扬州职业大学财务管理系统安全等级保护定级报告

教育行业信息系统安全等级保护定级工作指南定级工作指南（试行）1 总则本指南根据国家信息安全等级保护有关政策与标准，结合教育行业信息化工作的特点与具体实际，对教育行业信息系统进行分类，提出安全等级保护的定级思路，给出建议等级，明确工作流程。

本指南适用于各级教育行政部门及其直属事业单位、各级各类学校的非涉密信息系统安全等级保护定级工作。

信息系统的定级工作应在信息系统设计阶段完成，与信息系统建设同步实施。

2 定级根据《中华人民共与国计算机信息系统安全保护条例》（国务院第147号令）《信息系统安全等级保护定级指南》（GB/T 22240-2008）《信息系统安全等级保护实施指南》（GB/T 25058-2010）《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安〔2007〕861号）《信息安全等级保护管理办法》（公通字〔2007〕43号）3 信息系统的类型划分信息系统的类型划分是进行信息系统安全等级划分的前提与基础。

按照信息系统的主管单位、业务对象、部署模式对教育行业信息系统进行分类，形成信息系统分类表（附件1）。

3.1按信息系统主管单位划分按照信息系统主管单位的不一致，信息系统分为“教育行政部门及其直属事业单位信息系统”（简称“部门信息系统”）与“学校信息系统”两类。

部门信息系统可分为教育部机关及其直属事业单位信息系统（部级系统）、省级教育行政部门及其直属事业单位信息系统（省级系统）、地市级教育行政部门及其直属事业单位信息系统（市级系统）与区县级教育行政部门及其直属事业单位信息系统（县级系统）；学校信息系统可分为重点建设类高等学校信息系统（I类）、高等学校信息系统（Ⅱ类）、中小学校（含中职中专院校）信息系统（Ⅲ类）。

3.2按信息系统业务对象划分根据信息系统业务对象不一致，部门信息系统可分为政务管理类、学校管理类、学生管理类、教师管理类、综合服务类；学校信息系统可分为校务管理类、教学科研类、招生就业类、综合服务类。

等保自查报告随着信息技术的飞速发展，信息系统的安全保护变得愈发重要。

为了确保本单位信息系统的安全稳定运行，符合国家等级保护相关要求，我们进行了全面的等保自查工作。

现将自查情况报告如下：一、自查背景信息安全是企业发展的重要保障，也是维护社会稳定和国家安全的重要组成部分。

近年来，网络攻击、数据泄露等安全事件频发，给企业和社会带来了巨大的损失。

为了提高信息系统的安全防护能力，防范各类安全风险，我们积极响应国家网络安全等级保护制度，开展此次等保自查工作。

二、自查范围本次自查涵盖了本单位的核心业务系统、办公系统、网络设备、安全设备等，包括但不限于以下系统：1、业务管理系统：用于处理日常业务流程和数据管理。

2、财务管理系统：涉及财务数据的处理和存储。

3、办公自动化系统：包括邮件、文档管理等功能。

三、自查依据本次自查主要依据《中华人民共和国网络安全法》、《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）、《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019）等相关法律法规和标准规范。

四、自查内容及结果（一）安全管理制度1、我们制定了较为完善的安全管理制度，包括安全策略、人员安全管理、系统建设管理、系统运维管理等方面的制度。

但在制度的执行和监督方面还存在一些不足，部分员工对制度的了解和遵守程度不够。

2、定期对安全管理制度进行修订和完善，但修订的及时性和针对性还有待提高。

（二）安全管理机构1、成立了专门的信息安全管理小组，明确了小组成员的职责和分工。

但在安全管理机构的人员配备和专业能力方面还存在一定的差距，需要进一步加强培训和提升。

2、与相关外部安全机构建立了合作关系，但合作的深度和广度还不够，需要进一步拓展合作领域和加强沟通协调。

（三）安全管理人员1、配备了一定数量的安全管理人员，但部分人员的专业知识和技能还不能满足实际工作的需要，需要加强培训和学习。

2、对安全管理人员进行了定期的考核和评价，但考核的指标和方法还不够科学合理，需要进一步优化。

等级保护安全风险评估报告模版【报告标题】等级保护安全风险评估报告【报告日期】（填写报告日期）【报告目的】本报告旨在对（填写被评估对象/系统）进行等级保护安全风险评估，确保其安全性，保护机密信息并遵守相关法规。

