XX网络安全等级保护定级报告
一、定级对象描述
(一)责任主体
【填写说明:描述承担定级对象安全责任的相关单位或部门,部门在业务运行中的作用或职责。说明定级对象的建设负责单位或部门、运行维护单位或部门、安全主管部门和定级责任单位。】
【描述参考示例】:
定级对象于XX年XX月由XX单位XX部门负责建设,目前由XX单位XX部门负责运行维护,XX单位XX部门是该定级对象的安全主管部门,XX单位XX部门为该定级对象的定级责任单位,承担定级对象的网络安全和数据安全保护责任。
(二)定级对象构成
【填写说明:描述定级对象的基本要素,物理环境、网络结构、网络边界、安全措施、设备部署情况以及定级对象网络拓扑图等。互联系统之间的数据摆渡设备建议归为对该设备有网络安全管理权限的单位相应的定级对象中。
该定级对象是否采用了新技术,如云计算技术、移动互联技术、物联网技术、工业控制技术、大数据等。如采用,详细描述使用新技术的情况。如定级对象部署在云服务平台上,说明云服务平台的服务模式和安全保护等级。】
【网络边界描述示例】:
网络中部署了XXX防火墙和XXX路由器与外部网络互联,整个定级对象的网络边界设备为XXX与XXX。XXX外联的其它网络都划分为外部网络部分,而XXX以内的部分包括与交互网络互联的部分都可归为内部网络,网络边界部分和内部网络部分为本次定级对象的范围。
(三)承载业务
【填写说明:该定级对象是否承载着单一或相对独立的业务,业务情况或功能描述,系统规模描述。定级对象与其他系统互联情况及数据调用情况说明。】
【描述参考示例】:
该定级对象承载着综合办公业务,包括内部报销、人力资源管理等2个业务子系统,该业务相对独立,为全集团2000员工提供服务。该定级为独立业务系统,与其他系统不存在互联情况。
该定级对象包括以下子系统:
序号
子系统名称
业务功能描述
1
内部报销
员工通过该子系统报销出差、会议、专家费等各种费用。
2
人力资源管理
提供员工基本信息维护、薪资、履历、假期、考核、合同、考勤等管理。
(四)承载数据
【填写说明:该定级对象所承载的数据,包括数据类别、数据级别、数据处理环节等描述,与其他系统存在数据交换的,还应说明数据流转情况。】
【描述参考示例】:
该定级对象承载的数据主要包括财务数据、人力资源数据、组织用户数据。根据《数据安全技术数据分类分级规则》其中财务数据、人力资源数据和组织用户数据均为一般数据,无重要数据和核心数据。所有数据仅定级系统本身使用,与其他系统不存在数据流转情况。数据处理活动涉及数据传输、存储、使用等环节。
(五)安全责任
【填写说明:明确定级对象网络安全保护义务的责任落实单位和责任人。】
【描述参考示例】:
按照网络安全法的相关要求,此次备案的XXX的网络安全保护义务由XXX单位履行,日常网络安全工作由我单位XXX部门负责落实,XX单位负责人XXX(身份证号码:XXXXXXXXXXXXXXXXXX)为直接负责的主管人员。
二、安全保护等级确定
(一)业务信息安全保护等级的确定
1、业务信息描述
【填写说明:描述定级对象处理的主要数据类型、数据级别及其规模等,如涉及核心数据、重要数据、个人信息需加以详细描述。】
2、业务信息受到破坏时所侵害客体的确定
【填写说明:说明数据受到破坏时侵害的客体是什么,即对三个客体(国家安全或地区安全、国计民生;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。】
3、业务信息受到破坏时对侵害客体的侵害程度的确定
【填写说明:说明数据受到破坏时,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。分析数据受到破坏时对客体的侵害程度时还需考虑定级对象承载的数据级别,核心数据会对国家安全或地区安全、国计民生造成损害,对社会秩序、公共利益造成特别严重损害;重要数据会对社会秩序、公共利益造成严重损害。】
4、业务信息安全保护等级的确定
依据业务信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全保护等级为第X级(其中,含/不含重要数据及以上数据)。
表一业务信息安全保护等级矩阵表
业务信息安全被破坏时所侵害的客体
对相应客体的侵害程度
一般损害
严重损害
特别严重损害
公民、法人和其他组织的合法权益
第一级
第二级
第二级
社会秩序、公共利益
第二级
第三级
第四级
国家安全或地区安全、国计民生
第四级
第五级
第五级
说明:1、根据业务信息安全被破坏时所侵害的客体,以及对相应客体的侵害程度确定了等级后,只对第X级以及对应的客体和侵害程度进行涂黑,切勿整行整列涂黑。2、重要数据至少为第三级以上,核心数据至少为第四级以上。
(二)系统服务安全保护等级的确定
1、系统服务描述
【填写说明:描述定级对象的服务范围、服务对象等。