等级保护定级专家评审申请报告范本讲解

合集下载

信息系统安全等级保护定级报告

信息系统平安等级保卫定级报告?模版信息系统平安等级保卫定级报告?一、XXX信息系统描述简述确定该系统为定级对象的理由。

从三方面进行讲明：一是描述担当信息系统平安责任的相关单位或部门，讲明本单位或部门对信息系统具有信息平安保卫责任，该信息系统为本单位或部门的定级对象；二是该定级对象是否具有信息系统的全然要素，描述全然要素、系统网络结构、系统边界和边界设备；三是该定级对象是否承载着单一或相对独立的业务，业务情况描述。

二、XXX信息系统平安保卫等级确定〔定级方法参见国家标准?信息系统平安等级保卫定级指南?〕〔一〕业务信息平安保卫等级确实定1、业务信息描述描述信息系统处理的要紧业务信息等。

2、业务信息受到破坏时所侵害客体确实定讲明信息受到破坏时侵害的客体是什么，即对三个客体〔国家平安；社会秩序和公众利益；公民、法人和其他组织的合法权益〕中的哪些客体造成侵害。

3、信息受到破坏后对侵害客体的侵害程度确实定讲明信息受到破坏后，会对侵害客体造成什么程度的侵害，即讲明是一般损害、严重损害依旧特别严重损害。

4、业务信息平安等级确实定依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息平安等级。

〔二〕系统效劳平安保卫等级确实定1、系统效劳描述描述信息系统的效劳范围、效劳对象等。

2、系统效劳受到破坏时所侵害客体确实定讲明系统效劳受到破坏时侵害的客体是什么，即对三个客体〔国家平安；社会秩序和公众利益；公民、法人和其他组织的合法权益〕中的哪些客体造成侵害。

3、系统效劳受到破坏后对侵害客体的侵害程度确实定讲明系统效劳受到破坏后，会对侵害客体造成什么程度的侵害，即讲明是一般损害、严重损害依旧特别严重损害。

4、系统效劳平安等级确实定依据系统效劳受到破坏时所侵害的客体以及侵害程度确定系统效劳平安等级。

〔三〕平安保卫等级确实定信息系统的平安保卫等级由业务信息平安等级和系统效劳平安等级较高者决定，最终确定XXX系统平安保卫等级为第几级。

等级保护测评申请书

编号：XXXX信息系统安全等级测评申请书申请单位（盖章）：系统名称：系统安全等级：________________________ 申请日期：赛博信测（北京）技术有限公司填表说明用户填写和提供的信息及资料应保证真实可靠。

1、本申请表请在计算机上填写，内容以实际情况为准。

2、请提交申请书1份，包括要求的附件内容，并加盖单位公章。

申请单位联系信息部门: 部门负责人: 电话: 手机:联系人: 电话: 手机: 传真: 电子邮箱: 联系地址: 邮政编码:附件：一、基本材料1.《信息系统安全等级保护备案表》2.《信息系统安全等级保护备案表》要求的相关附件：定级报告系统拓扑结构及说明（要求描述）安全组织机构说明系统安全保护设施设计实施方案或改建实施方案系统使用的安全产品清单及认证、销售许可证明3.系统相关的主要服务商及其资质4.其他：专家评审意见（如有）安全测评报告（如有）二、系统资料网络系统：1.网络安全域的划分情况；2.网络的访问控制策略；3.网络的带宽控制策略（如QoS）；4.网络设备、安全设备审计功能的设计与实现；5.非法外联、非法接入控制措施；6.入侵防范及恶意代码防范部署情况；7.网络和安全设备管理员身份鉴别；8.边界和核心交换设备保护措施；主机系统：1.各操作系统和数据库系统采用的鉴别方式（账号/密码或其他方式）2.操作系统和数据库系统用户账号安全策略（包括对账号口令复杂度设置、口令修改设置、登录失败处理情况）3.服务器远程管理安全策略（是否允许远程管理、传输加密要求）4.服务器中各用户对资源的访问控制策略（敏感信息资源清单，用户权限分配策略、系统账号列表及各账号用途）5.主要服务器必须开放的端口及其用途6.操作系统和数据库安全审计策略7.服务器本地安全防护措施（如：防火墙、防恶意代码等）；8.服务器提供其功能所必需的操作系统组件及其他软件清单9.服务器安全监控（如：主机入侵检测系统等)10.设计/验收文档应用系统：1.应用系统用户身份鉴别方式（账号/密码、数字证书等）。

