1总则
本定级指南依据国家信息安全等级保护相关文件, 结合省级教育行政部门及高等院校信息化工作特点制定,适用于为省级教育行政部门及高等院校相关信息系统安全等级保护的定级工作提供指导。本文中的信息系统是指由计算机及其相关的和配套的设备、网络构成的对教育行政部门及高等院校相关业务信息进行采集、加工、存储、传输、检索、 处理等系统。
2术语和定义
2.1等级保护对象
信息安全等级保护工作直接作用的具体的信息和信息系统。
2.2客体
受法律保护的等级保护对象受到破坏时所侵害的社会关系,如国家安全,社会秩序、公共利益以及公民、法人或社会其他组织的合法权益。
2.3客观方面
对客体造成侵害的客观外在表现,包括侵害方式和侵害结果等。
3定级原理
3.1信息系统安全保护等级
根据国家等级保护相关文件,信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
3.2信息系统安全保护等级的定级要素
信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
3.2.1受侵害的客体
等级保护对象受到破坏时所侵害的客体包括以下三个方面:
a)公民、法人和其他组织的合法权益;
b)社会秩序、公共利益;
c)国家安全。
3.2.2对客体的侵害程度
对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。
等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:
a)造成一般损害;
b)造成严重损害;
c)造成特别严重损害。
3.3定级要素与安全保护等级的关系
定级要素与信息系统安全保护等级的关系见表1。
表1定级要素与信息系统安全保护等级的关系
受侵害的客体 |
对客体的侵害程度 |
一般损害 |
严重损害 |
特别严重损害
|
公民、法人和其他组织的合法权益 |
第一级 |
第二级 |
第二级 |
社会秩序、公共利益 |
第二级 |
第三级 |
第四级 |
国家安全 |
第三级 |
第四级 |
第五级 |
4定级方法
4.1定级的一般流程
信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。
从业务信息安全角度反映的信息系统安全保护等级称为业务信息安全保护等级。
从系统服务安全角度反映的信息系统安全保护等级称为系统服务安全保护等级。
确定信息系统安全保护等级的一般流程如下:
a)确定作为定级对象的信息系统;
b)确定业务信息安全受到破坏时所侵害的客体;
c)根据不同的受侵害客体,从多个方面综合评定业务信息安全被破坏对客体的侵害程度;
d)依据表4,得到业务信息安全保护等级;
e)确定系统服务安全受到破坏时所侵害的客体;
f)根据不同的受侵害客体,从多个方面综合评定系统服务安全被破坏对客体的侵害程度;
g)依据表5,得到系统服务安全保护等级;
h)将业务信息安全保护等级和系统服务安全保护等级的较高者确定为等级保护对象的安全保护等级。
确定信息系统安全保护等级一般流程见图1。
图1确定等级一般流程
4.2确定定级对象
一个单位内运行的信息系统可能比较庞大,为了体现重要部分重点保护、有效控制信息安全建设成本、优化信息安全资源配置的等级保护原则,可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。
4.2.1定级对象的基本特征
4.2.1.1具有唯一确定的安全责任单位
作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责任单位;
如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的单位。
4.2.1.2具有信息系统的基本要素
作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象。
4.2.1.3承载单一或相对独立的业务应用
定级对象承载“单一”的业务应用是指该业务应用的业务流程独立,且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。
4.2.2省级教育行政部门及高等院校信息安全等级保护对象
