电商类系统安全等级保护定级报告 - 副本

**系统网络安全等级保护定级报告一、XX系统描述1、XX系统为本次网络安全等级保护定级对象，XX单位是该系统的主管单位或部门，同时也是该系统的安全责任单位或部门，对该系统具有网络安全保护责任。

【描述安全责任单位或部门】2、XX系统由WEB程序以及移动APP等功能构成，系统相关配套的网络设备、安全设备、操作系统和数据库等设施【系统具有信息系统的基本要素，部署在XX公司中心机房内。

描述基本要素、系统网络结构、系统边界和边界设备】3、XX系统主要包括单位维护、部门维护、商品维护、数据字典维护、用户组权限维护、用户维护等功能。

系统承载着单一或相对独立的业务，通过互联网面向全国所有公民提供服务。

【系统业务描述及服务对象范围】二、XX系统安全保护等级确定（一）业务信息安全保护等级的确定1、业务信息描述系统提供单位维护、部门维护、商品维护、数据字典维护、用户组权限维护、用户维护等功能，处理的业务信息包括单位信息、部门信息、商品信息、人员信息等。

【系统处理哪些业务信息，业务数据】2、业务信息受到破坏时所侵害客体的确定系统信息遭到破坏后，侵害的客体类型属于公民、法人和其他组织的合法权益，以及社会秩序、公共利益。

侵害的客观方面表现为：一旦该系统的业务信息遭到入侵、修改、增加、删除等不明侵害，会对XX单位的合法权益造成影响和损害，同时也会对社会秩序、公共利益造成侵害。

可以表现为：1）社会秩序、公共利益遭受侵害可发生的后果：损害公共利益、造成社会不良影响；2）公民、法人和其他组织遭受侵害可发生的后果：影响其正常工作的开展，导致其业务能力下降，造成单位不良影响，引起相应法律纠纷、导致财产损失、对其他组织和个人造成损失和其他影响等。

3、信息受到破坏后对侵害客体的侵害程度的确定信息受到破坏后，对社会秩序、公共利益造成的侵害程度表现为严重损害，即会出现较大范围的社会不良影响和较严重程度的公共利益的损害等；对公民、法人和其他组织的合法权益造成侵害的程度表现为特别严重损害，即工作职能受到特别严重影响或丧失行使能力，业务能力严重下降或功能无法执行，大范围的不良影响等。

附件3：《信息系统安全等级保护定级报告》一、XXX信息系统描述简述确定该系统为定级对象的理由。

从三方面进行说明：一是描述承担信息系统安全责任的相关单位或部门，说明本单位或部门对信息系统具有信息安全保护责任，该信息系统为本单位或部门的定级对象；二是该定级对象是否具有信息系统的基本要素，描述基本要素、系统网络结构、系统边界和边界设备；三是该定级对象是否承载着单一或相对独立的业务，业务情况描述。

二、XXX信息系统安全保护等级确定（定级方法参见国家标准《信息系统安全等级保护定级指南》）（一）业务信息安全保护等级的确定1、业务信息描述描述信息系统处理的主要业务信息等。

2、业务信息受到破坏时所侵害客体的确定说明信息受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

3、信息受到破坏后对侵害客体的侵害程度的确定说明信息受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

4、业务信息安全等级的确定依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级。

（二）系统服务安全保护等级的确定1、系统服务描述描述信息系统的服务范围、服务对象等。

2、系统服务受到破坏时所侵害客体的确定说明系统服务受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

3、系统服务受到破坏后对侵害客体的侵害程度的确定说明系统服务受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

4、系统服务安全等级的确定依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。

（三）安全保护等级的确定信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定，最终确定XXX系统安全保护等级为第几级。

附件4：信息系统安全等级保护备案表备 案 单 位： （盖章） 备 案 日 期：受理备案单位： （盖章） 受 理 日 期：中华人民共和国公安部监制备案表编号：填表说明一、制表依据。

附件 2：《信息系统安全等级保护定级报告》模版《信息系统安全等级保护定级报告》一、 XXX 信息系统描述简述确定该系统为定级对象的理由。

从三方面进行说明：一是描述承担信息系统安全责任的相关单位或者部门，说明本单位或者部门对信息系统具有信息安全保护责任，该信息系统为本单位或者部门的定级对象；二是该定级对象是否具有信息系统的基本要素，描述基本要素、系统网络结构、系统边界和边界设备；三是该定级对象是否承载着单一或者相对独立的业务，业务情况描述。

二、XXX 信息系统安全保护等级确定 (定级方法参见国家标准《信息系统安全等级保护定级指南》)(一)业务信息安全保护等级的确定1、业务信息描述描述信息系统处理的主要业务信息等。

