《教育行业信息系统安全等级保护定级工作指南(试行)》由会员分享,可在线阅读,更多相关《教育行业信息系统安全等级保护定级工作指南(试行)(39页珍藏版)》请在金锄头文库上搜索。
1、教育行业业信息系系统安全全等级保保护定级工作作指南(试行)1 总则本指南依依据国家家信息安安全等级级保护相相关政策策和标准准,结合合教育行行业信息息化工作作的特点点和具体体实际,对对教育行行业信息息系统进进行分类类,提出出安全等等级保护护的定级级思路,给给出建议议等级,明明确工作作流程。本指南适适用于各各级教育育行政部部门及其其直属事事业单位位、各级级各类学学校的非非涉密信信息系统统安全等等级保护护定级工工作。信息系统统的定级级工作应应在信息息系统设设计阶段段完成,与与信息系系统建设设同步实实施。2 定级依据据中华人人民共和和国计算算机信息息系统安安全保护护条例(国务院第147号令)信息系系统
2、安全全等级保保护定级级指南(GGB/TT 2222400-20008)信息系系统安全全等级保保护实施施指南(GGB/TT 2550588-20010)关于开开展全国国重要信信息系统统安全等等级保护护定级工工作的通通知(公公信安2200778661号)信息安安全等级级保护管管理办法法(公公通字220077433号)3 信息系统统的类型型划分信息系统统的类型型划分是是进行信信息系统统安全等等级划分分的前提提和基础础。按照照信息系统统的主管管单位、业业务对象象、部署署模式对对教育行行业信息息系统进进行分类类,形成成信息系系统分类类表(附附件1)。3.1 按信息系系统主管管单位划划分按照信息息系统主主
3、管单位位的不同同,信息息系统分分为“教教育行政政部门及及其直属属事业单单位信息息系统”(简简称“部部门信息息系统”)和和“学校校信息系系统”两两类。部门信息息系统可可分为教教育部机机关及其其直属事事业单位位信息系系统(部部级系统统)、省省级教育育行政部部门及其其直属事事业单位位信息系系统(省省级系统统)、地地市级教教育行政政部门及及其直属属事业单单位信息息系统(市市级系统统)和区区县级教教育行政政部门及及其直属属事业单单位信息息系统(县县级系统统);学学校信息息系统可可分为重重点建设设类高等等学校信信息系统统(I类类)、高等等学校信信息系统统(类类)、中小小学校(含含中职中中专院校校)信息息系
4、统(类)。3.2 按信息息系统业业务对象象划分根据信息息系统业业务对象象不同,部门信息系统可分为政务管理类、学校管理类、学生管理类、教师管理类、综合服务类;学校信息系统可分为校务管理类、教学科研类、招生就业类、综合服务类。3.3 按信息息系统部部署模式式划分根据信息息系统的的部署模模式,信信息系统统可以分分为内部部系统和和统一运运行系统统。内部部系统是是指仅供供本单位位内部使使用,实实现本单单位业务务管理与与服务的的信息系系统。统统一运行行系统是是指供多多家(级级)单位位共同使使用,实实现某项项业务的的跨单位位统一管管理与服服务的信信息系统统。统一运行行系统可可进一步步分为集集中式系系统和分分
5、布式系系统。集集中式信信息系统统逻辑上上是一套套系统,在在一个单单位统一一部署、管管理和运运行,多多家(级级)单位位共同使使用,实实现信息息系统、业业务流程程和数据据的集中中式管理理;分布布式信息息系统逻逻辑上是是多套系系统在多多家(级级)单位位分别部部署、管管理和运运行,通通过技术术接口实实现信息息系统、业业务流程程和数据据的分布布式管理理。4 信息系统统的定级级思路信息系统统的定级级思路是是在信息系系统分类类的基础上上,参照照国家对对信息系系统的安安全保护护等级标标准的等等级划分分,形成成教育行行业信息息系统安安全等级级划分建建议。按主管单单位不同同,分别对部部门信息息系统和学校信息息系统
