湖南省教育信息系统安全等级保护工作实施方案

附件1：

湖南省教育信息系统安全等级保护

工作实施方案

根据《中华人民共和国计算机信息系统安全保护条例》（国务院令第147号）、《信息安全等级保护管理办法》（公通字〔2007〕43号）、教育部办公厅《关于开展信息系统安全等级保护工作的通知》（教办厅函〔2009〕80 号）、省公安厅《关于开展全省重要信息系统安全等级保护定级工作的通知》（湘公通〔2007〕94号）、《关于进一步推进全省信息安全等级保护工作的函》（湘公函〔2011〕21号）等有关文件要求，制定本实施方案。

一、工作范围

1、省、市州教育行政部门、各高等学校、教育厅委直属单位的非涉密信息系统按国家有关要求开展信息系统等级保护工作。

2、县市区教育局及中小学校按湖南省教育厅《关于印发<湖南省教育网络信息安全评估体系（试行）>的通知》（湘教发〔2010〕35号）要求以单位为整体开展教育网络信息安全定级评估工作，有关工作安排另行通知。

3、教育行业涉密信息系统按照国家保密相关规定进行保护。

二、工作职责

1、省公安厅依据国家赋予公安机关监督管理计算机信息系统安全保护工作的法定职责，负责监督、检查、指导全省教育信息系统安全等级保护工作，受理省教育厅及直属单位（不含厅直学校）、全省本科院校的信息系统安全等级保护定级备案。

2、各市州公安局按照“属地管理”原则，负责本地区教育信息系统等级保护工作的监督、检查、指导，受理本市州教育局、本地高职高专院校信息系统等级保护定级备案。

3、省教育厅履行教育信息系统等级保护工作行业主管部门职责，督促、检查、指导本行业信息系统安全等级保护工作。省教育管理信息中心在省教育厅、省公安厅指导下，具体负责以下工作：

（1）制定教育行业实施方案；

（2）组织开展全省教育信息系统安全等级保护工作培训；

（3）组织专家组，对教育单位的信息系统定级报告出具行业定级意见；

（4）开展检查，督促教育单位落实信息系统等级保护相关工作；

（5）为教育单位提供系统定级、风险评估、整改建设、安全保护等业务指导和服务。

4、各市州教育局、高等学校、教育厅委直属单位根据“自主定级、自主保护”的原则开展本单位信息系统安全等级保护工作。

三、工作任务

1、全面梳理本单位信息系统。按照《信息安全等级保护管理办法》相关要求对本单位建设、使用的所有信息系统逐一进行摸底调查，具有独立业务应用的信息系统均须作为等级保护定级对象。

2、自主确定各信息系统的安全保护等级。根据《信息系统安全等级保护定级指南》（GB/T22240-2008）要求，对信息系统逐个自主定级。

（1）各教育单位建设使用的全省联网信息系统由其主办单位统一确定安全保护等级，各联网使用单位根据该系统使用范围和影响程度采取相应保护措施；

（2）本单位为主体建设的覆盖全省并影响国家安全或社会秩序、公众利益的重要信息系统，如高考招生录取系统、重大科研管理系统等原则上定为三级；

（3）本单位为主体建设的覆盖本市州或本单位并影响社会秩序、公众利益的信息系统，如省（市州）及高校教育门户网站、省（市州）及高校教育基础数据库、省（市州）及高校学籍学历查询系统、高中学业水平考试系统、市州中考系统、市州小升初微机派位系统、高校数字化校园平台、校园一卡通系统等原则上定为二级；

（4）覆盖本单位或业务部门并影响局部利益的一般信息系统原则上定为一级。

3、定级材料上报备案。将本单位信息系统的定级备案材料报省教育管理信息中心，由省教育厅出具行业定级意见，第二级及以上信息系统须报公安机关进行定级备案。

4、整改建设及自主保护。各教育单位第二级及以上信息系统定级备案材料报公安机关后，由公安机关审核并颁发信息系统安全等级保护备案证明。对定为第二级及以上的信息系统要对照《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安〔2009〕1429号）和《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）的技术标准和管理规范开展安全整改建设及自主保护。对定为第三级及以上重要信息系统完成整改后，还必须选择国家认可的省级（含）以上信息安全等级保护测评机构进行定期测评，并向公安机关提交测评报告。

