《教育行业信息系统安全等级保护定级工作的指南试行》.docx

1、教育行业信息系统安全等级保护定级工作的指南试行教育行业信息系统安全等级保护定级工作指南（试行）1总则本指南依据国家信息安全等级保护相关政策和标准， 结合教育行业信息化工作的特点和具体实际， 对教育行业信息系统进行分类，提出安全等级保护的定级思路， 给出建议等级，明确工作流程。本指南适用于各级教育行政部门及其直属事业单位、 各级各类学校的非涉密信息系统安全等级保护定级工作。信息系统的定级工作应在信息系统设计阶段完成， 与信息系统建设同步实施。2定级依据中华人民共和国计算机信息系统安全保护条例 （国务院第147号令）信息系统安全等级保护定级指南（ GB/T 22240-2008）信息系统安全等级保

2、护实施指南（ GB/T 25058-2010）关于开展全国重要信息系统安全等级保护定级工作的通 知（公信安2007861号）信息安全等级保护管理办法（公通字 200743号）3信息系统的类型划分信息系统的类型划分是进行信息系统安全等级划分的前提 和基础。按照信息系统的主管单位、 业务对象、部署模式对教育行业信息系统进行分类，形成信息系统分类表（附件 1）。3.1按信息系统主管单位划分按照信息系统主管单位的不同，信息系统分为“教育行政部 门及其直属事业单位信息系统” （简称“部门信息系统”）和“学校信息系统”两类。部门信息系统可分为教育部机关及其直属事业单位信息系 统（部级系统）、省级教育行政部

3、门及其直属事业单位信息系统 （省级系统）、地市级教育行政部门及其直属事业单位信息系统 （市级系统）和区县级教育行政部门及其直属事业单位信息系统 （县级系统）；学校信息系统可分为重点建设类高等学校信息系 统（I类）、高等学校信息系统（H类）、中小学校（含中职中 专院校）信息系统（川类）。3.2按信息系统业务对象划分根据信息系统业务对象不同， 部门信息系统可分为政务管理类、学校管理类、学生管理类、教师管理类、综合服务类；学校 信息系统可分为校务管理类、 教学科研类、招生就业类、综合服务类。3.3按信息系统部署模式划分根据信息系统的部署模式， 信息系统可以分为内部系统和统 一运行系统。内部系统是指仅

4、供本单位内部使用， 实现本单位业务管理与服务的信息系统。统一运行系统是指供多家 （级）单位共同使用，实现某项业务的跨单位统一管理与服务的信息系统。统一运行系统可进一步分为集中式系统和分布式系统。 集中式信息系统逻辑上是一套系统，在一个单位统一部署、管理和运 行，多家（级）单位共同使用，实现信息系统、业务流程和数据 的集中式管理；分布式信息系统逻辑上是多套系统在多家（级） 单位分别部署、管理和运行， 通过技术接口实现信息系统、 业务流程和数据的分布式管理。4信息系统的定级思路信息系统的定级思路是在信息系统分类的基础上，参照国 家对信息系统的安全保护等级标准的等级划分， 形成教育行业信息系统安全等

5、级划分建议。 按主管单位不同，分别对部门信息系统和学校信息系统采取不同的思路进行分析， 分别形成信息系统安全等级建议表（附件 2）。实际定级工作中，信息系统所定等 级原则上不应低于建议等级。如遇未能涵盖的信息系统，可按照 下述定级思路综合分析，确定安全等级。4.1 定级思路概述部门信息系统与学校信息系统分别定级。 由于面向的对象不同、承载的业务不同、 受到破坏后造成的侵害程度不同，采取不同的定级思路。信息系统受到破坏后造成的危害程度与其安全等级正相关， 造成的危害程度越大，安全等级应越高。4.2部门信息系统定级思路部门信息系统根据行政级别、部署模式和业务类型与性质三 个维度分析受到破坏后造成的

