《信息系统安全等级保护定级自评报告》.docx

《信息系统安全等级保护定级自评报告》 （二级示例） 一、门户网站系统描述 描述要求：简述确定该系统为定级对象的理由从。三方面进行说明：一是描述承担信息系统安全责任的相关单位或部门说，明本单位或部门对信息系统具有信息安全保护责任该， 信息系统为本单位或部门的定级对象二；是该定级对象是否具有信息系统的基本要素描，述 基本要素、系统网络结构、系统边界和边界设备；三是该定级对象是否承载着单一或相对独立的业务，业务情况描述。 示例： （一）浙江某医院门户网站委托浙江某科技有限公司开发/或于2010 年开发投入使用。目前该系统由医院 IT 中心运行维护部负责日常运行维护，医院办公室进行系统内容发布审核管理。医院办公室是该信息系统业务的主管部门，IT 中心运行维护部为该信息系统定级的责任单位。 （二）整个门户网站系统是由 2 台 WEB 服务器及相关网络设备、安全设备等构成，系统通过边界交换机与Internet 相连，边界交换机连接核心路由器，核心路由器连接院内主干网，院内的内部办公网络通过边界交换机访问门户网站。具体网络拓扑如下图： 宿杭州 宿杭州舍电网信络 门户网站信息系统 SSR 2000 Cisco 3560 ... ASA5540 NPE50E 门户 网站服务 器群 防火墙 ASA5540 负载均衡器 ASA5520 门户网站系统采用服务器负载均衡设备提供冗余架构。在 IT 中 ...链路心负载机均衡房内部署有：一台 Cisco3C5IS6CO0355边0 ... 界C三ISC层O295交0 换机，思科防火墙 ...ASA5540 和 ACE 负载均衡器，多台 Web 服务器做集办公群网络。该架构可 ... CISCO 3550 CISCO2950 以充分保证业务的连续性，降低单...点故障的发...生率。 校园网核心交换机 CISCO 6509E 门户网站信息系统的边界设C备ISCO为3550CiscoCI3SC5O269500 边界三层交换机， 外联的其它系统网都络划信息分中 为外部网络部分，其作为一个独立系统向院内 校园网络系统 心服务器群 外用户提供访问服务。因此防火墙以内门户网站系统为此次等级保护定级的范围和对象。 （三）本系统主要包括医院的信息公告发布、医院介绍、就医指南、大众健康信息、医院公示、网上服务等业务等。展示医院形象和优势医疗服务；建立医生、患者、医疗同行之间的沟通互动和信息共享，实现信息发布、在线咨询、专家预约、健康知识等核心服务体系。通过提供多样化的网络医疗应用服务和运营支持，塑造良好的医院整体形象，建立医院的网络医疗服务平台。 二、业务信息描述 描述要求：描述信息系统处理的主要业务信息等。 示例： 医院门户网站系统包括：医院信息公告管理，发布医院动态信息、 门诊或科室内部的相关公告、通知等，可分别在网站首页或指定的频道页面发布，可定时发布和审核发布；医院完整的专家数据库，详细介绍医院各学科的导师、专家详细资料，并可实现信息的在线查询、网上服务，提供病人互动咨询专栏，以统一询问、在线答复的形式体现，支持多样化的表现形式及附件上传，界面友好，富于人性化特点。属于公民、法人和其他组织的专有信息，不涉及国家机密。 三、业务信息受到破坏时所侵害客体的确定 描述要求：说明信息受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。 示例： 门户网站系统受侵害的客体分为以下几类：医院、用户、卫生医疗行业，即对应等级保护的公民、法人和其他组织的合法权益等共三个客体。 该业务信息遭到破坏后，所侵害的客体是公民、法人和其他组织 的合法权益程度如下：影响正常工作的开展； 引起法律纠纷；对医院和病人信息隐私造成损失；其他影响。 侵害的客观方面表现为：一旦门户网站系统发生故障或遭到破坏 及入侵，则业务信息会遭到入侵、修改、增加、删除等不明侵害（形式可以包括丢失、篡改、损坏等），会对公民、法人和其他组织的合法权益造成影响和损害，具体表现为：会造成门户网站无法访问，医院形象受到损失，面向患者的业务系统无法开展，导致工作效率和业务能力的严重下降，会对广大医患的正常诊疗工作造成严重影响。 四、信息受到破坏后对侵害客体的侵害程度的确定 描述要求：说明信息受到破坏后，会对侵害客体造成什么程度的侵害即，说明是一般损害、严重损害还是特别严重损害。 示例： 该系统所承载的信息属于医院公共信息，一旦网站瘫痪会给全院医患的正常访问造成损害，正常业务造成损失，主要表现为工作职能受到严重影响，业务能力显著下降，会造成较大范围的不良影响等。五、系统服务描述 描述要求：描述信息系统的服务范围、服务对象等。 示例： 本系统主要是面向医生及患者的信息窗口，向全院医生和患者提供展示本院信