教育行业信息系统安全等级保护.pdf

教育行业信息系统安全等级保护 定级工作指南 （试行） 1 总则 本指南依据国家信息安全等级保护相关政策和标准， 结合教 育行业信息化工作的特点和具体实际， 对教育行业信息系统进行 分类，提出安全等级保护的定级思路， 给出建议等级， 明确工作 流程。 本指南适用于各级教育行政部门及其直属事业单位、 各级各 类学校的非涉密信息系统安全等级保护定级工作。 信息系统的定级工作应在信息系统设计阶段完成， 与信息系 统建设同步实施。 2 定级依据 《中华人民共和国计算机信息系统安全保护条例》 （国务院 第 147 号令） 《信息系统安全等级保护定级指南》 （GB/T 22240-2008 ） 《信息系统安全等级保护实施指南》 （GB/T 25058-2010 ） 《关于开展全国重要信息系统安全等级保护定级工作的通 知》（公信安〔 2007 〕861 号） 《信息安全等级保护管理办法》（公通字〔 2007 〕43 号） 3 信息系统的类型划分 信息系统的类型划分是进行信息系统安全等级划分的前提 和基础。按照信息系统的主管单位、业务对象、部署模式对教 育行业信息系统进行分类，形成信息系统分类表（附件 1 ）。 3.1 按信息系统主管单位划分 按照信息系统主管单位的不同，信息系统分为“教育行政部 门及其直属事业单位信息系统” （简称“部门信息系统” ）和 “学 校信息系统”两类。 部门信息系统可分为教育部机关及其直属事业单位信息系 统 （部级系统）、省级教育行政部门及其直属事业单位信息系统 （省级系统）、地市级教育行政部门及其直属事业单位信息系统 （市级系统）和区县级教育行政部门及其直属事业单位信息系统 （县级系统）；学校信息系统可分为重点建设类高等学校信息系 统（ I 类）、高等学校信息系统（Ⅱ类）、中小学校（含中职中 专院校）信息系统（Ⅲ类）。 3.2 按信息系统业务对象划分 根据信息系统业务对象不同， 部门信息系统可分为政务管理 类、学校管理类、学生管理类、教师管理类、综合服务类；学校 信息系统可分为校务管理类、 教学科研类、 招生就业类、综合服 务类。 3.3 按信息系统部署模式划分 根据信息系统的部署模式， 信息系统可以分为内部系统和统 一运行系统。 内部系统是指仅供本单位内部使用， 实现本单位业 务管理与服务的信息系统。 统一运行系统是指供多家 （级）单位 共同使用，实现某项业务的跨单位统一管理与服务的信息系统。 统一运行系统可进一步分为集中式系统和分布式系统。 集中 式信息系统逻辑上是一套系统， 在一个单位统一部署、 管理和运 行，多家（级）单位共同使用，实现信息系统、业务流程和数据 的集中式管理；分布式信息系统逻辑上是多套系统在多家（级） 单位