【报告概述】本报告通过对（填写被评估对象/系统）的风险评估，分析了可能存在的安全风险和潜在威胁，并提供了一些建议和措施以减少风险，并确定监控和应对安全事件的方案。

【评估方法】本次评估采用了（填写评估方法，比如风险矩阵、威胁建模、安全测试等）方法，综合考虑了（填写评估的各个方面，如安全策略、物理安全、网络安全等）。

【评估结果】根据评估结果显示，（填写被评估对象/系统）存在以下安全风险：1.（列举具体的风险项）风险级别：（填写风险级别）风险描述：（填写风险描述）风险影响：（填写风险影响）建议措施：（填写建议措施）2.（列举具体的风险项）风险级别：（填写风险级别）风险描述：（填写风险描述）风险影响：（填写风险影响）建议措施：（填写建议措施）3.（列举具体的风险项）风险级别：（填写风险级别）风险描述：（填写风险描述）风险影响：（填写风险影响）建议措施：（填写建议措施）【建议与措施】基于风险评估结果，提出以下建议与措施以减少安全风险：1.加强（填写建议的方面，如物理安全、网络安全、访问控制等），包括但不限于：-（详细的措施一）-（详细的措施二）-（详细的措施三）2.定期更新安全策略和培训员工，以提高安全意识和技能。

-（详细的措施一）-（详细的措施二）-（详细的措施三）3.建立有效的监控和应对机制，包括但不限于：-（详细的措施一）-（详细的措施二）-（详细的措施三）【总结】本次等级保护安全风险评估报告对（填写被评估对象/系统）进行了综合的风险评估，并提出了相应的建议与措施。

通过采取这些措施，可以有效地减少安全风险，提高系统的安全性。

同时，我们建议定期进行风险评估，以保持系统的安全性并及时应对新的安全威胁。

信息系统安全等级保护备案表一、信息系统基本情况。

1. 信息系统名称，XXXX系统。

2. 信息系统所属单位，XXXX公司。

3. 信息系统类型，企业内部管理系统。

4. 信息系统功能，包括人事管理、财务管理、生产管理等功能模块。

5. 信息系统规模，涉及公司内部所有部门和员工。

6. 信息系统安全等级，属于中等安全等级。

二、信息系统安全等级保护责任人。

1. 信息系统安全等级保护责任人，XXX（姓名）、XXX（职务）。

2. 信息系统安全等级保护责任人联系方式，XXXXX。

三、信息系统安全等级保护措施。

1. 网络安全防护措施。

针对信息系统的网络安全，采取了防火墙、入侵检测系统、安全网关等措施，保障系统网络的安全稳定。

2. 数据安全保护措施。

对系统中的重要数据进行加密存储，并设置了严格的权限管理，确保数据的安全性和完整性。

3. 应用系统安全防护措施。

对系统的各个应用模块进行安全加固，包括对登录、操作、审计等环节的安全控制，防止恶意操作和非法访问。

4. 物理环境安全保护措施。

信息系统所在的机房采取严格的门禁控制和监控措施，保障物理环境的安全。

5. 安全管理措施。

建立了完善的安全管理制度和流程，包括安全培训、安全演练、安全事件响应等，提高了整体安全保护水平。

四、信息系统安全等级保护备案情况。

经过对信息系统的安全等级保护措施的落实和检查，符合国家相关安全等级保护要求，备案情况良好。

五、其他需要说明的情况。

1. 信息系统安全等级保护备案表填报人，XXX（姓名）、XXX（职务）。

2. 填报时间，XXXX年XX月XX日。

3. 备案有效期，XXXX年XX月XX日至XXXX年XX月XX日。

以上为信息系统安全等级保护备案表，如有变动将及时更新备案情况。

等级保护安全检查汇报第一篇：等级保护安全检查汇报等级保护安全检查汇报按照芜公发[2015]146号和芜公信安检字[2015]028号文件精神，我院信息科对医院内各硬件系统和软件系统进行自查，并结合自身具体实际，认真贯彻落实相关工作机制，逐步完善各项制度，积极参加信息公开相关培训，稳步有序地推进我院信息安全等级建设等各项工作。

