信息系統(tǒng)等級(jí)保護(hù)定級(jí)報(bào)告模板---信息系統(tǒng)等級(jí)保護(hù)定級(jí)報(bào)告報(bào)告編號(hào)：`[請(qǐng)?zhí)顚?xiě)報(bào)告編號(hào)]`系統(tǒng)名稱(chēng)：`[請(qǐng)?zhí)顚?xiě)被定級(jí)信息系統(tǒng)的全稱(chēng)]`版本號(hào)：V1.0編制日期：`[YYYY年MM月DD日]`一、引言1.1定級(jí)目的與意義為規(guī)范`[系統(tǒng)名稱(chēng)]`的信息安全保障工作，提高信息系統(tǒng)的安全防護(hù)能力，保障系統(tǒng)穩(wěn)定運(yùn)行和業(yè)務(wù)數(shù)據(jù)安全，依據(jù)國(guó)家信息安全等級(jí)保護(hù)相關(guān)法律法規(guī)和標(biāo)準(zhǔn)要求，特對(duì)本信息系統(tǒng)進(jìn)行安全等級(jí)保護(hù)定級(jí)。本報(bào)告旨在明確`[系統(tǒng)名稱(chēng)]`的安全保護(hù)等級(jí)，為后續(xù)的安全建設(shè)、等級(jí)測(cè)評(píng)、監(jiān)督檢查等工作提供依據(jù)。1.2定級(jí)依據(jù)本信息系統(tǒng)的等級(jí)保護(hù)定級(jí)工作主要依據(jù)以下法律法規(guī)、政策及標(biāo)準(zhǔn)：1.《中華人民共和國(guó)網(wǎng)絡(luò)安全法》2.《中華人民共和國(guó)數(shù)據(jù)安全法》3.《中華人民共和國(guó)個(gè)人信息保護(hù)法》4.《信息安全等級(jí)保護(hù)管理辦法》5.《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》（GB/T____-`[最新版本年份]`）6.國(guó)家及行業(yè)其他相關(guān)法律法規(guī)與標(biāo)準(zhǔn)1.3報(bào)告范圍本報(bào)告的定級(jí)對(duì)象為`[系統(tǒng)名稱(chēng)]`。報(bào)告內(nèi)容涵蓋該系統(tǒng)的基本情況、業(yè)務(wù)信息和系統(tǒng)服務(wù)重要性分析、安全等級(jí)確定過(guò)程及結(jié)果等。二、信息系統(tǒng)概況2.1系統(tǒng)基本信息項(xiàng)目?jī)?nèi)容:---------------:-------------------------------------------------------------------**系統(tǒng)名稱(chēng)**`[填寫(xiě)系統(tǒng)全稱(chēng)，如有簡(jiǎn)稱(chēng)可注明]`**系統(tǒng)簡(jiǎn)稱(chēng)**`[如無(wú)，可填寫(xiě)“無(wú)”]`**系統(tǒng)負(fù)責(zé)人**`[姓名]`**聯(lián)系方式**`[辦公電話]`**開(kāi)發(fā)/運(yùn)維單位**`[如為自建，填寫(xiě)本單位；如為外包，填寫(xiě)外包單位名稱(chēng)]`**系統(tǒng)上線時(shí)間**`[YYYY年MM月DD日，如未上線可填寫(xiě)“預(yù)計(jì)YYYY年MM月”]`**系統(tǒng)現(xiàn)狀**`[如：正式運(yùn)行、試運(yùn)行、開(kāi)發(fā)中、規(guī)劃中]`**所屬行業(yè)**`[如：政府、金融、能源、教育、醫(yī)療、交通、企業(yè)等，并可進(jìn)一步細(xì)化]`**主管部門(mén)**`[如適用，填寫(xiě)系統(tǒng)所屬的上級(jí)主管部門(mén)]`2.2系統(tǒng)描述2.2.1系統(tǒng)功能與業(yè)務(wù)目標(biāo)簡(jiǎn)要描述本信息系統(tǒng)的名稱(chēng)、建設(shè)背景、主要業(yè)務(wù)目標(biāo)和核心功能。例如：本系統(tǒng)主要用于`[描述核心業(yè)務(wù)場(chǎng)景，如：處理XX業(yè)務(wù)數(shù)據(jù)、提供XX在線服務(wù)、支撐XX內(nèi)部管理等]`，其核心功能包括`[列舉2-3項(xiàng)最核心功能]`。