5、新建信息系统根据《信息安全等级保护管理办法》、《信息系统安全等级保护定级指南》的要求进行定级。已自主定级的信息系统出现下列情况之一时，须重新定级：

（1）信息系统所承载的业务、服务范围、安全需求发生变化的；

（2）经行业主管部门审核，确认为定级不准的；

（3）在后续工作中发现定级不准的。

四、时间安排

1、2011年7月31日前，省、市州教育行政部门、各高等学校、教育厅委直属单位将《教育信息系统安全等级保护工作机构人员情况表》（附件2）报省教育管理信息中心。

2、2011年9月30日前，省教育管理信息中心统一组织开展全省教育信息系统安全等级保护工作培训。

3、2011年11月15日前，省、市州教育行政部门、教育厅委直属单位向省教育管理信息中心报送定级备案材料（附件3、附件4），在获得省教育厅出具的行业定级意见后10个工作日内到公安机关进行定级备案。

4、2011年12月15日前，各高等学校向省教育管理信息中心报送定级备案材料（附件3、附件4），在获得省教育厅出具的行业定级意见后10个工作日内到公安机关进行定级备案。

五、工作要求

1、提高认识，明确机构。各教育单位要高度重视，将信息系统等级保护工作作为增强网络信息安全管理水平、化解网络信息安全责任风险的重要手段，认真贯彻执行。各教育单位要明确信息系统等级保护工作分管领导，落实负责部门，安排工作人员，并将相关工作经费纳入年度预算。

2、加强培训，熟悉业务。按照国家信息安全等级保护政策及“湖南省教育网络信息安全管理员持证上岗工作实施办法”（湘教发〔2005〕84号）的要求，各教育单位须安排等级保护工作负责人及技术骨干参加由省教育厅统一组织的工作培训，以便准确定级和开展自主保护。相关培训成绩纳入省教育网络信息安全管理员持证上岗继续教育体系，并列入教育部门和公安机关的工作检查范畴。

3、开展检查，加强监督。省、市州教育行政部门联合公安机关不定期开展教育信息系统安全等级保护工作检查，对不符合有关管理规范和技术标准的单位责令整改，对违反等级保护相关政策法规造成损害的，依法追究有关人员的责任。各教育单位要定期组织本单位的自查工作，确保信息系统等级保护各项要求落实到位。

4、积极沟通、科学管理。各级公安机关和教育部门要切实加强联系和协调沟通，建立信息安全快速联动处置、工作联络和情况通告机制，定期召开联席工作会议，通报、分析、研究教育网络信息安全面临的新形势和新问题，采取科学有效的措施开展管理。

附件2：

教育信息系统安全等级保护工作

机构人员情况表

单位名称（盖章）：

注：请各教育单位2011年7月31日前将本表报送至省教育管理信息中心，电话（传真）：0731—82207750，邮箱：anny****@hnedu.cn。

附件3：

信息系统安全等级保护定级报告

一、XXX信息系统描述

简述确定该系统为定级对象的理由。从三方面进行说明：一是描述承担信息系统安全责任的相关单位或部门，说明本单位或部门对信息系统具有信息安全保护责任，该信息系统为本单位或部门的定级对象；二是该定级对象是否具有信息系统的基本要素，描述基本要素、系统网络结构、系统边界和边界设备；三是该定级对象是否承载着单一或相对独立的业务，业务情况描述。

