北京市市属教育行业 信息安全等级保护定级评审 工作办法解读 北京教育网络和信息中心 徐晶
主要内容 相关政策依据 1 评审流程 2 常见问题 3
相关政策依据
相关政策 《关于印发<信息安全等级保护管理办法>的通知》(公通字〔2007〕43号) 《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号) 《信息系统安全等级保护定级指南》(GB/T 22240-2008)
相关政策 《教育部办公厅关于开展信息系统安全等级保护工作的通知》(教办厅函〔2009〕80号) 《教育部办公厅关于进一步加强网络信息系统安全保障工作的通知》(教办厅函〔2011〕83号) 《教育信息系统安全等级保护定级指南(试行)》 《北京市教育委员会北京市公安局关于进一步推进市属教育行业信息安全等级保护工作的通知》(京教函〔2012〕363号)
适用范围 各区县教委的区县一级教育教学相关业务系统 市属高校的各类信息系统 市教委各直管直属单位的各类信息系统 各有关单位的各类信息系统
信息系统 本办法中的信息系统是指由计算机及其相关和配套的设备、网络构成的对教育行业相关业务信息进行采集、加工、存储、传输、检索和处理,不涉及国家秘密的系统。
北京市教育信息安全等级保护专家咨询委员会 职责 市教委在市公安局的业务配合和支持下,负责对本市教育行业信息安全等级保护工作的监督、检查和指导。 市教委 负责市属教育行业信息安全等级保护工作的组织实施,承担业务培训、先进经验推广、本级单位和区县级教育信息系统信息安全等级审核等工作。 作为北京市教育行业信息安全等级保护专家咨询机构,提供相关的定级评审意见、规划建议和技术咨询 北京教育网络和信息中心 北京市教育信息安全等级保护专家咨询委员会
定级责任主体 按照“谁运营谁负责”的原则,定级责任主体为信息系统的运营使用单位。
评审流程
评审流程 自主 定级 专家 评审 主管 部门 审批 公安机关监督 备案
自主定级
等级划分 等级 等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度 主管部门的监管方式 第五级 会对国家安全造成特别严重损害 政府协助下由主管部门和使用单位实施 专门控制和保护 第四级 会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害 政府职能部门的 强制监督和检查的 严格保护 第三级 会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害 政府职能部门监督的严格保护 第二级 会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全 政府职能部门指导的自主保护 第一级 信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益 自主保护
教育信息系统的安全保护等级 第三级 第二级 单位内部或全国/地区的重要信息范围统一运行系统。信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成一定损害。 第一级 单位内部一般性信息系统。受到破坏后,会对教师、学生个人合法权益和教育组织内部工作管理造成一定损害,但不损害国家安全、社会秩序和公共利益 单位内部重要信息系统。受到破坏后,会对教师、学生群体的合法权益和教育组织内部工作管理造成严重损害,或者对社会秩序和公共利益造成一定损害,但不损害国家安全。 根据国家信息安全等级保护相关文件,对照国家信息系统安全保护等级的定义,教育信息系统安全保护等级的描述如下:第四级:全国范围统一运行的重要信息系统。信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。第五级,暂无。
《教育信息系统安全等级保护定级指南(试行)》 网址为http://ceping.moe.edu.cn/ 教育信息系统的建议等级 综合考虑各级教育行政部门和各类高等学校有关信息系统的安全保护需求及其业务信息安全等级和系统服务安全遭到破坏后所产生的影响,各类教育信息系统定级建议参见《教育信息系统安全等级保护定级指南(试行)》 《教育信息系统安全等级保护定级指南(试行)》 网址为http://ceping.moe.edu.cn/
教育行政部门主要信息系统建议等级举例 教育行政部门主要信息系统建议等级 分类 信息系统 建议安全保护等级 省级教育行政部门 地市教育行政部门 政务管理类 (01)办公与事务处理 第二级 (02)公文与信息交换 第三级 (03)人事管理 (04)财务管理 (05)资产管理 (06)信访管理 (07)档案管理
