南昌航空大学信息系统等级保护定级与测评制度

第一章　总　则

第1条 依据国家信息安全等级保护相关政策标准和《教育行业信息系统安全等级保护定级工作指南（试行）》要求，为了规范我校所有非涉密信息系统（网站）安全等级保护的定级与测评工作，特制定本制度。

第2条 本制度适用于所有南昌航空大学非涉密信息系统（网站）安全等级保护的定级与测评工作。

第3条 本制度依据《中华人民共和国计算机信息系统安全保护条例》（国务院第147号令）、《信息系统安全等级保护定级指南》（GB/T 22240-2008）、《信息系统安全等级保护实施指南》（GB/T 25058-2010）、《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安〔2007〕861号）、《信息安全等级保护管理办法》（公通字〔2007〕43号）和《教育行业信息系统安全等级保护定级工作指南（试行）》（教技厅函[2014]74号）等相关标准、规定编制。

第二章  定级原则

第4条 信息系统（网站）安全保护等级

根据等级保护相关管理文件，信息系统（网站）的安全保护等级分为以下五级：

第一级，信息系统（网站）受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统（网站）受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统（网站）受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统（网站）受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统（网站）受到破坏后，会对国家安全造成特别严重损害。

第5条 信息系统（网站）安全保护等级的定级要素

信息系统（网站）的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。

（1）受侵害的客体

等级保护对象受到破坏时所侵害的客体包括以下三个方面：

a) 公民、法人和其他组织的合法权益；

b) 社会秩序、公共利益；

c) 国家安全。

（2）对客体的侵害程度

等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种：

a) 造成一般损害；

b) 造成严重损害；

c) 造成特别严重损害。

（3）定级要素与等级的关系

定级要素与信息系统（网站）安全保护等级的关系如表1所示。

表1  定级要素与安全保护等级的关系

第三章 信息系统的定级工作流程

第6条 教育行业信息系统安全等级保护应坚持“自主定级、自主保护”的原则，依据《信息系统安全等级保护定级指南》和《教育行业信息系统安全等级保护定级工作指南（试行）》组织开展信息系统（网站）定级工作。

第7条 确定定级责任主体

信息系统（网站）应明确定级工作的责任主体。按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，信息系统（网站）的主管部门为定级工作的责任主体，负责组织运维部门、使用部门开展信息系统（网站）定级工作。

现代教育技术与信息中心负责组织实施等级保护工作；对业务部门等级保护工作提供技术支持。

第8条 自主定级

信息系统（网站）主管部门对本部门信息系统进行梳理分析，进行自主定级，确定信息系统（网站）安全保护等级。对于承载复杂业务的信息系统（网站），安全保护等级可高于一般等级；对于承载多个业务的信息系统，应以所承载业务的信息系统的最高建议等级进行定级。

第9条 定级的思路和一般流程

实际定级工作中，信息系统所定等级原则上不应低于建议等级。

同步建设原则：信息系统在新建、改建、扩建时应当同步规划和设计安全方案，投入一定比例的资金建设信息安全设施，与信息系统建设同步实施，保障信息安全与信息化建设相适应。

信息系统的定级工作应在信息系统设计阶段完成。

学校核心业务包括:学籍学历管理、学位管理、招生录取管理、考试考务管理、教师管理、门户网站管理等。

信息系统（网站）安全包括业务信息安全和系统服务安全，与之相关的受侵害客体和对客体的侵害程度可能不同，因此，信息系统（网站）定级也应由业务信息安全和系统服务安全两方面确定。