根据省级教育行政部门及高等院校实际,按照上述定级对象的基本特征,综合考虑信息系统的责任单位、业务类型和业务重要性等各种因素,将省级教育行政部门及高等院校相关信息系统按照信息系统类别及承载的业务性质进行分类见表2和表3。
表2省级教育行政部门信息安全等级保护对象分类
序 号 |
分类 |
功能 |
描述 |
1 |
行政管理类 |
办公与事务处理系统 |
公文流转与日常事务处理等 |
2 |
视频会议系统 |
提供在线声音、影像及文件资料的即时共享,实现在线沟通的会议系统。
|
3 |
公文与信息交换系统 |
教育部指定的公文传输平台,主要提供上下级教育行政部门和学校之间的文件传输等功能 |
4 |
学生管理类 |
基础教育学籍管理系统 |
提供基础教育学生入学管理、学生学籍管理等功能的管理系统。 |
5 |
高等教育学籍管理系统 |
提供高等教育学生入学管理、学生学籍管理等功能的管理系统。 |
6 |
中职教育学籍管理系统 |
提供中职教育学生入学管理、学生学籍管理等功能的管理系统。 |
7 |
学前教育学籍管理系统 |
提供幼儿园教育学生入学管理、 学生学籍管理等功能的管理系统。 |
8 |
高校招生管理系统 |
提供本科生、研究生招生管理等功能的管理系统。 |
9 |
中职招生管理系统 |
提供中职招生管理等功能的管理系统。 |
10 |
学生体质健康标准管理信息系统 |
提供学生体质健康数据采集、处理、查询等功能的管理系统。 |
11 |
学生资助管理系统 |
提供基础教育、中职教育和高等教育学生资助管理功能的管理系统。 |
12 |
中考网上报名系统 |
提供中考网上报名、网上录取、录取信息查询等功能的在线报名系统。 |
13 |
高考网上报名系统 |
提供高考网上报名、网上录取、录取信息查询等功能的在线报名系统。 |
14 |
研究生网上报名系统 |
提供研究生网上报名、网上录取、录取信息查询等功能的在线报名系统。 |
15 |
教师管理类 |
全国教师资格认定管理信息系统 |
提供教师资格认定网上报名、预审、信息综合管理等功能的管理系统。 |
16 |
教师师资、教师教育管理系统 |
提供基础教育、中职教育和高等教育教师培训管理、师资管理等功能的管理系统。 |
17 |
教师职称管理系统 |
提供教师职称网上申报、评审、信息综合管理等功能的管理系统。 |
18 |
学校管理类 |
基础教育学校管理系统 |
提供基础教育学校基本信息管理、教育经费信息管理、基建管理、技术装备信息管理、教学信息管理等功能的管理系统。 |
19 |
中职教育学校管理系统 |
提供中等职业教育机构基本信息管理、教育经费管理、基建管理、技术装备信息管理、教学信息管理等功能的管理系统。 |
20 |
高等教育学校管理系统 |
提供高校设置审核、高等教育机构信息管理、高等教育经费管理、高校科研信息管理、技术装备信息管理等功能的管理系统。 |
21 |
幼儿园信息管理系统 |
提供学前教育机构基本信息管理、教育经费管理、基建管理、技术装备信息管理、教学信息管理等功能的管理系统。 |
22 |
全国中小学校舍信息管理系统 |
由全国中小学校舍安全工程领导小组统一规划,教育部教育管理信息中心统一建设实施的校舍信息管理系统,提供学校校舍信息管理、校舍安全工程管理、校舍使用年限预警、校舍数据综合利用等功能的管理系统。 |
23 |
业务管理类 |
财务管理系统 |
提供会计核算、项目经费管理、财务信息发布等功能的管理系统。 |
24 |
资产管理系统 |
提供固定资产、仪器设备等资产管理的信息系统。 |
25 |
人事管理系统 |
提供人员招聘、合同管理、工资管理、培训管理、绩效考核、奖惩管理等功能的管理系统。 |
26 |
档案管理系统 |
提供档案采集、立卷、组卷、统计、查询等功能的管理系统。 |
27 |
教育统计管理系统 |
提供各类法定教育统计数据的采集、汇总、上报、查询和分析等功能的管理系统。 |
28 |
高等教育招生计划管理系统 |
提供成人、普通本专科生和研究生的招生计划管理、高等教育机构招生资格管理等功能的管理系统。 |
29 |
高校校园和网络信息安全管理及应急指挥系统 |
提供高校校园安全管理、网络信息管理及应急指挥处置等功能的管理系统。 |
30 |
科研管理系统 |
提供项目申报、过程管理、经费管理、结果评估的功能的管理系统。 |
31 |
决策支持系统 |
提供数据分析、知识发现、决策支持等功能的综合服务系统。 |
32 |
教育系统表彰申报和评审系统 |
提供教育系统表彰的网上申报、单位推荐和专家评审等功能的管理系统。 |
