教育行業(yè)信息系統(tǒng)安全等級保護(hù)定級工作指南

教育行業(yè)信息系統(tǒng)安全等級保護(hù)定級工作指南

（試行）

1總則

本指南依據(jù)國家信息安全等級保護(hù)相關(guān)政策和標(biāo)準(zhǔn)，結(jié)合教

育行業(yè)信息化工作的特點(diǎn)和具體實際，對教育行業(yè)信息系統(tǒng)進(jìn)行

分類，提出安全等級保護(hù)的定級思路，給出建議等級，明確工作

流程。

本指南適用于各級教育行政部門及其直屬事業(yè)單位、各級各

類學(xué)校的非涉密信息系統(tǒng)安全等級保護(hù)定級工作。

信息系統(tǒng)的定級工作應(yīng)在信息系統(tǒng)設(shè)計階段完成，與信息系

統(tǒng)建設(shè)同步實施。

2定級依據(jù)

《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》（國務(wù)院

第147號令）

《信息系統(tǒng)安全等級保護(hù)定級指南》（GB/T22240-2008）

《信息系統(tǒng)安全等級保護(hù)實施指南》（GB/T25058-2010）

《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通

知》（公信安［2007）861號）

《信息安全等級保護(hù)管理辦法》（公通字（2007）43號）

3信息系統(tǒng)的類型劃分

信息系統(tǒng)的類型劃分是進(jìn)行信息系統(tǒng)安全等級劃分的前提

和基礎(chǔ)。按照信息系統(tǒng)的主管單位、業(yè)務(wù)對象、部署模式對教

育行業(yè)信息系統(tǒng)進(jìn)行分類，形成信息系統(tǒng)分類表（附件1）O

3.1按信息系統(tǒng)主管單位劃分

按照信息系統(tǒng)主管單位的不同，信息系統(tǒng)分為“教育行政部

門及其直屬事業(yè)單位信息系統(tǒng)”（簡稱“部門信息系統(tǒng)”）和“學(xué)

校信息系統(tǒng)”兩類。

部門信息系統(tǒng)可分為教育部機(jī)關(guān)及其直屬事業(yè)單位信息系

統(tǒng)（部級系統(tǒng)）、省級教育行政部門及其直屬事業(yè)單位信息系統(tǒng)

（省級系統(tǒng)）、地市級教育行政部門及其直屬事業(yè)單位信息系統(tǒng)

（市級系統(tǒng)）和區(qū)縣級教育行政部門及其直屬事業(yè)單位信息系統(tǒng)

（縣級系統(tǒng)）；學(xué)校信息系統(tǒng)可分為重點(diǎn)建設(shè)類高等學(xué)校信息系

統(tǒng)（I類）、高等學(xué)校信息系統(tǒng)（H類）、中小學(xué)校（含中職中

專院校）信息系統(tǒng)（III類）。

3.2按信息系統(tǒng)業(yè)務(wù)對象劃分

根據(jù)信息系統(tǒng)業(yè)務(wù)對象不同，部門信息系統(tǒng)可分為政務(wù)管理

類、學(xué)校管理類、學(xué)生管理類、教師管理類、綜合服務(wù)類；學(xué)校

信息系統(tǒng)可分為校務(wù)管理類、教學(xué)科訐類、招生就業(yè)類、綜合服

務(wù)類。

3.3按信息系統(tǒng)部署模式劃分

根據(jù)信息系統(tǒng)的部署模式，信息系統(tǒng)可以分為內(nèi)部系統(tǒng)和統(tǒng)

一運(yùn)行系統(tǒng)。內(nèi)部系統(tǒng)是指僅供本單位內(nèi)部使用，實現(xiàn)本單位業(yè)

務(wù)管理與服務(wù)的信息系統(tǒng)。統(tǒng)一運(yùn)行系統(tǒng)是指供多家（級）單位

共同使用，實現(xiàn)某項業(yè)務(wù)的跨單位統(tǒng)一管理與服務(wù)的信息系統(tǒng)。

統(tǒng)一運(yùn)行系統(tǒng)可進(jìn)一步分為集中式系統(tǒng)和分布式系統(tǒng)。集中

式信息系統(tǒng)邏輯上是一套系統(tǒng)，在一個單位統(tǒng)一部署、管理和運(yùn)

行，多家（級）單位共同使用，實現(xiàn)信息系統(tǒng)、業(yè)務(wù)流程和數(shù)據(jù)

的集中式管理；分布式信息系統(tǒng)邏輯J_是多套系統(tǒng)在多家（級）

單位分別部署、管理和運(yùn)行，通過技術(shù)接口實現(xiàn)信息系統(tǒng)、業(yè)務(wù)