信息系统安全等级保护定级报告模板

附件3：信息系统安全等级保护定级报告》一、XXX信息系统描述简述确定该系统为定级对象的理由。

从三方面进行说明：一是描述承担信息系统安全责任的相关单位或部门，说明本单位或部门对信息系统具有信息安全保护责任，该信息系统为本单位或部门的定级对象；二是该定级对象是否具有信息系统的基本要素，描述基本要素、系统网络结构、系统边界和边界设备；三是该定级对象是否承载着单一或相对独立的业务，业务情况描述。

二、XXX信息系统安全保护等级确定（定级方法参见国家标准《信息系统安全等级保护定级指南》）一）业务信息安全保护等级的确定1、业务信息描述描述信息系统处理的主要业务信息等。

2、业务信息受到破坏时所侵害客体的确定说明信息受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

3、信息受到破坏后对侵害客体的侵害程度的确定说明信息受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

4、业务信息安全等级的确定依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级。

（二）系统服务安全保护等级的确定1、系统服务描述描述信息系统的服务范围、服务对象等。

2、系统服务受到破坏时所侵害客体的确定说明系统服务受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

3、系统服务受到破坏后对侵害客体的侵害程度的确定说明系统服务受到破坏后，会对侵害客体造成什么程度的侵害, 即说明是一般损害、严重损害还是特别严重损害。

4、系统服务安全等级的确定依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。

（三）安全保护等级的确定信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定，最终确定XXX系统安全保护等级为第几级。

附件4:备案表编号:信息系统安全等级保护备案表备案单位: （盖章）备案日期:受理备案单位: （盖章）受理日期:中华人民共和国公安部监制填表说明制表依据。

信息系统安全等级保护定级报告模板

信息系统安全等级保护定级报告模板附件3：《信息系统安全等级保护定级报告》一、XXX信息系统描述简述确定该系统为定级对象的理由。

二、XXX信息系统安全保护等级确定（定级方法参见国家标准《信息系统安全等级保护定级指南》）（一）业务信息安全保护等级的确定1、业务信息描述描述信息系统处理的主要业务信息等。

4、业务信息安全等级的确定依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级。

（二）系统服务安全保护等级的确定1、系统服务描述描述信息系统的服务范围、服务对象等。

3、系统服务受到破坏后对侵害客体的侵害程度的确定说明系统服务受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

4、系统服务安全等级的确定依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。

（三）安全保护等级的确定信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定，最终确定XXX系统安全保护等级为第几级。

安全等级保护定级报告

系统安全等级保护定级报告一、系统描述（一）系统于年月开通运行，使用的互联网IP地址段为，该信息系统由:公司进行开发。

目前该信息系统由负责运行维护。

是该信息系统业务的主管单位，是该信息系统定级的责任部门。

（二）系统服务器部署在。

该系统设备主要有：1、网络设备：设备品牌、型号、数量描述。

2、网络安全设备：设备品牌、型号、数量描述3、服务器：设备品牌、型号、数量描述网络拓扑结构图如下：其中路由器为的网络边界设备；路由路由器以内所构成的内部网络是等级保护定级的范围和对象。

（三）海南XX局门户网站主要栏目有等功能。

二、安全保护等级的确定（一）业务信息安全保护等级的确定1、业务信息描述系统主要栏目有行政公告、政务信息、文件在线、情况通报、专题栏目等。

实现信息交流、文件共享、数据传输等功能。

2、业务信息受到破坏时所侵害客体的确定该业务信息遭到破坏后，所侵害的客体是社会秩序、公共利益。

侵害的客观方面表现为：一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害（形式可以包括丢失、破坏、损坏等），会对社会秩序和公共利益造成影响和损害，可以表现为：影响正常工作的开展，导致业务能力下降，造成社会的不良影响等3、信息受到破坏后对侵害客体的侵害程度（即上述分析的结果的表现程度）上述结果的程度表现为一般损害，即会出现社会不良影响和公共利益的损害等。

4、确定业务信息安全等级查《定级指南》表2知，业务信息安全保护等级为第级。

（二）系统服务安全保护等级的确定1、系统服务描述该系统属于中华人民共和国海南局的专网内部网站，其服务范围为全省范围内系统单位内部人员等。

2、系统服务受到破坏时所侵害客体的确定该业务信息遭到破坏后，所侵害的客体是社会秩序和公共利益。

客观方面表现得侵害结果为：造成社会不良影响，引起公共利益的损害等。

3、信息受到破坏后对侵害客体的侵害程度（即上述分析的结果的表现程度）上述结果的程度表现为：对社会秩序和公共利益造成一般损害，即会出现社会不良影响和公共利益的损害等。

