教育信息系统安全等保护定级指南.doc

教育信息系统安全等级保护定级指南 （试行） 总则 本指南依据国家信息安全等级保护相关政策和标准，在《信息系统安全等级保护定级指南》（GB/T 22240-2008）的基础上，结合各级教育行政部门及高等学校信息化工作实际需要，重点给出了教育信息系统的定级流程和级别建议，适用于教育部、省（自治区、直辖市、计划单列市）、市教育行政部门及高等学校主要信息系统的安全等级保护定级工作。区县及以下教育行政部门、中等职业学校、中小学校和其他教育机构的信息系统安全等级保护定级工作可根据实际需要，参照本指南执行。 依据 公安部等四部委《关于印发信息安全等级保护管理办法的通知》（公通字〔2007〕43号） 公安部等四部委《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安〔2007〕861号） 《信息系统安全等级保护定级指南》（GB/T 22240-2008） 《教育部办公厅关于开展信息系统安全等级保护工作的通知》（教办厅函〔2009〕80号） 《教育部办公厅关于进一步加强网络信息系统安全保障工作的通知》（教办厅函〔2011〕83号） 术语和定义 信息系统 本指南中的信息系统是指教育教学管理与服务过程中涉及到教师、学生和教育组织等业务管理、资源服务等不涉及国家秘密的信息系统。信息和信息系统是教育信息安全等级保护工作直接面对的对象。 基础网络 本指南中的基础网络是指承载并保障信息系统运行的基础设施环境和局域网络系统。如教育城域网、教育科研网（CERNET）、校园网等。 安全责任单位 本指南中的安全责任单位是指承担信息系统安全保护责任的单位或部门。信息系统的安全责任单位是唯一的。教育信息系统按照 “谁的业务谁负责”的原则确定安全责任单位，由安全责任单位负责定级： 对于基础网络，由运行维护单位或部门负责定级，如网络中心/信息中心/电教馆等； 对于信息系统，由业务承担单位或部门负责定级，如办公室/基教处/信息中心等； 对于不能确定唯一安全责任单位的信息系统，应按照“谁主管谁负责”的原则，由主管部门负责定级。 教育部统一规划部署的信息系统一般在教育部和省级教育行政部门部署运行，由教育部负责统一定级；地方教育行政部门统一规划部署的信息系统一般在本级和下级教育行政部门部署运行，由本级教育行政部门负责统一定级。 教育信息系统的分类 根据各级教育行政部门及高等学校的信息化实际情况，综合考虑信息系统的业务责任单位、信息系统的业务类型和业务重要性等因素，将各级教育行政部门和高等学校的主要信息系统进行分类。为便于描述，按照如下规则给出编码。 每个具体信息系统的分类编号长度5位： 首位字母代表大类，A、B或C，教育行政部门的信息系统称为A类系统，高等学校的信息系统称为B类系统。教育部统一规划部署的信息系统单独列为C类系统； 第2和3位是分类顺序码，取值范围01-99，每类信息系统的分类名称用两位数字编号表示，如：政务管理类为01，学校管理类为02； 第4和5位是信息系统顺序码，取值范围01-99；信息系统的名称用两位数字编号表示，如：办公与事务处理编号为01，公文与信息交换编号为02； 举例：教育行政部门的人事管理信息系统的编码为：A0103，高等学校的教学改革管理信息系统的编码为：B0201。 教育行政部门信息系统分类 根据教育行政部门相关信息系统业务范围，分类如表1所示： 表1：教育行政部门主要信息系统（A类）分类 序号 分类 信息系统 业务描述 （01） 政务管理类 (01)办公与事务处理 公文流转与日常办公事务处理等。 (02)公文与信息交换 上下级教育行政部门和学校之间的文件传输、信息报送等。 (03)人事管理 人力资源管理，如人员招聘、合同管理、工资管理、培训管理、绩效考核、奖惩管理等。 (04)财务管理 会计核算、项目经费管理、财务信息发布等。 (05)资产管理 固定资产、仪器设备管理等。 (06)信访管理 信访业务受理、办理、反馈、统计等。 (07)档案管理 档案采集、立卷、组卷、统计、查询等。 (08)党务管理 党员个人基本信息管理、发展党员信息管理、党员进出情况信息管理、党员奖惩信息管理、党组织活动信息发布等。 (09)科研管理 科研项目申报、过程管理、经费管理、结果评估等。 (10)教育统计管理 各类法定教育统计数据的采集、汇总、上报、查询和分析等。 (11)决策支持 数据分析、知识发现、决策支持等。 (12)应急指挥 突发事件应急指挥与处置、监控管理、预测统计、报警联动等。 (13)舆情监测与管理 互联网信息舆情监测、分析与处理等。 (14)高等教育招生计划管理 招生计划管理、高等教育机构招生资格管理等。 (15)普通高校招生网上录取管理 全国普通高