33 |
长江学者评审和奖励管理系统 |
提供长江学者的岗位设置审批、人员选拔审批、聘用结果备案、年度考核、评优奖励等功能的管理系统。 |
34 |
教育考试考务管理与服务系统 |
提供考务工作信息资源和数据交换、实现考务工作自动化、数据分析、决策指挥的综合平台。 |
35 |
综合服务类 |
门户网站 |
提供教育厅信息发布、政务公开、政策咨询等功能的官方门户网站。 |
36 |
教育教学资源库类系统 |
提供教育教学资源发布、共享等功能的资源库。 |
37 |
高等教育毕业生就业信息系统 |
提供各类就业信息发布、就业政策咨询等功能的综合服务系统。 |
38 |
数字证书 |
提供身份管理、认证、权限控制等功能的综合服务系统。 |
39 |
电子邮件系统 |
提供电子邮件发送、接收、查询等功能的信息系统。 |
40 |
技术支撑系统 |
提供各类实验室、信息基础设施和终端设备等运行维护、技术创新和推广应用。 |
表3高等院校信息安全等级保护对象分类
序号 |
分类 |
系统名称 |
系统描述 |
1 |
教学支持类 |
教务管理系统(含本科生,研究生,网络教育,成人教育,留学生教育) |
提供学生学籍管理、教学计划管理、选课管理、成绩管理、教室管理、毕业管理等功能的管理系统。 |
2 |
教学资源与课程资源共享类辅助教学系统 |
提供教育教学资源\课程资源制作、发布、共享及教学活动组织管理等功能的资源系统。 |
3 |
教学评估系统 |
|
4 |
科研支持类 |
科研管理系统 |
提供项目申报、过程管理、经费管理、结果评估的功能的管理系统。 |
5 |
科学研究协同与支撑系统 |
|
6 |
科研情报系统 |
|
7 |
校务管理类 |
教育电子公文与信息交换系统 |
教育部指定的公文传输平台,主要提供上下级教育行政部门和学校之间的文件传输等功能。 |
8 |
办公与事务处理系统 |
提供在线公文流转、信息发布、会议管理等等事 |
9 |
人事管理系统 |
提供人员招聘、 合同管理、工资管理、培训管理、绩效考核、奖惩管理等功能的管理系统。 |
10 |
教师管理系统 |
提供教师培训管理、职称管理、薪酬管理等功能的管理系统。 |
11 |
财务管理系统 |
提供会计核算、项目经费管理、财务信息发布等功能的管理系统。 |
12 |
资产管理系统 |
提供固定资产、仪器设备、公房管理等资产管理的信息系统。 |
13 |
学生教育工作管理系统(本科生、研究生、留学生等) |
提供学生迎新、学生评估、奖惩管理、助学贷款申请审核、离校管理等功能的管理系统。 |
14 |
学生体质健康数据管理系统 |
提供学生体质健康数据采集、处理、查询等功能的管理系统。 |
15 |
档案管理系统 |
提供档案采集、立卷、组卷、统计、查询等功能的管理系统。 |
16 |
数据集成类 |
公共数据库系统 |
提供数据共享交换、数据分析、综合查询等功能的信息系统 |
17 |
信息门户系统 |
提供单点登录、信息聚合展现的应用系统 |
18 |
统一认证管理系统 |
提供身份管理、认证、权限控制等功能的综合服务系统。 |
19 |
信息发布类 |
学校门户网站 |
提供学校信息发布、校务公开、政策咨询、社会服务等功能的官方门户网站。 |
20 |
各部门、院、系、所、研究机构网站 |
提供各部门、院、系、所、研究机构信息发布、信息公开等功能的网站。 |
21 |
校务信息发布平台 |
提供校内相关公文、通知、公告信息的管理系统 |
22 |
公共服务类 |
后勤管理系统 |
提供后勤工作管理、后勤服务项目管理、后勤咨询投诉处理等功能的管理系统。(大后勤概念)能源管理系统 |
23 |
校园一卡通系统 |
提供饭卡、学生证、工作证、医疗卡、上机卡、考勤卡、门禁卡等应用项目的统一认证管理服务的综合系统。 |
24 |
图书馆管理系统 |
提供馆藏书目信息维护及查询、图书借阅管理、电子期刊数据查询等功能的管理系统。 |
25 |
安防监控系统 |
提供对学校重要场所进行远程监控、安全预警等功能的信息系统 |
26 |
招生就业类 |
本科生招生管理系统 |
提供本科生招生管理等功能的管理系统。含招生信息、招生管理、网上报名等 |
27 |
研究生招生管理系统 |
提供研究生招生管理等功能的管理系统。含招生信息、招生管理、网上报名等 |
28 |
自主招生管理系统 |
学校自主招生的管理系统(含本科生、留学生、网络教育等) |
