教育行業(yè)信息系統(tǒng)安全等級保護

定級工作指南

（試行）

1、總則

本指南依據(jù)國家信息安全等級保護相關政策和標準，結合教育行業(yè)信息化工作的特點和具體實際，對教育行業(yè)信息系統(tǒng)進行分類，提出安全等級保護的定級思路，給出建議等級，明確工作流程。

本指南適用于各級教育行政部門及其直屬事業(yè)單位、各級各類學校的非涉密信息系統(tǒng)安全等級保護定級工作。

信息系統(tǒng)的定級工作應在信息系統(tǒng)設計階段完成，與信息系統(tǒng)建設同步實施。

2、定級依據(jù)

《中華人民共和國計算機信息系統(tǒng)安全保護條例》（國務院第147號令）

《信息系統(tǒng)安全等級保護定級指南》（GB/T 22240-2008）

《信息系統(tǒng)安全等級保護實施指南》（GB/T 25058-2010）

《關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（公信安〔2007〕861號）

《信息安全等級保護管理辦法》（公通字〔2007〕43號）

3、信息系統(tǒng)的類型劃分

信息系統(tǒng)的類型劃分是進行信息系統(tǒng)安全等級劃分的前提和基礎。按照信息系統(tǒng)的主管單位、業(yè)務對象、部署模式對教育行業(yè)信息系統(tǒng)進行分類，形成信息系統(tǒng)分類表（附件1）。

3.1 按信息系統(tǒng)主管單位劃分

按照信息系統(tǒng)主管單位的不同，信息系統(tǒng)分為“教育行政部門及其直屬事業(yè)單位信息系統(tǒng)”（簡稱“部門信息系統(tǒng)”）和“學校信息系統(tǒng)”兩類。

部門信息系統(tǒng)可分為教育部機關及其直屬事業(yè)單位信息系統(tǒng)（部級系統(tǒng)）、省級教育行政部門及其直屬事業(yè)單位信息系統(tǒng)（省級系統(tǒng)）、地市級教育行政部門及其直屬事業(yè)單位信息系統(tǒng)（市級系統(tǒng)）和區(qū)縣級教育行政部門及其直屬事業(yè)單位信息系統(tǒng)（縣級系統(tǒng)）；學校信息系統(tǒng)可分為重點建設類高等學校信息系統(tǒng)（I類）、高等學校信息系統(tǒng)（Ⅱ類）、中小學校（含中職中專院校）信息系統(tǒng)（Ⅲ類）。

3.2 按信息系統(tǒng)業(yè)務對象劃分

根據(jù)信息系統(tǒng)業(yè)務對象不同，部門信息系統(tǒng)可分為政務管理類、學校管理類、學生管理類、教師管理類、綜合服務類；學校信息系統(tǒng)可分為校務管理類、教學科研類、招生就業(yè)類、綜合服務類。

3.3 按信息系統(tǒng)部署模式劃分

根據(jù)信息系統(tǒng)的部署模式，信息系統(tǒng)可以分為內部系統(tǒng)和統(tǒng)一運行系統(tǒng)。內部系統(tǒng)是指僅供本單位內部使用，實現(xiàn)本單位業(yè)務管理與服務的信息系統(tǒng)。統(tǒng)一運行系統(tǒng)是指供多家（級）單位共同使用，實現(xiàn)某項業(yè)務的跨單位統(tǒng)一管理與服務的信息系統(tǒng)。

統(tǒng)一運行系統(tǒng)可進一步分為集中式系統(tǒng)和分布式系統(tǒng)。集中式信息系統(tǒng)邏輯上是一套系統(tǒng)，在一個單位統(tǒng)一部署、管理和運行，多家（級）單位共同使用，實現(xiàn)信息系統(tǒng)、業(yè)務流程和數(shù)據(jù)的集中式管理；分布式信息系統(tǒng)邏輯上是多套系統(tǒng)在多家（級）單位分別部署、管理和運行，通過技術接口實現(xiàn)信息系統(tǒng)、業(yè)務流程和數(shù)據(jù)的分布式管理。

4、信息系統(tǒng)的定級思路

信息系統(tǒng)的定級思路是在信息系統(tǒng)分類的基礎上，參照國家對信息系統(tǒng)的安全保護等級標準的等級劃分，形成教育行業(yè)信息系統(tǒng)安全等級劃分建議。按主管單位不同，分別對部門信息系統(tǒng)和學校信息系統(tǒng)采取不同的思路進行分析，分別形成信息系統(tǒng)安全等級建議表（附件2）。實際定級工作中，信息系統(tǒng)所定等級原則上不應低于建議等級。如遇未能涵蓋的信息系統(tǒng)，可按照下述定級思路綜合分析，確定安全等級。

4.1 定級思路概述

部門信息系統(tǒng)與學校信息系統(tǒng)分別定級。由于面向的對象不同、承載的業(yè)務不同、受到破壞后造成的侵害程度不同，采取不同的定級思路。

信息系統(tǒng)受到破壞后造成的危害程度與其安全等級正相關，造成的危害程度越大，安全等級應越高。

4.2 部門信息系統(tǒng)定級思路

部門信息系統(tǒng)根據(jù)行政級別、部署模式和業(yè)務類型與性質三個維度分析受到破壞后造成的危害程度。

行政級別與危害程度分析。行政級別與信息系統(tǒng)受到破壞后造成的危害程度正相關，級別越高則危害程度越嚴重，反之則相對較輕。

部署模式與危害程度分析。部署模式與信息系統(tǒng)受到破壞后造成的危害程度正相關，涉及的單位越多則危害程度越嚴重，統(tǒng)一運行信息系統(tǒng)大于內部信息系統(tǒng)。

