《信息系统安全等级保护定级报告》.doc
信息系统安全等级保护定级报告模版
信息系统安全等级保护定级报告模版《信息系统安全等级爱护定级报告》一、XXX信息系统描述简述确定该系统为定级对象的理由。
从三方面进行讲明:一是描述承担信息系统安全责任的相关单位或部门,讲明本单位或部门对信息系统具有信息安全爰护责任,该信息系统为本单位或部门的定级对象;二是该走级对象是否具有信息系统的差不多要素,描述差不多要素、系统网络结构、系统边界和边界设备;三是该走级对象是否承载着单一或相对独立的业务,业务情形描述。
二、XXX信息系统安全爱护等级确定(定级方法参见国家标准《信息系统安全等级爱护定级指南》)(-)业务信息安全爱护等级的确定1、业务信息描述描述信息系统处理的要紧业务信息等。
2、业务信息受到破坏时所侵害客体的确走讲明信息受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。
3.信息受到破坏后对侵害客体的侵害程度的确走讲明信息受到破坏后,会对侵害客体造成什么程度的侵害,即讲明是一样损害、严峻损害依旧专门严峻损害。
4、业务信息安全等级的确走依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级。
(二)系统服务安全爱护等级的确定1、系统服务描述描述信息系统的服务范畴、月艮务对象等。
2、系统服务受到破坏时所侵害客体的确定讲明系统服务受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。
3、系统服务受到破坏后对侵害客体的侵害程度的确定讲明系统服务受到破坏后,会对侵害客体造成什么程度的侵害,即讲明是一样损害、严峻损害依旧专门严峻损害。
4、系统服务安全等级的确走依据系统服务受到破坏时所侵害的客体以及侵害程度确走系统服务安全等级。
(三)安全爱护等级的确定信息系统的安全爰护等级由业务信息安全等级和系统服务安全等级较高者决走最终确走XXX系统安全爰护等级为第几级。
信息系统安全等级保护定级报告模版
信息系统安全等级保护定级报告模版《信息系统安全等级爱护定级报告》一、XXX信息系统描述简述确定该系统为定级对象的理由。
从三方面进行说明:一是描述承担信息系统安全责任的相关单位或部门,说明本单位或部门对信息系统具有信息安全爱护责任,该信息系统为本单位或部门的定级对象;二是该定级对象是否具有信息系统的差不多要素,描述差不多要素、系统网络结构、系统边界和边界设备;三是该定级对象是否承载着单一或相对独立的业务,业务情形描述。
二、XXX信息系统安全爱护等级确定(定级方法参见国家标准《信息系统安全等级爱护定级指南》)(一)业务信息安全爱护等级的确定1、业务信息描述描述信息系统处理的要紧业务信息等。
2、业务信息受到破坏时所侵害客体的确定说明信息受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。
3、信息受到破坏后对侵害客体的侵害程度的确定说明信息受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一样损害、严峻损害依旧专门严峻损害。
4、业务信息安全等级的确定依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级。
(二)系统服务安全爱护等级的确定1、系统服务描述描述信息系统的服务范畴、服务对象等。
2、系统服务受到破坏时所侵害客体的确定说明系统服务受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。
3、系统服务受到破坏后对侵害客体的侵害程度的确定说明系统服务受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一样损害、严峻损害依旧专门严峻损害。
4、系统服务安全等级的确定依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。
(三)安全爱护等级的确定信息系统的安全爱护等级由业务信息安全等级和系统服务安全等级较高者决定,最终确定XXX系统安全爱护等级为第几级。
信息系统安全等级保护定级报告模板
报告评审结果处理与公布
评审结果:根据 评审结果,确定 信息系统的安全 等级
处理方式:根据 评审结果,对信 息系统进行相应 的安全防护措施
公布方式:通过 内部通知、公告 等方式,公布评 审结果