29 |
本科生、研究生就业管理系统 |
含本科生、研究生就业信息、就业管理、就业数据分析等 |
30 |
基础网络服务类 |
校园网网络运维管理系统 |
提供校园网运行监控、设备管理、维护等功能的信息系统。 |
31 |
电子邮件系统 |
提供电子邮件发送、接收、查询等功能的信息系统。 |
32 |
网络视频服务系统 |
视频会议、视频点播、直播等视频即时服务 |
33 |
论坛、社区类网站 |
含思想教育、文化建设等,提供在线交互、论坛、博客、BBS等功能。 |
4.3确定受侵害的客体
4.3.1侵害客体的几个方面
定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。
侵害国家安全的事项包括以下方面:
─影响国家政权稳固和国防实力;
─影响国家统一、民族团结和社会安定;
─影响国家对外活动中的政治、经济利益;
─影响国家重要的安全保卫工作;
─影响国家经济竞争力和科技实力;
─其他影响国家安全的事项。
侵害社会秩序的事项包括以下方面:
─影响国家机关社会管理和公共服务的工作秩序;
─影响各种类型的经济活动秩序;
─影响各行业的科研、生产秩序;
─影响公众在法律约束和道德规范下的正常生活秩序等;
─其他影响社会秩序的事项。
影响公共利益的事项包括以下方面:
─影响社会成员使用公共设施;
─影响社会成员获取公开信息资源;
─影响社会成员接受公共服务等方面;
─其他影响公共利益的事项。
影响公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。
确定作为定级对象的信息系统受到破坏后所侵害的客体时,应首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,最后判断是否侵害公民、 法人和其他组织的合法权益。
4.3.2省级教育行政部门及高等院校相关信息系统受到破坏时侵害的客体
根据省级教育行政部门及高等院校特点,分析相关信息系统与国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的关系,从而确定信息系统受到破坏时所侵害的客体。
a) 省级教育行政部门
学生管理类系统的业务信息安全或系统服务安全受到破坏,可能直接影响教育管理秩序,侵害学生、家长和社会公众的合法权益,可能引起社会秩序混乱乃至引发社会动荡;
教师管理类系统的业务信息安全或系统服务安全受到破坏,可能直接影响教师的合法权益,可能引起教育秩序的混乱,降低师资配置的效率;
学校管理类系统的业务信息安全或系统服务安全受到破坏,可能直接损害学校、社会公众的合法权益,降低教育管理的决策效率,造成教育资源配置的不合理;
业务管理类系统的业务信息安全或系统服务安全受到破坏,可能直接损害本系统或本单位的合法权益,可能引起业务管理的混乱,引发教育教学管理事故,降低管理效率,造成社会资源的损失。
行政管理类系统的业务信息安全或系统服务安全受到破坏,可能直接损害本系统或本单位的合法权益,降低教育行政管理的效率,影响社会秩序和公共利益, 甚至可能引发教育秩序的混乱;
综合服务类系统的业务信息安全或系统服务安全受到破坏,可能直接损害本系统或本单位的形象,降低服务效率,影响正常教育教学秩序,给社会造成负面影响
b) 高校
招生管理类、数据集成类、 校务管理类、 基础网络服务类等信息系统的业务信息安全或系统服务安全受到破坏, 可能影响学校正常秩序, 影响高校正常行使工作职能, 侵害学校、教师、 学生及部分社会公众合法权益,可能在一定范围内对社会秩序造成影响,可能侵害公共利益,引起法律纠纷等;
教学支持类、 科研管理类、 公共服务类、 信息发布类等信息系统业务信息安全或系统服务安全受到破坏, 可能影响学校正常秩序, 影响高校正常行使工作职能, 侵害学校、教师、学生合法权益,引起法律纠纷等。
4.4确定对客体的侵害程度
4.4.1侵害的客观方面
在客观方面,对客体的侵害行为外在表现为对定级对象的破坏,其危害方式表现为对信息安全的破坏和对系统服务安全的破坏,其中信息安全是指要确保信息系统内信息的私密性、完整性和可用性等,系统服务安全是指要确保信息系统可以及时、有效地提供服务,以完成预定的业务目标。由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同,在定级过程中,需要分别处理这两种危害方式。
