教育行业信息系统安全等级保护定级工作指南(试行)1总则本指南依据国家信息安全等级保护相关政策和标准,结合教育行业信息化工作的特点和具体实际,对教育行业信息系统进行分类,提出安全等级保护的定级思路,给出建议等级,明确工作流程。本指南适用于各级教育行政部门及其直属事业单位、各级各类学校的非涉密信息系统安全等级保护定级工作。信息系统的定级工作应在信息系统设计阶段完成,与信息系统建设同步实施。2定级依据《中华人民共和国计算机信息系统安全保护条例》(国务院第147号令)《信息系统安全等级保护定级指南》(GB/T22240-2008)《信息系统安全等级保护实施指南》(GB/T25058-2010)《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)《信息安全等级保护管理办法》(公通字〔2007〕43号)3信息系统的类型划分信息系统的类型划分是进行信息系统安全等级划分的前提和基础。按照信息系统的主管单位、业务对象、部署模式对教育行业信息系统进行分类,形成信息系统分类表(附件1)。3.1按信息系统主管单位划分按照信息系统主管单位的不同,信息系统分为“教育行政部门及其直属事业单位信息系统”(简称“部门信息系统”)和“学校信息系统”两类。部门信息系统可分为教育部机关及其直属事业单位信息系统(部级系统)、省级教育行政部门及其直属事业单位信息系统(省级系统)、地市级教育行政部门及其直属事业单位信息系统(市级系统)和区县级教育行政部门及其直属事业单位信息系统(县级系统);学校信息系统可分为重点建设类高等学校信息系统(I类)、高等学校信息系统(Ⅱ类)、中小学校(含中职中专院校)信息系统(Ⅲ类)。3.2按信息系统业务对象划分根据信息系统业务对象不同,部门信息系统可分为政务管理类、学校管理类、学生管理类、教师管理类、综合服务类;学校信息系统可分为校务管理类、教学科研类、招生就业类、综合服务类。3.3按信息系统部署模式划分根据信息系统的部署模式,信息系统可以分为内部系统和统一运行系统。内部系统是指仅供本单位内部使用,实现本单位业务管理与服务的信息系统。统一运行系统是指供多家(级)单位共同使用,实现某项业务的跨单位统一管理与服务的信息系统。统一运行系统可进一步分为集中式系统和分布式系统。集中式信息系统逻辑上是一套系统,在一个单位统一部署、管理和运行,多家(级)单位共同使用,实现信息系统、业务流程和数据的集中式管理;分布式信息系统逻辑上是多套系统在多家(级)单位分别部署、管理和运行,通过技术接口实现信息系统、业务流程和数据的分布式管理。4信息系统的定级思路信息系统的定级思路是在信息系统分类的基础上,参照国家对信息系统的安全保护等级标准的等级划分,形成教育行业信息系统安全等级划分建议。按主管单位不同,分别对部门信息系统和学校信息系统采取不同的思路进行分析,分别形成信息系统安全等级建议表(附件2)。实际定级工作中,信息系统所定等级原则上不应低于建议等级。如遇未能涵盖的信息系统,可按照下述定级思路综合分析,确定安全等级。4.1定级思路概述部门信息系统与学校信息系统分别定级。由于面向的对象不同、承载的业务不同、受到破坏后造成的侵害程度不同,采取不同的定级思路。信息系统受到破坏后造成的危害程度与其安全等级正相关,造成的危害程度越大,安全等级应越高。4.2部门信息系统定级思路部门信息系统根据行政级别、部署模式和业务类型与性质三个维度分析受到破坏后造成的危害程度。行政级别与危害程度分析。行政级别与信息系统受到破坏后造成的危害程度正相关,级别越高则危害程度越严重,反之则相对较轻。部署模式与危害程度分析。部署模式与信息系统受到破坏后造成的危害程度正相关,涉及的单位越多则危害程度越严重,统一运行信息系统大于内部信息系统。业务类型与性质的判断分析详见4.44.3学校信息系统定级思路学校信息系统根据办学规模、社会影响力、业务类型三个维度分析受到破坏后造成的危害程度。办学规模与危害程度分析。