反馈与改进:根 据评审结果,对 信息系统进行改 进和完善,提高 安全等级
感谢观看
汇报人:
附件等
报告提交时间 必须符合规定,
不得逾期
报告提交方式 必须符合规定, 包括纸质版、
电子版等
06
信息系统安全等级保护定级报告审核与评 审
报告审核流程
提交定级 报告:由 信息系统 运营单位 提交定级 报告
审核定级 报告:由 信息安全 等级保护 专家进行 审核
评审定级 报告:由 信息安全 等级保护 评审委员 会进行评 审
系统名称:明确信息系 统的名称
系统类型:描述信息系 统的类型,如网络系统、
数据库系统等
系统功能:描述信息系 统的主要功能
系统架构:描述信息系 统的架构,包括硬件、 软件、网络等组成部分
系统安全等级:根据国 家信息安全等级保护标 准,确定信息系统的安
全等级
系统安全保护措施:描 述信息系统采取的安全 保护措施,如防火墙、
报告应采用客观、公正、科学的态度进行编写,不得夸大或缩小事实。
报告应由具有相应资质和能力的人员编写,并经过审核和批准。
报告内容要求
明确信息系统的安全等级保护定级目标 详细描述信息系统的安全等级保护定级过程 提供详细的信息系统安全等级保护定级结果 提出信息系统安全等级保护定级改进建议
报告格式要求
标题:明确报告的主题和目的
行业标准:金融、电力、电信等行业信息安全等级保护标准 企业内部规定:企业内部信息安全管理制度、信息安全风险评估报告等
信息系统安全等级保护定级报告-中国网络安全等级保护网(完整资料).doc
【最新整理,下载后即可编辑】信息系统安全等级保护定级报告(起草参考实例)一、X省邮政金融网中间业务系统描述(一)该中间业务于*年*月*日由*省邮政局科技立项,省邮政信息技术局自主研发。
目前该系统由技术局运行维护部负责运行维护。
省邮政局是该信息系统业务的主管部门,省邮政局委托技术局为该信息系统定级的责任单位。
(二)此系统是计算机及其相关的和配套的设备、设施构成的,是按照一定的应用目标和规则对邮储金融中间业务信息进行采集、加工、存储、传输、检索等处理的人机系统。
整个网络分为两部分,(图略),第一部分为省数据中心,第二部分为市局局域网。
在省数据中心的核心设备部署了华为的S**三层交换机,……在省数据中心的网络中配置了两台与外部网络互联的边界设备:天融信NGFW 4**防火墙和Cisco 2**路由器……省数据中心网络中剩下的一部分就是与下面各个地市的互联。
其中主要设备部署的是……整个省数据中心网络中的所有设备系统都按照统一的设备管理策略,只能现场配置,不可远程拨号登录。
整个信息系统的网络系统边界设备可定为NGFW 4** 与Cisco 2**。
Cisco 2** 外联的其它系统都划分为外部网络部分,而NGFW 4** 以内的部分包括与各地市互联的部分都可归为中心的内部网络,与中间业务系统相关的省数据中心网络边界部分和内部网络部分都是等级保护定级的范围和对象。
在此次定级过程中,将各市的网络和数据中心连同省中心统一作为一个定级对象加以考虑,统一进行定级、备案。
各市的网络和数据中心还要作为整个系统的分系统分别进行定级、备案。
(三)该信息系统业务主要包含:中国移动代收费、中国联通代收费、代理国债、批量工资代发、批量水电气等费用代扣、代收烟草款等业务,并新增加了代收国税、地税,代办保险等业务。
系统针对业务实现的差异分别提供实时联机处理和批量处理两种方式。
其中:通过网络与第三方机构的连接,均采用约定好的报文格式进行通讯,业务处理流程实时完成。
信息系统安全等级保护定级报告模板
附件3:《信息系统安全等级保护定级报告》一、XXX信息系统描述简述确定该系统为定级对象的理由。
从三方面进行说明:一是描述承担信息系统安全责任的相关单位或部门,说明本单位或部门对信息系统具有信息安全保护责任,该信息系统为本单位或部门的定级对象;二是该定级对象是否具有信息系统的基本要素,描述基本要素、系统网络结构、系统边界和边界设备;三是该定级对象是否承载着单一或相对独立的业务,业务情况描述。
二、XXX信息系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》)(一)业务信息安全保护等级的确定1、业务信息描述描述信息系统处理的主要业务信息等。
2、业务信息受到破坏时所侵害客体的确定说明信息受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。
3、信息受到破坏后对侵害客体的侵害程度的确定说明信息受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。