信息安全和系统服务安全受到破坏后,可能产生以下危害后果:
─影响行使工作职能;
─导致业务能力下降;
─引起法律纠纷;
─导致财产损失;
─造成社会不良影响;
─对其他组织和个人造成损失;
─其他影响。
4.4.2综合判定侵害程度
侵害程度是客观方面的不同外在表现程度,因此,应首先根据不同的受侵害客体、不同危害后果分别确定其危害程度。对不同危害后果确定其危害程度所采取的方法和所考虑的角度可能不同,例如系统服务安全被破坏导致业务能力下降的程度可以从信息系统服务覆盖的区域范围、用户人数或业务量等不同方面确定,业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。
在针对不同的受侵害客体进行侵害程度的判断时,应参照以下不同的判别基准:
─如果受侵害客体是公民、法人或其他组织的合法权益,则以本人或本单位的总体利益作为判断侵害程度的基准;
─如果受侵害客体是社会秩序、公共利益或国家安全,则应以整个行业或国家的总体利益作为判断侵害程度的基准。
不同危害后果的三种危害程度描述如下:
一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害。
严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。
特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且功能无法执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。
业务信息安全和系统服务安全被破坏后对客体的侵害程度,由对不同危害结果的危害程度进行综合评定得出。由于各单位信息系统所处理的信息种类和系统服务特点各不相同,业务信息安全和系统服务安全受到破坏后可能产生的危害结果以及危害程度的计算方式均可能不同,各单位可根据本单位信息种类和系统服务特点,制定危害程度的综合评定方法,并给出侵害不同客体造成一般损害、严重损害、特别严重损害的具体定义,从而确定保护等级。
4.4.3省级教育行政部门及高等院校相关信息系统受到破坏对客体的侵害程度
教育行业相关信息系统的业务信息安全或系统服务安全受到破坏时,对客体的侵害程度与信息系统所属单位的行政级别以及承载业务的重要性、影响程度、教育规模等有关。分别描述如下:
a)省级教育行政部门
各类学籍管理系统、招生报名系统、招生管理系统、学生资助管理系统、学校管理系统、校舍管理系统、师资管理系统、教师职称管理系统、教师资格认定系统、应急指挥系统、教育考试考务系统、门户网站、公文和信息交换系统和数字证书等系统,业务信息覆盖全省,关系到广大师生的合法权益,社会影响力大,这些系统的业务信息安全或系统服务安全受到破坏,可能直接造成严重的教育事故,对社会秩序和公共利益造成严重损害。
各类办公与事务处理系统、视频会议系统、财务管理系统、资产管理系统、人事管理系统、档案管理系统、统计系统、科研管理系统、决策支持系统和技术支撑系统等,业务信息覆盖本系统或本单位,涉及到本系统或本单位的核心业务,这些系统的业务信息安全或系统服务安全受到破坏,影响正常教育教学秩序,对本系统或本单位的合法权益造成严重损害,甚至对社会秩序和公共利益造成一般损害。
b)高校
高等院校信息系统中, 招生管理类、数据集成类、 校务管理类、基础网络服务类信息系统的业务信息安全或系统服务安全受到破坏,可能使高校工作秩序和工作职能受到严重影响, 对社会将产生一定范围的不良影响,对社会秩序和公共利益造成严重损害, 对学生及部分社会公众造成严重损害;
教学支持类、科研管理类、公共服务类、信息发布类等信息系统业务信息安全或系统服务安全受到破坏, 可能严重影响学校正常秩序,影响高校正常行使工作职能, 侵害学校、教师、学生合法权益,引起法律纠纷。
4.5确定定级对象的安全保护等级
4.5.1定级对象的安全保护等级
根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据表4业务信息安全保护等级矩阵表,即可得到业务信息安全保护等级。
表4业务信息安全保护等级矩阵表
业务信息安全被破坏时所侵害的客体 |
对相应客体的侵害程度 |
一般损害 |
严重损害 |
特别严重损害 |
公民、法人和其他组织的合法权益 |
第一级 |
第二级 |
第二级 |
社会秩序、公共利益 |
第二级 |
第三级 |
第四级 |
国家安全 |
