第一篇:信息系統安全等級保護定級報告(實例)
信息系統安全等級保護定級報告
(起草參考實例)
一、支付通網上支付服務系統描述
(一)該中間業務于*年*月*日由*省郵政局科技立項,省郵政信息技術局自主研發。目前該系統由技術局運行維護部負責運行維護。省郵政局是該信息系統業務的主管部門,省郵政局委托技術局為該信息系統定級的責任單位。
(二)此系統是計算機及其相關的和配套的設備、設施構成的,是按照一定的應用目標和規則對郵儲金融中間業務信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。整個網絡分為兩部分,(圖略),第一部分為省數據中心,第二部分為市局局域網。
在省數據中心的核心設備部署了華為的S**三層交換機,……
在省數據中心的網絡中配置了兩臺與外部網絡互聯的邊界設備:天融信 NGFW 4**防火墻和Cisco 2**路由器……
省數據中心網絡中剩下的一部分就是與下面各個地市的互聯。其中主要設備部署的是……整個省數據中心網絡中的所有設備系統都按照統一的設備管理策略,只能現場配置,不可遠程撥號登錄。
整個信息系統的網絡系統邊界設備可定為NGFW 4** 與 Cisco 2**。Cisco 2** 外聯的其它系統都劃分為外部網絡部分,而
NGFW 4** 以內的部分包括與各地市互聯的部分都可歸為中心的內部網絡,與中間業務系統相關的省數據中心網絡邊界部分和內部網絡部分都是等級保護定級的范圍和對象。在此次定級過程中,將各市的網絡和數據中心連同省中心統一作為一個定級對象加以考慮,統一進行定級、備案。各市的網絡和數據中心還要作為整個系統的分系統分別進行定級、備案。
(三)該支付服務系統業務主要包含:網絡表夠電、IC卡購電、抄表購電等便民繳費服務。用戶不必受網點營業時間限制,足不出戶在線完成各類行業IC卡的充值及信用卡還款、手機充值、游戲點卡、航空客票購買等增值服務。支付寶賬號充值和訂單支付服務。為銀行和銀行卡用戶提供服務通道,借助支付通平臺和支付通終端提供的通路,銀行卡用戶可在線辦理銀行卡余額查詢、轉賬等銀行卡業務。信息訂閱:針對支付通平臺用戶提供各類信息訂閱,為用戶提供合作商戶及支付通的各類優惠打折信息訂閱,主要是通過手機短信或彩信、網頁顯示方式推送給用戶。支付寶賬號充值和訂單支付服務。后續還會有諸如歌華寬帶、速通卡業務、各類手機賬單繳費業務、賬單支付業務等。
涵蓋了網上購物、保險、教育、旅游、交通等行業的電子商務業務的網絡支付服務。系統針對業務實現的差異分別提供實時聯機處理和批量處理兩種方式。其中:通過網絡與第三方機構的連接,均采用約定好的報文格式進行通訊,業務處理流程實時完
成。
業務處理系統以省集中結構模式,負責各類中間業務的業務處理,包括與第三方實時連接、接口協議轉換、非實時批量數據的采集、業務處理邏輯的實現、與會計核算系統的連接等。
二、X省郵政金融網中間業務系統安全保護等級的確定
(一)業務信息安全保護等級的確定
1、業務信息描述
金融網中間業務信息包括:代收費情況信息,繳費公民、法人和其他組織的的個人(單位)信息,欠費情況,以及代收費的銀行、電信、燃氣、稅務、保險等部門的信息等。屬于公民、法人和其他組織的專有信息。
2、業務信息受到破壞時所侵害客體的確定(侵害的客體包括:1國家安全,2社會秩序和公共利益,3公民、法人和其他組織的合法權益等共三個客體)
該業務信息遭到破壞后,所侵害的客體是公民、法人和其他組織的合法權益。
侵害的客觀方面(客觀方面是指定級對象的具體侵害行為,侵害形式以及對客體的造成的侵害結果)表現為:一旦信息系統的業務信息遭到入侵、修改、增加、刪除等不明侵害(形式可以包括丟失、破壞、損壞等),會對公民、法人和其他組織的合法權益造成影響和損害,可以表現為:影響正常工作的開展,導致業務能力下降,造成不良影響,引起法律糾紛等。
3、信息受到破壞后對侵害客體的侵害程度(即上述分析的結果的表現程度)
上述結果的程度表現為嚴重損害,即工作職能收到嚴重影響,業務能力顯著先將,出現較嚴重的法律問題,較大范圍的不良影響等。
4、確定業務信息安全等級