从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级。

从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。

确定信息系统安全保护等级的一般流程如下：

a) 确定作为定级对象的信息系统；

b) 确定业务信息安全受到破坏时所侵害的客体；

c) 根据不同的受侵害客体，从多个方面综合评定业务信息安全被破坏对客体的侵害程度；

d) 依据表1，得到业务信息安全保护等级；

e) 确定系统服务安全受到破坏时所侵害的客体；

f) 根据不同的受侵害客体，从多个方面综合评定系统服务安全被破坏对客体的侵害程度；

g) 依据表1，得到系统服务安全保护等级；

h) 将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。

第10条 专家评审

完成信息系统自主定级后，需聘请有关信息安全等级保护专家对信息系统自主定级情况进行评审，形成评审意见。

第11条 主管部门审核批准

完成信息系统专家评审后，需填写《信息系统安全等级保护定级报告》、《信息系统安全等级保护备案表》和信息系统安全等级保护专家评审意见等材料，报送至省教育厅进行审核。

第12条 公安机关备案

a）备案材料通过省教育厅审核后，备案单位应将备案材料提交至当地公安监管机关，对于符合要求的定级备案材料，当地公安机关将向备案单位颁发《信息系统安全等级保护定级备案证明》。

b）信息系统变更安全保护等级后，办理原信息系统备案手续的单位应根据《信息安全等级保护备案实施细则》相关要求及时到公安机关办理备案变更手续。信息系统永久性停止运行后，办理原信息系统备案手续的单位要及时到公安机关办理备案撤销手续。

第四章　信息系统等级测评

第13条 应按要求定期对信息系统进行测评，其中信息系统安全保护等级为第二级（含）以上的信息系统备案单位应在系统定级后的六个月内开展首次等级测评工作。

新建的信息系统第三级（含）以上信息系统在竣工验收前完成测评。

在完成第三级（含）以上信息系统测评后30日内，将测评报告提交单位所在地公安机关备案。

第三级（含）信息系统每年至少进行一次等级测评，第二级（含）信息系统每两年至少进行一次等级测评。

第五章  安全建设整改

第14条 实行“自主保护”的安全保护原则，依据国家等级保护制度实施安全保护和整改。

第15条 信息系统的安全保护措施不能低于国家和行业标准对应等级的要求，保证各项安全措施的有效落实。

第16条 信息系统经等级保护测评、风险评估、安全检查所排查出的安全隐患，要按照国家等级保护制度、标准及有关要求，进行持续整改，并再次测评、评估，验证整改效果，不断提升信息系统安全保护能力。

第六章　附 则

第17条 本制度中的条款如与国家有关的法律、法规不一致的，以国家法律、法规为准。

第18条 本制度由现代教育技术与信息中心起草，报学校批准后实施。结合信息网络快速发展和我校的信息化发展状况，配合相关法律法规的制定、修改和完善，适时修订本制度。

第19条 本制度自发布之日起执行。

附件

附件1：

南昌航空大学XXX信息系统（网站）

安全等级保护定级备案报告

一、XXX信息系统（网站）描述

从三个方面进行说明：一是描述承担信息系统（网站）安全责任的相关单位或部门，说明本单位或部门对信息系统（网站）具有信息安全保护责任，该信息系统（网站）为本单位或部门的安全等级保护定级对象；二是该定级对象是否具有信息系统的基本要素，描述基本要素、系统网络结构、系统边界和边界设备；三是该定级对象是否承载着单一或相对独立的业务，业务情况描述

二、XXX信息系统（网站）安全保护等级确定

（一）业务信息安全保护等级的确定

1.业务信息描述

描述信息系统处理的主要业务信息等。

2.业务信息受到破坏时所侵害客体的确定

说明信息受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

3.信息受到破坏后对侵害客体的侵害程度的确定

说明信息受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

4.业务信息安全等级的确定

依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级。

（二）系统服务安全保护等级的确定

1.系统服务描述

描述信息系统的服务范围、服务对象等。

2.系统服务受到破坏时所侵害客体的确定

说明系统服务受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

3.系统服务受到破坏后对侵害客体的侵害程度的确定

说明系统服务受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

4.系统服务安全等级的确定

依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。

（三）安全保护等级的确定

信息系统（网站）的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定，最终确定XXX系统（网站）安全保护等级为第几级。

部门盖章：      

                                 年      月      日

附件2：

南昌航空大学XXX信息系统(网站)

安全责任登记表

备注：1. 信息系统使用人员有多人时，可加行填写。

      2. 相关人员有变更时，请向现代教育技术与信息中心更改备案