信息安全体系定级指南.ppt

信息安全体系定级指南,等级确定的依据 等级确定方法 定级报告 定级举例,信息系统安全保护等级的依据,开展安全等级保护定级工作依据的政策和法律依据 国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号） 关于信息安全等级保护工作的实施意见（公通字200466号） 信息安全等级保护管理办法（公通字200743号） 关于开展全国重要信息系统安全等级保护定级工作的通知（公信安2007861号）,信息系统安全保护等级的依据,开展安全等级保护定级工作的技术依据 基础标准：计算机信息系统安全等级保护划分准则（GB17859） 基线标准：信息系统安全等级保护基本要求 辅助标准：定级指南、实施指南、测评要求 目标标准： 信息系统通用安全技术要求（GB/T20271） 网络基础安全技术要求（GB/T20270） 操作系统安全技术要求（GB/T20272） 数据库管理系统安全技术要求（GB/T20273） 终端计算机系统安全等级技术要求（GA/T671） 信息系统安全管理要求（GB/T20269） 信息系统安全工程管理要求（GB/T20282） 产品标准：防火墙、入侵检测、终端设备隔离部件等,信息系统安全保护等级的依据,信息系统安全保护等级的依据,等级确定原则和要求 “自主定级、自主保护”与国家监管相统一原则 “谁主管谁负责，谁运营谁负责”的原则 定级工作的要求 加强领导，落实保障 明确责任，密切配合 动员部署，开展培训 及时总结，提出建议,信息系统安全保护等级的依据,定级要素与安全保护等级的关系,内容简介,等级确定的依据 等级确定方法 定级报告 定级举例,信息系统安全保护等级的确定,定级工作的主要步骤 第一步，摸底调查，掌握信息系统底数 第二步，确定定级对象 第三步，初步确定信息系统等级 第四步，信息系统等级评审 第五步，信息系统等级的最终确定与审批,信息系统安全保护等级的确定,第一步，摸底调查，掌握信息系统底数1 按照定级工作通知确定定级范围 掌握信息系统（包括信息网络）的业务类型、应用或服务范围、系统结构等基本情况 为下一步明确要求、落实责任奠定基础。,信息系统安全保护等级的确定,第一步，摸底调查，掌握信息系统底数2 识别单位基本信息 识别管理框架 识别业务种类、流程和服务 识别信息 识别网络结构和边界 识别主要的软硬件设备 识别用户类型和分布,信息系统安全保护等级的确定,摸底调查1）识别单位基本信息 调查了解对目标系统负有安全责任的单位的单位性质、隶属关系、所属行业、业务范围、地理位置等基本情况 具有上级主管机构（如果有）的信息 作用：有助于判断单位的职能特点，单位所在行业及单位在行业所处的地位和所用，由此判断单位主要信息系统的宏观定位,信息系统安全保护等级的确定,摸底调查2）识别管理框架 调查了解定级对象信息系统所在单位的组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责 了解信息系统的管理、使用、运维的责任部门 当单位的信息系统存在分布于不同的物理区域的情况时，应了解不同区域系统运行的安全管理责任 安全管理的责任单位就是等级保护备案工作的责任单位 作用：有利于将来对整个单位制定等级保护管理框架及单个定级对象等级管理策略。,信息系统安全保护等级的确定,摸底调查3）识别业务种类、流程和服务 调查了解定级对象信息系统内部处理多少种业务，各项业务具体要完成的工作内容、服务目标和业务流程等，不同信息系统之间的业务关系 了解这些业务与单位职能的关联，单位对定级对象信息系统完成业务使命的期待和依赖程度，由此判断该信息系统在单位的作用和影响程度。 