信息系统安全等级保护定级报告

一、呼和浩特电视台《呼和浩特新闻》制作网业务系统描述

（一）该网络于20##年由呼和浩特电视台立项，大洋公司搭建。目前该系统由呼和浩特电视台制作部负责运行维护。呼和浩特电视台是该系统的主管部门和信息系统定级的责任单位。

（二）此系统是计算机及其相关的配套的设备、设施构成的，是对《呼和浩特新闻》栏目的新闻信息进行采集、编辑、存储、输出等处理的人机系统。整个网络分为两部分，（图略），第一部分为编辑数据中心，第二部分为编辑制作局域网。

在编辑数据中心的核心设备部署了联想的服务器，和华为的交换机。

该系统不与外界连接，是内部局域网。

编辑制作局域网连接若干终端，用于编辑记者对新闻素材进行编辑制作；网络内的信息是共享的。整个网络中的所有设备系统都按照统一的设备管理策略，只能现场配置，不可远程拨号登录。

（三）该信息系统业务主要包含：初编制作业务和编辑合成业务两部分。初编制作业务主要是将记者采集回来的新闻素材进行简单的编辑制作；编辑合成业务是将初编制作完成的新闻短片进行后期制作、并合成一期完整的节目。两部分业务通过数据传输和资源共享完成。

二、呼和浩特电视台《呼和浩特新闻》制作网业务系统安全保护等级的确定

（一）业务信息安全保护等级的确定

1、业务信息描述

该信息系统业务主要包含：初编制作业务和编辑合成业务两部分。初编制作业务主要是将记者采集回来的新闻素材进行简单的编辑制作；编辑合成业务是将初编制作完成的新闻短片进行后期制作、并合成一期完整的节目。

2、业务信息受到破坏时所侵害客体的确定（侵害的客体包括：1国家安全，2社会秩序和公共利益，3公民、法人和其他组织的合法权益等共三个客体）

该业务信息遭到破坏后，所侵害的客体是社会秩序和公共利益，公民、法人和其他组织的合法权益。

3、信息受到破坏后对侵害客体的侵害程度（即上述分析的结果的表现程度）

…… …… 余下全文

信息系统安全等级保护定级报告

（起草参考实例）

一、支付通网上支付服务系统描述

（一）该中间业务于*年*月*日由*省邮政局科技立项，省邮政信息技术局自主研发。目前该系统由技术局运行维护部负责运行维护。省邮政局是该信息系统业务的主管部门，省邮政局委托技术局为该信息系统定级的责任单位。

（二）此系统是计算机及其相关的和配套的设备、设施构成的，是按照一定的应用目标和规则对邮储金融中间业务信息进行采集、加工、存储、传输、检索等处理的人机系统。整个网络分为两部分，（图略），第一部分为省数据中心，第二部分为市局局域网。

在省数据中心的核心设备部署了华为的S**三层交换机，……

在省数据中心的网络中配置了两台与外部网络互联的边界设备：天融信 NGFW 4**防火墙和Cisco 2**路由器……

省数据中心网络中剩下的一部分就是与下面各个地市的互联。其中主要设备部署的是……整个省数据中心网络中的所有设备系统都按照统一的设备管理策略，只能现场配置，不可远程拨号登录。

整个信息系统的网络系统边界设备可定为NGFW 4** 与 Cisco 2**。Cisco 2** 外联的其它系统都划分为外部网络部分，而NGFW 4** 以内的部分包括与各地市互联的部分都可归为中心的内部网络，与中间业务系统相关的省数据中心网络边界部分和内部网络部分都是等级保护定级的范围和对象。在此次定级过程中，将各市的网络和数据中心连同省中心统一作为一个定级对象加以考虑，统一进行定级、备案。各市的网络和数据中心还要作为整个系统的分系统分别进行定级、备案。

（三）该支付服务系统业务主要包含：网络表够电、IC卡购电、抄表购电等便民缴费服务。用户不必受网点营业时间限制，足不出户在线完成各类行业IC卡的充值及信用卡还款、手机充值、游戏点卡、航空客票购买等增值服务。支付宝账号充值和订单支付服务。为银行和银行卡用户提供服务通道，借助支付通平台和支付通终端提供的通路，银行卡用户可在线办理银行卡余额查询、转账等银行卡业务。信息订阅：针对支付通平台用户提供各类信息订阅，为用户提供合作商户及支付通的各类优惠打折信息订阅，主要是通过手机短信或彩信、网页显示方式推送给用户。支付宝账号充值和订单支付服务。后续还会有诸如歌华宽带、速通卡业务、各类手机账单缴费业务、账单支付业务等。

