系統(tǒng)安全等級保護定級報告

XXXX系統(tǒng)安全等級保護定級報告一、XXX管理系統(tǒng)描述（一）信息系統(tǒng)基本情況XXX管理系統(tǒng)（以下簡稱〃XX系統(tǒng)〃）是由XXX有限公司（以下簡稱〃XXX”）于XX年XX月立項，委托XXX科技有限公司進行系統(tǒng)開發(fā)。XXX公司XXX部是XXX管理系統(tǒng)的運營部門，XXX部是運行維護和信息安全的歸口管理部門。XXX有限公司是網(wǎng)絡(luò)環(huán)境的運營管理部門。XXX部為該信息系統(tǒng)定級的責任部門。（二）信息系統(tǒng)網(wǎng)絡(luò)及安全架構(gòu)XXX系統(tǒng)部署在XXX云機房內(nèi)。服務(wù)器資源包括2臺虛擬機，分別是應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器，應(yīng)用服務(wù)器掛載有云共享存儲NAS，服務(wù)器占用單獨的局域網(wǎng)。同時采購云主機安全系統(tǒng)（天珣內(nèi)網(wǎng)安全風險管理與審計系統(tǒng)V6.6）、云防火墻（天清漢馬USG防火墻V2.6）和云綜合日志審計（泰合信息安全運營中心系統(tǒng)日志審計V3.0）服務(wù)。云主機安全實現(xiàn)對服務(wù)器資源的資產(chǎn)管理、風險管理、策略管理以及報表監(jiān)控等。云防火墻具備入侵防御模塊、病毒過濾模塊以及行為控制模塊，實現(xiàn)安全防護。云綜合日志審計服務(wù)可提供獨立日志審計引擎，支持日志范式化，提供基于資產(chǎn)的拓撲視圖等。

應(yīng)用系統(tǒng)向互聯(lián)網(wǎng)用戶開放，同時通過專線與公司內(nèi)部網(wǎng)絡(luò)相連（中間有沒有部署什么網(wǎng)絡(luò)設(shè)備或安全產(chǎn)品），實現(xiàn)數(shù)據(jù)交互。系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)如下圖：；rt.RTIFt. 主科H，醫(yī)圖1XXX系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)圖（三）信息系統(tǒng)主要業(yè)務(wù)XXX系統(tǒng)為非涉密信息系統(tǒng)，是處理XXX業(yè)務(wù)、以及由此帶來的資金業(yè)務(wù)的風險控制系統(tǒng)、數(shù)據(jù)處理系統(tǒng)等。系統(tǒng)包括客戶管理、報價管理、項目管理、合同管理、投放管理、放款管理、資金管理、押品管理、租賃物管理、資產(chǎn)分類管理、不良資產(chǎn)管理、租后管理、發(fā)票管理、流程管理、風險管理、監(jiān)控管理、移動管理、檔案管理、調(diào)息管理、稅率調(diào)整管理、撥備管理、業(yè)務(wù)核算管理、業(yè)財系統(tǒng)對接、系統(tǒng)管理、接口管理等功能。系統(tǒng)用戶主要是渠道合作商、承租人、潛在客戶以及公司員工，業(yè)務(wù)范圍只涉及公司開展的XXX相關(guān)業(yè)務(wù)。二、XXX管理系統(tǒng)安全保護等級確定（一）業(yè)務(wù)信息安全保護等級的確定1、 業(yè)務(wù)信息描述XXX系統(tǒng)是公司為開展XXX業(yè)務(wù)建設(shè)的系統(tǒng)，業(yè)務(wù)信息包括：XXX經(jīng)銷商注冊信息（公司名稱、聯(lián)系電話、地址），征信信息（個人積累信譽財富等），購車人、擔保人、業(yè)務(wù)人員、管理人員、財務(wù)人員個人信息（姓名、電話、地址等），車輛信息（車架號等），項目信息（項目對接負責人信息等）等。2、 業(yè)務(wù)信息受到破壞時所侵害客體的確定該業(yè)務(wù)信息遭到破壞后，所侵害的客體是：公民、法人和其他組織的合法權(quán)益。侵害的客觀方面表現(xiàn)為：一旦信息系統(tǒng)的信息遭到入侵、修改、增加、刪除等不明侵害，增加電話騷擾、詐騙的風險，會對公民、法人造成嚴重損害。如業(yè)務(wù)信息發(fā)生篡改時，項目信息等數(shù)據(jù)出現(xiàn)紊亂，會對公司車輛融資租賃業(yè)務(wù)的正常生產(chǎn)經(jīng)營活動造成損害，導(dǎo)致業(yè)務(wù)能力下降，造成不良影響，

