公司信息安全等级保护定级报告-数字档案系统

-5-公司数字档案馆系统信息安全等级保护定级报告一、系统基本情况描述（一）安全责任部门数字档案馆系统，由公司信息化管理部运行维护。办公室是该信息系统的业务主管部门，为该信息系统定级的责任单位。（二）信息系统基本要素数字档案馆系统是由计算机软硬件、计算机网络、处理的信息、提供的服务以及相关的机构/人员、相应的管理制度等构成的，是对电子文件相关信息进行采集、加工、存储、传输、检索等处理的人机系统，承载着独立的业务，可认定为独立的信息系统。整体网络结构，采用双设备双线路冗余部署，保障了网络的高可用性。在外网接入区部署两台链路负载均衡设备、两台入侵防御设备、两台应用防火墙、两台流量控制设备，实现对内网网络流量的边界隔离与集中管控；两台外网防火墙，实现对网络出口的安全防护和访问控制；内网两台核心交换机（带防火墙模块），实现业务系统的访问控制和数据交换功能；通过部署在安全管理区的堡垒机、流量分析系统、威胁感知系统、安全审计系统等设备，实现对全网的统一安全管理。数字档案馆系统的服务器设备部署在核心业务区，分别有数据库服务器及web应用服务器。整个信息系统的网络系统边界设备可定为外网防火墙设备。该设备外联的其它系统都划分为外部网络部分，而防火墙以内的部分可归为中交集团的内部网络，内部网络部分是等级保护定级的范围和对象。网络部署图如下：（三）业务情况描述数字档案馆系统有：我的空间、文件中心、档案中心、统计中心、库房中心、利用中心、系统中心、业务管理、系统管理、服务平台、其他资源11个管理模块，实现对档案的收集、整理、编目、利用等全过程管理。该系统面向中国交通建设股份有限公司，因此属于公民、法人和其他组织的专有信息。二、系统安全保护等级确定（一）业务信息安全保护等级的确定1.业务信息描述数字档案馆系统的业务信息包含管理类档案、合同档案、声像档案、实物档案的收集、整理、保管、利用、检索、编研、鉴定、统计等。2.信息受到破坏时所侵害客体的确定该业务信息受到破坏后，主要表现为人员信息的泄露、破坏，薪酬信息的泄露、破坏等，所侵害的客体是：公民、法人和其他组织的合法权益，并不涉及社会秩序和公共利益以及国家安全。因此，该业务信息一旦遭到入侵、修改、增加、删除等不明侵害，会对公民、法人和其他组织的合法权益造成损害。3.受到破坏后对侵害客体的侵害程度的确定业务信息受到侵害后对客体的侵害程度表现为严重损害。当业务信息受到破坏后，具体表现为：用户信息遭到篡改或删除、组织信息泄露、档案信息泄露或被损坏等，导致公民、法人和其他组织的合法权益受到侵犯，影响企业内部生产经营决策，人事管理等方面，工作职能受到影响，业务能力下降。因此，当业务信息被破坏后会对公民、法人和其他组织的合法权益造成侵害程度为严重损害。4.信息安全等级的确定由于业务信息安全受到破坏后将对公民、法人和其他组织的合法权益造成严重损害，查《定级指南》表2知，业务信息安全的保护等级为第二级。业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级（二）系统服务安全保护等级的确定1.系统服务描述数字档案馆系统是为电子档案文件管理提供服务的信息系统。该系统的服务范围：公司内部人员。2.系统服务受到破坏时所侵害客体的确定该系统服务遭到破坏后，所侵害的客体是公司、法人和其他组织的合法利益，侵害的客观方面表现为：一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害，可能对公司的合法权益造成侵害（比如影响正常工作的开展，导致业务能力下降，造成不良影响等）因此，认定系统服务受到破坏时所侵害的客体为公民、法人和其他组织的合法权益。3.系统服务受到破坏后对侵害客体的侵害程度的确定系统服务不能正常提供或受到破坏后对客体的侵害程度表现为严重损害。系统服务受到破坏后的具体表现为：企业商密、人事变动、生产经营管理决策等重要信息遭到泄露等，文书档案部门的工作职能受到影响，甚至是企业商誉受到损害，出现较严重的法律问题，产生较大范围的不良影响，因此可以认定为侵害的程度为严重损害。4.系统服务安全等级的确定由于系统服务安全受到破坏后将对公民、法人和其他组织的合法权益造成严重损害。查《定级指南》表3知，系统服务安全的保护等级为第二级。系统服务被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级三、安全保护等级的确定信息系