2.2.2系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)與部署情況簡(jiǎn)要描述系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、主要部署位置（如：本地?cái)?shù)據(jù)中心、公有云、私有云、混合云等）、涉及的主要網(wǎng)絡(luò)區(qū)域（如：互聯(lián)網(wǎng)區(qū)、DMZ區(qū)、內(nèi)網(wǎng)辦公區(qū)、核心業(yè)務(wù)區(qū)等）。可附上系統(tǒng)拓?fù)鋱D作為附件。2.2.3系統(tǒng)主要軟硬件構(gòu)成簡(jiǎn)要列舉系統(tǒng)所使用的主要硬件設(shè)備類(lèi)型（如：服務(wù)器、存儲(chǔ)設(shè)備、網(wǎng)絡(luò)設(shè)備等）和關(guān)鍵軟件組件（如：操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、中間件、應(yīng)用系統(tǒng)等）。2.2.4系統(tǒng)數(shù)據(jù)流程簡(jiǎn)要描述系統(tǒng)的主要數(shù)據(jù)處理流程，包括數(shù)據(jù)的輸入、處理、存儲(chǔ)、輸出和傳輸過(guò)程，以及關(guān)鍵數(shù)據(jù)的來(lái)源和去向。2.3系統(tǒng)服務(wù)范圍與用戶(hù)群體描述本信息系統(tǒng)的服務(wù)對(duì)象和用戶(hù)范圍。例如：*服務(wù)范圍：`[如：僅限內(nèi)部員工使用、面向特定行業(yè)用戶(hù)、面向社會(huì)公眾等]`*用戶(hù)群體：`[如：內(nèi)部XX部門(mén)員工、XX單位工作人員、注冊(cè)會(huì)員、社會(huì)公眾等]`三、業(yè)務(wù)信息安全等級(jí)確定3.1業(yè)務(wù)信息描述詳細(xì)列出本信息系統(tǒng)處理、存儲(chǔ)和傳輸?shù)闹饕獦I(yè)務(wù)信息資產(chǎn)?？砂葱畔⒌闹匾曰蛎舾行赃M(jìn)行分類(lèi)描述。例如：*核心業(yè)務(wù)數(shù)據(jù)：`[如：用戶(hù)核心身份信息、交易記錄、核心業(yè)務(wù)配置數(shù)據(jù)等]`*重要業(yè)務(wù)數(shù)據(jù)：`[如：用戶(hù)行為數(shù)據(jù)、非核心業(yè)務(wù)統(tǒng)計(jì)數(shù)據(jù)等]`*一般業(yè)務(wù)數(shù)據(jù)：`[如：公開(kāi)宣傳信息、系統(tǒng)日志（非敏感部分）等]`3.2業(yè)務(wù)信息安全受到破壞時(shí)的影響分析針對(duì)上節(jié)中識(shí)別的核心業(yè)務(wù)信息，分析其在機(jī)密性、完整性或可用性受到破壞（如：泄露、篡改、丟失、不可用等）后，可能對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益造成的損害。3.2.1確定受侵害客體根據(jù)業(yè)務(wù)信息的重要性，分析信息安全被破壞后，可能受到侵害的客體。受侵害客體主要包括：*國(guó)家安全：`[如涉及，描述可能對(duì)國(guó)家政權(quán)、主權(quán)、統(tǒng)一和領(lǐng)土完整，人民福祉，經(jīng)濟(jì)社會(huì)可持續(xù)發(fā)展和國(guó)家其他重大利益造成的影響]`*社會(huì)秩序：`[如涉及，描述可能對(duì)社會(huì)生產(chǎn)、生活秩序，以及公共交通、公共通信等公共事業(yè)造成的影響]`*公共利益：`[如涉及，描述可能對(duì)社會(huì)公眾的共同利益，如公共安全、環(huán)境保護(hù)等造成的影響]`*公民、法人和其他組織的合法權(quán)益：`[描述可能對(duì)用戶(hù)個(gè)人隱私、財(cái)產(chǎn)安全，或?qū)ζ髽I(yè)商業(yè)利益、聲譽(yù)等造成的影響]`3.2.2確定侵害程度針對(duì)每個(gè)可能的受侵害客體，評(píng)估業(yè)務(wù)信息安全被破壞后造成侵害的嚴(yán)重程度。