查《定級指南》表2知,業務信息安全保護等級為第二級。
(二)系統服務安全保護等級的確定
1、系統服務描述
該系統屬于提供第三方支付服務的系統,其服務范圍為全省范圍內的普通公民、法人等。
2、系統服務受到破壞時所侵害客體的確定
該業務信息遭到破壞后,所侵害的客體是公民、法人和其他組織的合法權益,同時也侵害社會秩序和公共利益但不損害國家安全。客觀方面表現得侵害結果為:1可以對公民、法人和其他組織的合法權益造成侵害(影響正常工作的開展,導致業務能力下降,造成不良影響,引起法律糾紛等);2可以對社會秩序公共利益造成侵害(造成社會不良影響,引起公共利益的損害等)。根據《定級指南》的要求,出現上述兩個侵害客體時,優先考慮社會秩序和公共利益,另外一個不做考慮。
3、信息受到破壞后對侵害客體的侵害程度(即上述分析的結
果的表現程度)
上述結果的程度表現為:對社會秩序和公共利益造成嚴重損害,即會出現較大范圍的社會不良影響和較大程度的公共利益的損害等。
4、確定系統服務安全等級
查《定級指南》表3知,由于侵害的客體有兩個,侵害的程度也有兩個,則業務信息安全保護等級為第二級。
(三)安全保護等級的確定
信息系統的安全保護等級由業務信息安全等級和系統服務安全務安等級的較高者決定。所以,X省郵政金融網中間業務系統安全保護等級為第三級。
第二篇:西安市信息系統安全等級保護
西安市信息系統安全等級保護
責
任
書
西安市公安局網安支隊印制
信息系統安全等級保護
責 任 書
甲方: 西安市公安局網安支隊
乙方:
為加強我市信息系統安全等級保護工作,保證信息系統安全,建設平安西安、和諧西安,依據《關于開展全國重要信息系統安全等級保護定級工作的通知》(公信安[2007]861號)文件精神和《信息安全等級保護管理辦法》相關規定,制定本責任書。
一、雙方職責及義務
(一)網安支隊
按照相關法律法規賦予的職能,認真履行以下職責及義務:
1、負責西安市非涉密、非密碼信息系統的安全等級保護工作;
2、負責對信息系統信息安全等級保護工作進行監督、檢查、指導。審核等級保護單位填寫的《信息系統安全等級保護備案表》,并對各單位提出定級建議;
3、負責對通過審核的信息系統進行備案管理。建立檔案,進行備案統計,并按照國家有關規定逐級上報;
4、負責監督、檢查各單位信息系統安全保護狀況。依據《信息安全等級保護管理辦法》規定組織運營、使用單位定期對信息系統安全等級狀況開展等級測評及自查工作。對測評及自查后發現問題的單位,下發整改通知,督促其制定整改方案,整改存在問題。必要時,對整改情況組織檢查;
5、負責督促從事信息系統安全等級測評的機構履行《信息安全等級保護管理辦法》規定的義務;
6、負責對信息系統備案通過審核、符合等級保護要求的單位頒發信息系統安全等級保護備案證明。
7、負責定期對等保單位安全員組織信息系統安全等級保護相關知識培訓。
(二)信息系統等級保護單位:
按照國家相關法律法規的規定,要認真履行以下職責及義務:
1、負責落實本單位及下屬單位開展信息系統安全等級保護工作;
2、在公安機關的指導下,負責對本單位的信息系統自定等級,如實填寫《信息系統安全等級保護備案表》和定級報告,到公安機關辦理備案手續。建立本單位信息系統等級保護工作領導小組,并及時向公安機關部門報告領導小組人員
變更調整情況;
3、負責落實本單位的信息系統安全等級保護措施。建立健全信息系統安全保護制度及措施,及時修訂信息系統安全應急方案,積極配合公安機關對本單位信息系統安全等級狀況開展測評,對測評后存在的問題及時出臺整改措施進行整改;
4、負責如實向公安機關提供開展等級保護工作所需要的所有文檔材料。
二、雙方負有的安全責任
(一)網安支隊
1、指導各單位落實信息系統安全保護制度,檢查各單位等級保護工作開展情況,做好信息系統安全等級保護備案工作。
2、審查等保評測機構資質,指導做好測評工作,努力減少系統漏洞。
3、查辦信息系統案件。
4、依據《信息安全等級保護管理辦法》,組織各單位、部門定期開展信息系統等級測評工作。
(二)信息系統安全等級保護單位
信息系統安全等級保護單位及相關人員,在公安機關指導下開展本單位信息系統安全保護工作。
