教育行业信息系统安全等级保护定级工作指南试行Word下载.docx

1、4 信息系统的定级思路信息系统的定级思路是在信息系统分类的基础上，参照国家对 信息系统的安全保护等级标准的等级划分， 形成教育行业信息系统安 全等级划分建议。 按主管单位不同， 分别对部门信息系统和学校信息 系统采取不同的思路进行分析，分别形成信息系统安全等级建议表 （附件 2）。实际定级工作中，信息系统所定等级原则上不应低于建 议等级。如遇未能涵盖的信息系统，可按照下述定级思路综合分析， 确定安全等级。4.1定级思路概述部门信息系统与学校信息系统分别定级。由于面向的对象不同、 承载的业务不同、 受到破坏后造成的侵害程度不同， 采取不同的定级 思路。信息系统受到破坏后造成的危害程度与其安全等级

2、正相关，造成 的危害程度越大，安全等级应越高。4.2部门信息系统定级思路部门信息系统根据行政级别、部署模式和业务类型与性质三个维 度分析受到破坏后造成的危害程度。行政级别与危害程度分析。行政级别与信息系统受到破坏后造成 的危害程度正相关，级别越高则危害程度越严重，反之则相对较轻。部署模式与危害程度分析。部署模式与信息系统受到破坏后造成的危害程度正相关，涉及的单位越多则危害程度越严重， 统一运行信息系统大于内部信息系统。业务类型与性质的判断分析详见 4.44.3学校信息系统定级思路学校信息系统根据办学规模、社会影响力、业务类型三个维度分 析受到破坏后造成的危害程度。办学规模与危害程度分析。 办学

3、规模与信息系统受到破坏后造成的危害程度正相关，规模越大则危害程度越严重， 高等学校信息系统大于中小学校信息系统。社会影响力与危害程度分析。 社会影响力与信息系统受到破坏后 造成的危害程度正相关，影响力越大则危害程度越严重，“985工程” 学校和“ 211工程”学校大于其他高等学校。业务类型与性质的判断分析详见 4.4。4.4业务类型与性质的判断分析业务类型与危害程度分析。承载教育教学管理与服务核心业务的 信息系统较承载一般业务的信息系统受到破坏后造成的危害程度严 重。教育教学管理与服务的核心业务包括学籍学历管理、学位管理、 招生录取管理、考试考务管理、教师管理、门户网站管理等。业务连续性与危害

4、程度分析。业务的连续性要求与信息系统受 到破坏后造成的危害程度正相关， 连续性要求越高，其受破坏危害越严重；业务数据重要性与危害程度分析。 业务数据的重要性要求与信息系统受到破坏后造成的危害程度正相关， 涉及的国家安全、个人隐私和相关数据的信息系统，其受破坏危害更严重。5信息系统的定级工作流程教育行业信息系统安全等级保护应坚持“自主定级、自主保护” 的原则，依据信息系统安全等级保护定级指南 的定级原理、方法， 参照本指南的信息系统类型划分、定级思路组织开展信息系统定级工 作。5.1确定定级责任主体信息系统应明确定级工作的责任主体。 按照“谁主管谁负责、 谁运维谁负责、谁使用谁负责”的原则，信息

5、系统的主管单位为定级工 作的责任主体，负责组织运维单位、使用单位开展信息系统定级工作。 集中式信息系统由信息系统牵头建设单位负责组织信息系统定级工 作。分布式信息系统由牵头建设单位负责组织信息系统定级工作， 确定中心信息系统安全保护等级； 各分支信息系统的主管单位参照中心 系统的安全保护等级自主组织定级工作。 信息系统的运维单位应协助主管单位完成定级过程中的具体技术支撑工作。5.2自主定级主管单位对本单位信息系统进行梳理分析， 参考附表2的建议等级进行自主定级，确定信息系统安全保护等级。 对于承载复杂业务的信息系统，安全保护等级可高于建议等级； 对于承载多个业务的信息系统，应以所承载业务的信息

