【学校规章制度】陕西师范大学信息系统安全等级保护定级备案工作指南(试行)-陕西师范大学-信息化建设与管理处
学校规章制度

陕西师范大学信息系统安全等级保护定级备案工作指南(试行)

  • 发布时间:2019-11-26
  • 来源:
  • 点击:

陕师校发〔2019164

一、总则

为贯彻落实《中华人民共和国网络安全法》,规范我校网络安全等级保护定级备案工作,依据国家网络安全等级保护相关政策和标准,结合我校信息化工作的特点和实际情况,制定本工作指南。

本指南适用于我校所有的非涉密信息系统安全等级保护定级备案工作。

信息系统的定级备案工作应在信息系统设计阶段完成,与信息系统建设同步实施。

二、参考文件

1)《中华人民共和国计算机信息系统安全保护条例》(国务院第147号令);

2)《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号);

3)《信息安全等级保护管理办法》(公通字[2007]43号);

4)《关于印发《信息安全等级保护备案实施细则》的通知》(公信安[2007]1360号);

5)《教育行业信息系统安全等级保护定级工作指南(试行)》(教技厅函[2014]74号);

6)《教育部、公安部关于全面推进教育行业信息安全等保工作的通知》(教技[2015]2号);

7)《信息系统安全等级保护定级指南》(GB/T 22240-2008);

8)《信息系统安全等级保护实施指南》(GB/T 25058-2010);

9)《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)。

三、信息系统安全保护等级概述

(一)信息系统安全保护等级划分

依据《信息系统安全等级保护定级指南》中的定级原理及方法,信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为五级,从第一级到第五级逐级增高。

第一级(自主保护级),信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。

第二级(指导保护级),信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。

第三级(监督保护级),信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。

第四级(强制保护级),信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。

第五级(专项保护级),信息系统受到破坏后,会对国家安全造成特别严重损害。

(二)信息系统安全保护等级定级要素

信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。

1)受侵害的客体

等级保护对象受到破坏时所侵害的客体包括以下三个方面:

1)公民、法人和其他组织的合法权益;

2)社会秩序、公共利益;

3)国家安全。

2)对客体的侵害程度

对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。

等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:

1)造成一般损害;

2)造成严重损害;

3)造成特别严重损害。

(三)定级要素与等级的关系

定级要素与信息系统安全保护等级的关系如表1所示。

1 定级要素与安全保护等级的关系

QQ图片20191126162605.png

(四)学校信息系统安全等级定级建议

为了帮助学校各单位准确确定信息系统安全保护等级,参照国家对信息系统安全保护等级标准的划分及教育部发布的《教育行业信息系统安全等级保护定级工作指南(试行)》(教技厅函[2014]74号)中的教育行业信息系统等级划分建议,形成了学校信息系统安全等级定级建议表(附件1)。实际定级工作中,信息系统所定等级原则上不应低于建议等级。

四、信息系统定级备案工作流程

信息系统定级备案是等级保护工作的关键环节,是开展信息系统建设整改、等级测评、监督检查等工作的重要基础。

学校信息系统安全等级保护应坚持“自主定级、自主保护”的原则,依据《信息系统安全等级保护定级指南》的定级原理及方法,参照本指南的信息系统安全等级定级建议及思路组织开展本单位信息系统定级备案工作。具体工作流程可按照以下步骤进行。

(一)确定定级责任主体

信息系统定级工作首先应明确责任主体。按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,信息系统的建设单位为定级工作的责任主体,负责组织运维单位、使用单位开展信息系统定级工作。集中式信息系统由信息系统牵头建设单位负责组织信息系统定级工作。分布式信息系统由牵头建设单位负责组织信息系统定级工作,确定中心信息系统安全保护等级;各分支信息系统的主管单位参照中心系统的安全保护等级自主组织定级工作。信息系统的运维单位应协助主管单位完成定级过程中的具体技术支撑工作。

(二)确定定级对象

一个单位内运行的信息系统可能比较庞大,为了体现重要部分重点保护,有效控制信息安全建设成本,优化信息安全资源配置的等级保护原则,可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。

作为定级对象的信息系统应具有如下基本特征:

1)具有唯一确定的安全责任单位

作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的单位。

2)具有信息系统的基本要素

作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象。

3)承载相对独立的业务应用

定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立,同时与其他业务应用有一定的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。