2、业务信息受到破坏时所侵害客体的确定说明信息受到破坏时侵害的客体是什么，即对三个客体(国家安全；社会秩序和公众利益；公民、法人和其他组织- 1 -的合法权益)中的哪些客体造成侵害。

3、信息受到破坏后对侵害客体的侵害程度的确定说明信息受到破坏后，会对侵害客体造成什么程度的侵害，即说明是普通伤害、严重伤害还是特殊严重伤害。

4、业务信息安全等级的确定依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级。

(二)系统服务安全保护等级的确定1、系统服务描述描述信息系统的服务范围、服务对象等。

2、系统服务受到破坏时所侵害客体的确定说明系统服务受到破坏时侵害的客体是什么，即对三个客体(国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益)中的哪些客体造成侵害。

3、系统服务受到破坏后对侵害客体的侵害程度的确定说明系统服务受到破坏后，会对侵害客体造成什么程度的侵害，即说明是普通伤害、严重伤害还是特殊严重伤害。

4、系统服务安全等级的确定依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。

(三)安全保护等级的确定- 2 -信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定，最终确定 XXX 系统安全保护等级为第几级。

对外网站安全等级保护定级报告一、XXXX公司对外网站描述XXXX公司对外网站于XX年XX月建设投运，该系统由XXXX公司开发。

目前该网站由XXXX负责运行维护。

XXXX公司XXXX部是该信息系统业务的主管部门和该信息系统定级的责任单位。

该网站硬件构成、部署模式、部署位置等的描述。

XXXX公司对外网站系统分为XXXX、XXXX等功能模块。

本网站系统与其他网站的接口情况描述。

二、XXXX公司对外网站系统安全保护等级确定（一）业务信息安全保护等级的确定1、业务信息描述XXXX公司对外网站系统业务信息包括：XXXX、XXXX等。

2、业务信息受到破坏时所侵害客体的确定说明信息受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

3、信息受到破坏后对侵害客体的侵害程度的确定信息受到破坏后，会对侵害客体造成一般损害。

4、业务信息安全等级的确定依据信息受到破坏时所侵害的客体以及侵害程度，XXXX公司网站系统业务信息安全保护等级为第一级。

（二）系统服务安全保护等级的确定1、系统服务描述服务范围、服务对象描述信息系统的服务范围、服务对象等。

2、系统服务受到破坏时所侵害客体的确定说明系统服务受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

3、系统服务受到破坏后对侵害客体的侵害程度的确定系统服务受到破坏后，会对侵害客体造成一般损害。

4、系统服务安全等级的确定依据系统服务受到破坏时所侵害的客体以及侵害程度，XXXX公司网站系统服务安全保护等级为第一级。

（三）安全保护等级的确定信息系统的安全保护等级由业务信息安全等级和系统服务安全等级的较高者决定，最终确定XXXX公司对外网站系统安全保护等级为第一级。

信息系统名称安全保护等级业务信息安全等级系统服务安全等级XXXX公司对外网站第一级第一级第一级。

附件1：《信息系统安全等级保护定级报告》模版《信息系统安全等级保护定级报告》一、XXX信息系统描述简述确定该系统为定级对象的理由。

从三方面进行说明：一是描述承担信息系统安全责任的相关单位或部门，说明本单位或部门对信息系统具有信息安全保护责任，该信息系统为本单位或部门的定级对象；二是该定级对象是否具有信息系统的基本要素，描述基本要素、系统网络结构、系统边界和边界设备；三是该定级对象是否承载着单一或相对独立的业务，业务情况描述。

二、XXX信息系统安全保护等级确定（定级方法参见国家标准《信息系统安全等级保护定级指南》）（一）业务信息安全保护等级的确定1、业务信息描述描述信息系统处理的主要业务信息等。

2、业务信息受到破坏时所侵害客体的确定说明信息受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

3、信息受到破坏后对侵害客体的侵害程度的确定说明信息受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

4、业务信息安全等级的确定依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级。

（二）系统服务安全保护等级的确定1、系统服务描述描述信息系统的服务范围、服务对象等。

2、系统服务受到破坏时所侵害客体的确定说明系统服务受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

3、系统服务受到破坏后对侵害客体的侵害程度的确定说明系统服务受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

4、系统服务安全等级的确定依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。

（三）安全保护等级的确定信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定，最终确定XXX系统安全保护等级为第几级。

附件1：《信息系统安全等级保护定级报告》模版《信息系统安全等级保护定级报告》一、XXX信息系统描述简述确定该系统为定级对象的理由。

从三方面进行说明：一是描述承担信息系统安全责任的相关单位或部门，说明本单位或部门对信息系统具有信息安全保护责任，该信息系统为本单位或部门的定级对象；二是该定级对象是否具有信息系统的基本要素，描述基本要素、系统网络结构、系统边界和边界设备；三是该定级对象是否承载着单一或相对独立的业务，业务情况描述。