1、要指定專人負責,制定并落實等保人防措施,不斷完
善等等保技術手段,確保信息系統平穩、安全運行。
2、配合公安機關組織開展的信息系統測評工作,根據測評情況及時認真實施整改。
3、制定信息系統應急預案,保證系統不間斷運行。
4、及時向公安機關報告本系統發生的問題,協助公安機關的查處工作。
5、做好本單位等保宣傳教育工作,確保信息系統安全。
三、本責任書未盡事宜,嚴格按照法律法規的規定執行。
本責任書自簽字蓋章后兩年內有效,一式兩份,雙方各執一份。
網安支隊領導簽字:
(單位蓋章)(單位蓋章)
年 月 日 年 月 日
信息系統安全等級保護
單位領導簽字:
第三篇:關于開展電力行業信息系統安全等級保護定級工作的通知
關于開展電力行業信息系統安全等級保護定級工作的通知
電監信息〔2007〕34號
國家電網公司,南方電網公司,華能、大唐、華電、國電、中電投集團公司,各有關電力公司:
為貫徹落實公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室《關于印發<信息安全等級保護管理辦法>的通知》(公通字〔2007〕43號)和《關于開展全國重要信息系統安全
等級保護定級工作的通知》(公信安〔2007〕861號)要求,提高電力行業網絡和信息系統的信息安全保護能力和水平,定于2007年8月至10月在電力行業組織開展信息系統安全等級保護定級工作。現就有關事項通知如下:
一、工作組織
電力行業網絡與信息安全領導小組:統一協調領導電力行業信息系統安全等級保護定級工作。
電力行業網絡與信息安全領導小組辦公室(以下簡稱領導小組辦公室):具體負責組織開展電力行業信息系統安全等級保護定級工作,監督指導信息系統運營使用單位的定級工作。
電力行業信息系統安全等級保護定級工作專家組(以下簡稱專家組):對電力行業信息系統安全定級工作進行指導、咨詢,對定級結果進行評審。
各有關電力公司(名單附后)等級保護責任部門(以下簡稱公司責任部門):負責組織開展本單位(系統)信息系統安全等級保護定級工作。
信息系統運營使用單位(以下簡稱運營使用單位):具體負責所運營、使用的信息系統的安全定級工作。
技術支持單位:中國電力科學研究院信息安全研究所等單位為本次信息系統安全定級工作的技術支持單位,負責提供技術支持。
二、主要工作內容
1、摸底調查
各公司責任部門要組織本系統的信息系統運營使用單位,開展對所屬網絡和信息系統的摸底調查工作,全面掌握信息網絡和信息系統的數量、分布、業務類型、系統結構、應用或服務范圍等基本情況。
2、初步定級
各單位在摸底調查的基礎上,要按照《信息安全等級保護管理辦法》(以下簡稱《管理辦法》,附件1)和《信息系統安全等級保護定級指南》(附件2)的要求,確定各定級對象。并初步確定定級對象的安全保護等級,起草定級報告(報告模板見附件3)。各公司責任部門將本單位(系統)運營使用單位的定級報告匯總后統一報送領導小組辦公室。
涉密信息系統的等級確定按照國家保密局的有關規定和標準執行。
3、評審
領導小組辦公室組織專家對上報的定級報告進行分類評審。評審后領導小組辦公室印發《電力行業信息系統安全等級保護定級實施指南》,指導各電力公司和信息系統運營使用單位的定級工作。
對于跨電力公司聯網運行的信息系統,由領導小組辦公室統一確定安全保護等級。
對于屬同一電力公司,但跨省聯網運行的信息系統,由公司責任部門統一確定安全保護等級。對于通用信息系統,由領導小組辦公室提出安全保護等級建議,運營使用單位自主確定安全保護等級。
對于運營使用單位所特有的信息系統,各運營使用單位自行確定安全保護等級。
對擬確定為第四級以上信息系統的,由領導小組辦公室邀請國家信息安全保護等級專家評審委員會評審。
4、審批與備案
根據《管理辦法》,信息系統安全等級確定為二級以上的信息系統運營使用單位到公安部網站下載《信息系統安全等級保護備案表》(見附件4)和輔助備案工具,持填寫的備案表和利用輔助備案工具生成的備案電子數據,到公安機關辦理備案手續,提交有關備案材料及電子數據文件。其中,第二級信息系統的備案單位只需填寫備案表中的表
