XX系统等级保护定级报告(范例)

一、AAAAA系统描述

（一）AAAAA系统由BBBBB公司建设运行，于2015年9月正式投入使用。目前该系统由公司运营部负责系统的业务及活动的开展，技术部负责系统的日常运行维护。同时，技术部为该信息系统定级的责任部门。

（二）AAAAA系统为平台注册的借款企业和投资人提供信息增值服务，包括借款项目信息的发布、项目风险评估服务、投资咨询服务等。

（简述网络架构）系统托管于阿里金融云机房，分为安全防护区、网站业务区，并在深圳（主）和杭州（备）两地机房对数据库、代码等内容互为灾备。其中5台ECS（云服务器）、1台RDS（数据库）、1个CDN、1个堡垒机，1个安骑士专业版，和1个WAF（应用防火墙），1个数据库审计。

（三）（简述系统业务和功能）该系统提供以下功能为：注册、实名认证、充值、投资、提现、红包、会员积分等。

系统具有PC端、微信端和APP端，为我司技术部自主研发，使用Spring MVC架构，前端使用JSP语言、后端使用java语言，具有稳定性好、安全性高、响应速度快、用户体验良好等特点，目前该系统已获得国家版权局授予的计算机软件著作权登记证书。

二、AAAAA系统安全保护等级确定

（一）业务信息安全保护等级的确定 1、业务信息描述

主要业务信息包括：注册企业用户借款或投资业务，其中涉及的数据有：用户身份信息、手机号、邮箱、住址、银行卡号、企业信息、资金交易记录等。

2、业务信息受到破坏时所侵害客体的确定

该业务信息遭到破坏后，所侵害的客体是说明信息受到破坏时侵害的客体是什么，即对三个客体公民、法人和其他组织的合法权益。

A．一旦信息系统的业务信息遭到入侵、获取、破坏，会对公民、法人和其他组织的合法权益造成影响和损害，表现为：公民、法人和组织的隐私信息泄露，影响社会成员接受公共服务，从而影响正常工作的开展，导致业务能力下降，造成不良影响，导致资金损失、引起法律纠纷等。

3、信息受到破坏后对侵害客体的侵害程度的确定 上述结果的程度表现为：上述结果的程度表现为对社会秩序、公共利益造成严重损害，即工作职能受到严重影响，业务能力显著下将，出现较严重的社会矛盾问题，较大范围的不良影响等。

4、业务信息安全等级的确定

根据前面表述，核查《定级指南》表2得出如下结果：

对相应客体的侵害程度 业务信息安全被破坏时所侵害的客体 公民、法人和其他组织的合法权益 社会秩序、公共利益 国家安全 一般损害 第一级 第二级 第三级 严重损害 第二级 第三级 第四级 特别严重损害 第二级 第四级 第五级 根据上表结果，AAAAA系统的业务信息安全保护等级定为第三级。

（二）系统服务安全保护等级的确定 1、系统服务描述

该系统的服务范围为全国，该系统是为全国有以通过网络借款的企业和投资需求的用户提供。

2、系统服务受到破坏时所侵害客体的确定

该系统服务遭到破坏后，所侵害的客体是公民、法人和其他组织的合法权益，以及社会秩序和公共利益。客观方面表现的侵害结果为：1、对公民、法人和其他组织的合法权益造成特别严重侵害（用户信息泄漏或遭到破坏后，导致平台用户遭遇电信诈骗、资金损失、引起法律纠纷等）；2、对社会秩序公共利益造成严重损害（造成AAAAA系统的信息混乱，从而引起公共利益的损害，造成社会不良影响）。

3、系统服务受到破坏后对侵害客体的侵害程度的确定 上述结果的程度表现为：对社会秩序、公共利益造成严重损害，即部分社会公众受到资金损失，出现社会矛盾问题，较大范围的不良影响等。

4、系统服务安全等级的确定

根据前面叙述，核查《定级指南》表3得出如下结果：

对相应客体的侵害程度 系统服务被破坏时所侵害的客体 公民、法人和其他组织的合法权益 社会秩序、公共利益 国家安全 一般损害 第一级 第二级 第三级 严重损害 第二级 第三级 第四级 特别严重损害 第二级 第四级 第五级 根据上表结果，AAAAA系统的系统服务安全等级为第三级。

（三）安全保护等级的确定

信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定，最终确定AAAAA系统安全保护等级为第三级。

信息系统名称 AAAAA系统

安全保护等级 第三级 业务信息安全等级 第三级 系统服务安全等级 第三级