应重点了解定级对象信息系统中不同业务系统提供的服务在影响履行单位职能方面具体方式和程度，影响的区域范围、用户人数、业务量的具体数据以及对本单位以外机构或个人的影响等方面 作用：这些具体数据即可以为主管部门制定定级指导意见提供参照，也可以作为主管部门审批定级结果的重要依据,信息系统安全保护等级的确定,摸底调查4）识别信息 调查了解定级对象信息系统所处理的信息，及对信息的三个安全属性的需求 了解不同业务数据在其保密性、完整性和可用性被破坏后在单位职能、单位资金、单位信誉、人身安全等方面可能对国家、社会、本单位造成的影响，对影响程度的描述应尽可能量化 根据系统不同业务数据可能是用户数据、业务处理数据、业务过程记录（流水）数据、系统控制数据或文件等 了解数据信息还应关注信息系统的数据流，以及不同信息系统之间的数据交换或共享关系,信息系统安全保护等级的确定,摸底调查5）识别网络结构和边界 调查了解定级对象信息系统所在单位的整体网络状况和安全防护情况，包括 网络覆盖范围（全国、全省或本地区） 网络的构成（广域网、城域网或局域网等） 内部网段/VLAN划分，网段/VLAN划分与系统的关系 与上级单位、下级单位、外部用户、合作单位等的网络连接方式 与互联网的连接方式 作用：了解定级对象信息系统自身网络在单位整个网络中的位置，该信息系统所处的单位内部网络环境和外部环境特点，以及该信息系统的网络安全保护与单位内部网络环境的安全保护的关系,信息系统安全保护等级的确定,摸底调查6）识别主要的软硬件设备 调查了解与定级对象信息系统相关的服务器、网络、终端、存储设备以及安全设备等 设备所在网段，在系统中的功能和作用 信息系统定级本应仅与信息系统有关，但由于在划分信息系统时，不可避免地会涉及到设备共用问题 调查设备的位置和作用主要就是发现不同信息系统在设备使用方面的共用程度,信息系统安全保护等级的确定,摸底调查7）识别用户类型和分布 调查了解各系统的管理用户和一般用户，内部用户和外部用户，本地用户和远程用户等类型 了解用户或用户群的数量分布，各类用户可访问的数据信息类型和操作权限 作用：了解用户类型和数量，有助于判断系统服务中断或系统信息被破坏可能影响的范围和程度,信息系统安全保护等级的确定,第二步，确定定级对象1 应用系统应按照不同业务类别单独确定为定级对象，不以系统是否进行数据交换、是否独享设备为确定定级对象条件 起传输作用的基础网络要作为单独的定级对象 确认负责定级的单位是否对所定级系统具有控制、管理等责任，对信息系统所承载的业务有主管责任 具有信息系统的基本要素,信息系统安全保护等级的确定,第二步，确定定级对象2 定级对象的三个条件 承载相对独立或单一业务应用的信息系统 信息系统的信息安全由本单位主管 具有信息系统的基本要素（计算机及其相关配套设备、实施构成的人机系统） 只有同时满足上述三个条件，才可由本单位对其进行定级 起支撑作用的网络可以作为定级对象 应用类的信息系统以应用种类划分定级对象,信息系统安全保护等级的确定,第二步，确定定级对象3 定级对象识别 安全责任单位：依据安全责任单位的不同，划分信息系统 业务类型和业务重要性：根据业务的类型、功能、阶段的不同，对信息系统进行划分 分析物理位置的差异：根据物理位置的不同，对信息系统进行划分,信息系统安全保护等级的确定,第二步，确定定级对象4 确定定级对象信息系统边界和边界设备 确定定级对象信息系统的边界和边界设备 服务器共用的系统一般归入同一个信息系统 不同信息系统的共用设备一般是网络/边界设备或终端设备 两个信息系统边界存在共用设备时，共用设备的安全保护等级按两个信息系统安全保护等级较高者确定 信息系统的管理终端与相应被管理的服务器、网络设备及安全设备等同属于一个系统 处理涉密信息的终端必须划分到相应的信息系统中，且不能与非涉密系统共用终端,信息系统安全保护等级的确定,第三步，初步确定信息系统等级-1 信息系统的安全保护等级是信息系统的客观属性，不以已采取或将采取什么安全保护措施为依据，而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据，确定信息系统的安全保护等级 既要防止个别单位片面追求绝对安全而定级过高，也要防止为了逃避监管定级偏低 信息网络的安全等级可以参照在其上运行的信息系统的等级、网络的服务范围和自身的安全需求确定适当的保护等级，不以在其上运行的信息系统的最高等级或最低等级为标准,决定等级的主要因素分析,划分等级时应考虑以下因素： 系统所属类型，即信息系统的安全利益主体。 信息系统主要处理的业务信息类别。 系统服务范围，包括服务对象和服务网络覆盖范围。 业务依赖程度，或以手工作业替代信息系统处理业务的程度。 其中第1、2个要素决定信息系统内信息资产的重要性，第3、4个要素决定信息系统所提供服务的重要性，而信息资产及信息系统服务的重要性决定了信息系统的重要性。