流程和數(shù)據(jù)的分布式管理。

4信息系統(tǒng)的定級思路

信息系統(tǒng)的定級思路是在信息系統(tǒng)分類的基礎(chǔ)上，參照國

家對信息系統(tǒng)的安全保護(hù)等級標(biāo)準(zhǔn)的等級劃分，形成教育行業(yè)信

息系統(tǒng)安全等級劃分建議。按主管單位不同，分別對部門信息系

統(tǒng)和學(xué)校信息系統(tǒng)采取不同的思路進(jìn)行分析，分別形成信息系統(tǒng)

安全等級建議表（附件2）。實際定級工作中，信息系統(tǒng)所定等

級原則上不應(yīng)低于建議等級。如遇未能涵蓋的信息系統(tǒng)，可按照

下述定級思路綜合分析，確定安全等級。

4.1定級思路概述

部門信息系統(tǒng)與學(xué)校信息系統(tǒng)分別定級。由于面向的對象不

壞后造成的危害程度正相關(guān)，影響力越大則危害程度越嚴(yán)重，

“985工程”學(xué)校和“211工程”學(xué)校大于其他高等學(xué)校。

業(yè)務(wù)類型與性質(zhì)的判斷分析詳見4.4o

4.4業(yè)務(wù)類型與性質(zhì)的判斷分析

業(yè)務(wù)類型與危害程度分析。承載教育教學(xué)管理與服務(wù)核心業(yè)

務(wù)的信息系統(tǒng)較承載一般業(yè)務(wù)的信息系統(tǒng)受到破壞后造成的危

害程度嚴(yán)重。教育教學(xué)管理與服務(wù)的核心業(yè)務(wù)包括學(xué)籍學(xué)歷管理、

學(xué)位管理、招生錄取管理、考試考務(wù)管理、教師管理、門戶網(wǎng)站

管理等。

業(yè)務(wù)連續(xù)性與危害程度分析。業(yè)務(wù)的連續(xù)性要求與信息系

統(tǒng)受到破壞后造成的危害程度正相關(guān)，連續(xù)性要求越高，其受破

壞危害越嚴(yán)重；

業(yè)務(wù)數(shù)據(jù)重要性與危害程度分析。業(yè)務(wù)數(shù)據(jù)的重要性要求與

信息系統(tǒng)受到破壞后造成的危害程度正相關(guān)，涉及的國家安全、

個人隱私和相關(guān)數(shù)據(jù)的信息系統(tǒng)，其受破壞危害更嚴(yán)重。

5信息系統(tǒng)的定級工作流程

教育行業(yè)信息系統(tǒng)安全等級保護(hù)應(yīng)堅持“自主定級、自主保

護(hù)”的原則，依據(jù)《信息系統(tǒng)安全等級保護(hù)定級指南》的定級原

理、方法，參照本指南的信息系統(tǒng)類型劃分、定級思路組織開展

信息系統(tǒng)定級工作。

5.1確定定級責(zé)任主體

信息系統(tǒng)應(yīng)明確定級工作的責(zé)任主體。按照“誰主管誰負(fù)責(zé)、

誰運(yùn)維誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則，信息系統(tǒng)的主管單位為

定級工作的責(zé)任主體，負(fù)責(zé)組織運(yùn)維單位、使用單位開展信息系

統(tǒng)定級工作。集中式信息系統(tǒng)由信息系統(tǒng)牽頭建設(shè)單位負(fù)責(zé)組織

信息系統(tǒng)定級工作。分布式信息系統(tǒng)由牽頭建設(shè)單位負(fù)責(zé)組織信

息系統(tǒng)定級工作，確定中心信息系統(tǒng)安全保護(hù)等級；各分支信息

系統(tǒng)的主管單位參照中心系統(tǒng)的安全保護(hù)等級自主組織定級工

作。信息系統(tǒng)的運(yùn)維單位應(yīng)協(xié)助主管單位完成定級過程中的具體

技術(shù)支撐工作。

5.2自主定級

主管單位對本單位信息系統(tǒng)進(jìn)行梳理分析，參考附表2的建

議等級進(jìn)行自主定級，確定信息系統(tǒng)安全保護(hù)等級。對于承載復(fù)

雜業(yè)務(wù)的信息系統(tǒng)，安全保護(hù)等級可高于建議等級；對于承載多

個業(yè)務(wù)的信息系統(tǒng)，應(yīng)以所承載業(yè)務(wù)的信息系統(tǒng)的最高建議等級

進(jìn)行定級。

5.3專家評審

主管單位完成信息系統(tǒng)自主定級后，需聘請有關(guān)信息安全等

級保護(hù)專家對信息系統(tǒng)自主定級情況進(jìn)行評審，形成評審意見。

擬確定為第四級及以上的信息系統(tǒng)，由教育部邀請國家信息安全

保護(hù)等級專家評審委員會進(jìn)行評審；擬確定為其他等級信息系統(tǒng)