办学规模与信息系统受到破坏后造成的危害程度正相关,规模越大则危害程度越严重,高等学校信息系统大于中小学校信息系统。社会影响力与危害程度分析。社会影响力与信息系统受到破坏后造成的危害程度正相关,影响力越大则危害程度越严重,“985工程”学校和“211工程”学校大于其他高等学校。业务类型与性质的判断分析详见4.4。4.4业务类型与性质的判断分析业务类型与危害程度分析。承载教育教学管理与服务核心业务的信息系统较承载一般业务的信息系统受到破坏后造成的危害程度严重。教育教学管理与服务的核心业务包括学籍学历管理、学位管理、招生录取管理、考试考务管理、教师管理、门户网站管理等。业务连续性与危害程度分析。业务的连续性要求与信息系统受到破坏后造成的危害程度正相关,连续性要求越高,其受破坏危害越严重;业务数据重要性与危害程度分析。业务数据的重要性要求与信息系统受到破坏后造成的危害程度正相关,涉及的国家安全、个人隐私和相关数据的信息系统,其受破坏危害更严重。5信息系统的定级工作流程教育行业信息系统安全等级保护应坚持“自主定级、自主保护”的原则,依据《信息系统安全等级保护定级指南》的定级原理、方法,参照本指南的信息系统类型划分、定级思路组织开展信息系统定级工作。5.1确定定级责任主体信息系统应明确定级工作的责任主体。按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,信息系统的主管单位为定级工作的责任主体,负责组织运维单位、使用单位开展信息系统定级工作。集中式信息系统由信息系统牵头建设单位负责组织信息系统定级工作。分布式信息系统由牵头建设单位负责组织信息系统定级工作,确定中心信息系统安全保护等级;各分支信息系统的主管单位参照中心系统的安全保护等级自主组织定级工作。信息系统的运维单位应协助主管单位完成定级过程中的具体技术支撑工作。5.2自主定级主管单位对本单位信息系统进行梳理分析,参考附表2的建议等级进行自主定级,确定信息系统安全保护等级。对于承载复杂业务的信息系统,安全保护等级可高于建议等级;对于承载多个业务的信息系统,应以所承载业务的信息系统的最高建议等级进行定级。5.3专家评审主管单位完成信息系统自主定级后,需聘请有关信息安全等级保护专家对信息系统自主定级情况进行评审,形成评审意见。拟确定为第四级及以上的信息系统,由教育部邀请国家信息安全保护等级专家评审委员会进行评审;拟确定为其他等级信息系统可由定级责任主体自行聘请专家进行评审。5.4主管部门审核批准主管单位完成信息系统专家评审后,需填写《信息系统安全等级保护定级报告》(附件3)、《信息系统安全等级保护备案表》(附件4)和信息系统安全等级保护专家评审意见等材料。各级教育行政部门将相关材料报送至上一级教育行政部门进行审核,直属事业单位和各级各类学校按照隶属关系将相关材料报送至所属教育行政部门或有关部门进行审批。5.5公安机关备案经审核批准的二级以上信息系统,由其主管单位负责组织到所在地设区的市级以上公安机关办理备案手续。教育部全国联网统一运行系统由教育部统一向公安部备案,其在各地运行、应用的分支系统,由主管单位组织向所在地公安部门备案,确定为三级以上信息系统同时报教育部备案。6等级变更信息系统运行过程中,当系统状态变化可能导致业务信息安全或系统服务受到破坏后的受侵害对象和受侵害程度有较大的变化时,应根据具体情况重新定级,并变更等级。附件:1.信息系统分类表2.信息系统安全保护等级建议表3.信息系统安全等级保护定级报告4.信息系统安全等级保护备案表附件1信息系统分类表表1:部门信息系统分类表序号分类信息系统业务描述1.(01)政务管理类(01)办公与事务处理公文流转与日常办公事务处理等。2.(02)公文与信息交换上下级教育行政部门和学校之间的文件传输、信息报送等。3.(03)人事管理人力资源管理,如人员招聘、合同管理、工资管理、培训管理、绩效考核、奖惩管理等。4.(04)财务管理会计核算、项目经费管理、财务信息发布等。5.