6、采取取不同的的思路进行行分析,分别形成信息系统安全等级建议表(附件2)。实际定级工作中,信息系统所定等级原则上不应低于建议等级。如遇未能涵盖的信息系统,可按照下述定级思路综合分析,确定安全等级。4.1 定级思思路概述述部门信息息系统与与学校信信息系统统分别定定级。由由于面向向的对象象不同、承承载的业业务不同同、受到到破坏后后造成的的侵害程程度不同同,采取取不同的的定级思思路。 信信息系统统受到破破坏后造造成的危危害程度度与其安安全等级级正相关关,造成成的危害害程度越越大,安安全等级级应越高高。4.2 部门信信息系统统定级思思路部门信息息系统根根据行政政级别、部部署模式式和业务务类型与与性质三个
7、个维度分分析受到到破坏后后造成的的危害程程度。行政级别别与危害害程度分分析。行行政级别别与信息息系统受受到破坏坏后造成成的危害害程度正正相关,级级别越高高则危害害程度越越严重,反反之则相相对较轻轻。部署模式式与危害害程度分分析。部部署模式式与信息息系统受受到破坏坏后造成成的危害害程度正正相关,涉涉及的单单位越多多则危害害程度越越严重,统统一运行行信息系系统大于于内部信信息系统统。业务类型型与性质质的判断分分析详见见4.444.3 学校信息息系统定定级思路路学校信息息系统根根据办学学规模、社社会影响响力、业业务类型型三个维维度分析析受到破破坏后造造成的危危害程度度。办学规模模与危害害程度分分析。
8、办办学规模模与信息息系统受受到破坏坏后造成成的危害害程度正正相关,规规模越大大则危害害程度越越严重,高高等学校校信息系系统大于于中小学学校信息息系统。社会影响响力与危危害程度度分析。社社会影响响力与信信息系统统受到破破坏后造造成的危危害程度度正相关关,影响响力越大大则危害害程度越越严重,“985工程”学校和“211工程”学校大于其他高等学校。业务类型型与性质的判断分析析详见44.4。4.4 业务类型型与性质的判断分析析业务类型型与危害害程度分分析。承承载教育育教学管管理与服服务核心心业务的的信息系系统较承承载一般般业务的的信息系系统受到到破坏后后造成的的危害程程度严重重。教育育教学管管理与服服
9、务的核核心业务务包括学学籍学历历管理、学学位管理理、招生生录取管管理、考考试考务务管理、教教师管理理、门户户网站管管理等。业务连续续性与危危害程度度分析。业业务的连连续性要要求与信信息系统统受到破破坏后造造成的危危害程度度正相关关,连续续性要求求越高,其其受破坏坏危害越越严重;业务数据据重要性性与危害害程度分分析。业业务数据据的重要要性要求求与信息息系统受受到破坏坏后造成成的危害害程度正正相关,涉涉及的国国家安全全、个人人隐私和和相关数数据的信信息系统统,其受受破坏危危害更严严重。5 信息系统统的定级级工作流流程教育行业业信息系系统安全全等级保保护应坚坚持“自自主定级级、自主主保护”的的原则,
10、依依据信息系统统安全等等级保护护定级指指南的定级原原理、方方法,参照本本指南的的信息系系统类型型划分、定定级思路路组织开展展信息系统统定级工工作。5.1 确定定定级责任任主体信息系统统应明确确定级工工作的责责任主体体。按照照“谁主主管谁负负责、谁谁运维谁谁负责、谁谁使用谁谁负责”的的原则,信信息系统统的主管管单位为为定级工工作的责责任主体体,负责责组织运运维单位位、使用用单位开开展信息息系统定定级工作作。集中中式信息息系统由由信息系系统牵头头建设单单位负责责组织信信息系统统定级工工作。分分布式信信息系统统由牵头头建设单单位负责责组织信信息系统统定级工工作,确确定中心心信息系系统安全全保护等等级