6、危害程度。行政级别与危害程度分析。行政级别与信息系统受到破坏后 造成的危害程度正相关， 级别越高则危害程度越严重， 反之则相 对较轻。部署模式与危害程度分析。部署模式与信息系统受到破坏后造成的危害程度正相关， 涉及的单位越多则危害程度越严重， 统一运行信息系统大于内部信息系统。业务类型与性质的判断分析详见 4.44.3学校信息系统定级思路学校信息系统根据办学规模、社会影响力、业务类型三个维 度分析受到破坏后造成的危害程度。办学规模与危害程度分析。办学规模与信息系统受到破坏后 造成的危害程度正相关， 规模越大则危害程度越严重， 高等学校 信息系统大于中小学校信息系统。社会影响力与危害程度分析。

7、社会影响力与信息系统受到破坏后造成的危害程度正相关，影响力越大则危害程度越严重， “985工程”学校和“ 211工程”学校大于其他高等学校。业务类型与性质的判断分析详见 4.4。4.4业务类型与性质的判断分析业务类型与危害程度分析。承载教育教学管理与服务核心业 务的信息系统较承载一般业务的信息系统受到破坏后造成的危 害程度严重。教育教学管理与服务的核心业务包括学籍学历管理、 学位管理、招生录取管理、考试考务管理、教师管理、门户网站 管理等。业务连续性与危害程度分析。业务的连续性要求与信息系统受到破坏后造成的危害程度正相关， 连续性要求越高，其受破坏危害越严重；业务数据重要性与危害程度分析。 业

8、务数据的重要性要求与 信息系统受到破坏后造成的危害程度正相关，涉及的国家安全、 个人隐私和相关数据的信息系统，其受破坏危害更严重。5信息系统的定级工作流程教育行业信息系统安全等级保护应坚持 “自主定级、自主保护”的原则，依据信息系统安全等级保护定级指南的定级原 理、方法，参照本指南的信息系统类型划分、 定级思路组织开展信息系统定级工作。5.1确定定级责任主体信息系统应明确定级工作的责任主体。 按照“谁主管谁负责、 谁运维谁负责、谁使用谁负责” 的原则，信息系统的主管单位为 定级工作的责任主体，负责组织运维单位、 使用单位开展信息系 统定级工作。集中式信息系统由信息系统牵头建设单位负责组织 信息

9、系统定级工作。分布式信息系统由牵头建设单位负责组织信 息系统定级工作，确定中心信息系统安全保护等级； 各分支信息系统的主管单位参照中心系统的安全保护等级自主组织定级工 作。信息系统的运维单位应协助主管单位完成定级过程中的具体 技术支撑工作。5.2自主定级主管单位对本单位信息系统进行梳理分析， 参考附表2的建议等级进行自主定级，确定信息系统安全保护等级。 对于承载复 杂业务的信息系统，安全保护等级可高于建议等级； 对于承载多个业务的信息系统，应以所承载业务的信息系统的最高建议等级 进行定级。5.3 专家评审主管单位完成信息系统自主定级后， 需聘请有关信息安全等级保护专家对信息系统自主定级情况进行

10、评审，形成评审意见。 拟确定为第四级及以上的信息系统， 由教育部邀请国家信息安全保护等级专家评审委员会进行评审；拟确定为其他等级信息系统可由定级责任主体自行聘请专家进行评审 5.4主管部门审核批准主管单位完成信息系统专家评审后， 需填写信息系统安全等级保护定级报告（附件 3）、信息系统安全等级保护备案 表（附件4）和信息系统安全等级保护专家评审意见等材料。 各级教育行政部门将相关材料报送至上一级教育行政部门进行 审核，直属事业单位和各级各类学校按照隶属关系将相关材料报 送至所属教育行政部门或有关部门进行审批。5.5公安机关备案经审核批准的二级以上信息系统，由其主管单位负责组织到 所在地设区的市