侵害程度通常分為：*特別嚴(yán)重：`[描述可能導(dǎo)致的極其嚴(yán)重后果]`*嚴(yán)重：`[描述可能導(dǎo)致的嚴(yán)重后果]`*較嚴(yán)重：`[描述可能導(dǎo)致的較嚴(yán)重后果]`*一般：`[描述可能導(dǎo)致的一般性后果]`3.2.3業(yè)務(wù)信息安全等級(jí)評(píng)定根據(jù)對(duì)受侵害客體和侵害程度的分析，對(duì)照表1《業(yè)務(wù)信息安全等級(jí)的確定》，確定業(yè)務(wù)信息安全等級(jí)。表1業(yè)務(wù)信息安全等級(jí)的確定業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體對(duì)相應(yīng)客體的侵害程度業(yè)務(wù)信息安全等級(jí):-------------------------------:-------------------:---------------公民、法人或其他組織的合法權(quán)益一般1公民、法人或其他組織的合法權(quán)益較嚴(yán)重2社會(huì)秩序、公共利益一般2公民、法人或其他組織的合法權(quán)益嚴(yán)重3社會(huì)秩序、公共利益較嚴(yán)重3國(guó)家安全一般3公民、法人或其他組織的合法權(quán)益特別嚴(yán)重4社會(huì)秩序、公共利益嚴(yán)重4國(guó)家安全較嚴(yán)重4社會(huì)秩序、公共利益特別嚴(yán)重5國(guó)家安全嚴(yán)重或特別嚴(yán)重5分析過(guò)程簡(jiǎn)述：`[針對(duì)核心業(yè)務(wù)信息，詳細(xì)闡述其安全被破壞時(shí)，侵害的客體是什么，侵害程度如何，并據(jù)此確定其安全等級(jí)。例如：本系統(tǒng)處理的XX信息（如用戶(hù)身份證號(hào)、銀行賬號(hào)等個(gè)人敏感信息）一旦發(fā)生泄露（機(jī)密性被破壞），將直接侵害公民的合法權(quán)益（客體），可能導(dǎo)致用戶(hù)隱私泄露、財(cái)產(chǎn)損失等較嚴(yán)重后果（程度），對(duì)照上表，該業(yè)務(wù)信息安全等級(jí)初步判定為X級(jí)。]`業(yè)務(wù)信息安全等級(jí)建議：`[X]`級(jí)(請(qǐng)?zhí)顚?xiě)具體等級(jí)數(shù)字)四、系統(tǒng)服務(wù)安全等級(jí)確定4.1系統(tǒng)服務(wù)描述列舉本信息系統(tǒng)提供的主要服務(wù)類(lèi)型和關(guān)鍵業(yè)務(wù)功能。例如：本系統(tǒng)提供的主要服務(wù)包括`[如：XX業(yè)務(wù)在線辦理服務(wù)、XX數(shù)據(jù)查詢(xún)服務(wù)、XX資源共享服務(wù)等]`。4.2系統(tǒng)服務(wù)安全受到破壞時(shí)的影響分析分析當(dāng)本信息系統(tǒng)的服務(wù)（如：服務(wù)中斷、服務(wù)質(zhì)量下降、服務(wù)不可用等）安全受到破壞后，可能對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益造成的損害。4.2.1確定受侵害客體同3.2.1，分析系統(tǒng)服務(wù)安全被破壞后可能受到侵害的客體。4.2.2確定侵害程度同3.2.2，評(píng)估系統(tǒng)服務(wù)安全被破壞后造成侵害的嚴(yán)重程度。4.2.3系統(tǒng)服務(wù)安全等級(jí)評(píng)定根據(jù)對(duì)受侵害客體和侵害程度的分析，對(duì)照表2《系統(tǒng)服務(wù)安全等級(jí)的確定》，確定系統(tǒng)服務(wù)安全等級(jí)。表2系統(tǒng)服務(wù)安全等級(jí)的確定系統(tǒng)服務(wù)安全被破壞時(shí)所侵害的客體對(duì)相應(yīng)客體的侵害程度系統(tǒng)服務(wù)安全等級(jí):-------------------------------:-------------------:---------------公民、法人或其他組織的合法權(quán)益一般1公民、法人或其他組織的合法權(quán)益較嚴(yán)重2社會(huì)秩序、公共利益一般2公民、法人或其他組織的合法權(quán)益嚴(yán)重3社會(huì)秩序、公共利益較嚴(yán)重3國(guó)家安全一般3公民、法人或其他組織的合法權(quán)益特別嚴(yán)重4社會(huì)秩序、公共利益嚴(yán)重4國(guó)家安全較嚴(yán)重4社會(huì)秩序、公共利益特別嚴(yán)重5國(guó)家安全嚴(yán)重或特別嚴(yán)重5分析過(guò)程簡(jiǎn)述：`[針對(duì)核心系統(tǒng)服務(wù)，詳細(xì)闡述其安全被破壞時(shí)（如系統(tǒng)中斷、服務(wù)不可用），侵害的客體是什么，侵害程度如何，并據(jù)此確定其安全等級(jí)。