您的位置: 網(wǎng)絡(luò)安全>
        教育行業(yè)信息系統(tǒng)安全等級保護定級工作指南
         發(fā)布日期:2019-12-25 瀏覽量: 

        教育行業(yè)信息系統(tǒng)安全等級保護
        定級工作指南
        (試行)
        1、總則
        本指南依據(jù)國家信息安全等級保護相關(guān)政策和標準,結(jié)合教育行業(yè)信息化工作的特點和具體實際,對教育行業(yè)信息系統(tǒng)進行分類,提出安全等級保護的定級思路,給出建議等級,明確工作流程。
        本指南適用于各級教育行政部門及其直屬事業(yè)單位、各級各類學(xué)校的非涉密信息系統(tǒng)安全等級保護定級工作。
        信息系統(tǒng)的定級工作應(yīng)在信息系統(tǒng)設(shè)計階段完成,與信息系統(tǒng)建設(shè)同步實施。
        2、定級依據(jù)
        中華人民共和國計算機信息系統(tǒng)安全保護條例》(國務(wù)院第147號令)
        《信息系統(tǒng)安全等級保護定級指南》(GB/T 22240-2008)
        《信息系統(tǒng)安全等級保護實施指南》(GB/T 25058-2010)
        《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》(公信安〔2007〕861號)
        《信息安全等級保護管理辦法》(公通字〔2007〕43號)
        3、信息系統(tǒng)的類型劃分
        信息系統(tǒng)的類型劃分是進行信息系統(tǒng)安全等級劃分的前提和基礎(chǔ)。按照信息系統(tǒng)的主管單位、業(yè)務(wù)對象、部署模式對教育行業(yè)信息系統(tǒng)進行分類,形成信息系統(tǒng)分類表(附件1)。
        3.1 按信息系統(tǒng)主管單位劃分
        按照信息系統(tǒng)主管單位的不同,信息系統(tǒng)分為“教育行政部門及其直屬事業(yè)單位信息系統(tǒng)”(簡稱“部門信息系統(tǒng)”)和“學(xué)校信息系統(tǒng)”兩類。
        部門信息系統(tǒng)可分為教育部機關(guān)及其直屬事業(yè)單位信息系統(tǒng)(部級系統(tǒng))、省級教育行政部門及其直屬事業(yè)單位信息系統(tǒng)(省級系統(tǒng))、地市級教育行政部門及其直屬事業(yè)單位信息系統(tǒng)(市級系統(tǒng))和區(qū)縣級教育行政部門及其直屬事業(yè)單位信息系統(tǒng)(縣級系統(tǒng));學(xué)校信息系統(tǒng)可分為重點建設(shè)類高等學(xué)校信息系統(tǒng)(I類)、高等學(xué)校信息系統(tǒng)(Ⅱ類)、中小學(xué)校(含中職中專院校)信息系統(tǒng)(Ⅲ類)。
        3.2 按信息系統(tǒng)業(yè)務(wù)對象劃分
        根據(jù)信息系統(tǒng)業(yè)務(wù)對象不同,部門信息系統(tǒng)可分為政務(wù)管理類、學(xué)校管理類、學(xué)生管理類、教師管理類、綜合服務(wù)類;學(xué)校信息系統(tǒng)可分為校務(wù)管理類、教學(xué)科研類、招生就業(yè)類、綜合服務(wù)類。
        3.3 按信息系統(tǒng)部署模式劃分
        根據(jù)信息系統(tǒng)的部署模式,信息系統(tǒng)可以分為內(nèi)部系統(tǒng)和統(tǒng)一運行系統(tǒng)。內(nèi)部系統(tǒng)是指僅供本單位內(nèi)部使用,實現(xiàn)本單位業(yè)務(wù)管理與服務(wù)的信息系統(tǒng)。統(tǒng)一運行系統(tǒng)是指供多家(級)單位共同使用,實現(xiàn)某項業(yè)務(wù)的跨單位統(tǒng)一管理與服務(wù)的信息系統(tǒng)。
