2011年9月25―27日,湖南省教育厅、公安厅组织全省高校召开了《湖南省教育信息系统安全等级保护工作会议》,下发了《湖南省教育信息系统安全等级保护工作实施方案》。为贯彻落实会议与文件精神,做好学院信息系统安全等级保护工作,提高信息系统安全保障能力和水平,结合学院实际,制定此工作实施方案。
一、等级保护工作的内容和目的
信息系统安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
信息系统安全等级保护工作内容的核心是对信息系统安全定级、按标准进行建设、管理和监督。
信息系统安全等级定级共分五级。
1. 第一级为自主保护级,适用于一般的信息和信息系统,其受到破坏后,会对公民、法人和其他组织的权益有一定影响,但不危害国家安全、社会秩序、经济建设和公共利益。
2. 第二级为指导保护级,适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成一定损害。
3. 第三级为监督保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成较大损害。
4. 第四级为强制保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成严重损害。
5. 第五级为专控保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。
开展信息系统安全等级保护工作,目的在于一是全面清理学院信息系统现状,提升信息系统安全意识和提高安全防范能力,为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务,有效控制信息安全建设成本。二是提高学院信 息和信息系统安全建设的整体水平,有利于在学院信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调,优化信息安全资源的配置。三是明确信息系统建设与管理部门、人员的信息安全责任,加强信息系统安全建设和监管,形成信息系统安全保障和监管体系,保障信息系统的可持续发展。
二、等级保护工作定级对象
等级保护工作定级对象为具有独立业务应用的各类信息系统。信息系统是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络。具体分三类:一是各种信息系统运行的支撑系统。如网络平台等。二是各种业务管理信息系统。如教务管理系统,OA系统等。三是各类信息发布系统。如网站等。
三、工作任务和时间安排
1、全面梳理本部门信息系统。各部门对已建设、使用的所有信息系统逐一进行摸底清理,并逐个进行等级保护定级。
2、各部门对信息系统初步定级(附件3:表三 信息系统定级情况)。
(1)学院建设使用的全省联网信息系统由其主办单位统一确定安全保护等级,学院根据该系统使用范围和影响程度采取相应保护措施;如OA系统。
(2)以学院为主体建设的覆盖全省并影响国家安全或社会秩序、公众利益的重要信息系统,如高考招生录取系统、重大科研管理系统等原则上定为三级;
(3)以学院为主体建设的覆盖本市州或本单位并影响社会秩序、公众利益的信息系统,如门户网站、基础数据库、学籍学历查询系统、数字化校园平台、校园一卡通系统等原则上定为二级;
(4)覆盖学院或业务部门并影响局部利益的一般信息系统原则上定为一级。
3、申报信息系统的安全保护等级定级材料。各部门需按附件2《信息系统安全等级保护定级报告》和附件3《信息系统安全等级保护备案表》的要求填写申报材料。其中附3中的“表一 单位基本情况”由宣传部统一填写。请各部门于11月25日以前,将定级材料电子稿上传至宣传部,上传邮箱:
772353267@qq.com。技术咨询:曾海魏,电话:8361303,61405。附件1《教育信息系统安全等级保护工作机构人员情况表》由宣传部填写申报。
4、定级材料上报备案。宣传部对各部门信息系统的定级材料进行审核,确定信息系统等级保护级别后,于12月15日前将我院信息系统的定级备案材料报省教育管理信息中心,由省教育厅出具行业定级意见。定级为第二级及以上信息系统在获得省教育厅出具的行业定级意见后10个工作日内到公安机关进行定级备案。
5、整改建设及自主保护。第二级及以上信息系统定级备案材料报公安机关后,由公安机关审核并颁发信息系统安全等级保护备案证明。信息系统安全等级定级工作完成后,各部门要对照《关于开展信息安全等级保护安全建设整改工作的指导意见》 (公信安〔2009〕1429号)和《信息安全技术信息系统安全等级保护基本要求》 (GB/T22239-2008)的技术标准和管理规范于2013年12月前完成安全整改建设及开展自主保护。对定为第三级及以上重要信息系统完成整改后,还必须选择国家认可的省级(含)以上信息安全等级保护测评机构进行定期测评,并向公安机关提交测评报告。
6、迎接上级检查。2014年,省教育厅将对各高校信息系统安全等级保护工作进行专项工作检查。
四、工作要求
1、提高认识,明确机构。
各部门要高度重视,将信息系统等级保护工作作为增强网络信息安全管理水平、化解网络信息安全责任风险的重要手段,按照“谁主管,谁负责”的原则认真开展信息系统安全等级保护工作。学院由院长负总责,分管校园信息化建设工作的领导和部门组织实施,信息系统所在的部门为责任部门,其部门负责人为主要责任人,各部门要安排技术工作人员负责本部门信息系统的建设、管理与维护,切实保障信息系统安全。
2、加强管理,有序推进。
信息系统定级工作完成后,各部门要按照相应的技术标准和要求,拿出切实可行的整改措施和方案,有计划地推动信息系统安全等级保护工作的开展。各部门要以此为契机,加大力度,着力推进本部门信息化工作的建设与发展。要安排专项工作经费并纳入年度预算,确保信息系统持续可靠运行。
3、开展检查,加强监督。
省、市州教育行政部门联合公安机关不定期开展教育信息系统安全等级保护工作检查,对不符合有关管理规范和技术标准的单位责令整改,对违反等级保护相关政策法规造成损害的,依法追究有关人员的责任。各部门要定期组织本单位的自查工作,确保信息系统等级保护工作各项要求落实到位,以便迎接省教育厅的评估检查。
宣传统战部
2011.11.10
【打印本页】