1 總則
本指南依據(jù)國家信息安全等級(jí)保護(hù)相關(guān)政策和標(biāo)準(zhǔn)�,結(jié)合教育行業(yè)信息化工作的特點(diǎn)和具體實(shí)際,對(duì)教育行業(yè)信息系統(tǒng)進(jìn)行分類����,提出安全等級(jí)保護(hù)的定級(jí)思路,給出建議等級(jí)��,明確工作流程���。
本指南適用于各級(jí)教育行政部門及其直屬事業(yè)單位���、各級(jí)各類學(xué)校的非涉密信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作�����。
信息系統(tǒng)的定級(jí)工作應(yīng)在信息系統(tǒng)設(shè)計(jì)階段完成�����,與信息系統(tǒng)建設(shè)同步實(shí)施�。
2 定級(jí)依據(jù)
《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(國務(wù)院第147號(hào)令)
《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》(GB/T 22240-2008)
《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》(GB/T 25058-2010)
《關(guān)于開展全國重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》(公信安〔2007〕861號(hào))
《信息安全等級(jí)保護(hù)管理辦法》(公通字〔2007〕43號(hào))
3 信息系統(tǒng)的類型劃分
信息系統(tǒng)的類型劃分是進(jìn)行信息系統(tǒng)安全等級(jí)劃分的前提和基礎(chǔ)�。按照信息系統(tǒng)的主管單位、業(yè)務(wù)對(duì)象����、部署模式對(duì)教育行業(yè)信息系統(tǒng)進(jìn)行分類,形成信息系統(tǒng)分類表(附件1)��。
3.1按信息系統(tǒng)主管單位劃分
按照信息系統(tǒng)主管單位的不同����,信息系統(tǒng)分為“教育行政部門及其直屬事業(yè)單位信息系統(tǒng)”(簡稱“部門信息系統(tǒng)”)和“學(xué)校信息系統(tǒng)”兩類。
部門信息系統(tǒng)可分為教育部機(jī)關(guān)及其直屬事業(yè)單位信息系統(tǒng)(部級(jí)系統(tǒng))���、省級(jí)教育行政部門及其直屬事業(yè)單位信息系統(tǒng)(省級(jí)系統(tǒng))��、地市級(jí)教育行政部門及其直屬事業(yè)單位信息系統(tǒng)(市級(jí)系統(tǒng))和區(qū)縣級(jí)教育行政部門及其直屬事業(yè)單位信息系統(tǒng)(縣級(jí)系統(tǒng))��;學(xué)校信息系統(tǒng)可分為重點(diǎn)建設(shè)類高等學(xué)校信息系統(tǒng)(I類)�、高等學(xué)校信息系統(tǒng)(Ⅱ類)、中小學(xué)校(含中職中專院校)信息系統(tǒng)(Ⅲ類)��。
3.2 按信息系統(tǒng)業(yè)務(wù)對(duì)象劃分
根據(jù)信息系統(tǒng)業(yè)務(wù)對(duì)象不同���,部門信息系統(tǒng)可分為政務(wù)管理類�����、學(xué)校管理類�、學(xué)生管理類�、教師管理類、綜合服務(wù)類�����;學(xué)校信息系統(tǒng)可分為校務(wù)管理類�、教學(xué)科研類�、招生就業(yè)類���、綜合服務(wù)類。
3.3 按信息系統(tǒng)部署模式劃分
根據(jù)信息系統(tǒng)的部署模式�����,信息系統(tǒng)可以分為內(nèi)部系統(tǒng)和統(tǒng)一運(yùn)行系統(tǒng)�。內(nèi)部系統(tǒng)是指僅供本單位內(nèi)部使用,實(shí)現(xiàn)本單位業(yè)務(wù)管理與服務(wù)的信息系統(tǒng)�����。統(tǒng)一運(yùn)行系統(tǒng)是指供多家(級(jí))單位共同使用���,實(shí)現(xiàn)某項(xiàng)業(yè)務(wù)的跨單位統(tǒng)一管理與服務(wù)的信息系統(tǒng)���。
統(tǒng)一運(yùn)行系統(tǒng)可進(jìn)一步分為集中式系統(tǒng)和分布式系統(tǒng)。集中式信息系統(tǒng)邏輯上是一套系統(tǒng)�����,在一個(gè)單位統(tǒng)一部署����、管理和運(yùn)行��,多家(級(jí))單位共同使用��,實(shí)現(xiàn)信息系統(tǒng)���、業(yè)務(wù)流程和數(shù)據(jù)的集中式管理;分布式信息系統(tǒng)邏輯上是多套系統(tǒng)在多家(級(jí))單位分別部署����、管理和運(yùn)行,通過技術(shù)接口實(shí)現(xiàn)信息系統(tǒng)����、業(yè)務(wù)流程和數(shù)據(jù)的分布式管理。