关于等保测评的申请报告

关于等保测评的申请报告【知识专栏】关于等保测评的申请报告写在前面：尊敬的读者，很荣幸能够在这里与您一同探讨关于等保测评的申请报告。

等保测评作为网络安全领域中的一项重要考核机制，对于企业和组织来说具有极大的意义。

本文将全面评估并探讨等保测评的申请报告，希望能为您提供有价值的观点和理解。

一、概述等保测评是指依据《国家信息安全等级保护等级划分与测评方法》（以下简称《等保测评方法》）对企事业单位网络信息系统安全等级提起申请，通过专业评估机构的评测与审核，最终确定其安全等级的过程。

申请报告作为等保测评的重要组成部分，起到了汇总、评估和展示企事业单位网络安全能力的作用。

二、申请报告的编写与内容1. 基本信息汇总：在申请报告的开头，需要明确填写企事业单位的基本信息，包括单位名称、单位性质、单位位置区域等，以方便评估机构了解申请单位的背景情况。

2. 系统概况和等级划定：接下来，应对网络信息系统进行详细的概况描述，包括系统规模、数据流向、系统结构等。

需要根据《等保测评方法》的要求进行等级划定，明确申请单位希望达到的等级。

3. 安全方案建设描述：在这一部分，申请单位需要详细描述已经实施的安全保障措施和安全防护策略。

包括但不限于网络防火墙、入侵检测系统、数据备份与恢复措施等。

单位还需要提供详尽的安全管理制度、操作规范等文件，以证明其安全方案的可行性和有效性。

4. 安全事件响应机制：在网络安全中，及时响应安全事件对于降低危害和减少损失至关重要。

在申请报告中，申请单位应详细描述其建立的安全事件响应机制，包括预案编制、团队组建、事件处理流程等，以展示其危机应对能力。

5. 安全评估和测试结果：在向评估机构提交申请报告之前，申请单位应进行全面的安全评估和测试，并将结果整理成明确的报告，提供给评估机构进行核查和验证。

三、对等保测评的个人观点和理解等保测评作为一种标准化的评估机制，对于企事业单位的网络安全能力提升起到了积极的推动作用。

信息系统安全等级保护定级报告_模板

《信息系统安全等级保护定级报告》一、XXX信息系统描述简述确定该系统为定级对象的理由。

4、业务信息安全等级的确定依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级。

（二）系统服务安全保护等级的确定1、系统服务描述描述信息系统的服务范围、服务对象等。

4、系统服务安全等级的确定依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。

（三）安全保护等级的确定信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定，最终确定XXX系统安全保护等级为第几级。

注：根据《信息安全等级保护管理办法》和《定级指南》的有关内容，三级以上信息系统不一定都是侵害国家安全的信息系统，对社会秩序和公共利益造成严重损害的信息系统也可以定为第三级，造成特别严重损害的甚至可以定为第四级。

等级保护测评申请书

1、本申请表请在计算机上填写，内容以实际情况为准。

2、请提交申请书1份，包括要求的附件内容，并加盖单位公章。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

附件1X市邮政金融网信息系统信息安全等级专家评审申请报告（示例，试用参考版本）申报单位：（盖章）申报日期：受理单位：宁波市经济和信息化委员会受理日期：二零零×年××月目录填写说明 (1)1 单位基本情况 (3)2 申请评审的信息系统汇总表 (4)3 信息系统划分 (5)3.1 管理机构 (5)3.2 网络结构 (5)3.3 业务应用 (6)3.4 信息系统划分结果 (6)4 邮政金融网中间业务系统自定级报告 (8)5 邮政综合计算机网系统自定级报告 (13)6 系统使用的安全产品清单及认证、销售许可证明 (14)填写说明1、填报依据。

根据《浙江省信息安全等级保护管理办法》（省政府令223号）和《浙江省信息安全等级评审实施细则》之规定制作本表。

2、填报范围。

本报告由基础信息网络与重要信息系统的运营、使用单位或主管部门填写。

3、申报方式。

本报告一式五份，由申请单位向受理申请的信息化机构提交。

同时将电子版本申请材料发电子邮箱:nbjwyqh@。

4、单位基本情况表：单位负责人，是指主管本单位信息安全工作的领导；责任部门，是指单位内负责信息系统安全工作的部门；隶属关系，是指信息系统运营使用单位与上级行政机构的从属关系。