…… …… 余下全文

《信息系统安全等级保护定级报告》

一、九龙县政府门户网站信息系统描述

（一）该信息系统于20##年4月上线。目前该系统由九龙县政府办信息股负责运行维护。九龙县县政府办是该信息系统业务的主管部门，信息股为该信息系统定级的责任单位。

（二）此系统是计算机及其相关的和配套的设备、设施构成的，是按照一定的应用目标和规则对门户网站信息进行采集、加工、存储、传输、检索等处理的人机系统。

服务器托管在九龙县电信公司机房

（三）该信息系统业务主要包含：九龙新闻、信息公开、在线下载、旅游在线、县长信箱等业务。

二、九龙县政府门户网站信息系统安全保护等级确定

（一）业务信息安全保护等级的确定

1、业务信息描述

该信息系统业务主要包含：九龙新闻、信息公开、在线下载、旅游在线、县长信箱等业务。

2、业务信息受到破坏时所侵害客体的确定

该业务信息遭到破坏后，所侵害的客体是社会秩序和公众利益。

侵害的客观方面（客观方面是指定级对象的具体侵害行为，侵害形式以及对客体的造成的侵害结果）表现为：一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害（形式可以包括丢失、破坏、损坏等），会对社会秩序和公众利益造成影响和损害，可以表现为：发布虚假信息，影响公共利益，造成不良影响，引起法律纠纷等。

3、信息受到破坏后对侵害客体的侵害程度的确定

上述结果的程度表现为严重损害，即工作职能受到严重影响，造成较大范围的不良影响等。

4、业务信息安全等级的确定

业务信息安全保护等级为第二级。

（二）系统服务安全保护等级的确定

1、系统服务描述

该系统属于为民生、经济、建设等提供信息服务的信息系统，其服务范围为全国范围内的普通公民、法人等。

2、系统服务受到破坏时所侵害客体的确定

该业务信息遭到破坏后，所侵害的客体是公民、法人和其他组织的合法权益，同时也侵害社会秩序和公共利益。客观方面表现得侵害结果为：一可以对公民、法人和其他组织的合法权益造成侵害（影响正常工作的开展，造成不良影响，引起法律纠纷等）；二可以对社会秩序公共利益造成侵害（造成社会不良影响，引起公共利益的损害等）。根据《定级指南》的要求，出现上述两个侵害客体时，优先考虑社会秩序和公共利益，另外一个不做考虑。

…… …… 余下全文

《信息系统安全等级保护定级报告》

一、国库集中支付系统信息系统描述

国库集中支付系统为财政厅的定级对象，财政厅支付中心承担该信息系统的建设、使用与安全责任。客户为财政厅支付中心以及相关处室。该信息系统具有信息系统的基本要素，硬件设备为4台服务器，安装Windows 20## Server和HP-UNIX操作系统、ORECAL数据库，以及安装“国库集中支付系统”服务端程序。客户端为Windows微机以及安装“国库集中支付系统”客户端程序。网络采用TCP/IP网络协议体系结构、Intranet运行模式；系统网络结构采用BS方式、系统边界为财政厅局域网边界，边界设备为路由器与防火墙，接入数字福建政务网；国库集中支付系统承载着单一或相对独立的业务，作用是全省省本级预算单位资金国库集中支付以及银行支付凭证打印。

二、国库集中支付系统信息系统安全保护等级确定

（一）业务信息安全保护等级的确定

1、业务信息描述

全省省本级预算单位资金国库集中支付以及银行支付凭证打印。

2、业务信息受到破坏时所侵害客体的确定

信息受到破坏时侵害的客体是财政厅机关与省本级预算单位、银行，侵害的客体为个人和单位合法权利。(×××)

3、信息受到破坏后对侵害客体的侵害程度的确定

信息受到破坏后，会对财政厅机关、省本级预算单位、银行工作造成严重损害。

4、业务信息安全等级的确定

依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级为二级。

（二）系统服务安全保护等级的确定

1、系统服务描述

描述信息系统的服务范围为财政厅机关、服务对象为财政厅机关工作人员。

2、系统服务受到破坏时所侵害客体的确定

系统服务受到破坏时侵害的客体是财政厅机关财政厅机关、省本级预算单位、银行。

3、系统服务受到破坏后对侵害客体的侵害程度的确定

系统服务受到破坏后，会对财政厅机关、省本级预算单位、银行工作造成严重损害。

…… …… 余下全文

附件1：《信息系统安全等级保护定级报告》模版

《信息系统安全等级保护定级报告》

http://www.mps.gov.cn/n16/n1966474/n1966510/2156114.html四部门下发《关于开展全国重要信息系统安全等级保护定级工作的通知》

一、XXX信息系统描述

简述确定该系统为定级对象的理由。从三方面进行说明：一是描述承担信息系统安全责任的相关单位或部门，说明本单位或部门对信息系统具有信息安全保护责任，该信息系统为本单位或部门的定级对象；二是该定级对象是否具有信息系统的基本要素，描述基本要素、系统网络结构、系统边界和边界设备；三是该定级对象是否承载着单一或相对独立的业务，业务情况描述。