引起法律糾紛。3、信息受到破壞后對侵害客體的侵害程度的確定上述結(jié)果的程度表現(xiàn)為嚴重損害，即XXX系統(tǒng)業(yè)務(wù)信息安全受到破壞后，對公司車輛融資租賃業(yè)務(wù)工作的開展造成嚴重影響，業(yè)務(wù)顯著能力下降。對公民、法人和其他組織的合法權(quán)益造成嚴重損害合法權(quán)益造成嚴重損害，造成較大范的不良影響。4、業(yè)務(wù)信息安全等級的確定按照《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護定級指南》(GB/T22240-2020)，依據(jù)XXX系統(tǒng)業(yè)務(wù)信息安全受到破壞時所侵害的客體以及侵害程度，確定公司的XXX系統(tǒng)業(yè)務(wù)信息安全為二級。表1對標定級指南評級業(yè)務(wù)信息安全被破壞時所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級(二)系統(tǒng)服務(wù)安全保護等級的確定1、系統(tǒng)服務(wù)描述XXX系統(tǒng)的服務(wù)范圍為全國、服務(wù)對象是公司車輛業(yè)務(wù)系統(tǒng)相關(guān)業(yè)務(wù)人員以及用戶。2、系統(tǒng)服務(wù)受到破壞時所侵害客體的確定該系統(tǒng)服務(wù)遭到破壞后，所侵害的客體是：公民、法人和其他組織的合法權(quán)益。侵害的客觀方面：一旦信息系統(tǒng)服務(wù)遭到不明侵害，會導(dǎo)致公司XXX系統(tǒng)無法正常訪問或信息泄漏、篡改，對該業(yè)務(wù)的正常生產(chǎn)經(jīng)營活動造成損害，會出現(xiàn)較大的財產(chǎn)損失和法律糾紛。3、系統(tǒng)服務(wù)受到破壞后對侵害客體的侵害程度的確定XXX系統(tǒng)服務(wù)受到破壞，一般表現(xiàn)在網(wǎng)絡(luò)設(shè)備及線路、服務(wù)器、應(yīng)用系統(tǒng)、安全防護產(chǎn)品、用戶終端等方面的故障或無法為用戶提供服務(wù)，可能會對公司生產(chǎn)經(jīng)營、業(yè)務(wù)管理造成一般損害或嚴重損害，工作效率受到影響，業(yè)務(wù)能力下降等。侵害程度對應(yīng)如下表：表2侵害程度界定序號影響因素故障風險故障恢復(fù)時間允許丟失的數(shù)據(jù)量對單位影響程度1網(wǎng)絡(luò)設(shè)備及線路用戶無法正常訪問4小時—般損害2服務(wù)器用戶無法訪問、數(shù)據(jù)丟失24小時12小時數(shù)據(jù)嚴重損害3應(yīng)用系統(tǒng)用戶無法正常訪問4小時—般損害

4安全防護產(chǎn)品用戶無法正常訪問4小時—般損害5用戶終端用戶無法正常訪問2小時—般損害4系統(tǒng)服務(wù)安全等級的確定按照《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護定級指南》(GB/T22240-2020)，依據(jù)XXX系統(tǒng)服務(wù)安全受到破壞時所侵害的客體以及侵害程度(較高者)，確定公司的XXX系統(tǒng)服務(wù)安全為二級。表3系統(tǒng)服務(wù)安全等級界定系統(tǒng)服務(wù)安全被破壞時所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級三)安全保護等級的確定按照《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護定