云南省教育行业
信息安全等级保护工作实施规范
为进一步保障云南省教育行业信息安全等级保护定级、备案等工作有序开展,规范备案受理、审核和管理等工作,根据《教育部 公安部关于全面推进教育行业信息安全等级保护工作的通知》(教技﹝2015﹞2号)和《教育行业信息系统安全等级保护定级工作指南(试行)》(教技厅函﹝2014﹞74号)等文件精神,结合云南实际,制定本实施规范。
一、定级保护范围
定级保护范围为全省各级教育行政单位、各级各类学校(以下简称教育行业单位)安全保护等级为二级及以上的信息系统,按照“谁主管,谁负责;谁建设,谁负责;谁运维,谁负责;谁使用,谁负责”的原则开展工作。
本规范适用于非涉及国家秘密的,云南省行政区域范围内教育行业单位信息系统的定级、备案、测评、整改及相关管理工作。
国家信息系统安全保护等级分为:第一级、第二级、第三级、第四级、第五级。
第一级信息系统按照自主建设、自主定级、自主防护、自主运维的原则进行开办和管理。
第二级和第三级信息系统按照以下步骤开办和管理。一是根据建议等级定级;二是按时到公安机关备案;三是聘请等级保护测评机构开展测评;四是及时认真整改。
第四级和第五级信息系统参照国家文件执行。
二、管理权限划分
各州市教育行政管理部门须指定专门机构和人员负责督促、指导属地教育行业单位及时开展信息系统安全等级保护工作,将教育信息系统的安全等级保护工作落到实处。
州市级公安机关网络安全保卫部门负责受理本辖区内所有教育行业单位的备案工作。云南省公安厅网络安全保卫总队负责受理云南省教育厅厅机关和厅机关直属事业单位,以及注册地在昆明的省属高等院校的备案工作。
各州市教育行政管理部门对本地区教育信息系统(不含高等学校)的安全管理工作负有监督管理责任。
三、等级确定原则
教育信息系统主要按照主管单位、业务对象进行分类。具体安全保护等级的确定请参考《信息系统安全保护等级建议表》(附件1)。实际定级工作中,教育信息系统所定等级原则上不应低于建议等级。所定等级低于建议等级的,教育信息系统主管单位要向教育行政管理部门和公安机关网安部门提交书面说明。
开展等级保护工作时,部门信息系统可分为教育部机关及其直属事业单位信息系统(部级系统)、省级教育行政部门及其直属事业单位信息系统(省级系统)、地市级教育行政部门及其直属事业单位(市级单位)和区县级教育行政部门及其直属事业单位(县级系统)。
学校划分为三类:Ⅰ类学校是设有硕士点的高等院校和高职高专国家级示范学校;Ⅱ类学校是除Ⅰ类以外的其他高等院校和学生数在5000人及以上的中等职业教育学校;Ⅲ类学校是学生数在5000人内的各级各类中等职业教育学校,各级各类中小学、幼儿园,以及其他类型学校。
运行在网络环境(含非互联网)的教育信息系统同时纳入到定级保护工作开展范围
四、等保工作流程
(一)准确定级。各教育行业单位须尽快梳理完成本单位在用及在建信息系统的数量,并根据《信息系统安全等级建议表》(附件1)确定安全保护等级。
二级及以下信息系统根据自主定级原则,各单位自行根据《信息系统安全等级建议表》(附件1)确定系统等级。
三级及以上信息系统自主定级时需要组织3名以上来自不同单位(同一单位限1人)的网络信息安全专家(从事网络信息化相关专业工作满8年、本科以上学历、高级技术职称或云南省公安厅网络安全保卫总队确定的省级等级保护专家)进行论证,并出具附有专家签字的论证意见。
定级单位在确定系统安全保护等级时,出现将建议的第三级系统降低或将低等级系统提升为三级系统的情况,定级单位需要按照三级系统评审标准对变化的必要性和合理性进行论证,专家论证结果行文报云南省电化教育馆审核。
各教育行业单位出现将建设的第二级系统降低为一级进行管理的,须向教育主管部门进行申报。
(二)按时备案。各教育行业单位应当在信息系统安全保护等级确定后30日内,到公安机关网络安全保卫部门办理备案手续,备案流程见下图。
1.一致性审核