11、级以上公安机关办理备案手续。 教育部全国联网统一运行系统由教育部统一向公安部备案， 其在各地运行、应用的分支系统，由主管单位组织向所在地公安部门备案， 确定为三级以上信息系统同时报教育部备案。6等级变更信息系统运行过程中，当系统状态变化可能导致业务信息安 全或系统服务受到破坏后的受侵害对象和受侵害程度有较大的 变化时，应根据具体情况重新定级，并变更等级。附件：1.信息系统分类表2.信息系统安全保护等级建议表3.信息系统安全等级保护定级报告4.信息系统安全等级保护备案表附件1信息系统分类表表1:部门信息系统分类表序 号分类信息系统业务描述1.(01)办公与事务处理公文流转与日常办公事务处理等。2

12、.(02)公文与信息交换上下级教育行政部门和学校之间的文件传输、 信息报送等。3.(03)人事管理人力资源管理，如人员招聘、合同管理、工资 管理、培训管理、绩效考核、奖惩管理等。4.(04)财务管理会计核算、项目经费管理、财务信息发布等。5.(01)(05)资产管理固定资产、仪器设备管理等。6.政务管理类(06)信访管理信访业务受理、办理、反馈、统计等。7.(07)档案管理档案采集、立卷、组卷、统计、查询等。8.党员个人基本信息管理、发展党员信息管理、(08)党务管理党员进出情况信息管理、党员奖惩信息管理、党组织活动信息发布等。9.(09)科研管理科研项目申报、过程管理、经费管理、结果评 估等

13、。序 号分类信息系统业务描述10.(10)教育统计管理各类法定教育统计数据的采集、汇总、上报、 查询和分析等。11.(11)决策支持数据分析、知识发现、决策支持等。12.(12)应急指挥突发事件应急指挥与处置、监控管理、预测统 计、报警联动等。13.(13)舆情监测与管理互联网信息舆情监测、分析与处理等。14.(14)高等教育招生计划招生计划管理、高等教育机构招生资格管理管理等。15.(15)普通高校招生网上录取管理全国普通咼校招生网上录取系统。16.(16)教育考试考务管理考务工作信息资源和数据交换、考务工作管与服务理、数据分析、决策指挥等。17.(17)评审、表彰管理教育系统各类评审、表彰

14、类管理，含网上申报、 单位推荐和专豕评审等。18.各类教育机构设置审核、基本信息管理、教育(01)学校管理经费管理、基建管理、技术装备信息管理、教学信息管理等。19.(02)学校管理类(02)学科、专业管理高等学校和科研机构学科、专业建设管理、评 估等。20.(03)教学改革管理教改项目申报、政策与标准发布、教学状态数据库管理等。序 号分类信息系统业务描述21.(04)教学质量评估高等学校教学质量评估、学校和专业评估、质 量报告发布等。22.(05)校园安全与稳定管校园安全综合管理、宣传、培训、监控与治理理等。23.(06)教育经费监管教育部和各省级教育行政部门对各高校经费 执行情况的监管和统

15、计等。24.(01)学生学籍管理各类学生入学管理、学生学籍管理等。25.(03)(02)招生录取管理各类学生网上报名、招生、考试、评卷、录取 管理等。26.学生管理类(03)学生资助管理各类学生资助申请、审批、管理、信息统计等。27.(04)学位授予管理学士、硕士、博士学位授予管理等。28.(01)教师基本信息管理各级各类教师基本信息上报、管理、更新、个 人档案管理等。29.(04)(02)教师资格认定管理教师资格认定网上报名、审核、认定、信息综 合管理等。30.教师管理类(03)教师培训管理各类教师培训管理、师资管理、在线培训等。31.(04)教师教育管理教师教育院校信息管理、师范生信息管理

16、等。32.(05)教师职称管理各级各类教室职称网上申报、评审、信息综合 管理等。33.(05)综合服务类(01)门户网站官方信息发布、政务公开、行政审批、政策咨 询、社会服务等。序 号分类信息系统业务描述34.(02)论坛、社区类网站即时消息、在线交互、论坛、博客、微博、BBS 等。35.(03)教育教学资源互动教学、教育教学资源发布、共享及服务等。36.(04)毕业、就业信息管各类毕业、就业信息发布，就业政策咨询与指理导等。37.(05)电子邮件电子邮件发送、接收、查询等。38.(06)视频服务在线声音、影像及文件资料的即时共享、视频会议、视频点播直播等。39.(07)安防监控重要场所远程监

