撰写信息系统安全等级保护定级报告
下面是好好范文网小编收集整理的撰写信息系统安全等级保护定级报告,仅供参考,欢迎大家阅读!
企业落实信息系统安全等级保护的第一步,就是确定自己需要做等级保护的信息系统,并确定信息系统的安全保护等级。众所周知,信息系统的安全保护等级分为一至五级,但具体怎么定级,不少企业还是有疑问。因此,《信息系统安全等级保护定级报告》提供给大家做参考。
一、××平台系统描述
(一)××有限公司智慧监管平台的业务流程制定和业务操作由××有限公司负责,系统的所有设备和设施的运行、维护和管理是本单位研发部负责,所以研发部是智慧监管平台的责任部门,××有限公司是该系统的安全责任单位,该系统为××有限公司的定级对象。
(二)此系统为××有限公司旗下智慧监管平台,自2019年上线以来,智慧监管平台是借助先进的GPRS网络、NB-LOT网络与云平台相结合的一体化监管平台。实现准确、全天候地监测线路中的漏电、电流、温度等变化,把用电情况变成可视的数字化监控,实时采集电路运行数据进行分析、监控报警,从而把电气火灾消灭在萌芽状态,为有效预防电气火灾提供了全面的解决方案。
整个系统部署在公有云环境中,部署有1台云服务器。搭建的1台ECS服务器,提供给web端、mysql提供服务。数据库每月进行增量备份。服务器操作系统为Windows Server 2012,数据库系统为MySQL。
系统描述还包括系统网络拓补图,在这里不做具体展示。
二、××有限公司安全保护等级的确定
(一)业务信息安全保护等级的确定
1.业务信息描述
智慧监管平台基于B/S架构,涉及多项技术,它们包括:计算机、通讯、文件存储、数据获取、显示、图像数据压缩、人工智能、光电子设备、软件、标准化和系统集成。
智慧监管平台中存储的终端编码、终端名称、终端地址、订单号、运单号、快递公司、快递员手机号、收件手机号、存件人照片、取件人照片、取件密码等,系统总用户量约为2W。
2.业务信息受到破坏时所侵害客体的确定
该业务信息遭到破坏后,所侵害的客体是单位内部人员、社会大众的合法权益,及社会秩序和公共利益。
侵害的客观方面表现为:一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害(形式可以包括丢失、破坏、损坏等),会对社会秩序和公共利益造成影响和损害,可以表现为:影响正常工作的开展,导致业务能力下降,造成不良影响,造成用户资金损失,引起法律纠纷等。
3.信息受到破坏后对侵害客体的侵害程度(即上述分析的结果的表现程度)
上述结果的程度表现为:会对公民、法人及其他组织的合法权益造成严重损害,对社会秩序、公共利益造成一般损害。
4.确定业务信息安全等级
查《定级指南》表2知,业务信息安全保护等级为第二级。
(二)系统服务安全保护等级的确定
1.系统服务描述
该系统属于为国计民生、经济建设等提供服务的信息系统。
2.系统服务受到破坏时所侵害客体的确定
系统服务受到破坏后,所侵害的客体是单位内部人员、社会大众人员的合法权益,及社会秩序和公共利益。
侵害的客观方面(客观方面是指定级对象的具体侵害行为,侵害形式以及对客体的造成的侵害结果)表现为:一旦信息系统服务遭受到攻击、中断等不明侵害,使系统无法提供正常业务服务,则无法正常监管用户单位的电气火灾消防安全隐患造成用户的财产损失,引起法律纠纷等。
3.信息受到破坏后对侵害客体的侵害程度(即上述分析的结果的表现程度)
上述结果的程度表现为:会对公民、法人及其他组织的合法权益造成严重损害,对社会秩序、公共利益造成一般损害。
4.确定系统服务安全等级
查《定级指南》表3知,系统服务安全保护等级为第二级。
(三)安全保护等级的确定
信息系统的安全保护等级由业务信息安全等级和系统服务安全等级的较高者决定。所以,××有限公司智慧监管平台安全保护等级为第二级。
三、企业信息系统定级注意事项
(一)定级不准怎么办?
公安机关对定级不准的备案单位,在通知整改的同时,应当建议备案单位组织专家进行重新定级评审,并报上级主管部门审批。备案单位仍然坚持原定等级的,公安机关可以受理其备案,但应当书面告知其承担由此引发的责任和后果,经上级公安机关同意后,同时通报备案单位上级主管部门。
(二)拒不备案会如何?
此外,对拒不备案的,公安机关应当依据《中华人民共和国计算机信息系统安全保护条例》等其他有关法律、法规规定,责令限期整改。逾期仍不备案的,予以警告,并向其上级主管部门通报。需要通报的,应当报经公安部同意。
(三)系统等级如何变更?
最后,当等级保护对象所处理的信息、业务状态和系统服务范围发生变化,可能导致业务信息安全或系统服务安全受到破坏后的受侵害客体和对客体的侵害程度有较大的变化时,应根据等保2.0标准要求重新确定定级对象和安全保护等级。
(四)谁对定级负责任?
企业(运营使用单位)和主管部门需要配合信息安全监管部门做好信息系统的安全工作,一旦发生安全问题,这三方都是需要承担责任的,不过企业和主管部门需要负主要责任。“谁主管谁负责、谁运维谁负责、谁使用谁负责”。
青莲网络:一站式等级保护解决方案服务提供商,提供专业等保定级备案服务。