网络安全等级保护系统定级流程与示例

本文主要是介绍网络安全等级保护系统定级流程与示例，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

一、定级流程

安全保护等级初步确定为第二级及以上的等级保护对象，其运营使用单位应当依据《网络安全等级保护定级指南》进行初步定级、专家评审、主管部门审批、公安机关备案审查，最终确定其安全保护等级。

二、定级方法

等级保护对象的级别由两个定级要素决定：a) 受侵害的客体；b) 对客体的侵害程度。定级对象的安全主要包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同，因此，安全保护等级也应由业务信息安全（S）和系统服务安全（A）两方面确定，根据业务信息的重要性和受到破坏后的危害性确定业务信息安全等级；根据系统服务的重要性和受到破坏后的危害性确定系统服务安全等级；由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级。参考下列表格：

三、定级报告示例

《信息系统安全等级保护定级报告》

1、XX系统描述

HIS系统是覆盖XX医院所有业务和业务全过程的信息管理系统。为医院所属各部门提供患者诊疗信息和行政管理信息的收集、存储、处理、提取和数据交换的能力并满足授权用户的功能需求的平台。系统为由X台服务器、网络设备X台，有HIS系统应用前台、后台、门诊挂号客户端应用、门诊收费客户端应用、药品管理客户端应用、住院收费客户端应用、中间件应用等应用组成。HIS系统主要面向医院、医护人员、医院管理者、公共卫生机构、区域医疗卫生机构、卫生行政机关等用户。HIS系统是由XX单位开发，XX单位信息中心维护。HIS系统为XX医院的定级对象，XX医院对HIS系统具有信息安全保护责任，承担HIS系统安全责任的部门是信息中心。HIS系统部署在XX医院XX机房，没有互联网连接、外联单位和广域网连接，不存在互联网边界和与其他单位的边界。

2、XX医院HIS系统安全保护等级的确定

2.1业务信息安全保护等级的确定

（1）业务信息描述

系统存储着患者诊疗信息，如患者基本信息、患者诊断数据、药品信息、住院信息、统方信息等。

（2）业务信息受到破坏时所侵害客体的确定

HIS系统中存储的信息涉及到大量患者信息，如果数据被泄露和篡改会对患者造成影响并可能造成一定社会影响，故信息受到破坏时侵害的客体是什么社会秩序和公众利益和公民、法人和其他组织的合法权益。

（3）信息受到破坏后对侵害客体的侵害程度的确定

XX医院HIS系统如果数据被泄露和篡改，会对我院、就诊患者以及公共卫生行政主管部门的合法权益造成严重侵害，并有可能造成医疗安全事故的发生，对社会秩序和公共利益造成损害。故信息受到破坏后，会对法人和其他组织的合法权益造成特别严重损害，对社会秩序和公共利益造成损害造成严重损害。

（4）业务信息安全等级的确定

依据信息受到破坏时所侵害的客体以及侵害程度，确定核心业务信息安全等级为三级。