二、XXX信息系统安全保护等级确定（定级方法参见国家标准《信息系统安全等级保护定级指南》）

（一）业务信息安全保护等级的确定

1、业务信息描述

描述信息系统处理的主要业务信息等。

2、业务信息受到破坏时所侵害客体的确定

说明信息受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

3、信息受到破坏后对侵害客体的侵害程度的确定

说明信息受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

4、业务信息安全等级的确定

依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级。

（二）系统服务安全保护等级的确定

1、系统服务描述

描述信息系统的服务范围、服务对象等。

2、系统服务受到破坏时所侵害客体的确定

说明系统服务受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

3、系统服务受到破坏后对侵害客体的侵害程度的确定

说明系统服务受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

4、系统服务安全等级的确定

依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。

（三）安全保护等级的确定

信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定，最终确定XXX系统安全保护等级为第几级。

附件4：

信息系统安全等级保护

备　案　表

备 案 单 位：       （盖章）        

备 案 日 期：                           

受理备案单位：       （盖章）        

受 理 日 期：                       

中华人民共和国公安部监制

填　表　说　明

一、      制表依据。根据《信息安全等级保护管理办法》（公通字[2007]43号）之规定，制作本表；

二、      填表范围。本表由第二级以上信息系统运营使用单位或主管部门（以下简称“备案单位”）填写；本表由四张表单构成，表一为单位信息，每个填表单位填写一张；表二为信息系统基本信息，表三为信息系统定级信息，表二、表三每个信息系统填写一张；表四为第三级以上信息系统需要同时提交的内容，由每个第三级以上信息系统填写一张，并在完成系统建设、整改、测评等工作，投入运行后三十日内向受理备案公安机关提交；表二、表三、表四可以复印使用；

三、      保存方式。本表一式二份，一份由备案单位保存，一份由受理备案公安机关存档；

四、      本表中有选择的地方请在选项左侧“”划“√”，如选择“其他”，请在其后的横线中注明详细内容；

五、      封面中备案表编号（由受理备案的公安机关填写并校验）：分两部分共11位，第一部分6位，为受理备案公安机关代码前六位（可参照行标GA380-2002）。第二部分5位，为受理备案的公安机关给出的备案单位的顺序编号；

六、      封面中备案单位：是指负责运营使用信息系统的法人单位全称；

七、      封面中受理备案单位：是指受理备案的公安机关公共信息网络安全监察部门名称。此项由受理备案的公安机关负责填写并盖章；

八、      表一04行政区划代码：是指备案单位所在的地(区、市、州、盟)行政区划代码；

九、     表一05单位负责人：是指主管本单位信息安全工作的领导；

十、     表一06责任部门：是指单位内负责信息系统安全工作的部门；

十一、    表一08隶属关系：是指信息系统运营使用单位与上级行政机构的从属关系，须按照单位隶属关系代码（GB/T12404―1997）填写；

十二、    表二02系统编号：是由运营使用单位给出的本单位备案信息系统的编号；

十三、    表二05系统网络平台：是指系统所处的网络环境和网络构架情况；

十四、    表二07关键产品使用情况：国产品是指系统中该类产品的研制、生产单位是由中国公民、法人投资或者国家投资或者控股，在中华人民共和国境内具有独立的法人资格，产品的核心技术、关键部件具有我国自主知识产权；

十五、    表二08系统采用服务情况：国内服务商是指服务机构在中华人民共和国境内注册成立（港澳台地区除外），由中国公民、法人或国家投资的企事业单位；

十六、    表三01、02、03项：填写上述三项内容，确定信息系统安全保护等级时可参考《信息系统安全等级保护定级指南》，信息系统安全保护等级由业务信息安全等级和系统服务安全等级较高者决定。01、02项中每一个确定的级别所对应的损害客体及损害程度可多选；

十七、    表三06主管部门：是指对备案单位信息系统负领导责任的行政或业务主管单位或部门。部级单位此项可不填；

十八、    解释：本表由公安部公共信息网络安全监察局监制并负责解释，未经允许，任何单位和个人不得对本表进行改动。

表一  单位基本情况

表二（ / ）信息系统情况

表三（ / ）信息系统定级情况

备案审核民警：                              审核日期：       年   月   日
表四（ / ）第三级以上信息系统提交材料情况