
教育信息系统等级保护定级指南(试行)doc.doc
6页教育信息系统等级保护定级指南 ( 试行 )doc教育信息系统安全等级保护定级指南(试行)1 总则本指南依据国家信息安全等级保护相关政策和标准,在《信息系统安全等级保护定级指南》( GB/T 22240-2019 )的基础上,结合各级教育行政部门及高等学校信息化工作实际需要,重点给出了教育信息系统的定级流程和级别建议,适用于教育部、省(自治区、直辖市、计划单列市)、市教育行政部门及高等学校主要信息系统的安全等级保护定级工作区县及以下教育行政部门、中等职业学校、中小学校和其他教育机构的信息系统安全等级保护定级工作可根据实际需要,参照本指南执行2 依据公安部等四部委《关于印发的通知》(公通字〔 2019〕 43 号)公安部等四部委《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔 2019〕861 号)《信息系统安全等级保护定级指南》( GB/T 22240-2019 )《教育部办公厅关于开展信息系统安全等级保护工作的通知》(教办厅函〔 2019〕 80号)《教育部办公厅关于进一步加强网络信息系统安全保障工作的通知》(教办厅函〔 2019〕 83 号)3 术语和定义3.1信息系统本指南中的信息系统是指教育教学管理与服务过程中涉及到教师、学生和教育组织等业务管理、资源服务等不涉及国家秘密的信息系统。
信息和信息系统是教育信息安全等级保护工作直接面对的对象3.2 基础网络本指南中的基础网络是指承载并保障信息系统运行的基础设施环境和局域网络系统如教育城域网、教育科研网( CERNET)、校园网等3.3 安全责任单位本指南中的安全责任单位是指承担信息系统安全保护责任的单位或部门信息系统的安全责任单位是唯一的教育信息系统按照 “谁的业务谁负责”的原则确定安全责任单位,由安全责任单位负责定级:对于基础网络,由运行维护单位或部门负责定级,如网络中心/ 信息中心 / 电教馆等;对于信息系统,由业务承担单位或部门负责定级,如办公室/基教处 / 信息中心等;对于不能确定唯一安全责任单位的信息系统,应按照“谁主管谁负责”的原则,由主管部门负责定级教育部统一规划部署的信息系统一般在教育部和省级教育行政部门部署运行,由教育部负责统一定级;地方教育行政部门统一规划部署的信息系统一般在本级和下级教育行政部门部署运行,由本级教育行政部门负责统一定级4 教育信息系统的分类根据各级教育行政部门及高等学校的信息化实际情况,综合考虑信息系统的业务责任单位、信息系统的业务类型和业务重要性等因素,将各级教育行政部门和高等学校的主要信息系统进行分类。
为便于描述,按照如下规则给出编码每个具体信息系统的分类编号长度 5 位:首位字母代表大类, A、 B 或 C,教育行政部门的信息系统称为A 类系统,高等学校的信息系统称为 B 类系统教育部统一规划部署的信息系统单独列为 C类系统;第 2 和 3 位是分类顺序码,取值范围 01-99 ,每类信息系统的分类名称用两位数字编号表示,如:政务管理类为 01,学校管理类为 02;第 4 和 5 位是信息系统顺序码,取值范围 01-99 ;信息系统的名称用两位数字编号表示,如:办公与事务处理编号为 01,公文与信息交换编号为 02;举例:教育行政部门的人事管理信息系统的编码为: A0103,高等学校的教学改革管理信息系统的编码为: B02014.1 教育行政部门信息系统分类根据教育行政部门相关信息系统业务范围,分类如表 1 所示:表 1:教育行政部门主要信息系统( A 类)分类4.2 高等学校信息系统分类根据高等学校相关信息系统业务范围,分类如表 2 所示:表 2 :高等学校主要信息系统( B类)分类4.2 高等学校信息系统分类根据高等学校相关信息系统业务范围,分类如表 2 所示:表 2 :高等学校主要信息系统( B类)分类564.3 教育部统一规划部署的信息系统分类教育部统一规划部署的信息系统如“三通两平台”提出的“国家教育管理公共服务平台”和“国家教育资源公共服务平台”,大体分类如表3 所示:表 3:教育部统一规划部署的主要信息系统(C 类)分类785教育信息系统的安全保护等级5.1 教育信息系统受破坏后受侵害的对象信息系统安全包括业务信息安全和系统服务安全,信息系统受到破坏时所侵害的对象为:国家安全,社会秩序、公众利益和教师、学生和教育组织的合法权益。
