企业确定信息系统所属级别之后,需要到公安机关进行备案。备案需要提交定级报告和备案表等材料。那定级报告到底包含哪些内容呢?如何编写?一般来说,定级报告分为两部分:业务信息安全和系统安全。因此,定级的时候需要对这两个部分进行分开描述。
首先,需要进行整体描述,包含内容有:①被定级对象是本单位/本部门负责规划建设的,由谁来负责运行维护;②定级对象的一些基本信息描述;③定级对象是用来做什么业务的。
然后是信息安全等级的确定,一般包括这几点:①业务信息描述;②业务信息受到破坏时所侵害客体的确定;③信息受到破坏后对侵害客体的侵害程度的确定;④业务信息安全等级的确定。
接着,是系统服务安全保护等级的确定,包含:①系统服务描述(服务范围、服务对象);②系统服务受到破坏时所侵害客体的确定;③系统服务受到破坏后对侵害客体的侵害程度的确定;④系统服务安全等级的确定。
最后,是安全保护等级的确定。信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定,最终确定XXX系统安全保护等级为第几级。下面两张图是一个CIS信息系统的定级报告例子,来源于百度文库:
注:等级保护工作一般包括五个流程,即定级、备案、安全建设、等级测评、监督检查。
1、定级:确认定级对象,参考《定级指南》等初步确认等级,组织专家评审,主管单位审核,公安机关备案审查。
2、备案:持定级报告和备案表等材料到公安机关网安部门进行备案。
3、安全建设:以《基本要求》中对应等级的要求为标准,对定级对象当前不满足要求的进行建设整改。
4、等级测评:委托具备测评资质的测评机构对定级对象进行等级测评,形成正式的测评报告。
5、监督检查:向当地公安机关网安部门提交测评报告,配合完成对网络安全等级保护实施情况的检查。