2023年教育行業(yè)信息系統(tǒng)安全等級保護定級工作指南試行

教育行業(yè)信息系統(tǒng)安全等級保護

定級工作指南

（試行）

1總則

本指南依據國家信息安全等級保護相關政策和標準，結合教

育行業(yè)信息化工作的特點和具體實際，對教育行業(yè)信息系統(tǒng)進行

分類，提出安全等級保護的定級思路，給出建議等級，明確工作

流程。

本指南適用于各級教育行政部門及其直屬事業(yè)單位、各級各

類學校的非涉密信息系統(tǒng)安全等級保護定級工作。

信息系統(tǒng)的定級工作應在信息系統(tǒng)設計階段完成，與信息系

統(tǒng)建設同步實施。

2定級依據

《中華人民共和國計算機信息系統(tǒng)安全保護條例》（國務院

第147號令）

《信息系統(tǒng)安全等級保護定級指南》（GB/T22240-2008）

《信息系統(tǒng)安全等級保護實施指南》（GB/T25058-2010）

《關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通

知》（公信安〔2007〕861號）

《信息安全等級保護管理辦法》（公通字（2007）43號）

3信息系統(tǒng)的類型劃分

信息系統(tǒng)的類型劃分是進行信息系統(tǒng)安全等級劃分的前提

和基礎。按照信息系統(tǒng)的主管單位、業(yè)務對象、部署模式對教育

行業(yè)信息系統(tǒng)進行分類，形成信息系統(tǒng)分類表（附件1）。

3.1按信息系統(tǒng)主管單位劃分

按照信息系統(tǒng)主管單位的不同，信息系統(tǒng)分為“教育行政部

門及其直屬事業(yè)單位信息系統(tǒng)”（簡稱“部門信息系統(tǒng)”）和“學

校信息系統(tǒng)”兩類。

部門信息系統(tǒng)可分為教育部機關及其直屬事業(yè)單位信息系

統(tǒng)（部級系統(tǒng)）、省級教育行政部門及其直屬事業(yè)單位信息系統(tǒng)

（省級系統(tǒng)）、地市級教育行政部門及其直屬事業(yè)單位信息系統(tǒng)

（市級系統(tǒng)）和區(qū)縣級教育行政部門及其直屬事業(yè)單位信息系統(tǒng)

（縣級系統(tǒng)）；學校信息系統(tǒng)可分為重點建設類高等學校信息系

統(tǒng)（I類）、高等學校信息系統(tǒng)（H類）、中小學校（含中職中專

院校）信息系統(tǒng)（III類）。

3.2按信息系統(tǒng)業(yè)務對象劃分

根據信息系統(tǒng)業(yè)務對象不同，部門信息系統(tǒng)可分為政務管理

類、學校管理類、學生管理類、教師管理類、綜合服務類；學校

信息系統(tǒng)可分為校務管理類、教學科所類、招生就業(yè)類、綜合服

務類。

3.3按信息系統(tǒng)部署模式劃分

根據信息系統(tǒng)的部署模式，信息系統(tǒng)可以分為內部系統(tǒng)和統(tǒng)

一運行系統(tǒng)。內部系統(tǒng)是指僅供本單位內部使用，實現(xiàn)本單位業(yè)

