《信息系统安全等级保护定级自评报告》.docVIP

《信息系统安全等级保护定级自评报告》 （二级示例） 一、门户网站系统描述 描述要求：简述确定该系统为定级对象的理由。从三方面进行说明：一是描述承担信息系统安全责任的相关单位或部门，说明本单位或部门对信息系统具有信息安全保护责任，该信息系统为本单位或部门的定级对象；二是该定级对象是否具有信息系统的基本要素，描述基本要素、系统网络结构、系统边界和边界设备；三是该定级对象是否承载着单一或相对独立的业务，业务情况描述。 示例： （一）浙江某医院门户网站委托浙江某科技有限公司开发/或于2010年开发投入使用。目前该系统由医院IT中心运行维护部负责日常运行维护，医院办公室进行系统内容发布审核管理。医院办公室是该信息系统业务的主管部门，IT中心运行维护部为该信息系统定级的责任单位。 （二）整个门户网站系统是由 2 台WEB服务器及相关网络设备、安全设备等构成，系统通过边界交换机与Internet相连，边界交换机连接核心路由器，核心路由器连接院内主干网，院内的内部办公网络通过边界交换机访问门户网站。具体网络拓扑如下图： 门户网站系统采用服务器负载均衡设备提供冗余架构。在IT中心机房内部署有：一台Cisco3560边界三层交换机，思科防火墙ASA5540和ACE负载均衡器，多台Web服务器做集群。该架构可以充分保证业务的连续性，降低单点故障的发生率。 门户网站信息系统的边界设备为Cisco3560边界三层交换机，外联的其它系统都划分为外部网络部分，其作为一个独立系统向院内外用户提供访问服务。因此防火墙以内门户网站系统为此次等级保护定级的范围和对象。 （三）本系统主要包括医院的信息公告发布、医院介绍、就医指南、大众健康信息、医院公示、网上服务等业务等。展示医院形象和优势医疗服务；建立医生、患者、医疗同行之间的沟通互动和信息共享，实现信息发布、在线咨询、专家预约、健康知识等核心服务体系。通过提供多样化的网络医疗应用服务和运营支持，塑造良好的医院整体形象，建立医院的网络医疗服务平台。 二、业务信息描述 描述要求：描述信息系统处理的主要业务信息等。 示例： 医院门户网站系统包括：医院信息公告管理，发布医院动态信息、门诊或科室内部的相关公告、通知等，可分别在网站首页或指定的频道页面发布，可定时发布和审核发布；医院完整的专家数据库，详细介绍医院各学科的导师、专家详细资料，并可实现信息的在线查询、网上服务，提供病人互动咨询专栏，以统一询问、在线答复的形式体现，支持多样化的表现形式及附件上传，界面友好，富于人性化特点。属于公民、法人和其他组织的专有信息，不涉及国家机密。 三、业务信息受到破坏时所侵害客体的确定 描述要求：说明信息受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。 示例： 门户网站系统受侵害的客体分为以下几类：医院、用户、卫生医疗行业，即对应等级保护的公民、法人和其他组织的合法权益等共三个客体。 该业务信息遭到破坏后，所侵害的客体是公民、法人和其他组织的合法权益程度如下：影响正常工作的开展； 引起法律纠纷；对医院和病人信息隐私造成损失；其他影响。 侵害的客观方面表现为：一旦门户网站系统发生故障或遭到破坏及入侵，则业务信息会遭到入侵、修改、增加、删除等不明侵害（形式可以包括丢失、篡改、损坏等），会对公民、法人和其他组织的合法权益造成影响和损害，具体表现为：会造成门户网站无法访问，医院形象受到损失，面向患者的业务系统无法开展，导致工作效率和业务能力的严重下降，会对广大医患的正常诊疗工作造成严重影响。 四、信息受到破坏后对侵害客体的侵害程度的确定 描述要求：说明信息受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。 示例： 该系统所承载的信息属于医院公共信息，一旦网站瘫痪会给全院医患的正常访问造成损害，正常业务造成损失，主要表现为工作职能受到严重影响，业务能力显著下降，会造成较大范围的不良影响等。 五、系统服务描述 描述要求：描述信息系统的服务范围、服务对象等。 示例： 本系统主要是面向医生及患者的信息窗口，向全院医生和患者提供展示本院信息的一个平台。同时作为院内其他业务系统的入口，向本院医生提供服务。 六、系统服务受到破坏时所侵害客体的确定 描述要求：说明系统服务受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。 示例： 本系统主要服务于本院，向全院医患和社会提供本院的信息。因此系统遭到破坏后所侵害的客体是公民、法人和其他组织的合法权益，不损害社会秩序和公共利益及国家安全。 侵害的客观方面表现为：影响部门工作职能的开展，导致