系统安全等级保护定级报告

XXXX系统安全等级保护定级报告一、XXX管理系统描述（一）信息系统基本情况XXX管理系统（以下简称〃XX系统〃）是由XXX有限公司（以下简称〃XXX”）于XX年XX月立项，委托XXX科技有限公司进行系统开发。XXX公司XXX部是XXX管理系统的运营部门，XXX部是运行维护和信息安全的归口管理部门。XXX有限公司是网络环境的运营管理部门。XXX部为该信息系统定级的责任部门。（二）信息系统网络及安全架构XXX系统部署在XXX云机房内。服务器资源包括2台虚拟机，分别是应用服务器和数据库服务器，应用服务器挂载有云共享存储NAS，服务器占用单独的局域网。同时采购云主机安全系统（天珣内网安全风险管理与审计系统V6.6）、云防火墙（天清汉马USG防火墙V2.6）和云综合日志审计（泰合信息安全运营中心系统日志审计V3.0）服务。云主机安全实现对服务器资源的资产管理、风险管理、策略管理以及报表监控等。云防火墙具备入侵防御模块、病毒过滤模块以及行为控制模块，实现安全防护。云综合日志审计服务可提供独立日志审计引擎，支持日志范式化，提供基于资产的拓扑视图等。

应用系统向互联网用户开放，同时通过专线与公司内部网络相连（中间有没有部署什么网络设备或安全产品），实现数据交互。系统网络结构如下图：；rt.RTIFt. 主科H，医图1XXX系统网络结构图（三）信息系统主要业务XXX系统为非涉密信息系统，是处理XXX业务、以及由此带来的资金业务的风险控制系统、数据处理系统等。系统包括客户管理、报价管理、项目管理、合同管理、投放管理、放款管理、资金管理、押品管理、租赁物管理、资产分类管理、不良资产管理、租后管理、发票管理、流程管理、风险管理、监控管理、移动管理、档案管理、调息管理、税率调整管理、拨备管理、业务核算管理、业财系统对接、系统管理、接口管理等功能。系统用户主要是渠道合作商、承租人、潜在客户以及公司员工，业务范围只涉及公司开展的XXX相关业务。二、XXX管理系统安全保护等级确定（一）业务信息安全保护等级的确定1、 业务信息描述XXX系统是公司为开展XXX业务建设的系统，业务信息包括：XXX经销商注册信息（公司名称、联系电话、地址），征信信息（个人积累信誉财富等），购车人、担保人、业务人员、管理人员、财务人员个人信息（姓名、电话、地址等），车辆信息（车架号等），项目信息（项目对接负责人信息等）等。2、 业务信息受到破坏时所侵害客体的确定该业务信息遭到破坏后，所侵害的客体是：公民、法人和其他组织的合法权益。侵害的客观方面表现为：一旦信息系统的信息遭到入侵、修改、增加、删除等不明侵害，增加电话骚扰、诈骗的风险，会对公民、法人造成严重损害。如业务信息发生篡改时，项目信息等数据出现紊乱，会对公司车辆融资租赁业务的正常生产经营活动造成损害，导致业务能力下降，造成不良影响，

引起法律纠纷。3、信息受到破坏后对侵害客体的侵害程度的确定上述结果的程度表现为严重损害，即XXX系统业务信息安全受到破坏后，对公司车辆融资租赁业务工作的开展造成严重影响，业务显著能力下降。对公民、法人和其他组织的合法权益造成严重损害合法权益造成严重损害，造成较大范的不良影响。4、业务信息安全等级的确定按照《信息安全技术网络安全等级保护定级指南》(GB/T22240-2020)，依据XXX系统业务信息安全受到破坏时所侵害的客体以及侵害程度，确定公司的XXX系统业务信息安全为二级。表1对标定级指南评级业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级(二)系统服务安全保护等级的确定1、系统服务描述XXX系统的服务范围为全国、服务对象是公司车辆业务系统相关业务人员以及用户。2、系统服务受到破坏时所侵害客体的确定该系统服务遭到破坏后，所侵害的客体是：公民、法人和其他组织的合法权益。侵害的客观方面：一旦信息系统服务遭到不明侵害，会导致公司XXX系统无法正常访问或信息泄漏、篡改，对该业务的正常生产经营活动造成损害，会出现较大的财产损失和法律纠纷。3、系统服务受到破坏后对侵害客体的侵害程度的确定XXX系统服务受到破坏，一般表现在网络设备及线路、服务器、应用系统、安全防护产品、用户终端等方面的故障或无法为用户提供服务，可能会对公司生产经营、业务管理造成一般损害或严重损害，工作效率受到影响，业务能力下降等。侵害程度对应如下表：表2侵害程度界定序号影响因素故障风险故障恢复时间允许丢失的数据量对单位影响程度1网络设备及线路用户无法正常访问4小时—般损害2服务器用户无法访问、数据丢失24小时12小时数据严重损害3应用系统用户无法正常访问4小时—般损害

4安全防护产品用户无法正常访问4小时—般损害5用户终端用户无法正常访问2小时—般损害4系统服务安全等级的确定按照《信息安全技术网络安全等级保护定级指南》(GB/T22240-2020)，依据XXX系统服务安全受到破坏时所侵害的客体以及侵害程度(较高者)，确定公司的XXX系统服务安全为二级。表3系统服务安全等级界定系统服务安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级三)安全保护等级的确定按照《信息安全技术网络安全等级保护定