業(yè)務類型與性質的判斷分析詳見4.4

4.3 學校信息系統(tǒng)定級思路

學校信息系統(tǒng)根據(jù)辦學規(guī)模、社會影響力、業(yè)務類型三個維度分析受到破壞后造成的危害程度。

辦學規(guī)模與危害程度分析。辦學規(guī)模與信息系統(tǒng)受到破壞后造成的危害程度正相關，規(guī)模越大則危害程度越嚴重，高等學校信息系統(tǒng)大于中小學校信息系統(tǒng)。

社會影響力與危害程度分析。社會影響力與信息系統(tǒng)受到破壞后造成的危害程度正相關，影響力越大則危害程度越嚴重，“985工程”學校和“211工程”學校大于其他高等學校。

業(yè)務類型與性質的判斷分析詳見4.4。

4.4 業(yè)務類型與性質的判斷分析

業(yè)務類型與危害程度分析。承載教育教學管理與服務核心業(yè)務的信息系統(tǒng)較承載一般業(yè)務的信息系統(tǒng)受到破壞后造成的危害程度嚴重。教育教學管理與服務的核心業(yè)務包括學籍學歷管理、學位管理、招生錄取管理、考試考務管理、教師管理、門戶網(wǎng)站管理等。

業(yè)務連續(xù)性與危害程度分析。業(yè)務的連續(xù)性要求與信息系統(tǒng)受到破壞后造成的危害程度正相關，連續(xù)性要求越高，其受破壞危害越嚴重；

業(yè)務數(shù)據(jù)重要性與危害程度分析。業(yè)務數(shù)據(jù)的重要性要求與信息系統(tǒng)受到破壞后造成的危害程度正相關，涉及的國家安全、個人隱私和相關數(shù)據(jù)的信息系統(tǒng)，其受破壞危害更嚴重。

5、信息系統(tǒng)的定級工作流程

教育行業(yè)信息系統(tǒng)安全等級保護應堅持“自主定級、自主保護”的原則，依據(jù)《信息系統(tǒng)安全等級保護定級指南》的定級原理、方法，參照本指南的信息系統(tǒng)類型劃分、定級思路組織開展信息系統(tǒng)定級工作。

5.1 確定定級責任主體

信息系統(tǒng)應明確定級工作的責任主體。按照“誰主管誰負責、誰運維誰負責、誰使用誰負責”的原則，信息系統(tǒng)的主管單位為定級工作的責任主體，負責組織運維單位、使用單位開展信息系統(tǒng)定級工作。集中式信息系統(tǒng)由信息系統(tǒng)牽頭建設單位負責組織信息系統(tǒng)定級工作。分布式信息系統(tǒng)由牽頭建設單位負責組織信息系統(tǒng)定級工作，確定中心信息系統(tǒng)安全保護等級；各分支信息系統(tǒng)的主管單位參照中心系統(tǒng)的安全保護等級自主組織定級工作。信息系統(tǒng)的運維單位應協(xié)助主管單位完成定級過程中的具體技術支撐工作。

5.2 自主定級

主管單位對本單位信息系統(tǒng)進行梳理分析，參考附表2的建議等級進行自主定級，確定信息系統(tǒng)安全保護等級。對于承載復雜業(yè)務的信息系統(tǒng)，安全保護等級可高于建議等級；對于承載多個業(yè)務的信息系統(tǒng)，應以所承載業(yè)務的信息系統(tǒng)的最高建議等級進行定級。

5.3 專家評審

主管單位完成信息系統(tǒng)自主定級后，需聘請有關信息安全等級保護專家對信息系統(tǒng)自主定級情況進行評審，形成評審意見。擬確定為第四級及以上的信息系統(tǒng)，由教育部邀請國家信息安全保護等級專家評審委員會進行評審；擬確定為其他等級信息系統(tǒng)可由定級責任主體自行聘請專家進行評審。

5.4 主管部門審核批準

主管單位完成信息系統(tǒng)專家評審后，需填寫《信息系統(tǒng)安全等級保護定級報告》（附件3）、《信息系統(tǒng)安全等級保護備案表》（附件4）和信息系統(tǒng)安全等級保護專家評審意見等材料。各級教育行政部門將相關材料報送至上一級教育行政部門進行審核，直屬事業(yè)單位和各級各類學校按照隸屬關系將相關材料報送至所屬教育行政部門或有關部門進行審批。

5.5 公安機關備案

經(jīng)審核批準的二級以上信息系統(tǒng)，由其主管單位負責組織到所在地設區(qū)的市級以上公安機關辦理備案手續(xù)。教育部全國聯(lián)網(wǎng)統(tǒng)一運行系統(tǒng)由教育部統(tǒng)一向公安部備案，其在各地運行、應用的分支系統(tǒng)，由主管單位組織向所在地公安部門備案，確定為三級以上信息系統(tǒng)同時報教育部備案。

6、等級變更

信息系統(tǒng)運行過程中，當系統(tǒng)狀態(tài)變化可能導致業(yè)務信息安全或系統(tǒng)服務受到破壞后的受侵害對象和受侵害程度有較大的變化時，應根據(jù)具體情況重新定級，并變更等級。

附件：

附件1信息系統(tǒng)分類表.docx

附件2信息系統(tǒng)安全保護等級建議表.docx

附件3信息系統(tǒng)安全等級保護定級報告.docx

附件4信息系統(tǒng)安全等級保護備案表.docx