现汇报总报告如下所示。

目前，我院为建立相对完善的信息安全责任制体系，提高我院信息化安全管理工作，完善医院信息化安全等级保护工作，于2012年3月5日成立信息等级保护安全协调小组，由院长担任信息协调小组组长，三位副院长和纪委书记担任副组长的。

主要负责全院信息安全，提高我院信息系统安全发展。

下设办公室，由信息科负责人担任办公室主任。

成员分别由各职能科室科长、主任、负责人组成。

小组成立以来通过自查等方式来加强院内的信息系统安全。

目前我院正在准备按照三级等保的要求来升级我院的安全防护体系。

我院已把单位信息安全保护工作纳入科室年度考核，每月对网络安全设备、硬件设备、系统等进行安全检查，实时监控网络安全设备运行情况，同时针对医疗行业的特点，安装了反统方系统。

单位按照国家相关要求部署和开展等级保护有关要求，对需要进行二级等保备案的系统已经进行了相关的定级与备案、业务变更报备工作。

2012年7月和2014年9月对院内的信息系统进行了全面的自查工作，对问题与风险进行了分析，并提交了自查报告。

目前我院部分重要信息系统已参照三级等级保护要求进行了安全建设，增加了防火墙，IPS，EMC 存储，防毒墙，双核心交换机等设备。

我院已建立信息安全责任制度，成立由院领导担任组长的信息安全领导小组，对本单位信息安全负责领导工作。

由信息科具体承担信息安全工作。

科室配备网络管理员，系统管理员，安全审计员，硬件维护员各一名，并严格按照信息安全政策与业务培训制度对信息科人员录用、培训，时时强调安全保密的重要性。

强调信息安全对医院的影响，对科室、个人的影响。

学校信息系统安全等级保护定级报告集团标准化工作小组 [Q8QX9QT-X8QQB8Q8-NQ8QJ8-M8QMN]《某某学校门户网站信息系统安全等级保护定级报告》一、某某学校门户网站信息系统我校门户网站信息系统主要提供学校信息发布，校务公开，政策宣传等，并且也是我校对外宣传具有组织合法权益的窗口阵地之一。

该信息系统的平台搭建、程序设计和运行维护主要有网络中心承担，学校始终将信息安全建设作为安全重中之重建设和管理，将其确定为定级对象进行监督并责成网络中心进行自查和整改，网络中心具有信息安全保护责任。

此系统主要由提供网络连接、网络服务的硬件和数据控制的软件程序两大要素构成，提供网络连接和服务的硬件设备如路由器、交换机和服务器构成了该信息系统的基础，其主要为保障数据的传输和程序文件的运行；数据控制文件系统、程序源码如新闻发布程序文件等成为信息表现的载体，二者共同完成校内相关公文、通知、公告信息、思政宣传和校务公开的管理。

二、某某学校门户网站信息系统安全保护等级确定（定级方法参见国家标准《信息系统安全等级保护定级指南》）（一）业务信息安全保护等级的确定1、业务信息描述本信息系统主要处理的业务有校内通知、校务公开；校外公告和学校对外宣传工作等。

旨在提高工作效率、明细办事职责、增强校务透明度、扩大学校社会影响力。

2、业务信息受到破坏时所侵害客体的确定本信息系统由于具有一定的脆弱性，需要不定时进行对该系统网站程序升级和漏洞防范，所以很容易受到“黑客”攻击和破坏，可能会影响学校正常秩序和正常行使工作职能，从某种角度可侵害学校、教师、学生合法权益。

