公司信息安全等級(jí)保護(hù)定級(jí)報(bào)告-數(shù)字檔案系統(tǒng)

-5-公司數(shù)字檔案館系統(tǒng)信息安全等級(jí)保護(hù)定級(jí)報(bào)告一、系統(tǒng)基本情況描述（一）安全責(zé)任部門數(shù)字檔案館系統(tǒng)，由公司信息化管理部運(yùn)行維護(hù)。辦公室是該信息系統(tǒng)的業(yè)務(wù)主管部門，為該信息系統(tǒng)定級(jí)的責(zé)任單位。（二）信息系統(tǒng)基本要素?cái)?shù)字檔案館系統(tǒng)是由計(jì)算機(jī)軟硬件、計(jì)算機(jī)網(wǎng)絡(luò)、處理的信息、提供的服務(wù)以及相關(guān)的機(jī)構(gòu)/人員、相應(yīng)的管理制度等構(gòu)成的，是對(duì)電子文件相關(guān)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)，承載著獨(dú)立的業(yè)務(wù)，可認(rèn)定為獨(dú)立的信息系統(tǒng)。整體網(wǎng)絡(luò)結(jié)構(gòu)，采用雙設(shè)備雙線路冗余部署，保障了網(wǎng)絡(luò)的高可用性。在外網(wǎng)接入?yún)^(qū)部署兩臺(tái)鏈路負(fù)載均衡設(shè)備、兩臺(tái)入侵防御設(shè)備、兩臺(tái)應(yīng)用防火墻、兩臺(tái)流量控制設(shè)備，實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)網(wǎng)絡(luò)流量的邊界隔離與集中管控；兩臺(tái)外網(wǎng)防火墻，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)出口的安全防護(hù)和訪問控制；內(nèi)網(wǎng)兩臺(tái)核心交換機(jī)（帶防火墻模塊），實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)的訪問控制和數(shù)據(jù)交換功能；通過部署在安全管理區(qū)的堡壘機(jī)、流量分析系統(tǒng)、威脅感知系統(tǒng)、安全審計(jì)系統(tǒng)等設(shè)備，實(shí)現(xiàn)對(duì)全網(wǎng)的統(tǒng)一安全管理。數(shù)字檔案館系統(tǒng)的服務(wù)器設(shè)備部署在核心業(yè)務(wù)區(qū)，分別有數(shù)據(jù)庫服務(wù)器及web應(yīng)用服務(wù)器。整個(gè)信息系統(tǒng)的網(wǎng)絡(luò)系統(tǒng)邊界設(shè)備可定為外網(wǎng)防火墻設(shè)備。該設(shè)備外聯(lián)的其它系統(tǒng)都劃分為外部網(wǎng)絡(luò)部分，而防火墻以內(nèi)的部分可歸為中交集團(tuán)的內(nèi)部網(wǎng)絡(luò)，內(nèi)部網(wǎng)絡(luò)部分是等級(jí)保護(hù)定級(jí)的范圍和對(duì)象。網(wǎng)絡(luò)部署圖如下：（三）業(yè)務(wù)情況描述數(shù)字檔案館系統(tǒng)有：我的空間、文件中心、檔案中心、統(tǒng)計(jì)中心、庫房中心、利用中心、系統(tǒng)中心、業(yè)務(wù)管理、系統(tǒng)管理、服務(wù)平臺(tái)、其他資源11個(gè)管理模塊，實(shí)現(xiàn)對(duì)檔案的收集、整理、編目、利用等全過程管理。該系統(tǒng)面向中國交通建設(shè)股份有限公司，因此屬于公民、法人和其他組織的專有信息。二、系統(tǒng)安全保護(hù)等級(jí)確定（一）業(yè)務(wù)信息安全保護(hù)等級(jí)的確定1.業(yè)務(wù)信息描述數(shù)字檔案館系統(tǒng)的業(yè)務(wù)信息包含管理類檔案、合同檔案、聲像檔案、實(shí)物檔案的收集、整理、保管、利用、檢索、編研、鑒定、統(tǒng)計(jì)等。2.