4、业务信息安全等级的确定依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级。
(二)系统服务安全保护等级的确定1、系统服务描述描述信息系统的服务范围、服务对象等。
2、系统服务受到破坏时所侵害客体的确定说明系统服务受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。
3、系统服务受到破坏后对侵害客体的侵害程度的确定说明系统服务受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。
4、系统服务安全等级的确定依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。
(三)安全保护等级的确定信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定,最终确定XXX系统安全保护等级为第几级。
附件4:信息系统安全等级保护备案表备 案 单 位: (盖章) 备 案 日 期:受理备案单位: (盖章) 受 理 日 期:中华人民共和国公安部监制备案表编号:填表说明一、制表依据。
信息系统安全等级保护定级报告
信息系统安全等级保护定级报告一、引言信息系统安全等级保护定级报告是对某一特定信息系统的安全等级进行评估和定级,并提供系统的安全特征和安全保护措施。
本报告旨在分析该信息系统目前的安全情况,评估其风险等级,并提出相应的安全建议。
二、背景介绍[在这部分,你可以使用某个公司或组织的信息系统作为案例进行描述,包括系统的规模、功能、所涉及的敏感信息及其重要性等信息。
]三、安全评估方法[在这部分,你可以介绍用于本次安全评估的方法和评估流程,例如使用国家信息安全等级保护定级标准分析和评估系统的安全状况。
可以简要介绍分析的各个方面,如物理安全、系统安全、网络安全等。
]四、安全特征分析[在这部分,你可以详细分析该信息系统的安全特征,包括系统组成部分和其在保护机密性、完整性和可用性等方面的体现。
可以介绍系统的认证、访问控制、审计、加密等方面的特征和机制。
]五、安全风险评估[在这部分,你可以根据信息系统的安全特征以及风险评估方法的结果,对系统的安全风险进行评估和等级划分。
可以详细介绍各个风险项目的评估结果和相应的等级划分依据。
]六、安全建议[在这部分,你可以根据对系统的安全评估和风险评估结果,提出相应的安全建议。
可以针对不同的风险等级提出相应的建议措施,包括但不限于技术措施、管理措施、培训措施等。
]七、结论[在这部分,你可以对整个报告进行总结,并强调该信息系统的安全等级定级结果以及具体的建议措施。
可以提醒相关人员和管理者对报告的重视,并督促其尽快采取相应的安全措施。
]八、附录[在这部分,你可以附上本报告使用的各类数据和分析报告,以供参考。
可以附上组成信息系统的硬件设备列表、安全测试报告等等。
]九、参考文献[如果你在报告撰写过程中使用了其他文献进行参考,可以在这部分注明并列出相关的参考文献。
请注意不要出现网址链接,而是按照国内参考文献格式要求进行标注。
]以上是一份信息系统安全等级保护定级报告的大致框架,根据你所提供的标题进行相应的内容填写,以满足3000字的要求。
信息系统安全等级保护定级报告
信息系统安全等级保护定级报告一、背景介绍。
信息系统安全等级保护定级是指根据国家有关规定,对信息系统进行安全等级保护的定级工作。
信息系统安全等级保护定级的目的是为了保护信息系统的安全,防范和减少信息系统遭受各种威胁和攻击的可能性,保障信息系统的正常运行和信息的安全性。
二、定级依据。
1. 国家相关法律法规。
信息系统安全等级保护定级工作依据《中华人民共和国网络安全法》、《信息安全等级保护管理办法》等国家相关法律法规进行。
2. 定级标准。
信息系统安全等级保护定级工作依据《信息安全等级保护定级标准》进行,根据信息系统的安全等级保护需求,对信息系统进行定级评估。
三、定级范围。
1. 定级对象。
本次定级报告的定级对象为公司内部使用的信息系统,包括企业内部网络、数据库系统、办公自动化系统等。
2. 定级内容。
本次定级报告主要对信息系统的安全性能、安全保障措施、安全管理制度等内容进行评估和定级。
四、定级评估。
1. 安全性能评估。
针对信息系统的安全性能,进行了系统的安全性能测试和评估,包括系统的防护能力、安全隐患排查等。
2. 安全保障措施评估。