4 信息系統(tǒng)的定級(jí)思路
信息系統(tǒng)的定級(jí)思路是在信息系統(tǒng)分類的基礎(chǔ)上�����,參照國家對(duì)信息系統(tǒng)的安全保護(hù)等級(jí)標(biāo)準(zhǔn)的等級(jí)劃分��,形成教育行業(yè)信息系統(tǒng)安全等級(jí)劃分建議�����。按主管單位不同,分別對(duì)部門信息系統(tǒng)和學(xué)校信息系統(tǒng)采取不同的思路進(jìn)行分析����,分別形成信息系統(tǒng)安全等級(jí)建議表(附件2)���。實(shí)際定級(jí)工作中�����,信息系統(tǒng)所定等級(jí)原則上不應(yīng)低于建議等級(jí)�����。如遇未能涵蓋的信息系統(tǒng)�����,可按照下述定級(jí)思路綜合分析���,確定安全等級(jí)。
4.1 定級(jí)思路概述
部門信息系統(tǒng)與學(xué)校信息系統(tǒng)分別定級(jí)���。由于面向的對(duì)象不同��、承載的業(yè)務(wù)不同����、受到破壞后造成的侵害程度不同,采取不同的定級(jí)思路��。
信息系統(tǒng)受到破壞后造成的危害程度與其安全等級(jí)正相關(guān)����,造成的危害程度越大,安全等級(jí)應(yīng)越高���。
4.2 部門信息系統(tǒng)定級(jí)思路
部門信息系統(tǒng)根據(jù)行政級(jí)別��、部署模式和業(yè)務(wù)類型與性質(zhì)三個(gè)維度分析受到破壞后造成的危害程度��。
行政級(jí)別與危害程度分析�。行政級(jí)別與信息系統(tǒng)受到破壞后造成的危害程度正相關(guān)�����,級(jí)別越高則危害程度越嚴(yán)重�,反之則相對(duì)較輕。
部署模式與危害程度分析���。部署模式與信息系統(tǒng)受到破壞后造成的危害程度正相關(guān)��,涉及的單位越多則危害程度越嚴(yán)重��,統(tǒng)一運(yùn)行信息系統(tǒng)大于內(nèi)部信息系統(tǒng)�����。
業(yè)務(wù)類型與性質(zhì)的判斷分析詳見4.4
4.3學(xué)校信息系統(tǒng)定級(jí)思路
學(xué)校信息系統(tǒng)根據(jù)辦學(xué)規(guī)模��、社會(huì)影響力�、業(yè)務(wù)類型三個(gè)維度分析受到破壞后造成的危害程度����。
辦學(xué)規(guī)模與危害程度分析。辦學(xué)規(guī)模與信息系統(tǒng)受到破壞后造成的危害程度正相關(guān)�,規(guī)模越大則危害程度越嚴(yán)重,高等學(xué)校信息系統(tǒng)大于中小學(xué)校信息系統(tǒng)��。
社會(huì)影響力與危害程度分析�����。社會(huì)影響力與信息系統(tǒng)受到破壞后造成的危害程度正相關(guān)����,影響力越大則危害程度越嚴(yán)重����,“985工程”學(xué)校和“211工程”學(xué)校大于其他高等學(xué)校����。
業(yè)務(wù)類型與性質(zhì)的判斷分析詳見4.4。
4.4業(yè)務(wù)類型與性質(zhì)的判斷分析
業(yè)務(wù)類型與危害程度分析�����。承載教育教學(xué)管理與服務(wù)核心業(yè)務(wù)的信息系統(tǒng)較承載一般業(yè)務(wù)的信息系統(tǒng)受到破壞后造成的危害程度嚴(yán)重��。教育教學(xué)管理與服務(wù)的核心業(yè)務(wù)包括學(xué)籍學(xué)歷管理���、學(xué)位管理�、招生錄取管理���、考試考務(wù)管理�����、教師管理���、門戶網(wǎng)站管理等��。
業(yè)務(wù)連續(xù)性與危害程度分析�。業(yè)務(wù)的連續(xù)性要求與信息系統(tǒng)受到破壞后造成的危害程度正相關(guān)����,連續(xù)性要求越高,其受破壞危害越嚴(yán)重��;
業(yè)務(wù)數(shù)據(jù)重要性與危害程度分析��。業(yè)務(wù)數(shù)據(jù)的重要性要求與信息系統(tǒng)受到破壞后造成的危害程度正相關(guān)���,涉及的國家安全、個(gè)人隱私和相關(guān)數(shù)據(jù)的信息系統(tǒng)��,其受破壞危害更嚴(yán)重��。
5 信息系統(tǒng)的定級(jí)工作流程