云南省电化教育馆负责对各州市教育局开办的建议等级为三级及以上系统,高校、省属中小学、省属中专开办的建议等级为二级及以上系统开展一致性审核工作,核查自主定级的准确性及合理性。各州市教育局参照云南省教育厅管理模式,对管辖范围内的教育行业单位开展一致性审核工作(不含云南省电化教育馆负责审核的单位)。各州市教育局所辖范围内的学校的二级及以上系统(包括今后日常工作中新增建设系统)须填写《系统情况采集表》(附件2)报云南省电化教育馆备案。
在一致性审核过程中,出现系统安全保护等级定义不准确的情况,教育行政主管部门与公安机关将组织专家组对系统的安全保护等级进行复议,并以函件形式将意见反馈相关单位。
2.申请备案
各教育行业单位到“云南省公安厅联网信息备案管理系统”(网址:http://www.yn.cyberpolice.cn:81/)→“资料下载”下载并填写“信息系统定级报告模板和备案表”,并附一致性审核意见,参照管理权限的划分,到同级公安机关网络安全保卫部门申请备案。
3.形式审查
全省公安机关网络安全保卫部门负责对系统备案材料开展形式审查工作。公安机关网络安全保卫部门应在收到材料的2个工作日内将形式审查结果反馈备案单位。如材料不符合要求的,备案单位应于收到反馈后5个工作日内将补正后的材料重新提交。公安机关网络安全保卫部门通过形式审查程序直至材料符合要求。
(三)科学测评。全省教育行业单位信息系统安全保护等级为二级及以上的信息系统要开展等级测评工作,测评机构必须选择由云南省信息安全等级保护工作协调小组办公室或其他省份信息安全等级保护工作协调(领导)小组办公室推荐、经公安部信息安全等级保护评估中心评估合格、在云南省教育厅进行备案的信息安全等级测评机构。省外信息安全等级测评机构在省内开展等级测评项目的,须按照公安部《信息安全等级保护测评机构异地备案实施细则》(公信安﹝2014﹞2084号)规定,按时到云南省信息安全等级保护工作协调小组办公室(设在云南省公安厅网络安全保卫总队)办理备案手续。
三级信息系统要每年开展一次等级测评工作,二级信息系统每两年开展一次等级测评工作。新建系统须在上线前完成测评工作。
(四)认真整改。等级测评完成后,信息系统责任单位要及时针对测评发现的问题认真开展整改工作。对于不能及时完成整改的问题,要及时向教育行政管理部门和公安机关网安部门书面报告原因,教育行政管理部门和公安机关网安部门要结合实际情况督促、指导相关单位制定详细的整改计划和方案,签署整改承诺书,充分确保信息系统安全。
五、安全保障措施
(一)安全保障制度建设
1.制订管理人员和技术人员培训方案,提升安全意识、管理水平和专业技术能力。
2.按照国家法律法规、教育部信息技术安全工作的整体部署和工作要求,规范软硬件、信息系统和数据等的安全防护管理工作。
3.制定应急预案,组织开展应急演练和安全检查,依规对信息网络安全事件进行报告与处置。
4.保障信息技术安全工作必要的条件,组织本单位工作人员开展信息技术安全教育与培训。
5.保障必要的经费投入。
(二)安全保障队伍建设
各教育行业单位应制订信息系统技术安全工作人员管理办法,明确岗位素质要求,落实岗位责任;建立信息技术安全专业队伍,开展信息系统安全保障和监管工作,各州市教育局应有不少于两名专职人员,各高校和其他单位应有不少于一名专职人员;按照国家对从事信息安全工作人员的管理要求,定期开展培训,做到持证上岗。
(三)资金保障
各教育行业单位应将信息系统安全等级保护保障经费纳入年度预算,保障工作顺利开展。
六、安全防护能力
各教育行业单位应根据本单位实际,研究制订安全防护方案,加快日常监控和安全防护能力建设,并按照信息系统安全等级保护要求部署安全防护措施,通过自建或购买专业安全服务的方式,保障系统运行安全。将信息系统安全防护工作落实到位,切实做到可管、可信、可控、可查。
七、安全自查工作
各教育行业单位须定期开展信息系统安全自查工作,建立常态化的监督检查机制,将信息系统安全等级保护工作纳入单位年度考核指标,将各个方面的信息系统安全等级保护工作落到实处。
八、监督检查制度
云南省教育厅、云南省公安厅将制定年度网络信息系统安全检查计划,采用联合工作组现场抽查方式,重点监督检查各单位信息系统安全等级保护工作的落实情况,对工作落实不到位的单位将视情况予以约谈和通报。对因未落实信息安全等级保护有关要求导致网络安全事件发生,造成恶劣影响,但尚不构成犯罪的,由教育行政管理部门对相关单位和责任人员进行处理。构成犯罪的,由公安机关依法对相关单位和责任人员进行处理。