11、;各各分支信信息系统统的主管管单位参参照中心心系统的的安全保保护等级级自主组组织定级级工作。信信息系统统的运维维单位应应协助主主管单位位完成定定级过程程中的具具体技术术支撑工工作。5.2 自主定级级主管单位位对本单单位信息息系统进进行梳理理分析,参参考附表表2的建议议等级进进行自主主定级,确确定信息息系统安安全保护护等级。对对于承载载复杂业业务的信信息系统统,安全全保护等等级可高高于建议议等级;对于承承载多个个业务的的信息系系统,应应以所承承载业务务的信息息系统的的最高建建议等级级进行定定级。5.3 专家评评审主管单位位完成信信息系统统自主定定级后,需需聘请有有关信息息安全等等级保护护专家对对
12、信息系系统自主主定级情情况进行行评审,形形成评审审意见。拟确定为第四级及以上的信息系统,由教育部邀请国家信息安全保护等级专家评审委员会进行评审;拟确定为其他等级信息系统可由定级责任主体自行聘请专家进行评审。5.4 主管部部门审核核批准主管单位位完成信信息系统统专家评评审后,需需填写信信息系统统安全等等级保护护定级报报告(附件3)、信息系统安全等级保护备案表(附件4)和信息系统安全等级保护专家评审意见等材料。各级教育行政部门将相关材料报送至上一级教育行政部门进行审核,直属事业单位和各级各类学校按照隶属关系将相关材料报送至所属教育行政部门或有关部门进行审批。5.5 公安机机关备案案经审核批批准的二
13、二级以上上信息系系统,由由其主管管单位负负责组织织到所在在地设区区的市级级以上公公安机关关办理备备案手续续。教育育部全国国联网统统一运行行系统由由教育部部统一向向公安部部备案,其其在各地地运行、应应用的分分支系统统,由主主管单位位组织向所所在地公公安部门门备案,确定为为三级以以上信息息系统同同时报教教育部备备案。6 等级变更更信息系统统运行过过程中,当当系统状状态变化化可能导导致业务务信息安安全或系系统服务务受到破破坏后的的受侵害害对象和和受侵害害程度有有较大的的变化时时,应根根据具体体情况重重新定级级,并变变更等级级。附件:11.信息息系统分分类表 2.信息系系统安全全保护等等级建议议表3.
14、信息息系统安安全等级级保护定定级报告告4.信息息系统安安全等级级保护备备案表8附件1信息系统统分类表表表1:部部门信息息系统分分类表序号分类信息系统统业务描述述1.(01)政务管理理类(01)办公与与事务处处理公文流转转与日常常办公事事务处理理等。2.(02)公文与与信息交交换上下级教教育行政政部门和和学校之之间的文文件传输输、信息息报送等等。3.(03)人事管管理人力资源源管理,如如人员招招聘、合合同管理理、工资资管理、培培训管理理、绩效效考核、奖奖惩管理理等。4.(04)财务管管理会计核算算、项目目经费管管理、财财务信息息发布等等。5.(05)资产管管理固定资产产、仪器器设备管管理等。6.
15、(06)信访管管理信访业务务受理、办办理、反反馈、统统计等。7.(07)档案管管理档案采集集、立卷卷、组卷卷、统计计、查询询等。8.(08)党务管管理党员个人人基本信信息管理理、发展展党员信信息管理理、党员员进出情情况信息息管理、党党员奖惩惩信息管管理、党党组织活活动信息息发布等等。9.(09)科研管管理科研项目目申报、过过程管理理、经费费管理、结结果评估估等。10.(10)教育统统计管理理各类法定定教育统统计数据据的采集集、汇总总、上报报、查询询和分析析等。11.(11)决策支支持数据分析析、知识识发现、决决策支持持等。12.(12)应急指指挥突发事件件应急指指挥与处处置、监监控管理理、预测测统计、报报警联动动等。13.(13)舆情监监测与管管理互联网信信息舆情情监测、分分析与处处理等。14.(14)高等教教育招生生计划管管理招生计划划管理、高高等教育育机构招招生资格格管理等等。15.(15)普通高高校招生生网上录录取管理理全国普通通高校招招生网上上录取系系统。16.(16)教育考考试考务务管理与与服务考务工作作信息资资源和数数据交换换、考务务工作管管理、数数据分析析、决策策指