,决定等级的主要因素分析,系统所属类型,业务信息类别,系统服务范围,业务依赖程度,业务信息安全性,业务服务保证性,决定等级的主要因素分析,业务信息安全性,业务服务保证性,信息系统安全保护等级,信息系统安全保护等级的确定,第三步，初步确定信息系统等级-2 信息系统跨省或者全国统一联网运行的信息系统，可以由主管部门统一确定安全保护等级 由各行业统一规划、统一建设、统一安全保护策略的信息系统，应由各部委统一确定一个级别 由各部委统一规划、分级建设、运行的信息系统，应由部、省、地市分别确定系统等级，但各行业应对该类系统提出定级意见，避免出现同类系统定级出现较大偏差问题,信息系统安全保护等级的确定,第三步，初步确定信息系统等级-3,1、确定定级对象,3、综合评定对客体的侵害程度,2、确定业务信息安全受到破坏时所侵害的客体,4、业务信息安全等级,6、综合评定对客体的侵害程度,5、确定系统服务安全受到破坏时所侵害的客体,7、系统服务安全等级,8、定级对象的安全保护等级,信息系统安全保护等级的确定,第三步，初步确定信息系统等级-4 确定受侵害客体 定级对象受到破坏时所侵害的客体包括： 国家安全 社会秩序、公众利益 公民、法人和其他组织的合法权益 确定侵害客体时从定级对象的两方面进行考虑： 业务信息安全被破坏时所侵害的客体 系统服务安全被破坏时所侵害的客体,信息系统安全保护等级的依据,确定受侵害客体1）国家安全 重要的国家事务处理系统、国防工业生产系统和国防设施的控制系统等属于影响国家政权稳固和国防实力的信息系统； 广播、电视、网络等重要新闻媒体的发布或播出系统，其受到非法控制可能引发影响国家统一、民族团结和社会安定的重大事件； 处理国家对外活动信息的信息系统； 处理国家重要安全保卫工作信息的信息系统和重大刑事案件的侦查系统； 尖端科技领域的研发、生产系统等影响国家经济竞争力和科技实力的信息系统； 电力、通信、能源、交通运输、金融等国家重要基础设施的生产、控制、管理系统等。,信息系统安全保护等级的依据,确定受侵害客体1）国家安全 侵害国家安全的事项包括以下方面： 影响国家政权稳固和国防实力； 影响国家统一、民族团结和社会安定； 影响国家对外活动中的政治、经济利益； 影响国家重要的安全保卫工作； 影响国家经济竞争力和科技实力； 其他影响国家安全的事项。,信息系统安全保护等级的依据,确定受侵害客体2）社会秩序 财政、金融、工商、税务、公检法、海关、社保等的信息系统； 教育、科研机构的工作系统； 所有为公众提供医疗卫生、应急服务、供水、供电、邮政等必要服务的生产系统或管理系统 侵害社会秩序的事项包括以下方面： 影响国家机关社会管理和公共服务的工作秩序； 影响各种类型的经济活动秩序； 影响各行业的科研、生产秩序； 影响公众在法律约束和道德规范下的正常生活秩序等； 其他影响社会秩序的事项。,信息系统安全保护等级的依据,确定受侵害客体3）公共利益 借助信息化手段为社会成员提供使用的公共设施和通过信息系统对公共设施进行进行管理控制都应当是要考虑的方面 如公共通信设施、公共卫生设施、公共休闲娱乐设施、公共管理设施、公共服务设施等 影响公共利益的事项包括以下方面： 影响社会成员使用公共设施； 影响社会成员获取公开信息资源； 影响社会成员接受公共服务等方面； 其他影响公共利益的事项。,信息系统安全保护等级的依据,确定受侵害客体-4）公民、法人和其他组织的合法权益 受侵害的对象是明确的，即拥有信息系统的个体或某个单位 影响公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益 提示： 确定作为定级对象的信息系统受到破坏后所侵害的客体时，应首先判断是否侵害国家安全，然后判断是否侵害社会秩序或公众利益，最后判断是否侵害公民、法人和其他组织的合法权益,信息系统安全保护等级的确定,第三步，初步确定信息系统等级-5 确定对客体的侵害程度 在针对不同的受侵害客体进行侵害程度的判断时，应参照以下不同的判别基准： 如果受侵害客体是公民、法人或其他组织的合法权益，则以本人或本单位的总体利益作为判断侵害程度的基准 如果受侵害客体是社会秩序、公共利益或国家安全，则应以整个行业或国家的总体利益作为判断侵害程度的基准,信息系统安全保护等级的确定,第三步，初步确定信息系统等级-6 