本实施规范自印发之日起实施,请各单位参照执行。
附件:1.信息系统安全保护等级建议表
2.系统情况采集表
附件 1
信息系统安全保护等级建议表
1.行政部门信息系统安全保护等级建议
|
序号 |
分类 |
信息系统 |
建议安全保护等级 |
||
|
省级 |
地市 |
区县 |
|||
|
A1 |
政务管理类 |
(01)办公与事务处理 |
第二级 |
第二级 |
第一级 |
|
A2 |
(02)公文与信息交换 |
第三级 |
第二级 |
第一级 |
|
|
A3 |
(03)人事管理 |
第二级 |
第二级 |
第一级 |
|
|
A4 |
(04)财务管理 |
第二级 |
第二级 |
第一级 |
|
|
A5 |
(05)资产管理 |
第二级 |
第二级 |
第一级 |
|
|
A6 |
(06)信访管理 |
第二级 |
第二级 |
第一级 |
|
|
A7 |
(07)档案管理 |
第二级 |
第二级 |
第一级 |
|
|
A8 |
(08)党务管理 |
第二级 |
第二级 |
第一级 |
|
|
A9 |
(09)科研管理 |
第二级 |
第二级 |
第一级 |
|
|
A10 |
(10)教育统计管理 |
第二级 |
第二级 |
第一级 |
|
|
A11 |
(11)决策支持 |
第二级 |
第二级 |
第一级 |
|
|
A12 |
(12)应急指挥 |
第二级 |
第二级 |
第一级 |
|
|
A13 |
(13)舆情监测与管理 |
第二级 |
第二级 |
第一级 |
|
|
A14 |
(14)高等教育招生计划管理 |
第二级 |
第二级 |
第一级 |
|
|
A15 |
(15)普通高校招生网上录取管理 |
第三级 |
第三级 |
第一级 |
|
|
A16 |
(16)教育考试考务管理与服务 |
第三级 |
第二级 |
第一级 |
|
|
A17 |
(17)评审、表彰管理 |
第二级 |
第二级 |
第一级 |
|
|
序号 |
分类 |
信息系统 |
建议安全保护等级 |
||
|
省级 |
地市 |
区县 |
|||
|
A18 |
学校管理类 |
(01)学校管理 |
第二级 |
第二级 |
第一级 |
|
A19 |
(02)学科、专业管理 |
第二级 |
第二级 |
第一级 |
|
|
A20 |
(03)教学改革管理 |
第二级 |
第二级 |
第一级 |
|
|
A21 |
(04)教学质量评估 |
第二级 |
第二级 |
第一级 |
|
|
A22 |
(05)校园安全与稳定管理 |
第二级 |
第二级 |
第一级 |
|
|
A23 |
(06)教育经费监管 |
第二级 |
第二级 |
第一级 |
|
|
A24 |
学生管理类 |
(01)学生学籍管理 |
第三级 |
第二级 |
第一级 |
|
A25 |
(02)招生录取管理 |
第三级 |
第三级 |
第一级 |
|
|
A26 |
(03)学生资助管理 |
第三级 |
第二级 |
第一级 |
|
|
A27 |
(04)学位授予管理 |
第三级 |
第二级 |
第一级 |
|
|
A28 |
教师管理类 |
(01)教师基本信息管理 |
第二级 |
第二级 |
第一级 |
|
A29 |
(02)教师资格认定管理 |
第二级 |
第二级 |
第一级 |
|
|
A30 |
(03)教师培训管理 |
第三级 |
第二级 |
第一级 |
|
|
A31 |
(04)教师教育管理 |
第二级 |
第二级 |
第一级 |
|
|
A32 |
(05)教师职称管理 |
第二级 |
第二级 |
第一级 |
|
|
A33 |
综合服务类 |
(01)门户网站 |
第三级 |
第二级 |
第一级 |
|
A34 |
(02)论坛、社区类网站 |
第二级 |
第二级 |
第一级 |
|
|
A35 |
(03)教育教学资源 |
第二级 |
第二级 |
第一级 |
|
|
A36 |
(04)毕业、就业信息管理 |