(三)自主定级

学校各单位对本单位信息系统进行梳理分析,只针对校内开放的信息系统可确定为第一级;针对校内外同时开放的信息系统可参考《学校信息系统安全保护等级定级建议表》(附件1)中的建议等级进行自主定级。对于承载复杂业务的信息系统,安全保护等级可高于建议等级;对于承载多个业务的信息系统,应以所承载业务的信息系统的最高建议等级进行定级。

对于拟定为第一级的信息系统,学校各单位填写《陕西师范大学校园网站审批表》(可在学校党委宣传部网站自行下载或见附件2),填写好后,将审批表分别送交学校党委宣传部和网络信息中心进行备案即完成第一级信息系统定级备案工作;对于拟定为第二级(含)以上的信息系统,学校各单位还需参照本指南完成后续信息系统定级备案工作。

(四)提交相关材料

在完成自主定级工作后,对于拟定为第二级(含)以上的信息系统,学校各单位需要按照当地公安机关要求,准备相关备案申请材料,备案申请材料准备好后统一提交至网络信息中心进行审核。(申请材料可在西安市公安局网站-办事大厅-网安业务页面下载,网址:http://police.xa.gov.cn/xaga/index.jsp

逾期未按要求提交相关材料的单位,对于已建的信息系统及网站,网络信息中心将关闭其外网访问权限;对于新建信息系统及网站,项目验收将无法通过,无法保证系统及网站顺利上线运行。

(五)专家评审

网络信息中心在收到各单位备案材料后,对于拟定为第二级(含)以上的信息系统,网络信息中心与当地公安机关邀请有关信息安全等级保护专家对信息系统自主定级情况进行评审,形成评审意见。拟确定为第四级(含)以上的信息系统,由教育部邀请国家信息安全保护等级专家评审委员会进行评审。

(六)公安机关审核

经过专家评审的拟定为第二级(含)以上的信息系统,需要在当地公安机关进行备案,由网络信息中心负责向当地公安机关提交相关备案材料,公安机关对提交的备案材料进行审核。

对于不符合要求的定级备案材料,公安机关将通知备案单位予以纠正;发现定级不准的,公安机关将通知备案单位重新审核确定。备案单位重新确定信息系统等级后,应当按照本指南定级工作流程向当地公安机关重新提交备案申请。

 对拒不备案的,公安机关根据《中华人民共和国计算机信息系统安全保护条例》等其他有关法律、法规规定,责令限期整改。逾期仍不备案的,予以警告,并向其上级主管部门通报。

(七)信息系统等级测评及备案

拟定为第二级(含)以上的信息系统在公安机关审核通过后,由当地公安机关认可的有资质的第三方测评机构对信息系统安全等级状况开展等级测评,学校相关单位积极配合,对信息系统安全状况未达到安全保护等级要求的,信息系统使用单位根据测评结果及时制定整改方案,认真完成整改;对于测评结果符合安全保护等级要求的信息系统,公安机关将颁发《信息系统安全等级保护定级备案证明》。

依据《信息系统安全等级保护测评要求》等技术标准,学校各单位要定期对信息系统安全等级状况开展等级测评。第二级信息系统应当每两年至少进行一次等级测评,第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。

(八)网络信息中心备案

信息系统安全等级保护定级备案测评工作完成后,学校各单位需要将公安机关颁发的《信息系统安全等级保护定级备案证明》原件和《信息系统等级测评报告》交网络信息中心备案,网络信息中心需要做好信息系统安全等级保护定级备案资料管理工作,对备案材料按照等级进行严格管理,严格遵守保密制度,未经批准不得对外提供查询。确定为第三级(含)以上信息系统同时报教育部备案。

五、等级变更

信息系统运行过程中,当系统状态变化可能导致业务信息安全或系统服务受到破坏后的受侵害对象和受侵害程度有较大的变化时,应及时根据具体情况重新定级,并变更等级。

信息系统安全保护等级发生改变的,学校各单位应当在30日内到当地公安机关办理变更备案。完成备案变更后,各单位将新变更的信息系统等级备案证原件交学校网络信息中心备案管理。

六、附则

本指南自印发之日起实施。

本指南由陕西师范大学网络信息中心负责解释。

上一条:【学校规章制度】陕西师范大学网络安全监测预警和信息通报实施办法 师网〔2020〕1号

下一条:【学校规章制度】陕西师范大学信息技术安全事件报告与处置流程(试行)

雁塔校区

服务电话:85307932

办公地址:教学三楼三层西

长安校区

服务电话:85310558

办公地址:图书馆东附楼一层

陕西师范大学信息化建设与管理处(网络与信息安全办公室) Copyright 2021 By Department of Informationization Construction and Management All rights Reserved