对信息系统的安全保障措施进行了全面的评估,包括网络安全防护、数据加密、访问控制等方面的措施。
3. 安全管理制度评估。
对信息系统的安全管理制度进行了评估,包括安全管理组织架构、安全管理流程、安全管理规范等方面的评估。
五、定级结果。
根据定级评估的结果,本次定级报告对信息系统的安全等级保护定级结果如下:1. 安全等级。
本次定级报告对信息系统的安全等级定为“中等”安全等级。
2. 安全风险。
根据评估结果,信息系统存在一定的安全风险,需要加强安全管理和加固安全防护措施。
3. 安全改进建议。
针对存在的安全风险,提出了相应的安全改进建议,包括加强安全培训、完善安全管理制度、加强安全监控等方面的建议。
六、定级结论。
本次定级报告对信息系统的安全等级保护定级工作进行了全面的评估和定级,得出了相应的定级结果和安全改进建议,旨在提高信息系统的安全保障能力,保障信息系统的安全运行和信息的安全性。
信息系统安全等级保护定级报告
信息系统安全等级保护定级报告(起草参考实例)一、四川省德昌县职业高级中学中间业务系统描述(一)该中间业务于*年*月*日由*四川省德昌县职业高级中学立项,购买成都新网公司的云服务器和网站模板。
目前该系统由成都新网公司运行维护部负责运行维护。
四川省德昌县职业高级中学是该信息系统业务的主管部门,四川省德昌县职业高级中学为该信息系统定级的责任单位。
(二)此系统是计算机及其相关的和配套的设备、设施构成的,是按照一定的应用目标和规则对四川省德昌县职业高级中学中间业务信息进行采集、加工、存储、传输、检索等处理的人机系统。
整个网络服务器在北京新网在省数据中心的核心设备部署了华为的S8512三层交换机,……在省数据中心的网络中配置了两台与外部网络互联的边界设备:天融信NGFW 4000防火墙和Cisco 2600路由器……省数据中心网络中剩下的一部分就是与下面各个地市的互联。
其中主要设备部署的是……整个省数据中心网络中的所有设备系统都按照统一的设备管理策略,只能现场配置,不可远程拨号登录。
整个信息系统的网络系统边界设备可定为NGFW 4000 与Cisco 2600。
Cisco 2600 外联的其它系统都划分为外部网络部分,而NGFW 4000 以内的部分包括与各地市互联的部分都可归为中心的内部网络,与中间业务系统相关的省数据中心网络边界部分和内部网络部分都是等级保护定级的范围和对象。
在此次定级过程中,将各市的网络和数据中心连同省中心统一作为一个定级对象加以考虑,统一进行定级、备案。
各市的网络和数据中心还要作为整个系统的分系统分别进行定级、备案。
(三)该信息系统业务主要包含:中国移动代收费、中国联通代收费、代理国债、批量工资代发、页脚内容1批量水电气等费用代扣、代收烟草款等业务,并新增加了代收国税、地税,代办保险等业务。
系统针对业务实现的差异分别提供实时联机处理和批量处理两种方式。
其中:通过网络与第三方机构的连接,均采用约定好的报文格式进行通讯,业务处理流程实时完成。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
《信息系统安全等级保护定级报告》
一、潜江新闻网信息系统描述
(一)该信息系统于年月由潜江新闻网自主研发。
目前该系统由潜江新闻网技术部负责运行维护。
潜江市委宣传部是该信息系统的主管部门,潜江新闻网为该信息系统定级的责任单位。
(二)此系统是计算机及其相关的和配套的设备,设施构成的,是按照一定的应用目标和新闻信息进行采集,加工,存储,发布,检索等处理的人机系统。
同时在潜江新闻网技术部建立了独立机房,数据中心的核心设备部署了交换机,配置了两台与外部网络互联的浪潮服务器、专业级防火墙和路由器等……
(三)该信息系统业务主要包含:新闻发布,采集系统,网友报料,论坛,视频发布系统等模块功能。
二、信息系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》)
(一)业务信息安全保护等级的确定
、业务信息描述
潜江新闻网新闻信息系统主要以发布潜江市域内对内外宣传新闻,发布潜江市各项政府公告及政策,收集网上百姓心声等各项信息业务。
、业务信息受到破坏时所侵害客体的确定
侵害的客观方面(客观方面是指定级对象的具体侵害行为,侵害形式以及对客体的造成的侵害结果)表现为:一旦信息系统的业务信息遭到入侵,修改,增加,删除等不明侵害(形式可以包括丢失,破坏,损坏等),会对公民,法人和其他组织的合法权益造成影响和损害,可以表现为:影响正常工作的开展,导致社公不安,造成不良影响,引起法律纠纷等.
