教育行業(yè)信息系統(tǒng)安全等級保護(hù)
定級工作指南
(試行)
1、總則
本指南依據(jù)國家信息安全等級保護(hù)相關(guān)政策和標(biāo)準(zhǔn),結(jié)合教育行業(yè)信息化工作的特點和具體實際,對教育行業(yè)信息系統(tǒng)進(jìn)行分類,提出安全等級保護(hù)的定級思路,給出建議等級,明確工作流程。
本指南適用于各級教育行政部門及其直屬事業(yè)單位、各級各類學(xué)校的非涉密信息系統(tǒng)安全等級保護(hù)定級工作。
信息系統(tǒng)的定級工作應(yīng)在信息系統(tǒng)設(shè)計階段完成,與信息系統(tǒng)建設(shè)同步實施。
2、定級依據(jù)
《中華人民共和國計算機信息系統(tǒng)安全保護(hù)條例》(國務(wù)院第147號令)
《信息系統(tǒng)安全等級保護(hù)定級指南》(GB/T 22240-2008)
《信息系統(tǒng)安全等級保護(hù)實施指南》(GB/T 25058-2010)
《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》(公信安〔2007〕861號)
《信息安全等級保護(hù)管理辦法》(公通字〔2007〕43號)
3、信息系統(tǒng)的類型劃分
信息系統(tǒng)的類型劃分是進(jìn)行信息系統(tǒng)安全等級劃分的前提和基礎(chǔ)。按照信息系統(tǒng)的主管單位、業(yè)務(wù)對象、部署模式對教育行業(yè)信息系統(tǒng)進(jìn)行分類,形成信息系統(tǒng)分類表(附件1)。
3.1 按信息系統(tǒng)主管單位劃分
按照信息系統(tǒng)主管單位的不同,信息系統(tǒng)分為“教育行政部門及其直屬事業(yè)單位信息系統(tǒng)”(簡稱“部門信息系統(tǒng)”)和“學(xué)校信息系統(tǒng)”兩類。
部門信息系統(tǒng)可分為教育部機關(guān)及其直屬事業(yè)單位信息系統(tǒng)(部級系統(tǒng))、省級教育行政部門及其直屬事業(yè)單位信息系統(tǒng)(省級系統(tǒng))、地市級教育行政部門及其直屬事業(yè)單位信息系統(tǒng)(市級系統(tǒng))和區(qū)縣級教育行政部門及其直屬事業(yè)單位信息系統(tǒng)(縣級系統(tǒng));學(xué)校信息系統(tǒng)可分為重點建設(shè)類高等學(xué)校信息系統(tǒng)(I類)、高等學(xué)校信息系統(tǒng)(Ⅱ類)、中小學(xué)校(含中職中專院校)信息系統(tǒng)(Ⅲ類)。
3.2 按信息系統(tǒng)業(yè)務(wù)對象劃分
根據(jù)信息系統(tǒng)業(yè)務(wù)對象不同,部門信息系統(tǒng)可分為政務(wù)管理類、學(xué)校管理類、學(xué)生管理類、教師管理類、綜合服務(wù)類;學(xué)校信息系統(tǒng)可分為校務(wù)管理類、教學(xué)科研類、招生就業(yè)類、綜合服務(wù)類。
3.3 按信息系統(tǒng)部署模式劃分
根據(jù)信息系統(tǒng)的部署模式,信息系統(tǒng)可以分為內(nèi)部系統(tǒng)和統(tǒng)一運行系統(tǒng)。內(nèi)部系統(tǒng)是指僅供本單位內(nèi)部使用,實現(xiàn)本單位業(yè)務(wù)管理與服務(wù)的信息系統(tǒng)。統(tǒng)一運行系統(tǒng)是指供多家(級)單位共同使用,實現(xiàn)某項業(yè)務(wù)的跨單位統(tǒng)一管理與服務(wù)的信息系統(tǒng)。
統(tǒng)一運行系統(tǒng)可進(jìn)一步分為集中式系統(tǒng)和分布式系統(tǒng)。集中式信息系統(tǒng)邏輯上是一套系統(tǒng),在一個單位統(tǒng)一部署、管理和運行,多家(級)單位共同使用,實現(xiàn)信息系統(tǒng)、業(yè)務(wù)流程和數(shù)據(jù)的集中式管理;分布式信息系統(tǒng)邏輯上是多套系統(tǒng)在多家(級)單位分別部署、管理和運行,通過技術(shù)接口實現(xiàn)信息系統(tǒng)、業(yè)務(wù)流程和數(shù)據(jù)的分布式管理。
