XXX管理系统(以下简称“XX系统”)是由XXX有限公司(以下简称“XXX”)于XX年XX月立项,委托XXX科技有限公司进行系统开发。XXX公司XXX部是XXX管理系统的运营部门,XXX部是运行维护和信息安全的归口管理部门。XXX有限公司是网络环境的运营管理部门。XXX部为该信息系统定级的责任部门。
(二)信息系统网络及安全架构
XXX系统部署在XXX云机房内。服务器资源包括2台虚拟机,分别是应用服务器和数据库服务器,应用服务器挂载有云共享存储NAS,服务器占用单独的局域网。
同时采购云主机安全系统(天珣内网安全风险管理与审计系统V6.6)、云防火墙(天清汉马USG防火墙V2.6)和云综合日志审计(泰合信息安全运营中心系统日志审计V3.0)服务。云
主机安全实现对服务器资源的资产管理、风险管理、策略管理以及报表监控等。云防火墙具备入侵防御模块、病毒过滤模块以及行为控制模块,实现安全防护。云综合日志审计服务可提供独立日志审计引擎,支持日志范式化,提供基于资产的拓扑视图等。
应用系统向互联网用户开放,同时通过专线与公司内部网络相连(中间有没有部署什么网络设备或安全产品),实现数据交互。系统网络结构如下图:
图1 XXX系统网络结构图
XXX系统为非涉密信息系统,是处理XXX业务、以及由此带来的资金业务的风险控制系统、数据处理系统等。系统包括客户管理、报价管理、项目管理、合同管理、投放管理、放款管理、资金管理、押品管理、租赁物管理、资产分类管理、不良资产管理、租后管理、发票管理、流程管理、风险管理、监控管理、移动管理、档案管理、调息管理、税率调整管理、拨备管理、业务核算管理、业财系统对接、系统管理、接口管理等功能。系统用户主要是渠道合作商、承租人、潜在客户以及公司员工,业务范围只涉及公司开展的XXX相关业务。
二、XXX管理系统安全保护等级确定
(一)业务信息安全保护等级的确定
1、业务信息描述
XXX系统是公司为开展XXX业务建设的系统,业务信息包括:XXX经销商注册信息(公司名称、、地址),征信信息(个人积累信誉财富等),购车人、担保人、业务人员、管理人员、财务人员个人信息(姓名、电话、地址等),车辆信息(车架号等),项目信息(项目对接负责人信息等)等。
该业务信息遭到破坏后,所侵害的客体是:公民、法人和其他组织的合法权益。健康养生杯
侵害的客观方面表现为:一旦信息系统的信息遭到入侵、修改、增加、删除等不明侵害,增加电话骚扰、的风险,会对公民、法人造成严重损害。如业务信息发生篡改时,项目信息等数据出现紊乱,会对公司车辆融资租赁业务的正常生产经营活动造成损害,导致业务能力下降,造成不良影响,引起法律纠纷。
3、信息受到破坏后对侵害客体的侵害程度的确定
上述结果的程度表现为严重损害,即XXX系统业务信息安全受到破坏后,对公司车辆融资租赁业务工作的开展造成严重影响,业务显著能力下降。对公民、法人和其他组织的合法
权益造成严重损害,造成较大范围的不良影响。
4、业务信息安全等级的确定
蒸汽消毒锅按照《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020),依据XXX系统业务信息安全受到破坏时所侵害的客体以及侵害程度,确定公司的XXX系统业务信息安全为二级。
表1 对标定级指南评级
业务信息安全被破坏时所侵害的客体 | 对相应客体的侵害程度 |
一般损害 | 严重损害 | 特别严重损害 |
公民、法人和其他组织的合法权益 | 地籍测量第一级 | 第二级 | 第二级 |
社会秩序、公共利益 | 第二级 | 第三级 | 第四级 |
线圈耳机国家安全 | 第三级 | 第四级 | 第五级 |
| | | |
(二)系统服务安全保护等级的确定
1、系统服务描述
XXX系统的服务范围为全国、服务对象是公司车辆业务系统相关业务人员以及用户。
2、系统服务受到破坏时所侵害客体的确定
该系统服务遭到破坏后,所侵害的客体是:公民、法人和其他组织的合法权益。
侵害的客观方面:一旦信息系统服务遭到不明侵害,会导致公司XXX系统无法正常访问或信息泄漏、篡改,对该业务的正常生产经营活动造成损害,会出现较大的财产损失和法律纠纷。
3、系统服务受到破坏后对侵害客体的侵害程度的确定
XXX系统服务受到破坏,一般表现在网络设备及线路、服务器、应用系统、安全防护产品、用户终端等方面的故障或无法为用户提供服务,可能会对公司生产经营、业务管理造成一般损害或严重损害,工作效率受到影响,业务能力下降等。侵害程度对应如下表:
表2 侵害程度界定
序号 | 影响因素 | 故障风险 | 故障恢复 时间 | 允许丢失 的数据量 | 对单位 影响程度 |
1 | 网络设备及线路 | 用户无法正常访问 | 4小时 | | 一般损害 |
2 | 服务器 | 用户无法访问、数据丢失 | 24小时 | 12小时数据 | 严重损害 |
3 | 应用系统 | 用户无法正常访问 | 4小时 | | 一般损害 |
4 | 安全防护产品 | 用户无法正常访问 | 4小时 | | 一般损害 |
5 | 用户终端 | 用户无法正常访问 | 2小时 | | 一般损害 |
| | | | | |
4、系统服务安全等级的确定
按照《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020),依据XXX系统服务安全受到破坏时所侵害的客体以及侵害程度(较高者),确定公司的XXX系统服务安全为二级。
表3 系统服务安全等级界定
系统服务安全被破坏时所侵害的客体 | 对相应客体的侵害程度 |
一般损害 | 严重损害 | 特别严重损害 |
公民、法人和其他组织的合法权益 | 第一级 | 第二级 | 第二级 |
社会秩序、公共利益 | 第二级 | 第三级 | 第四级 |
国家安全 | 第三级 | 第四级 | 第五级 |
| | | |
(三)安全保护等级的确定
按照《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020),航天金租公司XXX系统的业务安全等级和系统服务安全的保护等级确定为二级。
触摸屏手机表4 系统安全保护等级确定
信息系统名称 | 安全保护等级 | 业务信息安全等级 | 系统服务安全等级 |
车辆融资租赁业务管理系统 | 二级 | 二级 | 二级 |
| | | 水箅 |
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议