教育行政部门主要信息系统建议等级举例 教育行政部门主要信息系统建议等级 分类 信息系统 省级教育行政部门 地市教育行政部门 学生管 理类 信息系统 省级教育行政部门 地市教育行政部门 学生管 理类 (01)学生学籍管理 第三级 第二级 (02)招生录取管理 (03)学生资助管理 (04)学位授予管理
高等学校主要信息系统建议等级举例 说明:根据办学规模和社会影响力,将高等学校分为三类: I类高校:重点关注类高等学校如985高校和211高校等; II类高校:其他普通本科类院校; III类高校:高职、高专院校。
高等学校主要信息系统建议等级举例 高等学校主要信息系统建议等级 分类 信息系统 建议安全保护等级 I类高校 II类高校 III类高校 教学科研类 (01)教学改革管理 第二级 (02)学科、专业管理 (03)教务教学管理 (04)教学资源管理 (05)教学质量评估与保障 (06)科研管理 第三级 (07)科研情报
中国信息安全等级保护网 www.djbh.net
专家评审
《北京市教育行业信息系统安全等级保护定级专家评审意见》 《XXX关于信息系统安全 等级保护定级评审的申请》 《北京市教育行业信息系统安全等级保护定级专家评审意见》 《信息系统安全 等级保护定级报告》 专家评审后,各单位将通过专家评审的信息系统的《信息系统安全等级保护定级报告》、《信息系统安全等级保护备案表》和《北京市教育行业信息系统安全等级保护定级专家评审意见》报送北京教育网络和信息中心; 北京教育网络和信息中心审核并反馈意见。 对于系统定级未审批通过的,应对照本办法重新开展定级工作。 《信息系统安全 等级保护备案表》
专家评审意见
主管部门审批
主管部门审批 《北京市教育行业信息系统安全等级保护审批意见》 《信息系统安全 等级保护定级报告》 《信息系统安全 等级保护备案表》 专家评审后,各单位将通过专家评审的信息系统的《信息系统安全等级保护定级报告》、《信息系统安全等级保护备案表》和《北京市教育行业信息系统安全等级保护定级专家评审意见》报送北京教育网络和信息中心; 北京教育网络和信息中心审核并反馈意见。 对于系统定级未审批通过的,应对照本办法重新开展定级工作。 《北京市教育行业信息系统 安全等级保护定级专家评审意见》
审批意见
备案
备案 30日内报公安机关备案 《信息系统安全等级保护定级报告》 《信息系统安全等级保护备案表》 《北京市教育行业信息系统 安全等级保护定级专家评审意见》 审批通过后,各单位持《信息系统安全等级保护定级报告》、《信息系统安全等级保护备案表》、《北京市教育行业信息系统安全等级保护定级专家评审意见》和《北京市教育行业信息系统安全等级保护审批意见》,在30日内报公安机关备案。 系统运营单位保卫关系隶属市公安局内保局、文保总队的由市公安局内保局、文保总队受理备案;系统运营单位保卫关系隶属属地公安分局的由属地公安分局负责受理备案。 《北京市教育行业信息系统 安全等级保护审批意见》
备案证明
常见问题
定级对象 如果信息系统只承载一项业务,可以直接为该信息系统确定等级,不必划分业务子系统。 如果信息系统承载多项业务,应根据各项业务的性质和特点,将信息系统分成若干业务子系统,分别为各业务子系统确定安全保护等级,信息系统的安全保护等级由各业务子系统的最高等级决定。
以前定过级的,还需要评审吗 不需要重新定级评审 已定级备案的信息系统,在运行过程中,安全保护等级应随着信息系统所处理的信息和业务状态的变化进行适当变更,当可能影响到系统的安全保护等级时,应对照本办法重新开展定级工作,并及时在公安机关进行变更、撤销。
《国家信息化领导小组关于加强信息安全保障工作的意见》 每年的工作安排 5月 6月 7月 国务院 (147号令) 《中华人民共和国计算机信息系统安全保护条例》 申报单位 国务院办公厅 [2003] 27号 《国家信息化领导小组关于加强信息安全保障工作的意见》 公安机关 GB17859 - 1999 《计算机信息系统安全保护等级划分准则》 北京教育网络 和信息中心 专家评审 主管部门审批 公安机关监督 自主定级 提交书面申请 公安机关备案
中小学信息系统定级 区县主管的中小学,参照执行市教委制定的《北京市市属教育行业信息安全等级保护定级评审工作办法》
相关链接 中国信息安全等级保护网 http://www.djbh.net 教育信息安全等级保护测评中心http://ceping.moe.edu.cn 北京教育网络和信息中心http://www.benic.gov.cn
Thank You ! 联系电话:66062933-661006 63911019 www.SucaiFengbao.com