二、XXX信息系统安全保护等级确定（定级方法参见国家标准《信息系统安全等级保护定级指南》）（一）业务信息安全保护等级的确定1、业务信息描述描述信息系统处理的主要业务信息等。

2、业务信息受到破坏时所侵害客体的确定说明信息受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织—9 —的合法权益）中的哪些客体造成侵害。

3、信息受到破坏后对侵害客体的侵害程度的确定说明信息受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

4、业务信息安全等级的确定依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级。

（二）系统服务安全保护等级的确定1、系统服务描述描述信息系统的服务范围、服务对象等。

2、系统服务受到破坏时所侵害客体的确定说明系统服务受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

3、系统服务受到破坏后对侵害客体的侵害程度的确定说明系统服务受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

4、系统服务安全等级的确定依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。

（三）安全保护等级的确定—10 —信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定，最终确定XXX系统安全保护等级为第几级。

信息系统等级保护定级报告（模板）XXX单位XX系统安全等级保护定级报告⼀、XXX系统描述（⼀）系统责任单位XXX系统于20XX年X⽉由XXX单位负责建设，⽬前由XXX单位负责系统运⾏维护⼯作。

XXX单位是XXX系统的安全责任单位。

（⼆）系统基本要素此平台的服务器、⽹络设备和配套的设备包括：x台服务器、x台⽹络设备和x台安全设备。

（请描述清楚系统IP、域名）（三）系统⽹络结构(拓扑图)（四）系统边界和边界设备XXX系统部署在XXX⽹络区域。

（具体描述系统应⽤的⼝令策略要求，⽐如英⽂、数字、字符及长度；应⽤⼝令传输采⽤什么技术⼿段进⾏加密传输；数据备份是采⽤本地或异地备份⽅式，备份频率是怎么样，若异地是备份到哪⾥）（请描述清楚存在边界设备、如何和互联⽹或上下级专⽤⽹络连通）（五）业务情况描述XXX系统的主要业务信息包括xxx业务。

⼆、XXX系统安全保护等级确定（定级⽅法参见国家标准《信息安全技术⽹络安全等级保护定级指南》）（⼀）业务信息安全保护等级的确定1、业务信息描述系统主要业务信息包括xxx等业务信息。

本系统XXX（系统有⽆收集个⼈信息，收集个⼈信息分别为：XX、XX等，个⼈信息是否为业务必需收集，有⽆明确是经过⽤户同意后进⾏收集个⼈信息（详细描述经过什么同意，某些说明条款之类），个⼈信息那些⼈员可使⽤，数据量为多少，使⽤什么⽅式对个⼈信息进⾏保护，⽐如数据库加密等；是否存在法⼈信息；是否涉及个⼈⽀付、⾦融帐号信息。

）本系统XXX（数据来源是⾃⾝还是通过第三⽅，如果是第三⽅的数据，是否属于公开内容，是否跟其他系统存在数据交互，如果存在交互，是通过什么⽅式交互，有⽆安全措施）本系统⽤户对象为XX单位或企业，⽤户数量X个。

2、业务信息受到破坏时所侵害客体的确定（侵害的客体包括：1国家安全，2社会秩序和公共利益，3公民、法⼈和其他组织的合法权益等共三个客体）XXX系统遭到破坏后，所侵害的客体是XXXX的合法权益，属于“公民、法⼈和其他组织”。

附件1：《信息系统安全等级保护定级报告》模版《信息系统安全等级保护定级报告》一、XXX信息系统描述简述确定该系统为定级对象的理由。

从三方面进行说明：一是描述承担信息系统安全责任的相关单位或部门，说明本单位或部门对信息系统具有信息安全保护责任，该信息系统为本单位或部门的定级对象；二是该定级对象是否具有信息系统的基本要素，描述基本要素、系统网络结构、系统边界和边界设备；三是该定级对象是否承载着单一或相对独立的业务，业务情况描述。

二、XXX信息系统安全保护等级确定（定级方法参见国家标准《信息系统安全等级保护定级指南》）（一）业务信息安全保护等级的确定1、业务信息描述描述信息系统处理的主要业务信息等。

2、业务信息受到破坏时所侵害客体的确定说明信息受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

3、信息受到破坏后对侵害客体的侵害程度的确定说明信息受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

4、业务信息安全等级的确定依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级。

（二）系统服务安全保护等级的确定1、系统服务描述描述信息系统的服务范围、服务对象等。

2、系统服务受到破坏时所侵害客体的确定说明系统服务受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

3、系统服务受到破坏后对侵害客体的侵害程度的确定说明系统服务受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

4、系统服务安全等级的确定依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。

（三）安全保护等级的确定信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定，最终确定XXX系统安全保护等级为第几级。