3、信息受到破坏后对侵害客体的侵害程度的确定当此信息受到破坏后，会对学校和部分师生造成一些严重损害。

4、业务信息安全等级的确定依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级为二级。

（二）系统服务安全保护等级的确定1、系统服务描述本信息系统主要为校内外关注本门户网站的网友提供消息通知公告和咨询等服务。

附件1X市邮政金融网信息系统信息安全等级专家评审申请报告（示例，试用参考版本）申报单位：（盖章）申报日期：受理单位：宁波市经济和信息化委员会受理日期：二零零×年××月目录填写说明..............................错误!未定义书签。

1 单位基本情况............................错误!未定义书签。

2 申请评审的信息系统汇总表................错误!未定义书签。

3 信息系统划分............................错误!未定义书签。

管理机构.............................错误!未定义书签。

网络结构.............................错误!未定义书签。

业务应用.............................错误!未定义书签。

信息系统划分结果.....................错误!未定义书签。

4 邮政金融网中间业务系统自定级报告........错误!未定义书签。

5 邮政综合计算机网系统自定级报告..........错误!未定义书签。

6 系统使用的安全产品清单及认证、销售许可证明错误!未定义书签。

填写说明1、填报依据。

根据《浙江省信息安全等级保护管理办法》（省政府令223号）和《浙江省信息安全等级评审实施细则》之规定制作本表。

2、填报范围。

本报告由基础信息网络与重要信息系统的运营、使用单位或主管部门填写。

3、申报方式。

本报告一式五份，由申请单位向受理申请的信息化机构提交。

同时将电子版本申请材料发。

4、单位基本情况表：单位负责人，是指主管本单位信息安全工作的领导；责任部门，是指单位内负责信息系统安全工作的部门；隶属关系，是指信息系统运营使用单位与上级行政机构的从属关系。

5、系统自定级报告：是指依据《定级报告模版》编写的定级报告。

所有信息系统均应该填写。

一、报告概述为贯彻落实《中华人民共和国网络安全法》和《信息安全技术网络安全等级保护定级指南》（GB/T 22240-2020）的相关规定，确保我单位信息系统的安全稳定运行，依据国家网络安全等级保护制度，特向相关部门申请对我单位信息系统进行等级保护定级。

现将有关情况报告如下：二、单位基本情况1. 单位名称：[单位名称]2. 单位性质：[单位性质]3. 单位地址：[单位地址]4. 主要业务：[单位主要业务]三、信息系统概述1. 信息系统名称：[信息系统名称]2. 信息系统功能：[信息系统功能]3. 信息系统规模：[信息系统规模]4. 信息系统部署方式：[信息系统部署方式]5. 信息系统运行环境：[信息系统运行环境]四、等级保护定级依据1. 《中华人民共和国网络安全法》2. 《信息安全技术网络安全等级保护定级指南》（GB/T 22240-2020）3. [其他相关法律法规和标准]五、等级保护定级申请理由1. 遵循国家网络安全等级保护制度，加强我单位信息系统安全防护能力。

2. 提高我单位信息安全意识，落实信息安全责任。

3. 保障我单位业务连续性和数据完整性，降低信息安全风险。

六、等级保护定级申请内容1. 信息系统安全等级：根据《信息安全技术网络安全等级保护定级指南》和《计算机信息系统安全保护等级划分准则》（GB 17859-1999），申请将我单位信息系统定级为[等级]级。

2. 定级依据：[详细说明定级依据，包括信息系统安全需求、业务重要性、业务对信息系统的依赖程度、信息系统承载业务的重要性等方面]3. 定级措施：[详细说明为达到相应安全等级所采取的具体措施，如技术措施、管理措施、人员培训等]七、等级保护定级工作计划1. 成立等级保护工作领导小组，负责组织、协调和推进等级保护工作。

2. 开展等级保护宣传和培训，提高全员信息安全意识。

3. 制定等级保护工作计划，明确工作目标、任务和时间节点。

4. 组织开展信息系统安全评估，识别和评估安全风险。