教育行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)應(yīng)堅(jiān)持“自主定級(jí)����、自主保護(hù)”的原則,依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》的定級(jí)原理����、方法����,參照本指南的信息系統(tǒng)類型劃分�����、定級(jí)思路組織開展信息系統(tǒng)定級(jí)工作����。
5.1 確定定級(jí)責(zé)任主體
信息系統(tǒng)應(yīng)明確定級(jí)工作的責(zé)任主體。按照“誰主管誰負(fù)責(zé)��、誰運(yùn)維誰負(fù)責(zé)����、誰使用誰負(fù)責(zé)”的原則,信息系統(tǒng)的主管單位為定級(jí)工作的責(zé)任主體����,負(fù)責(zé)組織運(yùn)維單位、使用單位開展信息系統(tǒng)定級(jí)工作��。集中式信息系統(tǒng)由信息系統(tǒng)牽頭建設(shè)單位負(fù)責(zé)組織信息系統(tǒng)定級(jí)工作。分布式信息系統(tǒng)由牽頭建設(shè)單位負(fù)責(zé)組織信息系統(tǒng)定級(jí)工作����,確定中心信息系統(tǒng)安全保護(hù)等級(jí);各分支信息系統(tǒng)的主管單位參照中心系統(tǒng)的安全保護(hù)等級(jí)自主組織定級(jí)工作���。信息系統(tǒng)的運(yùn)維單位應(yīng)協(xié)助主管單位完成定級(jí)過程中的具體技術(shù)支撐工作�。
5.2自主定級(jí)
主管單位對(duì)本單位信息系統(tǒng)進(jìn)行梳理分析����,參考附表2的建議等級(jí)進(jìn)行自主定級(jí),確定信息系統(tǒng)安全保護(hù)等級(jí)�����。對(duì)于承載復(fù)雜業(yè)務(wù)的信息系統(tǒng)�����,安全保護(hù)等級(jí)可高于建議等級(jí)��;對(duì)于承載多個(gè)業(yè)務(wù)的信息系統(tǒng)���,應(yīng)以所承載業(yè)務(wù)的信息系統(tǒng)的最高建議等級(jí)進(jìn)行定級(jí)。
5.3 專家評(píng)審
主管單位完成信息系統(tǒng)自主定級(jí)后���,需聘請(qǐng)有關(guān)信息安全等級(jí)保護(hù)專家對(duì)信息系統(tǒng)自主定級(jí)情況進(jìn)行評(píng)審����,形成評(píng)審意見。擬確定為第四級(jí)及以上的信息系統(tǒng)����,由教育部邀請(qǐng)國家信息安全保護(hù)等級(jí)專家評(píng)審委員會(huì)進(jìn)行評(píng)審;擬確定為其他等級(jí)信息系統(tǒng)可由定級(jí)責(zé)任主體自行聘請(qǐng)專家進(jìn)行評(píng)審���。
5.4 主管部門審核批準(zhǔn)
主管單位完成信息系統(tǒng)專家評(píng)審后�,需填寫《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告》(附件3)�����、《信息系統(tǒng)安全等級(jí)保護(hù)備案表》(附件4)和信息系統(tǒng)安全等級(jí)保護(hù)專家評(píng)審意見等材料���。各級(jí)教育行政部門將相關(guān)材料報(bào)送至上一級(jí)教育行政部門進(jìn)行審核�,直屬事業(yè)單位和各級(jí)各類學(xué)校按照隸屬關(guān)系將相關(guān)材料報(bào)送至所屬教育行政部門或有關(guān)部門進(jìn)行審批��。
5.5 公安機(jī)關(guān)備案
經(jīng)審核批準(zhǔn)的二級(jí)以上信息系統(tǒng)�����,由其主管單位負(fù)責(zé)組織到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。教育部全國聯(lián)網(wǎng)統(tǒng)一運(yùn)行系統(tǒng)由教育部統(tǒng)一向公安部備案�����,其在各地運(yùn)行���、應(yīng)用的分支系統(tǒng)����,由主管單位組織向所在地公安部門備案�,確定為三級(jí)以上信息系統(tǒng)同時(shí)報(bào)教育部備案。
6 等級(jí)變更
信息系統(tǒng)運(yùn)行過程中����,當(dāng)系統(tǒng)狀態(tài)變化可能導(dǎo)致業(yè)務(wù)信息安全或系統(tǒng)服務(wù)受到破壞后的受侵害對(duì)象和受侵害程度有較大的變化時(shí),應(yīng)根據(jù)具體情況重新定級(jí)�����,并變更等級(jí)�。
