,为受理备案的公安机关给出的备案单位的受理顺序号。此项内容统一由受理备案的公安机关填写。 5.备案单位:本表封面中的“备案单位”填写运营使用信息系统的法人单位全称。 6.受理备案单位:本表封面中的“受理备案单位”填写受理备案的公安机关网监部门名称。 此项由受理备案的公安机关负责填写。 7.行政区划代码:表一中04项“行政区划代码”中6位代码是指单位所在地县(区、市、 旗)的代码,该代码需与《中华人民共和国行政区划代码》(GB 2260-1995)一致。以北京市举例,标准6位地址码的构成如下: 110000 北京市,110101 东城区……。 8.单位负责人:表一中的“单位负责人”是指负责本单位信息安全的领导。 9.责任部门:表一中的“责任部门”是指单位内负责信息系统安全的部门。如果单位内的 信息系统分别由不同的责任部门管理,则可以统一填写在表一的责任部门一栏中,或分别填写表一。 10.责任部门联系人:表一中的“责任部门联系人”是指本单位开展信息安全等级保护工作 的联系人。如果责任部门联系人有多个,则可以分别填写表一或均填写在表一责任部门联系人一栏中。 11.隶属关系:表一中第08项“隶属关系”是指本单位隶属于哪一级行政管理单位,按照 国家标准《单位隶属关系代码》(GB/T12404-1997)分为:中央、省、市(地区)、县、街道、镇、乡、社区(居委会)、村民委员会和其他。
对外网站安全等级保护定级报告
XXXX公司对外网站 安全等级保护定级报告 一、XXXX公司对外网站描述 XXXX公司对外网站于XX年XX月建设投运,该系统由XXXX 公司开发。目前该网站由XXXX负责运行维护。XXXX公司XXXX 部是该信息系统业务的主管部门和该信息系统定级的责任单位。 该网站硬件构成、部署模式、部署位置等的描述。 XXXX公司对外网站系统分为XXXX、XXXX等功能模块。本网站系统与其他网站的接口情况描述。 二、XXXX公司对外网站系统安全保护等级确定 (一)业务信息安全保护等级的确定 1、业务信息描述 XXXX公司对外网站系统业务信息包括:XXXX、XXXX等。 2、业务信息受到破坏时所侵害客体的确定 说明信息受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。 3、信息受到破坏后对侵害客体的侵害程度的确定 信息受到破坏后,会对侵害客体造成一般损害。 4、业务信息安全等级的确定
依据信息受到破坏时所侵害的客体以及侵害程度,XXXX公司网站系统业务信息安全保护等级为第一级。 (二)系统服务安全保护等级的确定 1、系统服务描述 服务范围、服务对象 描述信息系统的服务范围、服务对象等。 2、系统服务受到破坏时所侵害客体的确定 说明系统服务受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。 3、系统服务受到破坏后对侵害客体的侵害程度的确定 系统服务受到破坏后,会对侵害客体造成一般损害。 4、系统服务安全等级的确定 依据系统服务受到破坏时所侵害的客体以及侵害程度,XXXX 公司网站系统服务安全保护等级为第一级。 (三)安全保护等级的确定 信息系统的安全保护等级由业务信息安全等级和系统服务安 全等级的较高者决定,最终确定XXXX公司对外网站系统安全保护
信息系统等保定级报告_2020
xx系统安全等级保护定级报告 一、xx系统描述 (一)上xx公司xx系统于2010年01月由立项,使用xx系统和xx,前端部署了xx、。目前该系统由上xx公司公司IT运维部门负责运行维护。上xx公司为该信息系统定级的责任单位。 (二)此系统是计算机及其相关的和配套的设备、设施构成的。系统在互联网边界处部署了华为品牌的防火墙,进行边界防护。在防火墙上划分安全域,通过防火墙策略进行域间的访问控制。 系统的拓扑图如下: (三)该信息系统业务主要包含: xx系统主要用于上xx公司全体员工办公邮件的发送和接受,外部第三方电子邮件的发送和接受。 二、xx系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》) (一)业务信息安全保护等级的确定 1、业务信息描述 xx系统业务信息包括:用于上xx公司全体员工办公邮件的发
送和接受,外部第三方电子邮件的发送和接受。 2、业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益,但不损害社会秩序和公共利益。 侵害的客观方面表现为:一旦客户信息被泄露或者篡改,会导致个人隐私泄露,或者经济利益受损等。 3、信息受到破坏后对侵害客体的侵害程度 根据《定级指南》的要求,出现上述两个侵害客体时,优先考虑公民、法人和其他组织的合法权益,另外一个不做考虑。上述结果的程度表现为对公民、法人和其他组织的合法权益造成一般损害,即一定范围的不良影响。 4、业务信息安全等级的确定 查《定级指南》表2知,业务信息安全保护等级为第二级。 (二)系统服务安全保护等级的确定 1、系统服务描述 该系统属于提供信息服务的信息系统,其服务范围为全国范围内的普通公民、法人等。 2、系统服务受到破坏时所侵害客体的确定