附录A 信息系统安全等级保护定级报告

附录A

（规范性附录）

《信息系统安全等级保护定级报告》

一、XXX信息系统描述（XX电力公司生产管理（PSMS）信息系统）

简述确定该系统为定级对象的理由。从三方面进行说明：一是描述承担信息系统安全责任的相关单位或部门，说明本单位或部门对信息系统具有信息安全保护责任，该信息系统为本单位或部门的定级对象；二是该定级对象是否具有信息系统的基本要素，描述基本要素、系统网络结构、系统边界和边界设备；三是该定级对象是否承载着单一或相对独立的业务，业务情况描述。

? 生产管理（PSMS）管理信息系统作为该电力公司生产部、安全监督部、调度三个部门的信息系统，涵盖了省公司以及各个地区局电力生产的各个业务操作流程、以及与之相关联的业务数据和管理数据。整个系统采用省地分布式网络，省地之间两侧采用防火墙进行隔离。地区局系统作为下属单位主要的侧重点在于业务流程，省电力公司侧重的主要是进行流程的审核、数据的分类汇总、统计分析。

二、XXX信息系统安全保护等级确定（定级方法参见国家标准《信息系统安全等级保护定级指南》）

（一）业务信息安全保护等级的确定

1、业务信息描述

描述信息系统处理的主要业务信息等。

安全信息系统主要的业务信息主要包括：电网概况、设备台帐以及相关基础信息、设备运行的各类业务信息包括投退记录、缺陷、异常、检修、试验等情况、应急备品的情况、各类指标数据、GIS地理信息数据、项目管理的信息、防汛抗台的信息、输变电、供电设施可靠性的信息等内容

2、业务信息受到破坏时所侵害客体的确定

说明信息受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

业务信息在企业内部属于商业秘密二级的信息，其机密性被破坏时，所受到侵害的客体主要是公司自身，主要是公司的生产部、调度、安全监督等部门。

3、信息受到破坏后对侵害客体的侵害程度的确定

说明信息受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

其机密性被破坏时，对公司自身利益造成严重损害

4、业务信息安全等级的确定

依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级。

依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级为2级。 对客体的侵害程度 受侵害的客体 一般损害 害 公民、法人和其他组织的合法权益 社会秩序、公共利益 国家安全 （二）系统服务安全保护等级的确定 1、系统服务描述

描述信息系统的服务范围、服务对象等。

严重损第二级 特别严重损害 第二级 第一级 第二级 第三级 第三级 第四级 第四级 第五级 生产管理（PSMS）信息管理系统主要服务的对象是省公司生产部门、调度部门、安全监督部门。服务的范围主要是提供业务的信息流转、管理的统计分析

2、系统服务受到破坏时所侵害客体的确定

说明系统服务受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

系统服务受到破坏时，所受到侵害的客体主要是公司自身，主要是公司的生产部、调度、安全监督等部门

3、系统服务受到破坏后对侵害客体的侵害程度的确定

说明系统服务受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

系统服务受到破坏后，会对侵害公司造成严重损害的侵害

4、系统服务安全等级的确定

依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。

依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级为2级。 对客体的侵害程度 受侵害的客体 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 社会秩序、公共利益 第一级 第二级 第二级 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 （三）安全保护等级的确定

信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定，最终确定XXX系统安全保护等级为第几级。

信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定，最终确定浙电省公司生产管理（PSMS）管理系统安全保护等级为第二级。

信息系统名称 XXX信息系统 安全保护等级 X 业务信息安全等级 X 系统服务安全等级 X

本文来源：https://www.bwwdw.com/article/yk5f.html