5、系统自定级报告：是指依据《定级报告模版》编写的定级报告。

所有信息系统均应该填写。

6、系统使用的安全产品清单及认证、销售许可证明：是指该信息系统具体使用的信息安全产品名称、型号、数量、购置日期、生产单位、销售单位、是否取得计算机安全专用产品销售许可证、销售许可证号、在同类型（功能）产品中该产品的使用率等信息。

7、信息系统定级评审专家意见表：由参加评审的专家组填写。

8、重要提示。

本报告模板第8、9页的蓝色标记部分，属于定级工作的核心内容，各单位定级工作中要详细分析、准确描述。

9、解释：本表由市信息产业局负责解释。

联系人：杨倩红，87183477；nbjwyqh@；ywq@联系地址：宁波市解放北路91号市政府北大院4号楼1102，邮编：315010。

1 单位基本情况2 申请评审的信息系统汇总表3 信息系统划分3.1 管理机构X省邮政储汇局成立于1986年。

主要负责对全省37个市县局邮政储蓄、汇兑以及代理保险等金融业务进行管理、指导。

邮政局高度重视邮政信息化建设，建立了覆盖全省各市的邮政金融中间业务系统和省局办公综合计算机网络系统。

在整个网络信息系统中，省邮政储蓄局和地方局承担了不同的安全管理责任。

省邮政储蓄局负责省数据中心核心系统的运行、维护等安全责任，各市分支机构直接负责所在地的系统的运行、维护和安全责任。

3.2 网络结构省邮政金融系统包括金融网中间业务系统和综合计算机网两个逻辑上隔离的网络系统。

金融网中间业务系统包括省级数据中心和部分市局域网络，涉及的操作系统为HPUX，WINDOWS 和SCO UNIXE。

综合计算机网是省局的办公网，包括四台电子汇兑主机，两台报刊发机服务器和两台综合网网管服务器，操作系统涉及Linux 和WINDOWS，数据库为ORACLE，另外在综合网网管服务器上安装NETVIEW。

具体网络结构如下：3.3 业务应用邮政金融网中间业务系统主要是承担：中国移动代收费、中国联通代收费、代理国债、批量工资代发、批量水电气等费用代扣、代收烟草款等业务。

综合计算机网是部门办公业务网，主要承担：公文收发、邮件处理、日常办公、财务管理等工作。

邮政网的两个业务系统均不涉及国家秘密信息。

3.4 信息系统划分结果从管理机构的不同考虑，应将省局信息系统和地方信息系统分别进行划分，形成省局信息系统和地方分支机构信息系统。

省局信息系统中，由于邮政金融网中间业务系统和综合计算机网各自拥有一套独立的软硬件，且分别承载不同业务，系统业务之间不存在依赖性，故划分为两个独立的系统。

各市的网络和数据中心还要作为整个系统的分系统另行定级。

信息系统划分结果如下：4 邮政金融网中间业务系统自定级报告一、X省邮政金融网中间业务系统描述（一）该中间业务于2006年7月1日X省邮政储蓄局科技立项，省邮政信息技术局自主研发。

目前该系统由技术局运行维护部负责运行维护。

省邮政局是该信息系统业务的主管部门，省邮政局委托技术局为该信息系统定级的责任单位。

（二）此系统是计算机及其相关的和配套的设备、设施构成的，是按照一定的应用目标和规则对邮储金融中间业务信息进行采集、加工、存储、传输、检索等处理的人机系统。

整个网络分为两部分，（图略），第一部分为省数据中心，第二部分为市局局域网。

在省数据中心的核心设备部署了华为的Switch三层交换机，……在省数据中心的网络中配置了两台与外部网络互联的边界设备：天融信NGFW 4防火墙和Cisco 2008路由器。

省数据中心网络中剩下的一部分就是与下面各个地市的互联。

其中主要设备部署的是……整个省数据中心网络中的所有设备系统都按照统一的设备管理策略，只能现场配置，不可远程拨号登录。

整个信息系统的网络系统边界设备可定为NGFW 4与Cisco 2008。

Cisco 2008外联的其它系统都划分为外部网络部分，而NGFW 4** 以内的部分包括与各地市互联的部分都可归为中心的内部网络，与中间业务系统相关的省数据中心网络边界部分和内部网络部分都是等级保护定级的范围和对象。