确定对客体的侵害程度 一般损害： 工作职能受到局部影响 业务能力有所降低但不影响主要功能的执行 出现较轻的法律问题 较低的资产损失 有限的社会不良影响 对其他组织和个人造成较低损害,信息系统安全保护等级的确定,第三步，初步确定信息系统等级-7 确定对客体的侵害程度 严重损害： 工作职能受到严重影响 业务能力显著下降且严重影响主要功能执行 出现较严重的法律问题 较高的资产损失 较大范围的社会不良影响 对其他组织和个人造成较严重损害,信息系统安全保护等级的确定,第三步，初步确定信息系统等级-8 确定对客体的侵害程度 特别严重损害： 工作职能受到特别严重影响或丧失行使能力 业务能力严重下降且或功能无法执行 出现极其严重的法律问题 极高的资产损失 大范围的社会不良影响 对其他组织和个人造成非常严重损害,信息系统安全保护等级的确定,第三步，初步确定信息系统等级-9,信息系统安全保护等级的确定,第三步，初步确定信息系统等级-10 定级人员需要将定级对象信息系统中的不同类重要信息分别分析其安全性受到破坏后所侵害的客体及对客体的侵害程度，取其中最高结果作为业务信息安全保护等级 再将定级对象信息系统中的不同类重要系统服务分别分析其受到破坏后所侵害的客体及对客体的侵害程度，取其中最高结果作为业务服务安全保护等级,信息系统安全保护等级的确定,第四步，信息系统等级评审 在信息系统安全保护等级确定过程中，可以聘请专家进行咨询评审，并出具定级评审意见 对拟确定为第四级以上信息系统的，运营使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审，出具评审意见信息系统等级 当专家意见与运营使用单位或者主管部门不一致时，以运营使用单位或者主管部门意见为准,信息系统安全保护等级的确定,第五步，信息系统等级的最终确定与审批 信息系统运营使用单位参考专家定级评审意见，最终确定信息系统等级，形成定级报告 信息系统运营使用单位有上级主管部门的，应当经上级主管部门对安全保护等级进行审核批准 主管部门一般是指行业的上级主管部门或监管部门 如果是跨地域联网运营使用的信息系统，则必须由其上级主管部门审批，确保同类系统或分支系统在各地域分别定级的一致性,内容简介,等级确定的依据 等级确定方法 定级报告 定级举例,信息系统安全保护等级的报告,定级报告是什么 公安部定级报告是为详细了解和掌握定级过程情况由信息系统运营使用单位负责填写的文档 定级报告作为备案表表三的附件，要在信息系统备案时一并提交 信息系统运营使用单位在起草定级报告时可以请技术支持单位协助,信息系统安全保护等级的报告,定级报告的构成和起草1 信息系统描述 简述确定该信息系统为定级对象的理由 该信息系统所承载业务的主管单位和部门， 该信息系统具有信息系统的基本要素（有主机、网络及相关配套设施构成的人机系统） 该信息系统承载着独立或单一的业务应用，业务应用主要包括哪些，各包含哪些功能等,信息系统安全保护等级的报告,定级报告的构成和起草2 信息系统安全保护等级的确定 业务信息安全保护等级的确定 第一步：简要描述信息系统所处理的主要业务信息，包括各项业务的主要数据项有哪些等 第二步：确定业务信息受到破坏后所侵害的客体 第三步：确定对客体的侵害程度 第四步：查表确定业务信息安全等级,信息系统安全保护等级的报告,定级报告的构成和起草3 信息系统安全保护等级的确定 系统服务安全保护等级的确定 第一步：简要描述系统的服务范围、服务对象、服务要求等等 第二步：确定系统服务受到破坏后所侵害的客体 第三步：确定对客体的侵害程度 第四步：查表确定系统服务安全等级,信息系统安全保护等级的报告,定级报告的构成和起草4 信息系统安全保护等级的确定 信息系统安全保护等级的确定 信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定,信息系统安全保护等级的报告,备案表的作用和构成1 备案表的作用 备案表是信息系统运营使用单位实施信息安全等级保护工作的重要记录，也是公安机关履行监督检查职责进行重要信息系统管理的重要凭证 公安机关只有通过备案表才能及时了解和掌握信息系统及其运营使用单位的基本情况，进行汇总、分析、统计等工作，并实施有针对性地监督、管理措施。