、信息受到破坏后对侵害客体的侵害程度的确定
说明信息受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。
、业务信息安全等级的确定
依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级。
(二)系统服务安全保护等级的确定
、系统服务描述
描述信息系统的服务范围、服务对象等。
、系统服务受到破坏时所侵害客体的确定
说明系统服务受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。
、系统服务受到破坏后对侵害客体的侵害程度的确定
说明系统服务受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。
、系统服务安全等级的确定
依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。
(三)安全保护等级的确定
信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定,最终确定系统安全保护等级为第几级。
附件:
信息系统安全等级保护
备案表
备 案 单 位: (盖章) 备 案 日 期:
受理备案单位: (盖章) 受 理 日 期:
中华人民共和国公安部监制
填 表 说 明
一、 制表依据。
根据《信息安全等级保护管理办法》(公通字[]号)之规定,制作本表; 二、 填表范围。
本表由第二级以上信息系统运营使用单位或主管部门(以下简称“备案单
备案表编号:
位”)填写;本表由四张表单构成,表一为单位信息,每个填表单位填写一张;表二为信息系统基本信息,表三为信息系统定级信息,表二、表三每个信息系统填写一张;
表四为第三级以上信息系统需要同时提交的内容,由每个第三级以上信息系统填写一张,并在完成系统建设、整改、测评等工作,投入运行后三十日内向受理备案公安机关提交;表二、表三、表四可以复印使用;
三、保存方式。
本表一式二份,一份由备案单位保存,一份由受理备案公安机关存档;
四、本表中有选择的地方请在选项左侧“ ”划“√”,如选择“其他”,请在其后的横线
中注明详细内容;
五、封面中备案表编号(由受理备案的公安机关填写并校验):分两部分共位,第一部分位,
为受理备案公安机关代码前六位(可参照行标)。
第二部分位,为受理备案的公安机关给出的备案单位的顺序编号;
六、封面中备案单位:是指负责运营使用信息系统的法人单位全称;
七、封面中受理备案单位:是指受理备案的公安机关公共信息网络安全监察部门名称。
此
项由受理备案的公安机关负责填写并盖章;
八、表一行政区划代码:是指备案单位所在的地(区、市、州、盟)行政区划代码;
九、表一单位负责人:是指主管本单位信息安全工作的领导;
十、表一责任部门:是指单位内负责信息系统安全工作的部门;
十一、表一隶属关系:是指信息系统运营使用单位与上级行政机构的从属关系,须按照单位隶属关系代码(―)填写;
十二、表二系统编号:是由运营使用单位给出的本单位备案信息系统的编号;
十三、表二系统网络平台:是指系统所处的网络环境和网络构架情况;
十四、表二关键产品使用情况:国产品是指系统中该类产品的研制、生产单位是由中国公民、法人投资或者国家投资或者控股,在中华人民共和国境内具有独立的法人资格,产品的核心技术、关键部件具有我国自主知识产权;
十五、表二系统采用服务情况:国内服务商是指服务机构在中华人民共和国境内注册成立(港澳台地区除外),由中国公民、法人或国家投资的企事业单位;
十六、表三、、项:填写上述三项内容,确定信息系统安全保护等级时可参考《信息系统安全等级保护定级指南》,信息系统安全保护等级由业务信息安全等级和系统服务安全等级较高者决定。
、项中每一个确定的级别所对应的损害客体及损害程度可多选;
十七、表三主管部门:是指对备案单位信息系统负领导责任的行政或业务主管单位或部门。
部级单位此项可不填;
十八、解释:本表由公安部公共信息网络安全监察局监制并负责解释,未经允许,任何单位和个人不得对本表进行改动。
表一单位基本情况
表二()信息系统情况
表三()信息系统定级情况
备案审核民警:审核日期:年月日
表四()第三级以上信息系统提交材料情况。