(05)资产管理固定资产、仪器设备管理等。6.(06)信访管理信访业务受理、办理、反馈、统计等。7.(07)档案管理档案采集、立卷、组卷、统计、查询等。8.(08)党务管理党员个人基本信息管理、发展党员信息管理、党员进出情况信息管理、党员奖惩信息管理、党组织活动信息发布等。9.(09)科研管理科研项目申报、过程管理、经费管理、结果评估等。序号分类信息系统业务描述10.(10)教育统计管理各类法定教育统计数据的采集、汇总、上报、查询和分析等。11.(11)决策支持数据分析、知识发现、决策支持等。12.(12)应急指挥突发事件应急指挥与处置、监控管理、预测统计、报警联动等。13.(13)舆情监测与管理互联网信息舆情监测、分析与处理等。14.(14)高等教育招生计划管理招生计划管理、高等教育机构招生资格管理等。15.(15)普通高校招生网上录取管理全国普通高校招生网上录取系统。16.(16)教育考试考务管理与服务考务工作信息资源和数据交换、考务工作管理、数据分析、决策指挥等。17.(17)评审、表彰管理教育系统各类评审、表彰类管理,含网上申报、单位推荐和专家评审等。18.(02)学校管理类(01)学校管理各类教育机构设置审核、基本信息管理、教育经费管理、基建管理、技术装备信息管理、教学信息管理等。19.(02)学科、专业管理高等学校和科研机构学科、专业建设管理、评估等。20.(03)教学改革管理教改项目申报、政策与标准发布、教学状态数据库管理等。序号分类信息系统业务描述21.(04)教学质量评估高等学校教学质量评估、学校和专业评估、质量报告发布等。22.(05)校园安全与稳定管理校园安全综合管理、宣传、培训、监控与治理等。23.(06)教育经费监管教育部和各省级教育行政部门对各高校经费执行情况的监管和统计等。24.(03)学生管理类(01)学生学籍管理各类学生入学管理、学生学籍管理等。25.(02)招生录取管理各类学生网上报名、招生、考试、评卷、录取管理等。26.(03)学生资助管理各类学生资助申请、审批、管理、信息统计等。27.(04)学位授予管理学士、硕士、博士学位授予管理等。28.(04)教师管理类(01)教师基本信息管理各级各类教师基本信息上报、管理、更新、个人档案管理等。29.(02)教师资格认定管理教师资格认定网上报名、审核、认定、信息综合管理等。30.(03)教师培训管理各类教师培训管理、师资管理、在线培训等。31.(04)教师教育管理教师教育院校信息管理、师范生信息管理等。32.(05)教师职称管理各级各类教室职称网上申报、评审、信息综合管理等。33.(05)综合服务类(01)门户网站官方信息发布、政务公开、行政审批、政策咨询、社会服务等。序号分类信息系统业务描述34.(02)论坛、社区类网站即时消息、在线交互、论坛、博客、微博、BBS等。35.(03)教育教学资源互动教学、教育教学资源发布、共享及服务等。36.(04)毕业、就业信息管理各类毕业、就业信息发布,就业政策咨询与指导等。37.(05)电子邮件电子邮件发送、接收、查询等。38.(06)视频服务在线声音、影像及文件资料的即时共享、视频会议、视频点播直播等。39.(07)安防监控重要场所远程监控、安全预警等。40.(08)内网门户与身份认证信息聚合与展现、身份认证、单点登录、权限控制、CA证书管理等。41.(09)公共数据库数据共享交换、数据分析、综合查询等。42.(10)运维管理网络与信息系统运行监控、设备管理、维护等。表2:学校信息系统分类表序号分类信息系统业务描述1.(01)校务管理类(01)办公与事务处理公文流转与日常办公事务处理等。2.(02)公文与信息交换上下级教育行政部门和学校之间的文件传输、信息报送等。3.(03)人事管理人力资源管理,如人员招聘、合同管理、工资序号分类信息系统业务描述管理、培训管理、绩效考核、奖惩管理等。4.(04)财务管理会计核算、项目经费管理、财务信息发布等。5.(05)资产管理固定资产、仪器设备、公