信息受到破壞時(shí)所侵害客體的確定該業(yè)務(wù)信息受到破壞后，主要表現(xiàn)為人員信息的泄露、破壞，薪酬信息的泄露、破壞等，所侵害的客體是：公民、法人和其他組織的合法權(quán)益，并不涉及社會(huì)秩序和公共利益以及國家安全。因此，該業(yè)務(wù)信息一旦遭到入侵、修改、增加、刪除等不明侵害，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害。3.受到破壞后對(duì)侵害客體的侵害程度的確定業(yè)務(wù)信息受到侵害后對(duì)客體的侵害程度表現(xiàn)為嚴(yán)重?fù)p害。當(dāng)業(yè)務(wù)信息受到破壞后，具體表現(xiàn)為：用戶信息遭到篡改或刪除、組織信息泄露、檔案信息泄露或被損壞等，導(dǎo)致公民、法人和其他組織的合法權(quán)益受到侵犯，影響企業(yè)內(nèi)部生產(chǎn)經(jīng)營決策，人事管理等方面，工作職能受到影響，業(yè)務(wù)能力下降。因此，當(dāng)業(yè)務(wù)信息被破壞后會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成侵害程度為嚴(yán)重?fù)p害。4.信息安全等級(jí)的確定由于業(yè)務(wù)信息安全受到破壞后將對(duì)公民、法人和其他組織的合法權(quán)益造成嚴(yán)重?fù)p害，查《定級(jí)指南》表2知，業(yè)務(wù)信息安全的保護(hù)等級(jí)為第二級(jí)。業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體對(duì)相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國家安全第三級(jí)第四級(jí)第五級(jí)（二）系統(tǒng)服務(wù)安全保護(hù)等級(jí)的確定1.系統(tǒng)服務(wù)描述數(shù)字檔案館系統(tǒng)是為電子檔案文件管理提供服務(wù)的信息系統(tǒng)。該系統(tǒng)的服務(wù)范圍：公司內(nèi)部人員。2.系統(tǒng)服務(wù)受到破壞時(shí)所侵害客體的確定該系統(tǒng)服務(wù)遭到破壞后，所侵害的客體是公司、法人和其他組織的合法利益，侵害的客觀方面表現(xiàn)為：一旦信息系統(tǒng)的業(yè)務(wù)信息遭到入侵、修改、增加、刪除等不明侵害，可能對(duì)公司的合法權(quán)益造成侵害（比如影響正常工作的開展，導(dǎo)致業(yè)務(wù)能力下降，造成不良影響等）因此，認(rèn)定系統(tǒng)服務(wù)受到破壞時(shí)所侵害的客體為公民、法人和其他組織的合法權(quán)益。3.系統(tǒng)服務(wù)受到破壞后對(duì)侵害客體的侵害程度的確定系統(tǒng)服務(wù)不能正常提供或受到破壞后對(duì)客體的侵害程度表現(xiàn)為嚴(yán)重?fù)p害。系統(tǒng)服務(wù)受到破壞后的具體表現(xiàn)為：企業(yè)商密、人事變動(dòng)、生產(chǎn)經(jīng)營管理決策等重要信息遭到泄露等，文書檔案部門的工作職能受到影響，甚至是企業(yè)商譽(yù)受到損害，出現(xiàn)較嚴(yán)重的法律問題，產(chǎn)生較大范圍的不良影響，因此可以認(rèn)定為侵害的程度為嚴(yán)重?fù)p害。4.系統(tǒng)服務(wù)安全等級(jí)的確定由于系統(tǒng)服務(wù)安全受到破壞后將對(duì)公民、法人和其他組織的合法權(quán)益造成嚴(yán)重?fù)p害。查《定級(jí)指南》表3知，系統(tǒng)服務(wù)安全的保護(hù)等級(jí)為第二級(jí)。系統(tǒng)服務(wù)被破壞時(shí)所侵害的客體對(duì)相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國家安全第三級(jí)第四級(jí)第五級(jí)三、安全保護(hù)等級(jí)的確定信息系