郑州大学信息系统(网站)安全等级保护
定级备案工作指南
按照《教育部办公厅关于加强信息技术安全工作的紧急通知》,依据国家信息安全等级保护相关政策标准和《教育行业信息系统安全等级保护定级工作指南(试行)》,开展我校所有非涉密信息系统(网站)安全等级保护的定级备案工作。
1 定级依据
《中华人民共和国计算机信息系统安全保护条例》(国务院第147号令)
《信息系统安全等级保护定级指南》(GB/T 22240-2008)
《信息系统安全等级保护实施指南》(GB/T 25058-2010)
《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)
《信息安全等级保护管理办法》(公通字〔2007〕43号)
《教育行业信息系统安全等级保护定级工作指南(试行)》(教技厅函[2014]74号)
2 定级原理
2.1 信息系统(网站)安全保护等级
根据等级保护相关管理文件,信息系统(网站)的安全保护等级分为以下五级:
第一级,信息系统(网站)受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统(网站)受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统(网站)受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统(网站)受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统(网站)受到破坏后,会对国家安全造成特别严重损害。
2.2 信息系统(网站)安全保护等级的定级要素
信息系统(网站)的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
2.2.1 受侵害的客体
等级保护对象受到破坏时所侵害的客体包括以下三个方面:
a) 公民、法人和其他组织的合法权益;
b) 社会秩序、公共利益;
c) 国家安全。
2.2.2 对客体的侵害程度
等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:
a) 造成一般损害;
b) 造成严重损害;
c) 造成特别严重损害。
2.3 定级要素与等级的关系
定级要素与信息系统(网站)安全保护等级的关系如表1所示。
表1 定级要素与安全保护等级的关系
受侵害的客体 |
对客体的侵害程度 |
一般损害 |
严重损害 |
特别严重损害 |
公民、法人和其他组织的合法权益 |
第一级 |
第二级 |
第三级 |
社会秩序、公共利益 |
第二级 |
第三级 |
第四级 |
国家安全 |
第三级 |
第四级 |
第五级 |
3 信息系统的定级工作流程
教育行业信息系统安全等级保护应坚持“自主定级、自主保护”的原则,依据《信息系统安全等级保护定级指南》和《教育行业信息系统安全等级保护定级工作指南(试行)》组织开展信息系统(网站)定级工作。
3.1 确定定级责任主体
信息系统(网站)应明确定级工作的责任主体。按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,信息系统(网站)的主管部门为定级工作的责任主体,负责组织运维部门、使用部门开展信息系统(网站)定级工作。
3.2 自主定级
信息系统(网站)主管部门对本部门信息系统进行梳理分析,进行自主定级,确定信息系统(网站)安全保护等级。对于承载复杂业务的信息系统(网站),安全保护等级可高于一般等级;对于承载多个业务的信息系统,应以所承载业务的信息系统的最高建议等级进行定级。
3.3 定级的一般流程
信息系统(网站)安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统(网站)定级也应由业务信息安全和系统服务安全两方面确定。
从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级。
从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。
确定信息系统安全保护等级的一般流程如下:
a) 确定作为定级对象的信息系统;
b) 确定业务信息安全受到破坏时所侵害的客体;
c) 根据不同的受侵害客体,从多个方面综合评定业务信息安
全被破坏对客体的侵害程度;
d) 依据表1,得到业务信息安全保护等级;
e) 确定系统服务安全受到破坏时所侵害的客体;
f) 根据不同的受侵害客体,从多个方面综合评定系统服务安
全被破坏对客体的侵害程度;
g) 依据表1,得到系统服务安全保护等级;
h) 将业务信息安全保护等级和系统服务安全保护等级的较
高者确定为定级对象的安全保护等级。
3.4 主管部门审核
信息系统(网站)主管部门完成信息系统定级后,需填写《郑州大学信息系统(网站)安全等级保护定级备案报告》(附件1)和《郑州大学信息系统(网站)安全责任登记表》(附件2),并将相关材料送至学校宣传部及网络管理中心进行备案。