第三级 |
第四级 |
第五级 |
根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据表5系统服务安全保护等级矩阵表,即可得到系统服务安全保护等级。
表5系统服务安全保护等级矩阵表
系统服务安全被破坏时所侵害的客体 |
对相应客体的侵害程度 |
一般损害 |
严重损害 |
特别严重损害 |
公民、法人和其他组织的合法权益 |
第一级 |
第二级 |
第二级 |
社会秩序、公共利益 |
第二级 |
第三级 |
第四级 |
国家安全 |
第三级 |
第四级 |
第五级 |
作为定级对象的信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。
4.5.2教育信息系统安全等级保护等级
综合考虑省级教育行政部门和高校有关信息系统的业务信息安全等级和系统服务安全等级,各类信息系统定级建议分别见表6和表7。各单位根据本单位信息系统业务功能,进行参照定级,安全等级应不低于建议级别;对于承载复杂功能的信息系统,安全等级可高于建议级别;对于承载多个业务功能的信息系统,应以建议的最高安全等级进行定级;未在建议表中列出的信息系统,可根据其承载的业务功能,参照本定级指南进行定级。
表6省级教育行政部门各类信息系统建议等级
序 号 |
分类 |
系统名称 |
业务信息安全保护等级 |
系统服务安全保护等级 |
信息系统安全保护等级 |
备注 |
1 |
行政管理类 |
办公与事务处理系统 |
第二级 |
第二级 |
第二级 |
|
2 |
视频会议系统 |
第二级 |
第二级 |
第二级 |
|
3 |
公文与信息交换系统 |
第三级 |
第三级 |
第三级 |
全国联网统一运行 |
4 |
学生管理类 |
基础教育学籍管理系统 |
第三级 |
第二级 |
第三级 |
|
5 |
高等教育学籍管理系统 |
第三级 |
第二级 |
第三级 |
|
6 |
中职教育学籍管理系统 |
第三级 |
第二级 |
第三级 |
|
7 |
学前教育学籍管理系统 |
第三级 |
第二级 |
第三级 |
|
8 |
高校招生管理系统 |
第三级 |
第三级 |
第三级 |
|
9 |
中职招生管理系统 |
第三级 |
第三级 |
第三级 |
|
10 |
学生体质健康标准管理信息系统 |
第三级 |
第三级 |
第三级 |
全国联网统一运行 |
11 |
学生资助管理系统 |
第三级 |
第三级 |
第三级 |
|
12 |
中考网上报名系统 |
第三级 |
第三级 |
第三级 |
|
13 |
高考网上报名系统 |
第三级 |
第三级 |
第三级 |
|
14 |
研究生网上报名系统 |
第三级 |
第三级 |
第三级 |
|
15 |
教师管理类 |
全国教师资格认定管理信息系统 |
第三级 |
第二级 |
第三级 |
|
16 |
教师师资、教师教育管理系统 |
第三级 |
第二级 |
第三级 |
|
17 |
教师职称管理系统 |
第三级 |
第二级 |
第三级 |
|
18 |
学校管理类 |
基础教育学校管理系统 |
第三级 |
第二级 |
第三级 |
|
19 |
中职教育学校管理系统 |
第三级 |
第二级 |
第三级 |
|
20 |
高等教育学校管理系统 |
第三级 |
第二级 |
第三级 |
|
21 |
幼儿园信息管理系统 |
第三级 |
第二级 |
第三级 |
|
22 |
全国中小学校舍信息管理系统 |
第三级 |
第二级 |
第三级 |
全国联网统一运行 |
23 |
业务管理类 |
财务管理系统 |
第二级 |
第二级 |
第二级 |
|
24 |
资产管理系统 |
第二级 |
第二级 |
第二级 |
|
25 |
人事管理系统 |
第二级 |
第二级 |
第二级 |
|
26 |
档案管理系统 |
第二级 |
第二级 |
第二级 |
|
27 |
教育统计管理系统 |
第二级 |
第二级 |
第二级 |
|
|
高等教育招生计划管 |
第二级 |
第二级 |
第二级 |
|
28 |
高校校园和网络信息安全管理及应急指挥系统 |
第三级 |
第三级 |
第三级 |
|
29 |
科研管理系统 |
第二级 |
第二级 |
第二级 |
|
30 |
决策支持系统 |
第二级 |
第二级 |
第二级 |
|
31 |
教育系统表彰申报和评审系统 |
第三级 |
第三级 |
第三级 |
|
32 |
长江学者评审和奖励管理系统 |