一、表二和表三,第三級以上信息系統的備案單位還應當同時提交備案表表四所列各項內容的書面材料。
各運營使用單位要參照《電力行業信息系統安全等級保護定級實施指南》,結合本單位實際,填寫備案表,由公司責任部門審定后,統一匯總報送領導小組辦公室審批。
備案表經領導小組辦公室審查批準后,各有關單位應根據下列要求到公安機關辦理備案手續。
(1)跨電力公司聯網運行,且由領導小組辦公室統一確定安全等級的信息系統,領導小組辦公室負責統一向公安部辦理備案手續。
(2)電力公司內部跨省聯網運行,且由公司責任部門統一確定安全等級的信息系統,由公司責任部門負責統一向公安部辦理備案手續。
(3)其它信息系統的由運營使用單位直接向當地設區的市級以上公安機關備案。
(4)跨省聯網運行的信息系統,在各地運行、應用的分支系統,向當地設區的市級以上公安機關備案。
涉密信息系統建設使用單位依據《管理辦法》和國家保密局的有關規定,填寫《涉及國家秘密的信息系統分級 保護備案表》(見附件5),按照屬地化管理原則,中央和國家機關單位的涉密信息系統向國家保密局備案;地方單位的涉密信息系統向所在地的市(地)級以上保密工作部門備案;中央和國家機關地方所屬單位的涉密信息系統,向所在地的省級保密工作部門備案。
5、備案管理
公安機關和國家保密工作部門負責受理電力行業信息系統等級保護定級備案,并進行備案管理。信息系統備案后,公安機關對信息系統的備案情況進行審核,對符合等級保護要求的,頒發信息系統安全保護等級備案證明。發現不符合《管理辦法》及有關標準的,將通知備案單位予以糾正。發現定級不準的,通知運營使用單位或者領導小組辦公室重新審核確定。各級保密工作部門加強對涉密信息系統定級工作的指導、監督和檢查。
三、進度安排
動員部署階段,8月15日前印發通知,對定級工作進行動員部署。
摸底調查及初步定級階段,8月31日前完成。開展信息系統基本摸底調查,初步確定定級對象的安全保護等級,起草定級報告。
評審階段,9月24日前完成。領導小組辦公室對上報的初步定級報告進行分類評審,并編制印發《電力行業信息系統安全等級保護定級實施指南》。
審批與備案階段,10月15日前完成。各運營使用單位按照《電力行業信息系統安全等級保護定級實施指南》,填寫備案表并上報領導小組辦公室審核,審核批準后按要求向公安機關備案。
總結階段,10月20日前完成。各公司責任部門對本單位(系統)信息系統安全定級工作進行總結,并向領導小組辦公室報送總結報告。領導小組辦公室對行業信息系統安全定級工作進行總結,并報送公安部。
四、工作要求
1、加強領導,落實保障
各電力公司要按照領導小組辦公室的統一部署,明確等級保護責任部門,加強組織領導,及時掌握工作進展情況。信息系統運營使用單位要落實責任部門、責任人員和經費,保障定級工作順利進行。
2、明確責任,密切配合
信息系統的運營使用單位是安全等級保護工作的責任主體,要切實落實運營使用單位的責任。電力公司對所屬單位信息系統的安全等級保護工作負總責,各單位要承擔起本單位(本系統)信息系統安全等級保護工作的組織管理職責。
各電力公司、各運營使用單位要按照領導小組辦公室的部署,積極協調做好本系統、本單位信息系統的安全等級保護工作。
3、動員部署,開展培訓
各單位要按照統一部署,廣泛進行宣傳動員,舉辦形式多樣的培訓班、研討班等,層層培訓。領導小組辦公室將根據電力行業特點,按照國家要求,會同有關專業培訓單位,組織開展電力行業等級保護培訓工作。
4、及時總結,提出建議
各電力公司、運營使用單位要結合本單位、本系統開展定級工作的實際,認真總結經驗和不足,提出改進和完善定級方法的意見和建議。各公司責任部門要及時總結定級工作經驗,形成定級工作總結報告,及時報送領導小組辦公室。
此次定級工作完成后,領導小組辦公室將按照《管理辦法》和有關技術標準,繼續組織開展信息系統安全等級保護的系統建設或整改、等級測評、自查自糾等后續工作。
聯系方式:
電力行業網絡與信息安全領導小組辦公室
聯系人:胡紅升 010-58681816 溫紅子 010-58681815 電子郵件:xxtb@serc.gov.cn 傳真:010-58681835 技術支持電話:010-82812516 附件:1.《信息安全等級保護管理辦法》 2.《信息安全等級保護定級指南》