侵害国家安全的事项包括以下方面:─影响国家政权稳固和国防实力; ─影响国家统一、民族团结和社会安定; ─影响国家对外活动中的政治、经济利益; ─影响国家重要的安全保卫工作; ─影响国家经济竞争力和科技实力;9─其他影响国家安全的事项 侵害社会秩序的事项包括以下方面:─影响国家机关社会管理和公共服务的工作秩序; ─影响各种类型的经济活动秩序;─影响各行业的科研、生产秩序;项─影响公众在法律约束和道德规范下的正常生活秩序等;影响公共利益的事项包括以下方面:─其他影响社会秩序的事─影响社会成员使用公共设施; ─影响社会成员获取公开信息资源; ─影响社会成员接受公共服务等方面; ─其他影响公共利益的事项影响教师、学生和教育组织合法权益的事项包括以下方面:─影响教师个人隐私、名誉和利益; ─影响学生个人隐私、名誉和利益; ─影响教育组织隐私、名誉和利益;─其他影响教师、学生和教育组织正常教学、学习和工作开展等所享有的社会权利和利益的事项确定信息系统受到破坏后所侵害的对象时,应首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,最后判断是否侵害教师、学生和教育组织的合法权益5.2 教育信息系统受破坏后受侵害的程度教育信息系统的业务信息安全或系统服务安全受到破坏时,受侵害的程度与信息系统所属单位的行政级别以及承载业务的重要性、影响程度、教育规模等有关。
分别描述如下:教育行政部门教育行政部门的信息系统中,部分学校管理类、学生管理类、教师管理类信息系统,业务信息覆盖本地区,关系到广大师生的合法权益,社会影响力大,这些系统的业务信息安全或系统服务安全受到破坏,可能直接造成严重的教育事故,对社会秩序和公共利益造成严重损害部分政务管理类和综合服务类信息系统,业务信息覆盖本系统或本单位,涉及到本系统或本单位的核心业务,这些系统的业务信息安全或系统服务安全受到破坏,影响正常教育教学秩序,对本系统或本单位的合法权益造成严重损害,甚至对社会秩序和公共利益造成一般损害 高等学校高等学校的信息系统中,部分校务管理类、教学科研类信息系统业务信息安全或系统服务安全受到破坏,可能严重影响学校正常秩序,影响高等学校正常行使工作职能,侵害学校、教师、学生合法权益,引起法律纠纷部分招生就业类、综合服务类信息系统的业务信息安全或系统服务安全受到破坏,可能使高等学校工作秩序和工作职能受到严重影响,对社会将产生一定范围的不良影响,对社会秩序和公共利益造成严重损害,对学生及部分社会公众造成严重损害 5.3 教育信息系统的安全保护等级根据国家信息安全等级保护相关文件,对照国家信息系统安全保护等级的定义,教育信息系统安全保护等级的描述如下:第一级:单位内部一般性信息系统。
受到破坏后,会对教师、学生个人合法权益和教育组织内部工作管理造成一定损害,但不损害国家安全、社会秩序和公共利益第二级:单位内部重要信息系统受到破坏后,会对教师、学生群体的合法权益和教育组织内部工作管理造成严重损害,或者对社会秩序和公共利益造成一定损害,但不损害国家安全第三级:单位内部或全国 / 地区范围统一运行的重要信息系统信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成一定损害第四级:全国范围统一运行的重要信息系统信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害第五级,暂无 6 教育信息系统的建议等级综合考虑各级教育行政部门和各类高等学校有关信息系统的安全保护需求及其业务信息安全等级和系统服务安全遭到破坏后所产生的影响,各类教育信息系统定级建议分别见表 4、表 5 和表 6各单位可根据信息系统的分类与所承载的业务功能参照表 4、表 5 和表 6 进行安全等级保护定级;对于承载复杂业务的信息系统,安全保护等级可高于建议级别;对于承载多个业务的信息系统,应以承载这些业务的信息系统的最高建议等级进行定级;未在建议表中列出的信息系统,可根据其承载的业务功能,参照定级。
表 4:教育行政部门主要信息系统( A 类)建议等级表 5:高等学校主要信息系统( B 类)建议等级 说明:根据办学规模和社会影响力,将高等学校分为三类:I 类高校:重点关注类高等学校,如 985 高校和 211 高校等; II 类高校:其他普通本科类院校; III 类高校:高职、高专院校15表 6:教育部统一规划部署的主要信息系统( C 类)建议等级16教育部统一规划部署的信息系统( C类)定级信息将在教育信息安全等级保护专题网站( )更新 7 等级变更在信息系统的运行过程中,当系统状态变化可能导致业务信息安全或系统服务受到破坏后的受侵害对象和受侵害程度有较大的变化时,应根据具体情况重新定级,并变更级别。