第三级 |
第三级 |
第三级 |
|
33 |
教育考试考务管理与服务系统 |
第三级 |
第三级 |
第三级 |
|
34 |
综合服务类 |
门户网站 |
第三级 |
第三级 |
第三级 |
|
|
教育教学资源库类系统 |
第二级 |
第二级 |
第二级 |
|
35 |
高等教育毕业生就业信息系统 |
第二级 |
第二级 |
第二级 |
|
36 |
数字证书 |
第三级 |
第三级 |
第三级 |
|
37 |
电子邮件系统 |
第二级 |
第二级 |
第二级 |
|
38 |
技术支撑系统 |
第二级 |
第二级 |
第二级 |
|
表7高等院校各类信息系统建议等级
序号 |
分类 |
系统名称 |
建议等级 |
备注 |
|
|
|
信息系统 安全保护等级 |
业务信息安全保护等级 |
系统服务安全保护等级 |
|
1 |
教学支持类 |
教务管理系统(含本科生,研究生,网络教育,成人教育,留学生教育) |
第二级 |
第二级 |
第二级 |
|
2 |
教学资源与课程资源共享类辅助教学系统 |
第二级 |
第二级 |
第二级 |
|
3 |
教学评估系统 |
第二级 |
第二级 |
第二级 |
|
4 |
科研支持类 |
科研管理系统 |
第二级 |
第二级 |
第二级 |
涉密和尖端科研领域除外 |
5 |
科学研究协同与支撑系统 |
|
|
|
|
6 |
科研情报系统 |
|
|
|
|
7 |
校务管理类 |
教育电子公文与信息交换系统 |
第三级 |
第三级 |
第三级 |
全国统一系统按上级要求定级 |
8 |
办公与事务处理系统 |
第二级 |
第二级 |
第二级 |
|
9 |
人事管理系统 |
第二级 |
第二级 |
第二级 |
|
10 |
教师管理系统 |
第二级 |
第二级 |
第二级 |
|
11 |
财务管理系统 |
第二级 |
第二级 |
第二级 |
|
12 |
资产管理系统 |
第二级 |
第二级 |
第二级 |
|
13 |
学生教育工作管理系统(本科生、研究生、留学生等) |
第二级 |
第二级 |
第二级 |
|
14 |
学生体质健康数据管理系统 |
第二级 |
第二级 |
第二级 |
全国统一系统按上级要求定级 |
15 |
档案管理系统 |
第二级 |
第二级 |
第二级 |
|
16 |
数据集成类 |
公共数据库系统 |
第三级 |
第三级 |
第三级 |
|
17 |
信息门户系统 |
第三级 |
第三级 |
第三级 |
|
18 |
统一认证管理系统 |
第三级 |
第三级 |
第三级 |
|
19 |
信息发布类 |
学校门户网站 |
第二级 |
第二级 |
第二级 |
可根据学校实际情况定为三级 |
20 |
各部门、院、系、所、研究机构网站 |
第二级 |
第二级 |
第二级 |
|
21 |
校务信息发布平台 |
第二级 |
第二级 |
第二级 |
|
22 |
公共服务类 |
后勤管理系统 |
第二级 |
第二级 |
第二级 |
|
23 |
校园一卡通系统 |
第二级 |
第二级 |
第二级 |
可根据学校实际可定为三级 |
24 |
图书馆管理系统 |
第二级 |
第二级 |
第二级 |
|
25 |
安防监控系统 |
第二级 |
第二级 |
第二级 |
|
26 |
招生就业类 |
本科生招生管理系统 |
第三级 |
第三级 |
第三级 |
全国统一系统按上级要求定级, 须与上级部门相应系统定级一致 |
27 |
研究生招生管理系统 |
第三级 |
第三级 |
第三级 |
|
28 |
自主招生管理系统 |
第二级 |
第二级 |
第二级 |
|
29 |
本科生、研究生就业管理系统 |
第二级 |
第二级 |
第二级 |
|
30 |
基础网络服务类 |
校园网网络运维管理系统 |
第三级 |
第三级 |
第三级 |
|
31 |
电子邮件系统 |
第二级 |
第二级 |
第二级 |
|
32 |
网络视频服务系统 |
第二级 |
第二级 |
第二级 |
|
33 |
论坛、社区类网站 |
第二级 |
第二级 |
第二级 |
|
5等级变更
在信息系统的运行过程中,安全保护等级应随着信息系统所处理的信息和业务状态的变化进行适当的变更,尤其是当状态变化可能导致业务信息安全或系统服务受到破坏后的受侵害客体和对客体的侵害程度有较大的变化,可能影响到系统的安全保护等级时,应根据本指南第4章给出的定级方法重新定级。