17、控、安全预警等。40.(08)内网门户与身份认信息聚合与展现、身份认证、单点登录、权限证控制、CA证书管理等。41.(09)公共数据库数据共享交换、数据分析、综合查询等。42.(10)运维管理网络与信息系统运行监控、设备管理、维护等。表2 :学校信息系统分类表序 号分类信息系统业务描述1.(01)办公与事务处理公文流转与日常办公事务处理等。2.(01)校务管理(02)公文与信息交换上下级教育行政部门和学校之间的文件传输、 信息报送等。3.类(03)人事管理人力资源管理，如人员招聘、合同管理、工资序 号分类信息系统业务描述管理、培训管理、绩效考核、奖惩管理等。4.(04)财务管理会计核算、项目经

18、费管理、财务信息发布等。5.(05)资产管理固定资产、仪器设备、公房管理等。6.(06)后勤管理后勤工作管理、后勤服务项目管理、后勤咨询 投诉处理、能源使用管理等。7.(07)学生教育工作管理各类学生迎新、学生评估、奖惩管理、助学贷款申请审核、离校管理等。8.(08)学生体质健康数据管理各类学生体质健康数据米集、处理、查询等。9.(09)档案管理档案采集、立卷、组卷、统计、查询等。10.党员个人基本信息管理、发展党员信息管理、(10)党务管理党员进出情况信息管理、党员奖惩信息管理、党组织活动信息发布等。11.(01)教学改革管理教改项目申报、政策与标准发布、教学状态数据库管理等。12.(02)

19、学科、专业管理学科和专业的申报、建设、评估等。13.(02)教学科研类(03)教务教学管理各类学生教育管理、学生学籍管理、教学计划 管理、选课管理、成绩管理、学分转移与互认、 教学实践管理、实训管理、教室管理、毕业管 理、学位管理等。14.(04)教学资源管理互动教学平台、教育教学资源制作、发布、共序 号分类信息系统业务描述享及教学活动组织管理等。15.(05)教学质量评估与保学校教学能力、教学水平、教学过程、教学效障果评测与保障等。16.(06)科研项目管理科研项目申报、过程管理、经费管理、结果评 估，科研与实验的协同、资源共享管理等。17.(07)科研情报管理各种科研情报获取、共享与管理等

20、。18.(03)(01)招生录取管理招生信息发布、网上报名、招生、录取管理等。19.招生就业类(02)学生就业管理学生就业信息发布、就业管理、就业数据分析、就业指导等。20.(01)门户网站官方信息发布、校务公开、政策咨询、社会服 务等。21.(02)论坛、社区类网站即时消息、在线交互、论坛、博客、微博、BBS 等。22.(04)(03)数字图书馆馆藏书目信息维护及查询、图书借阅管理、电子期刊数据查询等。23.综合服务(04)电子邮件电子邮件发送、接收、查询等。24.类(05)视频服务在线声音、影像及文件资料的即时共享、视频会议、视频点播直播等。25.(06)安防监控重要场所远程监控、安全预警

21、等。26.(07)校园一-通饭卡、学生证、工作证、医疗卡、上机卡、考勤卡、门禁卡等应用项目的统一认证管理服务序 号分类信息系统业务描述等。27.(08)内网门户与身份认证信息聚合与展现、身份认证、单点登录、权限 控制、CA证书管理等。28.(09)公共数据库数据共享交换、数据分析、综合查询等。29.(10)运维管理校园网运行监控、设备管理、维护、计费等。附件2信息系统安全保护等级建议表表1部门信息系统安全保护等级建议序分类信息系统建议安全保护等级号部级省级地市1(01)办公与事务处理第二级第二级第二级2(02)公文与信息交换第三级第三级第二级3(03)人事管理第二级第二级第二级4(04)财务管

