山东11选5 500期走势图
信息/安全

教育部辦公廳關于印發《教育行業信息系統安全等級保護定級工作指南(試行)》的通知

發表人:瀏覽次數:2152發表時間:2018-10-18

 各省、自治區、直轄市教育廳(教委),新疆生產建設兵團教育局,有關部門(單位)教育司(局),部屬各高等學校,部內各司局、各直屬單位:

  為進一步加強教育行業信息安全工作,指導和規范教育行業信息系統安全等級保護定級工作,現將《教育行業信息系統安全等級保護定級工作指南(試行)》印發給你們,請結合本地本單位實際,認真組織實施。

  聯系人:教育部科技司潘潤愷

  電話:66096457 郵箱:[email protected]

  附: 《教育行業信息系統安全等級保護定級工作指南》.docx

                                                                                                                                                                                                          教育部辦公廳

                                                                                                                                                                                                          2014年10月27日

 


                                                                                                         教育行業信息系統安全等級保護定級工作指南
                                                                                                                                  (試行)

1總則
本指南依據國家信息安全等級保護相關政策和標準,結合教育行業信息化工作的特點和具體實際,對教育行業信息系統進行分類,提出安全等級保護的定級思路,給出建議等級,明確工作流程。
本指南適用于各級教育行政部門及其直屬事業單位、各級各類學校的非涉密信息系統安全等級保護定級工作。
信息系統的定級工作應在信息系統設計階段完成,與信息系統建設同步實施。

2定級依據
《中華人民共和國計算機信息系統安全保護條例》(國務院第147號令)
《信息系統安全等級保護定級指南》(GB/T 22240-2008)
《信息系統安全等級保護實施指南》(GB/T 25058-2010)
《關于開展全國重要信息系統安全等級保護定級工作的通知》(公信安〔2007〕861號)
《信息安全等級保護管理辦法》(公通字〔2007〕43號)

3信息系統的類型劃分
信息系統的類型劃分是進行信息系統安全等級劃分的前提和基礎。按照信息系統的主管單位、業務對象、部署模式對教育行業信息系統進行分類,形成信息系統分類表(附件1)。

3.1按信息系統主管單位劃分
按照信息系統主管單位的不同,信息系統分為“教育行政部門及其直屬事業單位信息系統”(簡稱“部門信息系統”)和“學校信息系統”兩類。
部門信息系統可分為教育部機關及其直屬事業單位信息系統(部級系統)、省級教育行政部門及其直屬事業單位信息系統(省級系統)、地市級教育行政部門及其直屬事業單位信息系統(市級系統)和區縣級教育行政部門及其直屬事業單位信息系統(縣級系統);學校信息系統可分為重點建設類高等學校信息系統(I類)、高等學校信息系統(Ⅱ類)、中小學校(含中職中專院校)信息系統(Ⅲ類)。

3.2 按信息系統業務對象劃分
根據信息系統業務對象不同,部門信息系統可分為政務管理類、學校管理類、學生管理類、教師管理類、綜合服務類;學校信息系統可分為校務管理類、教學科研類、招生就業類、綜合服務類。

3.3 按信息系統部署模式劃分
根據信息系統的部署模式,信息系統可以分為內部系統和統一運行系統。內部系統是指僅供本單位內部使用,實現本單位業務管理與服務的信息系統。統一運行系統是指供多家(級)單位共同使用,實現某項業務的跨單位統一管理與服務的信息系統。
統一運行系統可進一步分為集中式系統和分布式系統。集中式信息系統邏輯上是一套系統,在一個單位統一部署、管理和運行,多家(級)單位共同使用,實現信息系統、業務流程和數據的集中式管理;分布式信息系統邏輯上是多套系統在多家(級)單位分別部署、管理和運行,通過技術接口實現信息系統、業務流程和數據的分布式管理。

4信息系統的定級思路
信息系統的定級思路是在信息系統分類的基礎上,參照國家對信息系統的安全保護等級標準的等級劃分,形成教育行業信息系統安全等級劃分建議。按主管單位不同,分別對部門信息系統和學校信息系統采取不同的思路進行分析,分別形成信息系統安全等級建議表(附件2)。實際定級工作中,信息系統所定等級原則上不應低于建議等級。如遇未能涵蓋的信息系統,可按照下述定級思路綜合分析,確定安全等級。

4.1 定級思路概述
部門信息系統與學校信息系統分別定級。由于面向的對象不同、承載的業務不同、受到破壞后造成的侵害程度不同,采取不同的定級思路。
   信息系統受到破壞后造成的危害程度與其安全等級正相關,造成的危害程度越大,安全等級應越高。

