教育行业信息系统安全等级保护.docVIP

教育信息系统安全等级保护 定级指南 （） 本指南依据国家信息安全等级保护相关政策和标准，结合教育行业信息化工作的特点和具体实际，对教育行业信息系统进行分类，提出安全等级保护的定级思路，给出建议等级，明确工作流程。 本指南适用于各级教育行政部门及其直属事业单位、各级各类学校的非涉密信息系统安全等级保护定级工作。 信息系统的定级工作应在信息系统设计阶段完成，与信息系统建设同步实施。 定级依据 《中华人民共和国计算机信息系统安全保护条例》令） 《信息系统安全等级保护实施指南》（GB/T 25058-2010） 《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安〔2007〕861号） 《信息安全等级保护管理办法》通字） 信息系统的类型划分是进行信息系统安全等级的前提和基础。按照系统的主管单位、业务对象、部署模式教育行业信息系统进行分类，形成信息系统分类表（） 按信息系统主管单位划分 按照信息系统主管单位的不同，信息系统分为“教育行政部门及其直属事业单位信息系统”（简称“部门信息系统”）和“学校信息系统”两类。 部门信息系统可分为教育部机关及其直属事业单位信息系统（部级系统）、省级教育行政部门及其直属事业单位信息系统（省级系统）、地市级教育行政部门及其直属事业单位信息系统（市级系统）和区县级教育行政部门及其直属事业单位））） 按信息系统业务对象划分 根据信息系统业务对象不同，部门信息系统可分为政务管理类、学校管理类、学生管理类、教师管理类、综合服务类；学校信息系统可分为校务管理类、教学科研类、招生就业类、综合服务类。 按信息系统部署模式划分 根据信息系统的部署模式，信息系统可以分为内部系统和统一运行系统。内部系统是指仅供本单位内部使用，实现本单位业务管理与服务的信息系统。统一运行系统是指供多家（级）单位共同使用，实现某项业务的跨单位统一管理与服务的信息系统。 统一运行系统可进一步分为集中式系统和分布式系统。集中式信息系统逻辑上是一套系统，在一个单位统一部署、管理和运行，多家（级）单位共同使用，实现信息系统、业务流程和数据的集中式管理；分布式信息系统逻辑上是多套系统在多家（级）单位分别部署、管理和运行，通过技术接口实现信息系统、业务流程和数据的分布式管理。 信息系统的定级思路 信息系统的定级思路是信息系统分类基础上，参照国家信息系统的安全保护等级标准的等级划分，形成教育行业信息系统安全等级划分建议按，对部门系统学校系统不同的进行分析，形成信息系统安全等级建议表（）未能涵盖的信息系统，可按照思路综合分析，确定安全等级 定级思路 部门信息系统与学校信息系统分别定级。由于面向的对象不同、承载的业务不同、受到破坏后造成的侵害程度不同，采取不同的定级思路。 信息系统受到破坏后造成的危害程度与其安全等级正相关，造成的危害程度越大，安全等级 部门信息系统定级思路 性质 行政级别与危害程度分析。行政级别与信息系统受到破坏后造成的危害程度正相关，级别越高则危害程度越严重，反之则相对较轻。 部署模式与危害程度分析。部署模式与信息系统受到破坏后造成的危害程度正相关，涉及的单位越多则危害程度越严重，统一运行信息系统大于内部信息系统。 业务类型与性质判断分析详见 学校信息系统定级思路 办学规模与危害程度分析。办学规模与信息系统受到破坏后造成的危害程度正相关，规模越大则危害程度越严重，高等学校信息系统大于中小学校信息系统。 社会影响力与危害程度分析。社会影响力与信息系统受到破坏后造成的危害程度正相关，影响力越大则危害程度越严重，“985工程”学校和“211工程”学校大于其他高等学校。 业务类型性质判断。 类型性质判断 业务类型与危害程度分析。承载教育教学管理与服务核心业务的信息系统较承载一般业务的信息系统受到破坏后造成的危害程度严重。教育教学管理与服务的核心业务包括学籍学历管理、学位管理、招生录取管理、考试考务管理、教师管理、门户网站管理等。 业务连续性与危害程度分析。业务的连续性要求与信息系统受到破坏后造成的危害程度正相关，连续性要求越高，其受破坏危害越严重； 业务数据重要性与危害程度分析。业务数据的重要性要求与信息系统受到破坏后造成的危害程度正相关，涉及的国家安全、个人隐私和 信息系统的定级工作流程 教育行业信息系统安全等级保护应坚持“自主定级、自主保护”的原则，依据《系统安全等级保护定级》定级原理、方法参照本指南的信息系统划分思路开展系统定级工作 确定定级责任主体 信息系统应明确定级工作的责任主体。按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，信息系统的主管单位为定级工作的责任主体，负责组织运维单位、使用单位开展信息系统定级工作。集中式信息系统由信息系统牵头建设单位负责组织信息系统定级工作。分布式信息系统由牵头建设单位负责