,信息系统安全保护等级的报告,备案表的作用和构成2 备案表由四张表单构成 表一是单位信息，每个单位填写一张 表二是信息系统基本信息 表三是信息系统定级信息，表二、表三每个信息系统填写一张 表四为第三级以上信息系统需要在系统整改、测评等工作完成后再行提交的信息。表二、三、四可以复印使用，使用时要注意编号 如一个单位有6个信息系统，则只需要填写一张表一，分别填写六个表二、三（四），此时，表二、三（四）遵循1/6、2/6、3/66/6的编号规则。,信息系统安全保护等级的报告,备案表时需要提交的材料1 保护等级为二级的信息系统运营、使用单位到属地、保卫关系所属公安机关备案需要提交以下材料： 信息系统安全等级保护定级报告（纸制盖章和电子版） 信息系统安全等级保护备案表（纸制盖章和电子版）,信息系统安全保护等级的报告,备案表时需要提交的材料2 保护等级为三级(含)以上的信息系统运营、使用单位到属地、保卫关系所属公安机关备案需要提交以下材料： 系统拓扑结构及说明 系统安全组织机构和管理制度 系统安全保护设施设计实施方案或者改建实施方案 使用的信息安全产品清单及其认证、销售许可证明 测评后符合系统安全保护等级的技术检测评估报告 信息系统安全保护等级专家评审意见 信息系统安全等级保护备案表（纸制盖章和电子版） 信息系统安全等级保护定级报告（纸制盖章和电子版）,内容简介,等级确定的依据 等级确定方法 定级报告 定级举例,信息系统安全保护等级的案例,信息系统定级案例某局政府网站系统-1： 某局政府网站系统描述 某局政府网站系统，由局办公室负责运行维护，并为责任单位 按照政务公开原则，对主管业务工作动态及业务信息进行采集、加工、发布 属于“首都之窗”下链网站，为互联网上的独立服务器，Web结构 服务对象主要是本局管理的企业和本市市民 某局政府网站系统安全保护等级的确定 业务信息安全保护等级的确定 系统服务安全保护等级的确定 安全保护等级的确定,信息系统安全保护等级的案例,信息系统定级案例某局政府网站系统-2 ： 某局政府网站系统安全保护等级的确定 业务信息安全保护等级的确定 业务信息描述 业务信息受到破坏时所侵害客体的确定 信息受到破坏后对侵害客体的侵害程度 确定业务信息安全等级,业务信息包括发布的政务公开信息、地方行政法规和管理措施、领导讲话、政府办事流程、新闻发布、政府公告、举报投诉、本市经济形势介绍、电子表单下载等信息,公民、法人和其他组织的合法权益 社会秩序、公共利益,表现：一旦信息系统的业务信息遭到入侵、修改、增加、删除等侵害，将影响公众接受政务公开的信息资料，部分工作职能到受影响，业务能力下降，出现一般范围的不良影响造成社会不良影响，引起公众与政府机关之间的矛盾； 1、公民、法人和其他组织的合法权益的严重损害 2、社会秩序、公共利益的一般损害（优先考虑）,业务信息的安全保护等级确定为第二级,信息系统安全保护等级的案例,信息系统定级案例某局政府网站系统-3 ： 某局政府网站系统安全保护等级的确定 系统服务安全保护等级的确定 系统服务描述 系统服务受到破坏时所侵害客体的确定 信息受到破坏后对侵害客体的侵害程度 确定系统服务安全等级,该系统主要承担公开信息发布和部分网上办公业务，属于为国计民生、经济建设提供服务的信息系统，其服务范围为本局系统干部及全市本行业相关的公众,公民、法人和其他组织的合法权益社会秩序、公共利益,表现：一旦信息系统不能正常运行或出现中断，将影响公众接受政务公开的信息资料，造成社会不良影响，引起公众与政府机关之间矛盾；致使部分工作职能受到影响，业务能力下降，出现一般社会矛盾问题，一般范围的不良影响 1、公民、法人和其他组织的合法权益的严重损害 2、社会秩序、公共利益的一般损害（优先考虑）,系统服务的安全保护等级确定为第二级（取所有判定级别中最高的）,信息系统安全保护等级的案例,信息系统定级案例某局政府网站系统-4： 某局政府网站系统安全保护等级的确定 安全保护等级的确定 信息系统的安全保护等级由业务信息安全等级和系统服务安全务安等级的较高者决定 所以，某局政府网站系统安全保护等级为第二级,信息系统安全保护等级的案例,信息系统定级案例某委办局办公应用系统-1： 某委办局办公应用系统描述 某委办局办公应用系统 主要集内部办公应用系统、信息资源共享、网上审批平台和人力资源管理于一体的协同办公系统 主要功能公文流转、任务管理、网上审批、公共信息、信息资源共享、会议管理等 系统实时性要求一般，最短的工作时限为半天。 