        統(tǒng)一運行系統(tǒng)可進一步分為集中式系統(tǒng)和分布式系統(tǒng)。集中式信息系統(tǒng)邏輯上是一套系統(tǒng),在一個單位統(tǒng)一部署、管理和運行,多家(級)單位共同使用,實現(xiàn)信息系統(tǒng)、業(yè)務(wù)流程和數(shù)據(jù)的集中式管理;分布式信息系統(tǒng)邏輯上是多套系統(tǒng)在多家(級)單位分別部署、管理和運行,通過技術(shù)接口實現(xiàn)信息系統(tǒng)、業(yè)務(wù)流程和數(shù)據(jù)的分布式管理。
        4、信息系統(tǒng)的定級思路
        信息系統(tǒng)的定級思路是在信息系統(tǒng)分類的基礎(chǔ)上,參照國家對信息系統(tǒng)的安全保護等級標準的等級劃分,形成教育行業(yè)信息系統(tǒng)安全等級劃分建議。按主管單位不同,分別對部門信息系統(tǒng)和學(xué)校信息系統(tǒng)采取不同的思路進行分析,分別形成信息系統(tǒng)安全等級建議表(附件2)。實際定級工作中,信息系統(tǒng)所定等級原則上不應(yīng)低于建議等級。如遇未能涵蓋的信息系統(tǒng),可按照下述定級思路綜合分析,確定安全等級。
        4.1 定級思路概述
        部門信息系統(tǒng)與學(xué)校信息系統(tǒng)分別定級。由于面向的對象不同、承載的業(yè)務(wù)不同、受到破壞后造成的侵害程度不同,采取不同的定級思路。
           信息系統(tǒng)受到破壞后造成的危害程度與其安全等級正相關(guān),造成的危害程度越大,安全等級應(yīng)越高。
        4.2 部門信息系統(tǒng)定級思路
        部門信息系統(tǒng)根據(jù)行政級別、部署模式和業(yè)務(wù)類型與性質(zhì)三個維度分析受到破壞后造成的危害程度。
        行政級別與危害程度分析。行政級別與信息系統(tǒng)受到破壞后造成的危害程度正相關(guān),級別越高則危害程度越嚴重,反之則相對較輕。
        部署模式與危害程度分析。部署模式與信息系統(tǒng)受到破壞后造成的危害程度正相關(guān),涉及的單位越多則危害程度越嚴重,統(tǒng)一運行信息系統(tǒng)大于內(nèi)部信息系統(tǒng)。
        業(yè)務(wù)類型與性質(zhì)的判斷分析詳見4.4
        4.3 學(xué)校信息系統(tǒng)定級思路
        學(xué)校信息系統(tǒng)根據(jù)辦學(xué)規(guī)模、社會影響力、業(yè)務(wù)類型三個維度分析受到破壞后造成的危害程度。
        辦學(xué)規(guī)模與危害程度分析。辦學(xué)規(guī)模與信息系統(tǒng)受到破壞后造成的危害程度正相關(guān),規(guī)模越大則危害程度越嚴重,高等學(xué)校信息系統(tǒng)大于中小學(xué)校信息系統(tǒng)。
        社會影響力與危害程度分析。社會影響力與信息系統(tǒng)受到破壞后造成的危害程度正相關(guān),影響力越大則危害程度越嚴重,“985工程學(xué)校和“211工程”學(xué)校大于其他高等學(xué)校。
        業(yè)務(wù)類型與性質(zhì)的判斷分析詳見4.4。
        4.4 業(yè)務(wù)類型與性質(zhì)的判斷分析
        業(yè)務(wù)類型與危害程度分析。承載教育教學(xué)管理與服務(wù)核心業(yè)務(wù)的信息系統(tǒng)較承載一般業(yè)務(wù)的信息系統(tǒng)受到破壞后造成的危害程度嚴重。教育教學(xué)管理與服務(wù)的核心業(yè)務(wù)包括學(xué)籍學(xué)歷管理、學(xué)位管理、招生錄取管理、考試考務(wù)管理、教師管理、門戶網(wǎng)站管理。
        業(yè)務(wù)連續(xù)性與危害程度分析。業(yè)務(wù)的連續(xù)性要求與信息系統(tǒng)受到破壞后造成的危害程度正相關(guān),連續(xù)性要求越高,其受破壞危害越嚴重;
        業(yè)務(wù)數(shù)據(jù)重要性與危害程度分析。業(yè)務(wù)數(shù)據(jù)的重要性要求與信息系統(tǒng)受到破壞后造成的危害程度正相關(guān),涉及的國家安全、個人隱私和相關(guān)數(shù)據(jù)的信息系統(tǒng),其受破壞危害更嚴重。