4、信息系統(tǒng)的定級思路
信息系統(tǒng)的定級思路是在信息系統(tǒng)分類的基礎(chǔ)上,參照國家對信息系統(tǒng)的安全保護(hù)等級標(biāo)準(zhǔn)的等級劃分,形成教育行業(yè)信息系統(tǒng)安全等級劃分建議。按主管單位不同,分別對部門信息系統(tǒng)和學(xué)校信息系統(tǒng)采取不同的思路進(jìn)行分析,分別形成信息系統(tǒng)安全等級建議表(附件2)。實際定級工作中,信息系統(tǒng)所定等級原則上不應(yīng)低于建議等級。如遇未能涵蓋的信息系統(tǒng),可按照下述定級思路綜合分析,確定安全等級。
4.1 定級思路概述
部門信息系統(tǒng)與學(xué)校信息系統(tǒng)分別定級。由于面向的對象不同、承載的業(yè)務(wù)不同、受到破壞后造成的侵害程度不同,采取不同的定級思路。
信息系統(tǒng)受到破壞后造成的危害程度與其安全等級正相關(guān),造成的危害程度越大,安全等級應(yīng)越高。
4.2 部門信息系統(tǒng)定級思路
部門信息系統(tǒng)根據(jù)行政級別、部署模式和業(yè)務(wù)類型與性質(zhì)三個維度分析受到破壞后造成的危害程度。
行政級別與危害程度分析。行政級別與信息系統(tǒng)受到破壞后造成的危害程度正相關(guān),級別越高則危害程度越嚴(yán)重,反之則相對較輕。
部署模式與危害程度分析。部署模式與信息系統(tǒng)受到破壞后造成的危害程度正相關(guān),涉及的單位越多則危害程度越嚴(yán)重,統(tǒng)一運行信息系統(tǒng)大于內(nèi)部信息系統(tǒng)。
業(yè)務(wù)類型與性質(zhì)的判斷分析詳見4.4
4.3 學(xué)校信息系統(tǒng)定級思路
學(xué)校信息系統(tǒng)根據(jù)辦學(xué)規(guī)模、社會影響力、業(yè)務(wù)類型三個維度分析受到破壞后造成的危害程度。
辦學(xué)規(guī)模與危害程度分析。辦學(xué)規(guī)模與信息系統(tǒng)受到破壞后造成的危害程度正相關(guān),規(guī)模越大則危害程度越嚴(yán)重,高等學(xué)校信息系統(tǒng)大于中小學(xué)校信息系統(tǒng)。
社會影響力與危害程度分析。社會影響力與信息系統(tǒng)受到破壞后造成的危害程度正相關(guān),影響力越大則危害程度越嚴(yán)重,“985工程”學(xué)校和“211工程”學(xué)校大于其他高等學(xué)校。
業(yè)務(wù)類型與性質(zhì)的判斷分析詳見4.4。
4.4 業(yè)務(wù)類型與性質(zhì)的判斷分析
業(yè)務(wù)類型與危害程度分析。承載教育教學(xué)管理與服務(wù)核心業(yè)務(wù)的信息系統(tǒng)較承載一般業(yè)務(wù)的信息系統(tǒng)受到破壞后造成的危害程度嚴(yán)重。教育教學(xué)管理與服務(wù)的核心業(yè)務(wù)包括學(xué)籍學(xué)歷管理、學(xué)位管理、招生錄取管理、考試考務(wù)管理、教師管理、門戶網(wǎng)站管理等。
業(yè)務(wù)連續(xù)性與危害程度分析。業(yè)務(wù)的連續(xù)性要求與信息系統(tǒng)受到破壞后造成的危害程度正相關(guān),連續(xù)性要求越高,其受破壞危害越嚴(yán)重;
業(yè)務(wù)數(shù)據(jù)重要性與危害程度分析。業(yè)務(wù)數(shù)據(jù)的重要性要求與信息系統(tǒng)受到破壞后造成的危害程度正相關(guān),涉及的國家安全、個人隱私和相關(guān)數(shù)據(jù)的信息系統(tǒng),其受破壞危害更嚴(yán)重。