務管理與服務的信息系統(tǒng)。統(tǒng)一運行系統(tǒng)是指供多家（級）單位

共同使用，實現(xiàn)某項業(yè)務的跨單位統(tǒng)一管理與服務的信息系統(tǒng)。

統(tǒng)一運行系統(tǒng)可進一步分為集中式系統(tǒng)和分布式系統(tǒng)。集中

式信息系統(tǒng)邏輯上是一套系統(tǒng)，在一個單位統(tǒng)一部署、管理和運

行，多家（級）單位共同使用，實現(xiàn)信息系統(tǒng)、業(yè)務流程和數(shù)據

的集中式管理；分布式信息系統(tǒng)邏輯上是多套系統(tǒng)在多家（級）

單位分別部署、管理和運行，通過技術接口實現(xiàn)信息系統(tǒng)、業(yè)務

流程和數(shù)據的分布式管理。

4信息系統(tǒng)的定級思路

信息系統(tǒng)的定級思路是在信息系統(tǒng)分類的基礎上，參照國

家對信息系統(tǒng)的安全保護等級標準的等級劃分，形成教育行業(yè)信

息系統(tǒng)安全等級劃分建議。按主管單位不同，分別對部門信息系

4.3學校信息系統(tǒng)定級思路

學校信息系統(tǒng)根據辦學規(guī)模、社會影響力、業(yè)務類型三個維

度分析受到破壞后造成的危害程度。

辦學規(guī)模與危害程度分析。辦學規(guī)模與信息系統(tǒng)受到破壞后

造成的危害程度正相關，規(guī)模越大則危害程度越嚴重，高等學校

信息系統(tǒng)大于中小學校信息系統(tǒng)。

社會影響力與危害程度分析。社會影響力與信息系統(tǒng)受到破

壞后造成的危害程度正相關，影響力越大則危害程度越嚴重，

“985工程”學校和“211工程”學校大于其他高等學校。

業(yè)務類型與性質的判斷分析詳見4.4O

4.4業(yè)務類型與性質的判斷分析

業(yè)務類型與危害程度分析。承載教育教學管理與服務核心業(yè)

務的信息系統(tǒng)較承載一般業(yè)務的信息系統(tǒng)受到破壞后造成的危

害程度嚴重。教育教學管理與服務的核心業(yè)務包括學籍學歷管理、

學位管理、招生錄取管理、考試考務管理、教師管理、門戶網站

管理等。

業(yè)務連續(xù)性與危害程度分析。業(yè)務的連續(xù)性要求與信息系

統(tǒng)受到破壞后造成的危害程度正相關，連續(xù)性要求越高，其受破

壞危害越嚴重；

業(yè)務數(shù)據重要性與危害程度分析。業(yè)務數(shù)據的重要性要求與

信息系統(tǒng)受到破壞后造成的危害程度正相關，涉及的國家安全、

個人隱私和相關數(shù)據的信息系統(tǒng)，其受破壞危害更嚴重。

5信息系統(tǒng)的定級工作流程

教育行業(yè)信息系統(tǒng)安全等級保護應堅持“自主定級、自主保

護”的原則，依據《信息系統(tǒng)安全等級保護定級指南》的定級原

理、方法，參照本指南的信息系統(tǒng)類型劃分、定級思路組織開展

信息系統(tǒng)定級工作。

5.1確定定級責任主體

信息系統(tǒng)應明確定級工作的責任主體。按照“誰主管誰負責、

誰運維誰負責、誰使用誰負責”的原見，信息系統(tǒng)的主管單位為

定級工作的責任主體，負責組織運維單位、使用單位開展信息系

統(tǒng)定級工作。集中式信息系統(tǒng)由信息系統(tǒng)牽頭建設單位負責組織

信息系統(tǒng)定級工作。分布式信息系統(tǒng)由牽頭建設單位負責組織信

息系統(tǒng)定級工作，確定中心信息系統(tǒng)安全保護等級；各分支信息

系統(tǒng)的主管單位參照中心系統(tǒng)的安全保護等級自主組織定級工

作。信息系統(tǒng)的運維單位應協(xié)助主管單位完成定級過程中的具體

技術支撐工作。

5.2自主定級

主管單位對本單位信息系統(tǒng)進行梳理分析，參考附表2的建

議等級進行自主定級，確定信息系統(tǒng)安全保護等級。對于承載復

雜業(yè)務的信息系統(tǒng)，安全保護等級可高于建議等級；對于承載多

個業(yè)務的信息系統(tǒng)，應以所承載業(yè)務的信息系統(tǒng)的最高建議等級

進行定級。

5.3專家評審

主管單位完成信息系統(tǒng)自主定級后，需聘請有關信息安全等

級保護專家對信息系統(tǒng)自主定級情況進行評審，形成評審意見。

擬確定為第四級及以上的信息系統(tǒng)，由教育部邀請國家信息安全

保護等級專家評審委員會進行評審；擬確定為其他等級信息系統(tǒng)