例如：本系統(tǒng)提供的XX在線服務(wù)（如：XX業(yè)務(wù)的實(shí)時(shí)交易處理）若發(fā)生中斷（可用性被破壞），將導(dǎo)致`[描述具體影響，如：用戶(hù)無(wú)法正常辦理業(yè)務(wù)、業(yè)務(wù)數(shù)據(jù)無(wú)法及時(shí)處理等]`，這將侵害`[客體，如：社會(huì)公共利益或特定用戶(hù)群體的合法權(quán)益]`，造成`[程度，如：嚴(yán)重的業(yè)務(wù)停滯或用戶(hù)投訴]`，對(duì)照上表，該系統(tǒng)服務(wù)安全等級(jí)初步判定為Y級(jí)。]`系統(tǒng)服務(wù)安全等級(jí)建議：`[Y]`級(jí)(請(qǐng)?zhí)顚?xiě)具體等級(jí)數(shù)字)五、信息系統(tǒng)安全等級(jí)確定5.1系統(tǒng)安全等級(jí)初步建議信息系統(tǒng)的安全保護(hù)等級(jí)由業(yè)務(wù)信息安全等級(jí)和系統(tǒng)服務(wù)安全等級(jí)的較高者決定。*業(yè)務(wù)信息安全等級(jí)建議：`[X]`級(jí)*系統(tǒng)服務(wù)安全等級(jí)建議：`[Y]`級(jí)*初步建議的系統(tǒng)安全保護(hù)等級(jí)：`[取X和Y中的較高值]`級(jí)5.2定級(jí)結(jié)果調(diào)整及理由（如適用）如在上述初步定級(jí)基礎(chǔ)上，存在需要調(diào)整定級(jí)結(jié)果的特殊情況（如：根據(jù)國(guó)家有關(guān)規(guī)定或行業(yè)特殊要求需要提高或降低等級(jí)），請(qǐng)?jiān)诖苏f(shuō)明調(diào)整理由和依據(jù)。如無(wú)調(diào)整，填寫(xiě)“無(wú)特殊情況，初步定級(jí)結(jié)果無(wú)需調(diào)整?！?.3最終確定的系統(tǒng)安全保護(hù)等級(jí)綜合以上分析，`[系統(tǒng)名稱(chēng)]`的安全保護(hù)等級(jí)確定為：`[最終確定的等級(jí)數(shù)字]`級(jí)六、定級(jí)結(jié)果評(píng)審與審批6.1內(nèi)部評(píng)審意見(jiàn)評(píng)審部門(mén)/崗位評(píng)審意見(jiàn)簽字日期:------------:-------:---:---`[如：系統(tǒng)建設(shè)部門(mén)]``[如：安全管理部門(mén)]``[如：業(yè)務(wù)主管部門(mén)]``[其他相關(guān)部門(mén)]`6.2審批意見(jiàn)審批崗位審批意見(jiàn)簽字日期:-------:-------:---:---`[如：部門(mén)負(fù)責(zé)人]``[如：?jiǎn)挝环止茴I(lǐng)導(dǎo)]``[如：?jiǎn)挝恢饕?fù)責(zé)人]`七、結(jié)論經(jīng)過(guò)對(duì)`[系統(tǒng)名稱(chēng)]`的業(yè)務(wù)信息和系統(tǒng)服務(wù)進(jìn)行詳細(xì)分析，依據(jù)國(guó)家信息安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)，確定該信息系統(tǒng)的安全保護(hù)等級(jí)為`[最終確定的等級(jí)數(shù)字]`級(jí)。本單位將依據(jù)此定級(jí)結(jié)果，按照國(guó)家信息安全等級(jí)保護(hù)的相關(guān)要求，開(kāi)展后續(xù)的安全建設(shè)整改、等級(jí)測(cè)評(píng)和安全運(yùn)維等工作，確保系統(tǒng)安全穩(wěn)定運(yùn)行。八、附件（可選）*附件1：`[系統(tǒng)名稱(chēng)]`網(wǎng)絡(luò)拓?fù)鋱D*附件2：`[其他支撐材料，如：相關(guān)業(yè)務(wù)流程圖、數(shù)據(jù)資產(chǎn)清單等]`---編制人：`[姓名]`聯(lián)系方式：`[辦公電話/郵箱]`審核人：`[姓名]`