某委办局办公应用系统安全保护等级的确定 业务信息安全保护等级的确定 系统服务安全保护等级的确定 安全保护等级的确定,信息系统定级案例某委办局办公应用系统-2 ： 某委办局办公应用系统安全保护等级的确定 业务信息安全保护等级的确定 业务信息描述 业务信息受到破坏时所侵害客体的确定 信息受到破坏后对侵害客体的侵害程度 确定业务信息安全等级,信息系统安全保护等级的案例,该系统业务信息属于该委办局专有信息，包括来自北京市政府各单位，以及所属单位的公文；单位制订的信息化长期、中期、短期和年度规划以及执行情况信息；网上审批信息；个人事物信息等等。,客体确定：公民、法人和其他组织的合法权益，及社会秩序、公共利益。 表现：该系统信息属委办局专有信息,但牵涉到该单位执行的一些政府审批事宜，这些信息被破坏会影响公众利益，也会影响公民、法人和其他组织。,侵害程度确定：主要对公共利益造成一定损害，同时对公民、法人和其他组织的合法权益造成的一定损害。 表现：工作职能受到一定影响，造成业务能力下降，会对公众利益造成不良影响，对其他组织和个人造成一定损害。,业务信息的安全保护等级确定为第二级,信息系统定级案例某委办局办公应用系统-3 ： 某委办局办公应用系统安全保护等级的确定 系统服务安全保护等级的确定 系统服务描述 系统服务受到破坏时所侵害客体的确定 信息受到破坏后对侵害客体的侵害程度 确定系统服务安全等级,系统属某委办局内部办公系统，其服务范围为本委办局各业务处室及下属事业单位。,客体确定：公民、法人和其他组织的合法权益；公众利益。 表现：该系统信息属内部专有信息，这些信息被破坏会对影响到公民、法人和其他组织的合法权益；间接影响公众利益。,侵害程度确定： 表现：服务中断，造成该委办局办公能力下降。会对公众利益造成一定影响；对公民、法人和其他组织的合法权益造成一定损害。,系统服务的安全保护等级确定为第二级,信息系统安全保护等级的案例,信息系统安全保护等级的案例,信息系统定级案例某委办局办公应用系统-4： 某委办局办公应用系统安全保护等级的确定 安全保护等级的确定 信息系统的安全保护等级由业务信息安全等级和系统服务安全务安等级的较高者决定 所以，某委办局办公应用系统安全保护等级为第二级,信息系统安全保护等级的案例,信息系统定级案例某委办局核心业务系统-1： 某委办局核心业务系统描述 该核心业务属北京市电子政务重要信息系统目录中的一个系统，于*年*月*日由某委办局立项建设，目前由该局运维中心负责系统、网络及安全维护，某业务处室负责业务应用维护。 该核心业务主要包含：基层税收征管系统、办公自动化管理、网上纳税服务、辅助决策支持等各类应用系统。基本上覆盖了按该委办局核心的13大类业务：咨询辅导、税务登记、纳税核定、发票管理、涉税审批、申报征收、会计核算、税务稽查、纳税评估、计划统计、票证管理、税务档案和决策支持分析等。,信息系统安全保护等级的案例,信息系统定级案例某委办局核心业务系统-2 ： 某委办局核心业务系统安全保护等级的确定 业务信息安全保护等级的确定 业务信息描述 业务信息受到破坏时所侵害客体的确定 信息受到破坏后对侵害客体的侵害程度 确定业务信息安全等级,核心业务信息包括：税务登记管理信息、纳税核定管理信息、发票管理信息、涉税审批管理信息、申报征收管理信息、会计核算信息、计划统计管理信息、税收票证需求管理信息、纳税评估信息等 。,客体确定：该业务信息遭到破坏后，会侵害到的客体是社会秩序、公共利益。同时侵害到公民、法人和其他组织的合法权益,表现：一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害（形式可以包括丢失、破坏、损坏等），会对社会秩序、公众利益造成严重损害。也会对公民、法人和其他组织的合法权益造成特别严重损害，表现为单位的工作职能受到严重影响，业务能力显著下降；可能会出现较严重的法律问题；直接影响到该地区财政资金的支出，在较大范围产生不良影响等,业务信息的安全保护等级确定为第三级,信息系统安全保护等级的案例,信息系统定级案例某委办核心业务系统-3 ： 某委办局核心业