系统安全等级保护
定
级
报
告
—1 —
一、信息系统描述
本系统包含:服务、管理、订单管理等。
本系统由某公司开发,B/S模式,使用MYSQL数据库,于20XX 年X月正式验收并投入使用,有N余个用户。该信息系统包括N台服务器、N台存储、N台网络设备、N台安全设备。整个信息系统的网络系统边界设备定为某防火墙。该信息系统通过专网与中国X监管信息交互平台连接交换数据,完成平台对接。网络拓扑图如下:
二、系统安全保护等级的确定
(一)业务信息安全保护等级的确定
1、业务信息描述
信息系统业务信息包括:等功能模块。
2、业务信息受到破坏时所侵害客体的确定
该系统服务受到破坏后,所侵害的客体是公民、法人和其他组织的合法权益,同时也侵害社会秩序和公共利益但不损害国家安全。客观方面表现得侵害结果为:1)可以对公民、法人和其他组织的合法权益造成侵害(影响正常工作的开展,导致业务能力下降,造成不良影响,引起法律纠纷等);2)可以对社会秩序公共利益造成侵害(造成社会不良影响,引起公共利益的损害等)。根据《定级指南》的要求,出现上述两个侵害客体时,优先考虑社会秩序和公共利益,另外一个不做考虑。
3、信息受到破坏后对侵害客体的侵害程度
对社会秩序和公共利益造成严重损害,工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问
—2 —
题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。
4、确定业务信息安全等级
查《定级指南》表2知,对社会秩序和公共利益造成严重损害,
(二)系统服务安全保护等级的确定
1、系统服务描述
本系统服务属于为某公司提供服务的信息系统,该系统的服务范围及对象是在本公司的所有客户。
2、系统服务受到破坏时所侵害客体的确定
该系统服务受到破坏后,所侵害的客体是公民、法人和其他组织的合法权益,同时也侵害社会秩序和公共利益但不损害国家安全。客观方面表现得侵害结果为:1)可以对公民、法人和其他组织的合法权益造成侵害(影响正常工作的开展,导致业务能力下降,造成不良影响,引起法律纠纷等);2)可以对社会秩序公共利益造成侵害(造成社会不良影响,引起公共利益的损害等)。
3、信息受到破坏后对客体的侵害程度
—3 —
上述结果的程度表现为:对社会秩序和公共利益造成严重损害,工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。
4、确定系统服务安全等级
查《定级指南》表3知,对社会秩序和公共利益造成严重损害,
(三)安全保护等级的确定
信息系统的安全保护等级由业务信息安全等级和系统服务安全等级的较高者决定。所以,XXXX单位XXXX系统安全保护等级为第
—4 —