在此次定级过程中，将各市的网络和数据中心连同省中心统一作为一个定级对象加以考虑，统一进行定级、备案。

各市的网络和数据中心还要作为整个系统的分系统分别进行定级、备案。

（三）该信息系统业务主要包含：中国移动代收费、中国联通代收费、代理国债、批量工资代发、批量水电气等费用代扣、代收烟草款等业务，并新增加了代收国税、地税，代办保险等业务。

系统针对业务实现的差异分别提供实时联机处理和批量处理两种方式。

其中：通过网络与第三方机构的连接，均采用约定好的报文格式进行通讯，业务处理流程实时完成。

业务处理系统以省集中结构模式，负责各类中间业务的业务处理，包括与第三方实时连接、接口协议转换、非实时批量数据的采集、业务处理逻辑的实现、与会计核算系统的连接等。

二、X省邮政金融网中间业务系统安全保护等级的确定（一）业务信息安全保护等级的确定1、业务信息描述金融网中间业务信息包括：代收费情况信息，缴费公民、法人和其他组织的的个人（单位）信息，欠费情况，以及代收费的银行、电信、燃气、税务、保险等部门的信息等。

属于公民、法人和其他组织的专有信息。

2、业务信息受到破坏时所侵害客体的确定（侵害的客体包括：1国家安全，2社会秩序和公共利益，3公民、法人和其他组织的合法权益等共三个客体）该业务信息遭到破坏后，所侵害的客体是公民、法人和其他组织的合法权益。

侵害的客观方面（客观方面是指定级对象的具体侵害行为，侵害形式以及对客体的造成的侵害结果）表现为：一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害（形式可以包括丢失、破坏、损坏等），会对公民、法人和其他组织的合法权益造成影响和损害，可以表现为：影响正常工作的开展，导致业务能力下降，造成不良影响，引起法律纠纷等。

3、信息受到破坏后对侵害客体的侵害程度（即上述分析的结果的表现程度）上述结果的程度表现为严重损害，即工作职能收到严重影响，业务能力显著先将，出现较严重的法律问题，较大范围的不良影响等。

4、确定业务信息安全等级查《定级指南》表2知，业务信息安全保护等级为第二级。

（二）系统服务安全保护等级的确定1、系统服务描述系统服务主要包括：中国移动代收费、中国联通代收费、代理国债、批量工资代发等，属于为国计民生、经济建设等提供服务的信息系统，其服务范围为全省范围内的普通公民、法人等。

2、系统服务受到破坏时所侵害客体的确定该业务信息遭到破坏后，所侵害的客体是公民、法人和其他组织的合法权益，同时也侵害社会秩序和公共利益但不损害国家安全。

侵害的客观方面表现为：1、邮政中间业务无法正常办理，办理能力下降，对公民、法人和其他组织的合法权益造成侵害（影响正常工作的开展，导致业务能力下降，造成不良影响，引起法律纠纷等）；2、优越邮政系统覆盖面广，可以对社会秩序公共利益造成侵害（造成社会不良影响，引起公共利益的损害等）。

根据《定级指南》的要求，出现上述两个侵害客体时，优先考虑社会秩序和公共利益，另外一个不做考虑。

3、服务受到破坏后对侵害客体的侵害程度（即上述分析的结果的表现程度）上述结果的程度表现为：对社会秩序和公共利益造成严重损害，即会出现较大范围的社会不良影响和较大程度的公共利益的损害等。

4、确定系统服务安全等级查《定级指南》表3知，由于侵害的客体有两个，侵害的程度也有两个，则系统服务安全保护等级为第二级。

（三）安全保护等级的确定信息系统的安全保护等级由业务信息安全等级和系统服务安全务安等级的较高者决定。

所以，X省邮政金融网中间业务系统安全保护等级为第三级。

5 邮政综合计算机网系统自定级报告参考金融网中间业务系统定级方式，具体内容略。

6 系统使用的安全产品清单及认证、销售许可证明是指该信息系统具体使用的信息安全产品名称、型号、数量、购置日期、生产单位、销售单位、是否取得计算机安全专用产品销售许可证、销售许可证号、在同类型（功能）产品中该产品的使用率等信息。

附件1 邮政金融网中间业务系统定级评审意见表宁波市信息安全等级专家评审申请报告附件2 邮政综合计算机网系统定级评审意见表4宁波市信息安全等级专家评审申请报告19。