6、系统的最高建议等级进行定级。5.3专家评审主管单位完成信息系统自主定级后， 需聘请有关信息安全等级保护专家对信息系统自主定级情况进行评审， 形成评审意见。拟确定为第四级及以上的信息系统，由教育部邀请国家信息安全保护等级专家 评审委员会进行评审；拟确定为其他等级信息系统可由定级责任主体 自行聘请专家进行评审。5.4主管部门审核批准主管单位完成信息系统专家评审后， 需填写信息系统安全等级保护定级报告（附件 3）、信息系统安全等级保护备案表（附 件4）和信息系统安全等级保护专家评审意见等材料。各级教育行政 部门将相关材料报送至上一级教育行政部门进行审核， 直属事业单位和各级各类学校按照隶属关系将相关

7、材料报送至所属教育行政部门 或有关部门进行审批。5.5 公安机关备案经审核批准的二级以上信息系统， 由其主管单位负责组织到所在地设区的市级以上公安机关办理备案手续。 教育部全国联网统一运行系统由教育部统一向公安部备案，其在各地运行、应用的分支系统， 由主管单位组织向所在地公安部门备案， 确定为三级以上信息系统同时报教育部备案。6 等级变更信息系统运行过程中， 当系统状态变化可能导致业务信息安全或系统服务受到破坏后的受侵害对象和受侵害程度有较大的变化时， 根据具体情况重新定级，并变更等级。附件： 1. 信息系统分类表2.信息系统安全保护等级建议表3.信息系统安全等级保护定级报告4.信息系统安全等

8、级保护备案表附件1信息系统分类表表1:部门信息系统分类表序 号分类信息系统业务描述1.（01）办公与事务处理公文流转与日常办公事务处理等。2.（02）公文与信息交换上下级教育行政部门和学校之间的文件传输、 信息报送等。3.（03）人事管理人力资源管理，如人员招聘、合同管理、工资 管理、培训管理、绩效考核、奖惩管理等。4.（01）（04）财务管理会计核算、项目经费管理、财务信息发布等。5.政务管理类（05）资产管理固定资产、仪器设备管理等。6.（06）信访管理信访业务受理、办理、反馈、统计等。7.（07）档案管理档案采集、立卷、组卷、统计、查询等。8.党员个人基本信息管理、发展党员信息管理、（0

9、8）党务管理党员进出情况信息管理、党员奖惩信息管理、党组织活动信息发布等。9.（09）科研管理科研项目申报、过程管理、经费管理、结果评 估等。10.（10）教育统计管理各类法定教育统计数据的采集、汇总、上报、 查询和分析等。11.（11）决策支持数据分析、知识发现、决策支持等。12.（12）应急指挥突发事件应急指挥与处置、监控管理、预测统 计、报警联动等。13.（13）舆情监测与管理互联网信息舆情监测、分析与处理等。14.（14）高等教育招生计划招生计划管理、高等教育机构招生资格管理管理等。15.（15）普通高校招生网上录取管理全国普通咼校招生网上录取系统。16.（16）教育考试考务管理考务工

10、作信息资源和数据交换、考务工作管与服务理、数据分析、决策指挥等。17.（17）评审、表彰管理教育系统各类评审、表彰类管理，含网上申报、 单位推荐和专豕评审等。18.（02）各类教育机构设置审核、基本信息管理、教育学校管理类（01）学校管理经费管理、基建管理、技术装备信息管理、教 学信息管理等。19.（02）学科、专业管理高等学校和科研机构学科、专业建设管理、评 估等。20.（03）教学改革管理教改项目申报、政策与标准发布、教学状态数据库管理等。21.（04）教学质量评估高等学校教学质量评估、学校和专业评估、质 量报告发布等。22.（05）校园安全与稳定管校园安全综合管理、宣传、培训、监控与治理