5、信息系統(tǒng)的定級工作流程
教育行業(yè)信息系統(tǒng)安全等級保護(hù)應(yīng)堅持“自主定級、自主保護(hù)”的原則,依據(jù)《信息系統(tǒng)安全等級保護(hù)定級指南》的定級原理、方法,參照本指南的信息系統(tǒng)類型劃分、定級思路組織開展信息系統(tǒng)定級工作。
5.1 確定定級責(zé)任主體
信息系統(tǒng)應(yīng)明確定級工作的責(zé)任主體。按照“誰主管誰負(fù)責(zé)、誰運維誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則,信息系統(tǒng)的主管單位為定級工作的責(zé)任主體,負(fù)責(zé)組織運維單位、使用單位開展信息系統(tǒng)定級工作。集中式信息系統(tǒng)由信息系統(tǒng)牽頭建設(shè)單位負(fù)責(zé)組織信息系統(tǒng)定級工作。分布式信息系統(tǒng)由牽頭建設(shè)單位負(fù)責(zé)組織信息系統(tǒng)定級工作,確定中心信息系統(tǒng)安全保護(hù)等級;各分支信息系統(tǒng)的主管單位參照中心系統(tǒng)的安全保護(hù)等級自主組織定級工作。信息系統(tǒng)的運維單位應(yīng)協(xié)助主管單位完成定級過程中的具體技術(shù)支撐工作。
5.2 自主定級
主管單位對本單位信息系統(tǒng)進(jìn)行梳理分析,參考附表2的建議等級進(jìn)行自主定級,確定信息系統(tǒng)安全保護(hù)等級。對于承載復(fù)雜業(yè)務(wù)的信息系統(tǒng),安全保護(hù)等級可高于建議等級;對于承載多個業(yè)務(wù)的信息系統(tǒng),應(yīng)以所承載業(yè)務(wù)的信息系統(tǒng)的最高建議等級進(jìn)行定級。
5.3 專家評審
主管單位完成信息系統(tǒng)自主定級后,需聘請有關(guān)信息安全等級保護(hù)專家對信息系統(tǒng)自主定級情況進(jìn)行評審,形成評審意見。擬確定為第四級及以上的信息系統(tǒng),由教育部邀請國家信息安全保護(hù)等級專家評審委員會進(jìn)行評審;擬確定為其他等級信息系統(tǒng)可由定級責(zé)任主體自行聘請專家進(jìn)行評審。
5.4 主管部門審核批準(zhǔn)
主管單位完成信息系統(tǒng)專家評審后,需填寫《信息系統(tǒng)安全等級保護(hù)定級報告》(附件3)、《信息系統(tǒng)安全等級保護(hù)備案表》(附件4)和信息系統(tǒng)安全等級保護(hù)專家評審意見等材料。各級教育行政部門將相關(guān)材料報送至上一級教育行政部門進(jìn)行審核,直屬事業(yè)單位和各級各類學(xué)校按照隸屬關(guān)系將相關(guān)材料報送至所屬教育行政部門或有關(guān)部門進(jìn)行審批。
5.5 公安機關(guān)備案
經(jīng)審核批準(zhǔn)的二級以上信息系統(tǒng),由其主管單位負(fù)責(zé)組織到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。教育部全國聯(lián)網(wǎng)統(tǒng)一運行系統(tǒng)由教育部統(tǒng)一向公安部備案,其在各地運行、應(yīng)用的分支系統(tǒng),由主管單位組織向所在地公安部門備案,確定為三級以上信息系統(tǒng)同時報教育部備案。
6、等級變更
信息系統(tǒng)運行過程中,當(dāng)系統(tǒng)狀態(tài)變化可能導(dǎo)致業(yè)務(wù)信息安全或系統(tǒng)服務(wù)受到破壞后的受侵害對象和受侵害程度有較大的變化時,應(yīng)根據(jù)具體情況重新定級,并變更等級。
附件:
附件2信息系統(tǒng)安全保護(hù)等級建議表.docx
附件3信息系統(tǒng)安全等級保護(hù)定級報告.docx
附件4信息系統(tǒng)安全等級保護(hù)備案表.docx