22、理第二级第二级第二级5(05)资产管理第二级第二级第二级6(06)信访管理第二级第二级第二级7(01)(07)档案管理第二级第二级8政务管理类(08)党务管理第二级第二级第二级9(09)科研管理第二级第二级第二级10(10)教育统计管理第三级第二级第二级11(11)决策支持第二级第二级第二级12(12)应急指挥第三级第二级第二级13(13)舆情监测与管理第三级第二级第二级14(14)高等教育招生计划管理第三级第二级第二级序分类信息系统建议安全保护等级号部级省级地市15(15 )普通高校招生网上录取 管理第三级第三级第三级16(16)教育考试考务管理与服务第三级第三级第二级17(17)评审、表彰

23、管理第二级第二级第二级18(01)学校管理第三级第二级第二级19(02)学科、专业管理第三级第二级第二级20(02)(03)教学改革管理第三级第二级第二级21学校管理类(04)教学质量评估第三级第二级第二级22(05)校园安全与稳定管理第三级第二级第二级23(06)教育经费监管第三级第二级第二级24(01)学生学籍管理第三级第三级第二级25(03)(02)招生录取管理第三级第三级第三级26学生管理类(03)学生资助管理第三级第三级第二级27(04)学位授予管理第三级第三级第二级28(01)教师基本信息管理第三级第二级第二级29(02)教师资格认定管理第三级第二级第二级30(04)(03)教师培

24、训管理第三级第二级第二级31教师管理类(04)教师教育管理第三级第二级第二级32(05)教师职称管理第三级第二级第二级序分类信息系统建议安全保护等级号部级省级地市33(01)门户网站第三级第三级第二级34(02)论坛、社区类网站第二级第二级第二级35(03)教育教学资源第三级第二级第二级36(04)毕业、就业信息管理第三级第二级第二级37（05）(05)电子邮件第二级第二级第二级38综合服务类(06)视频服务第三级第二级第二级39(07)安防监控第二级第二级第二级40(08)内网门户与身份认证第三级第二级第二级41(09)公共数据库第三级第二级第二级42(10)运维管理第三级第二级第二级说明：

25、区县级教育行政部门及直属事业单位的系统建议一般定为第一级，区县级统一运行系统根据业务重要性建议可定为第二级。本表中未单独列出表2:学校信息系统安全保护等级建议序号分类信息系统建议安全保护等级I类学校II类学校III类学校1(01)办公与事务处理第二级第二级第一级2(01)(02)公文与信息交换第二级第二级第一级3校务管理类(03)人事管理第二级第二级第一级序分类信息系统建议安全保护等级号I类学校II类学校III类学校4(04)财务管理第二级第二级第一级5(05)资产管理第二级第二级第一级6(06)后勤管理第二级第二级第一级7(07)学生教育工作管理第二级第二级第一级8(08)学生体质健康数据管

26、 理第二级第二级第一级9(09)档案管理第二级第二级第一级10(10)党务管理第二级第二级第一级11(01)教学改革管理第二级第二级第一级12(02)学科、专业管理第二级第二级第一级13(03)教务教学管理第二级第二级第一级14(02)(04)教学资源管理第二级第二级第一级15教学科研类(05)教学质量评估与保障第二级第二级第一级16(06)科研管理第三级第二级第一级17(07)科研情报第三级第二级第一级18(03)(01)招生录取管理第三级第二级第一级19招生就业类(02)学生就业管理第二级第二级第一级20(01)门户网站第三级第二级第一级21(04)(02)论坛、社区类网站第三级第二级第一级22综合服务类(03)数字图书馆第二级第二级第一级序号分类信息系统建议安全保护等级I类学校II类学校III类学校23(04)电子邮件第二级第二级第一级24(05)视频服务第二级第二级第一级25(06安防监控第二级第二级第一级