3.《信息系統安全等級保護定級報告》模版 4.《信息安全等級保護備案表》
5.《涉及國家秘密的信息系統分級保護備案表》
二○○七年八月十三日
【來源】電監會辦公廳 【日期】2007-08-20
【字體: 大 中 小】 【打印】 【關閉】
Copyright ?1998-2007 All Rights Reserved 國家電力監管委員會 版權所有
第四篇:五、信息系統安全等級保護自查報告(范本)
某單位信息安全等級保護工作自查報告
為進一步做好某單位信息安全等級保護工作工作,提高全轄人民銀行系統信息安全保障能力和水平,根據《人民銀行長沙中心支行2012年信息安全等級保護工作方案》精神,結合我行實際,組織開展了信息安全等級保護自查工作。通過自查,進一步明確了我行信息安全等級保護工作職責,規范了信息安全等級保護工作標準,完善了信息安全等級保護工作制度,提升了信息安全等級保護工作水平。現將自查情況報告如下:
一、等級保護工作部署和組織實施情況
某單位在上級行的統一領導和部署下,按照《信息安全等級保護管理辦法》和《人民銀行信息系統信息安全等級保護實施指引(試行)》的要求,組織開展轄內人民銀行系統信息安全等級保護工作。一是成立了某單位信息安全等級保護工作領導小組,由主管科技的副行長任組長,各科室主要負責人為成員,全面負責全轄人民銀行系統信息安全等級保護工作,領導小組下設辦公室,安排專人負責計算機信息系統安全管理,明確了各自的職責。二是建立健全了各項信息安全管理制度,做到了有章可循。三是加強相關工作人員的培訓學習,增強信息系統安全工作的自覺性,提高信息系統安全工作管理水平。
二、信息系統安全保護等級備案情況
我行根據《人民銀行長沙中心支行2012年信息安全等級保護工作方案》精神,將《郴州中支業務網網絡系統》和《郴州中支財庫行橫向聯網系統》信息安全保護等級定為第二級,其他系統定為第一級,并將定為第二級的系統向市公安局網監支隊報備。
三、下一步工作計劃
目前,某單位信息安全等級保護工作正在不斷完善中,今后還需要在以下幾個方面不斷加強:一是進一步加強信息安全管理力度,督促各支行、各科室加強信息安全等級保護工作;二是加強網絡信息安全隊伍建設,提高網絡管理人員和維護人員的技術水平和安全管理意識;三是進一步完善信息安全管理制度,開展信息系統安全評估和自測評;四是規范和完善安全事件處理流程。
人民銀行郴州市中心支行 科技科
2012年8月2日
第五篇:信息系統安全等級保護備案表
信息系統安全等級保護備案表
單位名稱 信息系統名稱 信息系統類別 系統域名 系統 IP 地址 系統服務 情 況 系統網絡平臺 服務器情況 存儲設備 情 況 服務范圍 服務對象 覆蓋范圍 網絡性質 是否有服務器 服務器位置 服務器操作系統 是否有專用存儲 存儲設備位置 □MySQL □windows □linux □是 □否 品牌及容量 □Access □SQLServer 年 □Oracle □其它_______ 月 日 □全國 □全(市、區)□全校 □全校師生員工 □三者均包括 □廣域網 □互聯網 □否 是否在學校機房寄存 □unix □是 □否 □Solaris □其它_______ □本單位 □其它__________ □其它__________ □單位內部人員 □社會公眾人員 □局域網 □業務專網 □是 □校園網 □業務管理系統 □網站 □其他
□其它___________
系統數據庫情況 系統何時投入運行使用 系統主要承建單位 系統目前維護單位 系統責任人 姓 管理員情況 辦公電話 系統是否是分系統 上級系統名稱 信息系統安全保護等級 系統密級(涉及保密的信息系統 需要填寫本項)系統分級保護實施情況 填表人: 名
聯系方式 E-mail 手 □是 機
□否(如選擇是請填下兩項)所屬單位
□第一級 □秘密 □ 已經實施
□第二級 □機密
□第三級 □絕密
□第四級
□第五級
□正在實施 填表日期:
□計劃________年實施 年 月 日
填報單位:(蓋章)
點擊咨詢 