1. <rt id="kjwsv"><optgroup id="kjwsv"></optgroup></rt><ruby id="kjwsv"></ruby>
      <tt id="kjwsv"><span id="kjwsv"></span></tt>

      1. 部門規章

        當前位置: 首頁 > 規章制度 > 部門規章 > 正文

        陜西師范大學信息系統安全等級保護定級備案工作指南(試行)

        發布日期:2019-11-26    作者:     來源:     點擊:

        陜師校發〔2019164

        一、總則

        為貫徹落實《中華人民共和國網絡安全法》,規范我校網絡安全等級保護定級備案工作,依據國家網絡安全等級保護相關政策和標準,結合我校信息化工作的特點和實際情況,制定本工作指南。

        本指南適用于我校所有的非涉密信息系統安全等級保護定級備案工作。

        信息系統的定級備案工作應在信息系統設計階段完成,與信息系統建設同步實施。

        二、參考文件

        1)《中華人民共和國計算機信息系統安全保護條例》(國務院第147號令);

        2)《關于開展全國重要信息系統安全等級保護定級工作的通知》(公信安[2007]861號);

        3)《信息安全等級保護管理辦法》(公通字[2007]43號);

        4)《關于印發《信息安全等級保護備案實施細則》的通知》(公信安[2007]1360號);

        5)《教育行業信息系統安全等級保護定級工作指南(試行)》(教技廳函[2014]74號);

        6)《教育部、公安部關于全面推進教育行業信息安全等保工作的通知》(教技[2015]2號);

        7)《信息系統安全等級保護定級指南》(GB/T 22240-2008);

        8)《信息系統安全等級保護實施指南》(GB/T 25058-2010);

        9)《信息安全技術網絡安全等級保護基本要求》(GB/T22239-2019)。

        三、信息系統安全保護等級概述

        (一)信息系統安全保護等級劃分

        依據《信息系統安全等級保護定級指南》中的定級原理及方法,信息系統的安全保護等級應當根據信息系統在國家安全、經濟建設、社會生活中的重要程度,遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。信息系統的安全保護等級分為五級,從第一級到第五級逐級增高。

        第一級(自主保護級),信息系統受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。

        第二級(指導保護級),信息系統受到破壞后,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。

        第三級(監督保護級),信息系統受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。

        第四級(強制保護級),信息系統受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。

        第五級(專項保護級),信息系統受到破壞后,會對國家安全造成特別嚴重損害。

        (二)信息系統安全保護等級定級要素

        信息系統的安全保護等級由兩個定級要素決定:等級保護對象受到破壞時所侵害的客體和對客體造成侵害的程度。

        1)受侵害的客體

        等級保護對象受到破壞時所侵害的客體包括以下三個方面:

        1)公民、法人和其他組織的合法權益;

        2)社會秩序、公共利益;

        3)國家安全。

        2)對客體的侵害程度

        對客體的侵害程度由客觀方面的不同外在表現綜合決定。由于對客體的侵害是通過對等級保護對象的破壞實現的,因此,對客體的侵害外在表現為對等級保護對象的破壞,通過危害方式、危害后果和危害程度加以描述。

        等級保護對象受到破壞后對客體造成侵害的程度歸結為以下三種:

        1)造成一般損害;

        2)造成嚴重損害;

        3)造成特別嚴重損害。

        (三)定級要素與等級的關系

        定級要素與信息系統安全保護等級的關系如表1所示。

        1 定級要素與安全保護等級的關系

        QQ圖片20191126162605.png

        (四)學校信息系統安全等級定級建議

        為了幫助學校各單位準確確定信息系統安全保護等級,參照國家對信息系統安全保護等級標準的劃分及教育部發布的《教育行業信息系統安全等級保護定級工作指南(試行)》(教技廳函[2014]74號)中的教育行業信息系統等級劃分建議,形成了學校信息系統安全等級定級建議表(附件1)。實際定級工作中,信息系統所定等級原則上不應低于建議等級。

        四、信息系統定級備案工作流程

        信息系統定級備案是等級保護工作的關鍵環節,是開展信息系統建設整改、等級測評、監督檢查等工作的重要基礎。

        學校信息系統安全等級保護應堅持“自主定級、自主保護”的原則,依據《信息系統安全等級保護定級指南》的定級原理及方法,參照本指南的信息系統安全等級定級建議及思路組織開展本單位信息系統定級備案工作。具體工作流程可按照以下步驟進行。

        (一)確定定級責任主體

        信息系統定級工作首先應明確責任主體。按照“誰主管誰負責、誰運維誰負責、誰使用誰負責”的原則,信息系統的建設單位為定級工作的責任主體,負責組織運維單位、使用單位開展信息系統定級工作。集中式信息系統由信息系統牽頭建設單位負責組織信息系統定級工作。分布式信息系統由牽頭建設單位負責組織信息系統定級工作,確定中心信息系統安全保護等級;各分支信息系統的主管單位參照中心系統的安全保護等級自主組織定級工作。信息系統的運維單位應協助主管單位完成定級過程中的具體技術支撐工作。

        (二)確定定級對象

        一個單位內運行的信息系統可能比較龐大,為了體現重要部分重點保護,有效控制信息安全建設成本,優化信息安全資源配置的等級保護原則,可將較大的信息系統劃分為若干個較小的、可能具有不同安全保護等級的定級對象。

        作為定級對象的信息系統應具有如下基本特征:

        1)具有唯一確定的安全責任單位

        作為定級對象的信息系統應能夠唯一地確定其安全責任單位。如果一個單位的某個下級單位負責信息系統安全建設、運行維護等過程的全部安全責任,則這個下級單位可以成為信息系統的安全責任單位;如果一個單位中的不同下級單位分別承擔信息系統不同方面的安全責任,則該信息系統的安全責任單位應是這些下級單位共同所屬的單位。

        2)具有信息系統的基本要素

        作為定級對象的信息系統應該是由相關的和配套的設備、設施按照一定的應用目標和規則組合而成的有形實體。應避免將某個單一的系統組件,如服務器、終端、網絡設備等作為定級對象。

        3)承載相對獨立的業務應用

        定級對象承載“相對獨立”的業務應用是指其業務應用的主要業務流程獨立,同時與其他業務應用有一定的數據交換,定級對象可能會與其他業務應用共享一些設備,尤其是網絡傳輸設備。

        (三)自主定級

        學校各單位對本單位信息系統進行梳理分析,只針對校內開放的信息系統可確定為第一級;針對校內外同時開放的信息系統可參考《學校信息系統安全保護等級定級建議表》(附件1)中的建議等級進行自主定級。對于承載復雜業務的信息系統,安全保護等級可高于建議等級;對于承載多個業務的信息系統,應以所承載業務的信息系統的最高建議等級進行定級。

        對于擬定為第一級的信息系統,學校各單位填寫《陜西師范大學校園網站審批表》(可在學校黨委宣傳部網站自行下載或見附件2),填寫好后,將審批表分別送交學校黨委宣傳部和網絡信息中心進行備案即完成第一級信息系統定級備案工作;對于擬定為第二級(含)以上的信息系統,學校各單位還需參照本指南完成后續信息系統定級備案工作。

        (四)提交相關材料

        在完成自主定級工作后,對于擬定為第二級(含)以上的信息系統,學校各單位需要按照當地公安機關要求,準備相關備案申請材料,備案申請材料準備好后統一提交至網絡信息中心進行審核。(申請材料可在西安市公安局網站-辦事大廳-網安業務頁面下載,網址:http://police.xa.gov.cn/xaga/index.jsp

        逾期未按要求提交相關材料的單位,對于已建的信息系統及網站,網絡信息中心將關閉其外網訪問權限;對于新建信息系統及網站,項目驗收將無法通過,無法保證系統及網站順利上線運行。

        (五)專家評審

        網絡信息中心在收到各單位備案材料后,對于擬定為第二級(含)以上的信息系統,網絡信息中心與當地公安機關邀請有關信息安全等級保護專家對信息系統自主定級情況進行評審,形成評審意見。擬確定為第四級(含)以上的信息系統,由教育部邀請國家信息安全保護等級專家評審委員會進行評審。

        (六)公安機關審核

        經過專家評審的擬定為第二級(含)以上的信息系統,需要在當地公安機關進行備案,由網絡信息中心負責向當地公安機關提交相關備案材料,公安機關對提交的備案材料進行審核。

        對于不符合要求的定級備案材料,公安機關將通知備案單位予以糾正;發現定級不準的,公安機關將通知備案單位重新審核確定。備案單位重新確定信息系統等級后,應當按照本指南定級工作流程向當地公安機關重新提交備案申請。

         對拒不備案的,公安機關根據《中華人民共和國計算機信息系統安全保護條例》等其他有關法律、法規規定,責令限期整改。逾期仍不備案的,予以警告,并向其上級主管部門通報。

        (七)信息系統等級測評及備案

        擬定為第二級(含)以上的信息系統在公安機關審核通過后,由當地公安機關認可的有資質的第三方測評機構對信息系統安全等級狀況開展等級測評,學校相關單位積極配合,對信息系統安全狀況未達到安全保護等級要求的,信息系統使用單位根據測評結果及時制定整改方案,認真完成整改;對于測評結果符合安全保護等級要求的信息系統,公安機關將頒發《信息系統安全等級保護定級備案證明》。

        依據《信息系統安全等級保護測評要求》等技術標準,學校各單位要定期對信息系統安全等級狀況開展等級測評。第二級信息系統應當每兩年至少進行一次等級測評,第三級信息系統應當每年至少進行一次等級測評,第四級信息系統應當每半年至少進行一次等級測評,第五級信息系統應當依據特殊安全需求進行等級測評。

        (八)網絡信息中心備案

        信息系統安全等級保護定級備案測評工作完成后,學校各單位需要將公安機關頒發的《信息系統安全等級保護定級備案證明》原件和《信息系統等級測評報告》交網絡信息中心備案,網絡信息中心需要做好信息系統安全等級保護定級備案資料管理工作,對備案材料按照等級進行嚴格管理,嚴格遵守保密制度,未經批準不得對外提供查詢。確定為第三級(含)以上信息系統同時報教育部備案。

        五、等級變更

        信息系統運行過程中,當系統狀態變化可能導致業務信息安全或系統服務受到破壞后的受侵害對象和受侵害程度有較大的變化時,應及時根據具體情況重新定級,并變更等級。

        信息系統安全保護等級發生改變的,學校各單位應當在30日內到當地公安機關辦理變更備案。完成備案變更后,各單位將新變更的信息系統等級備案證原件交學校網絡信息中心備案管理。

        六、附則

        本指南自印發之日起實施。

        本指南由陜西師范大學網絡信息中心負責解釋。

        上一篇:陜西師范大學網絡安全監測預警和信息通報實施辦法 師網〔2020〕1號

        下一篇:陜西師范大學信息技術安全事件報告與處置流程(試行)

        黄页免费视频在线观看 成年人黄视频网站 成年人黄视频大全 成年人黄视频在线观看