可由定級責(zé)任主體自行聘請專家進(jìn)行評審。

5.4主管部門審核批準(zhǔn)

主管單位完成信息系統(tǒng)專家評審后，需填寫《信息系統(tǒng)安全

等級保護(hù)定級報告》（附件3）、《信息系統(tǒng)安全等級保護(hù)備案

表》（附件4）和信息系統(tǒng)安全等級保護(hù)專家評審意見等材料。

各級教育行政部門將相關(guān)材料報送至上一級教育行政部門進(jìn)行

審核，直屬事業(yè)單位和各級各類學(xué)校按照隸屬關(guān)系將相關(guān)材料報

送至所屬教育行政部門或有關(guān)部門進(jìn)行審批。

5.5公安機(jī)關(guān)備案

經(jīng)審核批準(zhǔn)的二級以上信息系統(tǒng)，由其主管單位負(fù)責(zé)組織到

所在地設(shè)區(qū)的市級以上公安機(jī)關(guān)辦理備案手續(xù)。教育部全國聯(lián)網(wǎng)

統(tǒng)一運(yùn)行系統(tǒng)由教育部統(tǒng)一向公安部備案，其在各地運(yùn)行、應(yīng)用

的分支系統(tǒng)，由主管單位組織向所在地公安部門備案，確定為三

級以上信息系統(tǒng)同時報教育部備案。

6等級變更

信息系統(tǒng)運(yùn)行過程中，當(dāng)系統(tǒng)狀態(tài)變化可能導(dǎo)致業(yè)務(wù)信息安

全或系統(tǒng)服務(wù)受到破壞后的受侵害對象和受侵害程度有較大的

變化時，應(yīng)根據(jù)具體情況重新定級，尹變更等級。

附件：1.信息系統(tǒng)分類表

2.信息系統(tǒng)安全保護(hù)等級建議表

3.信息系統(tǒng)安全等級保護(hù)定級報告

4.信息系統(tǒng)安全等級保護(hù)備案表

附件1

信息系統(tǒng)分類表

表1:部門信息系統(tǒng)分類表

一

序

號分類信息系統(tǒng)業(yè)務(wù)描述

1.(01)辦公與事務(wù)處理公文流轉(zhuǎn)與日常辦公事務(wù)處理等。

2.上下級教育行政部門和學(xué)校之間的文件傳輸、

(02)公文與信息交換

信息報送等。

3.人力資源管理，如人員招聘、合同管理、工資

(03)人事管理

管理、培訓(xùn)管理、績效考核、獎懲管理等。

4.(04)財務(wù)管理會計核算、項目經(jīng)費(fèi)管理、財務(wù)信息發(fā)布等C

5.(01)(05)資產(chǎn)管理固定資產(chǎn)、儀器設(shè)備管理等。

6.政務(wù)管理類(06)信訪管理信訪業(yè)務(wù)受理、辦理、反饋、統(tǒng)計等。

7.(07)檔案管理檔案采集、立卷、組卷、統(tǒng)計、查詢等。

8.黨員個人基本信息管理、發(fā)展黨員信息管理、

(08)黨務(wù)管理黨員進(jìn)出情況信息管理、黨員獎懲信息管理、

黨組織活動信息發(fā)布等。

9.科研項目申報、過程管理、經(jīng)費(fèi)管理、結(jié)果評

(09)科研管理

估等。

9

序

號

統(tǒng)

信息系

述

業(yè)務(wù)描

分類

報、

、上

匯總

集、

的采

數(shù)據(jù)

統(tǒng)計

教育

法定

各類

10.

計管理

教育統(tǒng)

(10)

。

析等

和分

查詢

11.

等。

支持

決策

現(xiàn)、

識發(fā)

、知

分析

數(shù)據(jù)

支持

決策

(11)

統(tǒng)

預(yù)測

理、

控管

置、監(jiān)

與處

指揮

應(yīng)急

事件

突發(fā)

12.

指揮

應(yīng)急

(12)

等。

聯(lián)動

報警

計、

。

理等

與處

分析

測、

情監(jiān)

息輿

網(wǎng)信

互聯(lián)

理

測與管

輿情監(jiān)

(13)

13.

管理

資格

招生

機(jī)構(gòu)

教育

高等

管理、

計劃

招生

計劃

招生

教育

高等

(14)

14.

管理