第二级 |
第二级 |
第一级 |
|
|
A37 |
(05)电子邮件 |
第二级 |
第二级 |
第一级 |
|
|
A38 |
(06)视频服务 |
第二级 |
第二级 |
第一级 |
|
|
A39 |
(07)安防监控 |
第二级 |
第二级 |
第一级 |
|
|
A40 |
(08)内网门户与身份认证 |
第二级 |
第二级 |
第一级 |
|
|
A41 |
(09)公共数据库 |
第二级 |
第二级 |
第一级 |
|
|
A42 |
(10)运维管理 |
第二级 |
第二级 |
第一级 |
|
说明:区县级教育行政部门及直属事业单位的系统建议一般定为第一级,区县级统一运行系统根据业务重要性建议可定为第二级。
2.学校信息系统安全保护等级建议
|
序号 |
分类 |
信息系统 |
建议安全保护等级 |
||
|
I类学校 |
II类学校 |
III类学校 |
|||
|
B1 |
校务管理类 |
(01)办公与事务处理 |
第二级 |
第二级 |
第一级 |
|
B2 |
(02)公文与信息交换 |
第二级 |
第二级 |
第一级 |
|
|
B3 |
(03)人事管理 |
第二级 |
第二级 |
第一级 |
|
|
B4 |
(04)财务管理 |
第二级 |
第二级 |
第一级 |
|
|
B5 |
(05)资产管理 |
第二级 |
第二级 |
第一级 |
|
|
B6 |
(06)后勤管理 |
第二级 |
第二级 |
第一级 |
|
|
B7 |
(07)学生教育工作管理 |
第二级 |
第二级 |
第一级 |
|
|
B8 |
(08)学生体质健康数据管理 |
第二级 |
第二级 |
第一级 |
|
|
B9 |
(09)档案管理 |
第二级 |
第二级 |
第一级 |
|
|
B10 |
(10)党务管理 |
第二级 |
第二级 |
第一级 |
|
|
B11 |
教学科研类 |
(01)教学改革管理 |
第二级 |
第二级 |
第一级 |
|
B12 |
(02)学科、专业管理 |
第二级 |
第二级 |
第一级 |
|
|
B13 |
(03)教务教学管理 |
第二级 |
第二级 |
第一级 |
|
|
B14 |
(04)教学资源管理 |
第二级 |
第二级 |
第一级 |
|
|
B15 |
(05)教学质量评估与保障 |
第二级 |
第二级 |
第一级 |
|
|
B16 |
(06)科研管理 |
第三级 |
第二级 |
第一级 |
|
|
B17 |
(07)科研情报 |
第三级 |
第二级 |
第一级 |
|
|
B18 |
招生就业类 |
(01)招生录取管理 |
第三级 |
第二级 |
第一级 |
|
B19 |
(02)学生就业管理 |
第二级 |
第二级 |
第一级 |
|
|
B20 |
综合服务类 |
(01)门户网站 |
第三级 |
第二级 |
第一级 |
|
B21 |
(02)论坛、社区类网站 |
第三级 |
第二级 |
第一级 |
|
|
B22 |
(03)数字图书馆 |
第二级 |
第二级 |
第一级 |
|
|
B23 |
(04)电子邮件 |
第二级 |
第二级 |
第一级 |
|
|
B24 |
(05)视频服务 |
第二级 |
第二级 |
第一级 |
|
|
B25 |
(06)安防监控 |
第二级 |
第二级 |
第一级 |
|
|
B26 |
(07)校园一卡通 |
第三级 |
第二级 |
第一级 |
|
|
B27 |
(08)内网门户于身份认证 |
第二级 |
第二级 |
第一级 |
|
|
B28 |
(09)公共数据库 |
第二级 |
第二级 |
第一级 |
|
|
B29 |
(10)运维管理 |
第二级 |
第二级 |
第一级 |
|
附件2
系统情况采集表
报送单位: 报送日期: 报送人: 手机号码:
|
序号 |
部门名称 |
系统名称 |
建成时间 |
域名 |
IP |
自定等级 |
建议等级序号 |
系统功能简介 (限100字) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|