        5、信息系統(tǒng)的定級工作流程
        教育行業(yè)信息系統(tǒng)安全等級保護應(yīng)堅持“自主定級、自主保護”的原則,依據(jù)《信息系統(tǒng)安全等級保護定級指南》的定級原理、方法,參照本指南的信息系統(tǒng)類型劃分、定級思路組織開展信息系統(tǒng)定級工作。
        5.1 確定定級責(zé)任主體
        信息系統(tǒng)應(yīng)明確定級工作的責(zé)任主體。按照“誰主管誰負責(zé)、誰運維誰負責(zé)、誰使用誰負責(zé)”的原則,信息系統(tǒng)的主管單位為定級工作的責(zé)任主體,負責(zé)組織運維單位、使用單位開展信息系統(tǒng)定級工作。集中式信息系統(tǒng)由信息系統(tǒng)牽頭建設(shè)單位負責(zé)組織信息系統(tǒng)定級工作。分布式信息系統(tǒng)由牽頭建設(shè)單位負責(zé)組織信息系統(tǒng)定級工作,確定中心信息系統(tǒng)安全保護等級;各分支信息系統(tǒng)的主管單位參照中心系統(tǒng)的安全保護等級自主組織定級工作。信息系統(tǒng)的運維單位應(yīng)協(xié)助主管單位完成定級過程中的具體技術(shù)支撐工作。
        5.2 自主定級
        主管單位對本單位信息系統(tǒng)進行梳理分析,參考附表2的建議等級進行自主定級,確定信息系統(tǒng)安全保護等級。對于承載復(fù)雜業(yè)務(wù)的信息系統(tǒng),安全保護等級可高于建議等級;對于承載多個業(yè)務(wù)的信息系統(tǒng),應(yīng)以所承載業(yè)務(wù)的信息系統(tǒng)的最高建議等級進行定級。
        5.3  專家評審
        主管單位完成信息系統(tǒng)自主定級后,需聘請有關(guān)信息安全等級保護專家對信息系統(tǒng)自主定級情況進行評審,形成評審意見。擬確定為第四級及以上的信息系統(tǒng),由教育部邀請國家信息安全保護等級專家評審委員會進行評審;擬確定為其他等級信息系統(tǒng)可由定級責(zé)任主體自行聘請專家進行評審。
        5.4  主管部門審核批準
        主管單位完成信息系統(tǒng)專家評審后,需填寫《信息系統(tǒng)安全等級保護定級報告》(附件3)、《信息系統(tǒng)安全等級保護備案表》(附件4)和信息系統(tǒng)安全等級保護專家評審意見等材料。各級教育行政部門將相關(guān)材料報送至上一級教育行政部門進行審核,直屬事業(yè)單位和各級各類學(xué)校按照隸屬關(guān)系將相關(guān)材料報送至所屬教育行政部門或有關(guān)部門進行審批。
        5.5  公安機關(guān)備案
        經(jīng)審核批準的二級以上信息系統(tǒng),由其主管單位負責(zé)組織到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。教育部全國聯(lián)網(wǎng)統(tǒng)一運行系統(tǒng)由教育部統(tǒng)一向公安部備案,其在各地運行、應(yīng)用的分支系統(tǒng),由主管單位組織向所在地公安部門備案,確定為三級以上信息系統(tǒng)同時報教育部備案。
        6、等級變更
        信息系統(tǒng)運行過程中,當系統(tǒng)狀態(tài)變化可能導(dǎo)致業(yè)務(wù)信息安全或系統(tǒng)服務(wù)受到破壞后的受侵害對象和受侵害程度有較大的變化時,應(yīng)根據(jù)具體情況重新定級,并變更等級。
         
        附件:
        附件1信息系統(tǒng)分類表.docx
        附件2信息系統(tǒng)安全保護等級建議表.docx
        附件3信息系統(tǒng)安全等級保護定級報告.docx
        附件4信息系統(tǒng)安全等級保護備案表.docx

        
            
            
          
国产粉嫩无码不卡在线观看,无码专区中文字幕,免费一级a一片在线播放高清,亚洲欧美久久夜夜综合网
A∨无码人妻系列在线