信息系统安全等级保护定级的报告总结计划.docx

信息系统安全等级保护定级报告 信息系统安全等级保护定级报告 （起草参考 例） 一、 支付通网上支付服 系 描述 （一） 中 于 * 年* 月* 日由 * 省 政局科技立 ， 省 政信息技 局自主研 。目前 系 由技 局运行 部 运行 。 省 政局是 信息系 的主管部 ， 省 政局委托技 局 信息系 定 的 任 位。 （二）此系 是 算机及其相关的和配套的 、 施构成的， 是按照一定的 用目 和 金融中 信息 行采集、 加 工、存 、 、 索等 理的人机系 。 整个网 分 两部分，（ 略），第一部分 省数据中心，第二部分 市局局域网。 在省数据中心的核心 部署了 xx 的 S** 三 交 机，?? 在省数据中心的网 中配置了两台与外部网 互 的 界 ： 天融信 NGFW 4**防火 和 Cisco 2** 路由器?? 省数据中心网 中剩下的一部分就是与下面各个地市的互 。 其中主要 部署的是??整个省数据中心网 中的所有 系 都 按照 一的 管理策略，只能 配置，不可 程 号登 。 整个信息系 的网 系 界 可定 NGFW 4** 与 Cisco 2** 。Cisco 2** xx 的其它系 都划分 外部网 部分，而 NGFW 4** 信息系统安全等级保护定级报告 以内的部分包括与各地市互联的部分都可归为中心的内部网络， 与中间业务系统相关的省数据中心网络边界部分和内部网络部分都是等 级保护定级的范围和对象。 在此次定级过程中， 将各市的网络和数据中心连同省中心统一作为一个定级对象加以考虑， 统一进行定级、 备案。各市的网络和数据中心还要作为整个系统的分系统分别进行定级、备案。 （三）该支付服务系统业务主要包含： 网络表够电、 IC卡购电、抄表购电等便民缴费服务。用户不必受网点营业时间限制，足不出 户在线完成各类行业 IC卡的充值及信用卡还款、手机充值、游戏点卡、航空客票购买等增值服务。 xx账号充值和订单支付服务。为银行和 xx用户提供服务通道，借助支付通平台和支付通终端提供的通路， xx用户可在线办理 xx余额查询、转账等 xx业务。信息订阅：针对支付通平台用户提供各类信息订阅，为用户提供合作商户及支付通的各类优惠打折信息订阅，主要是通过手机短信或彩信、网页显 示方式推送给用户。 xx账号充值和订单支付服务。后续还会有 xx歌华宽带、速通卡业务、各类手机账单缴费业务、账单支付业务等。 涵盖了网上购物、保险、教育、旅游、交通等行业的电子商务业务的网络支付服务。 系统针对业务实现的差异分别提供实时联机处理和批量处理两种方式。其中：通过网络与第三方机构的连接，均采用约定好的报文格式进行通讯，业务处理流程实时完成。 信息系统安全等级保护定级报告 业务处理系统以省集中结构模式，负责各类中间业务的业务处 理，包括与第三方实时连接、 接口协议转换、非实时批量数据的采集、 业务处理逻辑的实现、与会计核算系统的连接等。 二、 X省邮政金融网中间业务系统安全保护等级的确定 （一） 业务信息安全保护等级的确定 1、业务信息描述 金融网中间业务信息包括：代收费情况信息，缴费公民、法人和其他组织的的个人（单位）信息，欠费情况，以及代收费的银行、电信、燃气、税务、保险等部门的信息等。属于公民、法人和其他组织的专有信息。 2、业务信息受到破坏时所侵害客体的确定（侵害的客体包括： 1 国家安全， 2 社会秩序和公共利益， 3 公民、法人和其他组织的合法权益等共三个客体） 该业务信息遭到破坏后， 所侵害的客体是公民、 法人和其他组织的合法权益。 侵害的客观方面 （客观方面是指定级对象的具体侵害行为， 侵害形式以及对客体的造成的侵害结果） 表现为：一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害（形式可以包括丢失、破坏、损坏等），会对公民、法人和其他组织的合法权益造成影响和损害，可以表现为：影响正常工作的开展，导致业务能力下降，造成不良影响，引起法律纠纷等。 信息系统安全等级保护定级报告 3、信息受到破坏后对侵害客体的侵害程度（即上述分析的结果 的表现程度） 上述结果的程度表现为严重损害， 即工作职能收到严重影响， 业务能力显著先将，出现较严重的法律问题，较大范围的不良影响等。 4、确定业务信息安全等级 查《定级指南》表 2 知，业务信息安全保护等级为第二级。 对相应客体的侵害程度 业务信息安全被破坏时所侵害的客体 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 （二） 系统服务安全保护等级的确定 1、系统服务描述 该系统属于提供第三方支付服务的系统，其服务范围为全省范围内的普