4.2 部門信息系統定級思路
部門信息系統根據行政級別、部署模式和業務類型與性質三個維度分析受到破壞后造成的危害程度。
行政級別與危害程度分析。行政級別與信息系統受到破壞后造成的危害程度正相關,級別越高則危害程度越嚴重,反之則相對較輕。
部署模式與危害程度分析。部署模式與信息系統受到破壞后造成的危害程度正相關,涉及的單位越多則危害程度越嚴重,統一運行信息系統大于內部信息系統。
業務類型與性質的判斷分析詳見4.4

4.3學校信息系統定級思路
學校信息系統根據辦學規模、社會影響力、業務類型三個維度分析受到破壞后造成的危害程度。
辦學規模與危害程度分析。辦學規模與信息系統受到破壞后造成的危害程度正相關,規模越大則危害程度越嚴重,高等學校信息系統大于中小學校信息系統。
社會影響力與危害程度分析。社會影響力與信息系統受到破壞后造成的危害程度正相關,影響力越大則危害程度越嚴重,“985工程”學校和“211工程”學校大于其他高等學校。
業務類型與性質的判斷分析詳見4.4。

4.4業務類型與性質的判斷分析
業務類型與危害程度分析。承載教育教學管理與服務核心業務的信息系統較承載一般業務的信息系統受到破壞后造成的危害程度嚴重。教育教學管理與服務的核心業務包括學籍學歷管理、學位管理、招生錄取管理、考試考務管理、教師管理、門戶網站管理等。
業務連續性與危害程度分析。業務的連續性要求與信息系統受到破壞后造成的危害程度正相關,連續性要求越高,其受破壞危害越嚴重;
業務數據重要性與危害程度分析。業務數據的重要性要求與信息系統受到破壞后造成的危害程度正相關,涉及的國家安全、個人隱私和相關數據的信息系統,其受破壞危害更嚴重。

5信息系統的定級工作流程
教育行業信息系統安全等級保護應堅持“自主定級、自主保護”的原則,依據《信息系統安全等級保護定級指南》的定級原理、方法,參照本指南的信息系統類型劃分、定級思路組織開展信息系統定級工作。

5.1 確定定級責任主體
信息系統應明確定級工作的責任主體。按照“誰主管誰負責、誰運維誰負責、誰使用誰負責”的原則,信息系統的主管單位為定級工作的責任主體,負責組織運維單位、使用單位開展信息系統定級工作。集中式信息系統由信息系統牽頭建設單位負責組織信息系統定級工作。分布式信息系統由牽頭建設單位負責組織信息系統定級工作,確定中心信息系統安全保護等級;各分支信息系統的主管單位參照中心系統的安全保護等級自主組織定級工作。信息系統的運維單位應協助主管單位完成定級過程中的具體技術支撐工作。

5.2自主定級
主管單位對本單位信息系統進行梳理分析,參考附表2的建議等級進行自主定級,確定信息系統安全保護等級。對于承載復雜業務的信息系統,安全保護等級可高于建議等級;對于承載多個業務的信息系統,應以所承載業務的信息系統的最高建議等級進行定級。

5.3 專家評審
主管單位完成信息系統自主定級后,需聘請有關信息安全等級保護專家對信息系統自主定級情況進行評審,形成評審意見。擬確定為第四級及以上的信息系統,由教育部邀請國家信息安全保護等級專家評審委員會進行評審;擬確定為其他等級信息系統可由定級責任主體自行聘請專家進行評審。

5.4 主管部門審核批準
主管單位完成信息系統專家評審后,需填寫《信息系統安全等級保護定級報告》(附件3)、《信息系統安全等級保護備案表》(附件4)和信息系統安全等級保護專家評審意見等材料。各級教育行政部門將相關材料報送至上一級教育行政部門進行審核,直屬事業單位和各級各類學校按照隸屬關系將相關材料報送至所屬教育行政部門或有關部門進行審批。

5.5 公安機關備案
經審核批準的二級以上信息系統,由其主管單位負責組織到所在地設區的市級以上公安機關辦理備案手續。教育部全國聯網統一運行系統由教育部統一向公安部備案,其在各地運行、應用的分支系統,由主管單位組織向所在地公安部門備案,確定為三級以上信息系統同時報教育部備案。

6等級變更
信息系統運行過程中,當系統狀態變化可能導致業務信息安全或系統服務受到破壞后的受侵害對象和受侵害程度有較大的變化時,應根據具體情況重新定級,并變更等級。

文字 【 關閉本頁打印本頁】    

地址:山西省太原市許坦東街29號 郵編:030031 聯系電話:0351-7973273
Copyright shanxi vocational college of tourism all rights reserved 版權所有:山西旅游職業學院
非經營性互聯網信息服務審批號 (晉)ICP備13004164號 晉公網安備 14010502050037號


山东11选5 500期走势图 体彩山东快乐扑克3开奖表 牛牛在线精品视频国内 免佣百家樂游戏规则 福彩时时彩走势怎么看 捕鱼假日隐藏 20选5开奖结果74期 4场进球走势 让0平局怎么算 湖北11选五开奖结果一定牛 如何进入博华网投