二、XXX信息系统安全保护等级确定（定级方法参见国家标准《信息系统安全等级保护定级指南》）

（一）业务信息安全保护等级的确定

1、业务信息描述

描述信息系统处理的主要业务信息等。

2、业务信息受到破坏时所侵害客体的确定

说明信息受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

3、信息受到破坏后对侵害客体的侵害程度的确定

说明信息受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

4、业务信息安全等级的确定

依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级。

（二）系统服务安全保护等级的确定

1、系统服务描述

描述信息系统的服务范围、服务对象等。

2、系统服务受到破坏时所侵害客体的确定

说明系统服务受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

3、系统服务受到破坏后对侵害客体的侵害程度的确定

说明系统服务受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

…… …… 余下全文

《某某学校门户网站信息系统安全等级保护定级报告》

一、某某学校门户网站信息系统

我校门户网站信息系统主要提供学校信息发布，校务公开，政策宣传等，并且也是我校对外宣传具有组织合法权益的窗口阵地之一。该信息系统的平台搭建、程序设计和运行维护主要有网络中心承担，学校始终将信息安全建设作为安全重中之重建设和管理，将其确定为定级对象进行监督并责成网络中心进行自查和整改，网络中心具有信息安全保护责任。此系统主要由提供网络连接、网络服务的硬件和数据控制的软件程序两大要素构成，提供网络连接和服务的硬件设备如路由器、交换机和服务器构成了该信息系统的基础，其主要为保障数据的传输和程序文件的运行；数据控制文件系统、程序源码如新闻发布程序文件等成为信息表现的载体，二者共同完成校内相关公文、通知、公告信息、思政宣传和校务公开的管理。

二、某某学校门户网站信息系统安全保护等级确定（定级方法参见国家标准《信息系统安全等级保护定级指南》）

（一）业务信息安全保护等级的确定

1、业务信息描述

本信息系统主要处理的业务有校内通知、校务公开；校外公告和学校对外宣传工作等。旨在提高工作效率、明细办事职责、增强校务透明度、扩大学校社会影响力。

2、业务信息受到破坏时所侵害客体的确定

本信息系统由于具有一定的脆弱性，需要不定时进行对该系统网站程序升级和漏洞防范，所以很容易受到“黑客”攻击和破坏，可能会影响学校正常秩序和正常行使工作职能，从某种角度可侵害学校、教师、学生合法权益。

3、信息受到破坏后对侵害客体的侵害程度的确定

当此信息受到破坏后，会对学校和部分师生造成一些严重损害。

4、业务信息安全等级的确定

依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级为二级。

（二）系统服务安全保护等级的确定

1、系统服务描述

本信息系统主要为校内外关注本门户网站的网友提供消息通知公告和咨询等服务。

…… …… 余下全文

乐山市老年病专科医院《信息系统安全等级保护定级报告》

一、乐山市老年病专科医院信息系统描述

乐山市老年病专科医院信息系统主要有医院信息管理系统（HIS）、LIS、PACS、卫生统计直报系统、传染性疾病报告系统、医院门户网站等系统组成。本系统对医院及其所属各部门的人流、物流、财流进行综合管理，对医院从事医疗、办公等活动在各阶段中产生的数据进行采集、存储、分析、处理、汇总，为医院的整体运行提供信息支撑。该信息系统的平台运行维护主要有网络中心承担，医院始终将信息安全建设作为安全重中之重建设和管理，将其确定为定级对象进行监督，网络中心为信息安全保护主体。此系统主要由提供网络连接、网络服务的硬件和数据控制的软件程序两大要素构成，提供网络连接和服务的硬件设备如路由器、交换机和服务器构成了该信息系统的基础，其主要为保障数据的传输和程序文件的运行；数据控制文件系统、程序源码成为信息表现的载体，二者共同完成院内医疗、办公等信息的综合管理。

二、乐山市老年病专科医院信息系统安全保护等级确定（定级方法参见国家标准《信息系统安全等级保护定级指南》）

（一）业务信息安全保护等级的确定

1、业务信息描述

本信息系统主要处理的业务有医院日常业务运行、医院最新动态、院务公开、医院对外宣传工作等。旨在保障医院

业务正常运行、提高工作效率、增强院务透明度、扩大医院社会影响力。

2、业务信息受到破坏时所侵害客体的确定

该业务信息遭到破坏后，所侵害的客体是患者、法人和医院职工的合法权益。侵害的客观方面（客观方面是指定级对象的具体侵害行为，侵害形式以及对客体的造成的侵害结果）表现为：一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害（形式可以包括丢失、破坏、损坏等），会对患者、医院和医院职工的合法权益造成严重影响和损害。本信息系统由于具有一定的脆弱性，需要不定时进行对该系统进行程序升级和漏洞防范，所以很容易受到“黑客”攻击和破坏，可能会影响医疗、办公正常秩序和正常行使工作职能，导致业务能力下降，从某种角度可侵害患者、医院和医院职工的合法权益，造成一定范围的不良影响等。

…… …… 余下全文