可由定級責任主體自行聘請專家進行評審。

5.4主管部門審核批準

主管單位完成信息系統(tǒng)專家評審后，需填寫《信息系統(tǒng)安全

等級保護定級報告》（附件3）、《信息系統(tǒng)安全等級保護備案

表》（附件4）和信息系統(tǒng)安全等級保護專家評審意見等材料。

各級教育行政部門將相關材料報送至上一級教育行政部門進行

審核，直屬事業(yè)單位和各級各類學校按照隸屬關系將相關材料報

送至所屬教育行政部門或有關部門進行審批。

5.5公安機關備案

經審核批準的二級以上信息系統(tǒng)，由其主管單位負責組織到

所在地設區(qū)的市級以上公安機關辦理備案手續(xù)。教育部全國聯(lián)網

統(tǒng)一運行系統(tǒng)由教育部統(tǒng)一向公安部備案，其在各地運行、應用

的分支系統(tǒng)，由主管單位組織向所在地公安部門備案，確定為三

級以上信息系統(tǒng)同時報教育部備案。

6等級變更

信息系統(tǒng)運行過程中，當系統(tǒng)狀態(tài)變化可能導致業(yè)務信息安

全或系統(tǒng)服務受到破壞后的受侵害對象和受侵害程度有較大的

變化時，應根據具體情況重新定級，并變更等級。

附件：1.信息系統(tǒng)分類表

2.信息系統(tǒng)安全保護等級建議表

3.信息系統(tǒng)安全等級保護定級報告

4.信息系統(tǒng)安全等級保護備案表

附件1

信息系統(tǒng)分類表

表1:部門信息系統(tǒng)分類表

序

號分類信息系統(tǒng)業(yè)務描述

1.(01)辦公與事務處理公文流轉與日常辦公事務處理等。

2上下級教育行政部門和學校之間的文件傳輸、

(02)公文與信息交換

信息報送等。

3.人力資源管理，如人員招聘、合同管理、工資

(03)人事管理

管理、培訓管理、績效考核、獎懲管理等。

4.(04)財務管理會計核算、項目經費管理、財務信息發(fā)布等。

5.(01)(05)資產管理固定資產、儀器設備管理等。

6.政務管理類(06)信訪管理信訪業(yè)務受理、辦理、反饋、統(tǒng)計等。

7.(07)檔案管理檔案采集、立卷、組卷、統(tǒng)計、查詢等。

8.黨員個人基本信息管理、發(fā)展黨員信息管理、

(08)黨務管理黨員進出情況信息管理、黨員獎懲信息管理、

黨組織活動信息發(fā)布等。

9.科研項目申報、過程管理、經費管理、結果評

(09)科研管理

估等。

9

序

號

述

業(yè)務描

統(tǒng)

信息系

分類

10.

報、

、上

匯總

集、

的采

數(shù)據

統(tǒng)計

教育

法定

各類

管理

育統(tǒng)計

(10)教

。

析等

和分

查詢

支持

決策

(11)

11.

等。

支持

決策

現(xiàn)、

識發(fā)

、知

分析

數(shù)據

統(tǒng)

、預測

管理

監(jiān)控

置、

與處

指揮

應急

事件

突發(fā)

12.

揮

應急指

(12)

等。

聯(lián)動

報警

計、

。

理等

與處

分析

測、

情監(jiān)

息輿

網信

互聯(lián)

理

測與管

輿情監(jiān)

(13)

13.

計劃

招生

教育

高等

(14)

14.

理

格管

生資

構招

育機

等教

、高

劃管理

招生計