11、理23.（06）教育经费监管教育部和各省级教育行政部门对各高校经费 执行情况的监管和统计等。24.（01）学生学籍管理各类学生入学管理、学生学籍管理等。25.（03）（02）招生录取管理各类学生网上报名、招生、考试、评卷、录取 管理等。26.学生管理类（03）学生资助管理各类学生资助申请、审批、管理、信息统计等。27.（04）学位授予管理学士、硕士、博士学位授予管理等。28.（04）（01）教师基本信息管理各级各类教师基本信息上报、管理、更新、个 人档案管理等。29.教师管理类（02）教师资格认定管理教师资格认定网上报名、审核、认定、信息综 合管理等。30.（03）教师培训管理各类教师培训管理

12、、师资管理、在线培训等。31.（04）教师教育管理教师教育院校信息管理、师范生信息管理等。32.（05）教师职称管理各级各类教室职称网上申报、评审、信息综合 管理等。33.（01）门户网站官方信息发布、政务公开、行政审批、政策咨 询、社会服务等。34.（02）论坛、社区类网站即时消息、在线交互、论坛、博客、微博、BBS 等。35.（03）教育教学资源互动教学、教育教学资源发布、共享及服务等。36.（04）毕业、就业信息管各类毕业、就业信息发布，就业政策咨询与指导等。37.（05）（05）电子邮件电子邮件发送、接收、查询等。38.综合服务类（06）视频服务在线声音、影像及文件资料的即时共享、视频

13、会议、视频点播直播等。39.（07）安防监控重要场所远程监控、安全预警等。40.（08）内网门户与身份认信息聚合与展现、身份认证、单点登录、权限证控制、CA证书管理等。41.（09）公共数据库数据共享交换、数据分析、综合查询等。42.（10）运维管理网络与信息系统运行监控、设备管理、维护等。表2 :学校信息系统分类表固定资产、仪器设备、公房管理等。校务管理类（06）后勤管理后勤工作管理、后勤服务项目管理、后勤咨询 投诉处理、能源使用管理等。（07）学生教育工作管理各类学生迎新、学生评估、奖惩管理、助学贷款申请审核、离校管理等。（08）学生体质健康数据各类学生体质健康数据米集、处理、查询等。（0

14、9）档案管理（10）党务管理（01）教学改革管理学科和专业的申报、建设、评估等。（03）教务教学管理各类学生教育管理、学生学籍管理、教学计划 管理、选课管理、成绩管理、学分转移与互认、 教学实践管理、实训管理、教室管理、毕业管 理、学位管理等。教学科研（04）教学资源管理互动教学平台、教育教学资源制作、发布、共享及教学活动组织管理等。（05）教学质量评估与保学校教学能力、教学水平、教学过程、教学效障果评测与保障等。（06）科研项目管理科研项目申报、过程管理、经费管理、结果评 估，科研与实验的协同、资源共享管理等。（07）科研情报管理各种科研情报获取、共享与管理等。（01）招生录取管理招生信息发

15、布、网上报名、招生、录取管理等。招生就业（02）学生就业管理学生就业信息发布、就业管理、就业数据分析、就业指导等。官方信息发布、校务公开、政策咨询、社会服综合服务务等。（03）数字图书馆馆藏书目信息维护及查询、图书借阅管理、电子期刊数据查询等。（04）电子邮件（05）视频服务（06 ）安防监控饭卡、学生证、工作证、医疗卡、上机卡、考（07）校园一-通勤卡、门禁卡等应用项目的统一认证管理服务校园网运行监控、设备管理、维护、计费等。附件2信息系统安全保护等级建议表部门信息系统安全保护等级建议建议安全保护等级部级省级地市1第二级2第三级34567891011121314（14）高等教育招生计划管理1

16、5（15 ）普通高校招生网上录取 管理16（16）教育考试考务管理与服务171819202122（05）校园安全与稳定管理2324252627282930313233343536（04）毕业、就业信息管理37383940（08）内网门户与身份认证4142说明：区县级教育行政部门及直属事业单位的系统建议一般定为第一级，区县级统一运行系统根据业务重要性建议可定为第二级。本表中未单独列出表2:学校信息系统安全保护等级建议序号I类学校II类学校III类学校第一级校务管理类（08）学生体质健康数据管 理教学科研类（05）教学质量评估与保障（06）科研管理（07）科研情报招生就业类（06安防监控附件 3信息系统安全等级保护