1 總則

本指南依據(jù)國家信息安全等級保護(hù)相關(guān)政策和標(biāo)準(zhǔn)，結(jié)合教育行業(yè)信息化工作的特點(diǎn)和具體實(shí)際，對教育行業(yè)信息系統(tǒng)進(jìn)行分類，提出安全等級保護(hù)的定級思路，給出建議等級，明確工作流程。

本指南適用于各級教育行政部門及其直屬事業(yè)單位、各級各類學(xué)校的非涉密信息系統(tǒng)安全等級保護(hù)定級工作。

信息系統(tǒng)的定級工作應(yīng)在信息系統(tǒng)設(shè)計(jì)階段完成，與信息系統(tǒng)建設(shè)同步實(shí)施。

2 定級依據(jù)

《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（國務(wù)院第147號令）

《信息系統(tǒng)安全等級保護(hù)定級指南》（GB/T 22240-2008）

《信息系統(tǒng)安全等級保護(hù)實(shí)施指南》（GB/T 25058-2010）

《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》（公信安〔2007〕861號）

《信息安全等級保護(hù)管理辦法》（公通字〔2007〕43號）

3 信息系統(tǒng)的類型劃分

信息系統(tǒng)的類型劃分是進(jìn)行信息系統(tǒng)安全等級劃分的前提和基礎(chǔ)。按照信息系統(tǒng)的主管單位、業(yè)務(wù)對象、部署模式對教育行業(yè)信息系統(tǒng)進(jìn)行分類，形成信息系統(tǒng)分類表（附件1）。

3.1 按信息系統(tǒng)主管單位劃分

按照信息系統(tǒng)主管單位的不同，信息系統(tǒng)分為“教育行政部門及其直屬事業(yè)單位信息系統(tǒng)”（簡稱“部門信息系統(tǒng)”）和“學(xué)校信息系統(tǒng)”兩類。

部門信息系統(tǒng)可分為教育部機(jī)關(guān)及其直屬事業(yè)單位信息系統(tǒng)（部級系統(tǒng)）、省級教育行政部門及其直屬事業(yè)單位信息系統(tǒng)（省級系統(tǒng)）、地市級教育行政部門及其直屬事業(yè)單位信息系統(tǒng)（市級系統(tǒng)）和區(qū)縣級教育行政部門及其直屬事業(yè)單位信息系統(tǒng)（縣級系統(tǒng)）；學(xué)校信息系統(tǒng)可分為重點(diǎn)建設(shè)類高等學(xué)校信息系統(tǒng)（I類）、高等學(xué)校信息系統(tǒng)（Ⅱ類）、中小學(xué)校（含中職中專院校）信息系統(tǒng)（Ⅲ類）。

3.2 按信息系統(tǒng)業(yè)務(wù)對象劃分

根據(jù)信息系統(tǒng)業(yè)務(wù)對象不同，部門信息系統(tǒng)可分為政務(wù)管理類、學(xué)校管理類、學(xué)生管理類、教師管理類、綜合服務(wù)類；學(xué)校信息系統(tǒng)可分為校務(wù)管理類、教學(xué)科研類、招生就業(yè)類、綜合服務(wù)類。

3.3 按信息系統(tǒng)部署模式劃分

根據(jù)信息系統(tǒng)的部署模式，信息系統(tǒng)可以分為內(nèi)部系統(tǒng)和統(tǒng)一運(yùn)行系統(tǒng)。內(nèi)部系統(tǒng)是指僅供本單位內(nèi)部使用，實(shí)現(xiàn)本單位業(yè)務(wù)管理與服務(wù)的信息系統(tǒng)。統(tǒng)一運(yùn)行系統(tǒng)是指供多家（級）單位共同使用，實(shí)現(xiàn)某項(xiàng)業(yè)務(wù)的跨單位統(tǒng)一管理與服務(wù)的信息系統(tǒng)。

統(tǒng)一運(yùn)行系統(tǒng)可進(jìn)一步分為集中式系統(tǒng)和分布式系統(tǒng)。集中式信息系統(tǒng)邏輯上是一套系統(tǒng)，在一個(gè)單位統(tǒng)一部署、管理和運(yùn)行，多家（級）單位共同使用，實(shí)現(xiàn)信息系統(tǒng)、業(yè)務(wù)流程和數(shù)據(jù)的集中式管理；分布式信息系統(tǒng)邏輯上是多套系統(tǒng)在多家（級）單位分別部署、管理和運(yùn)行，通過技術(shù)接口實(shí)現(xiàn)信息系統(tǒng)、業(yè)務(wù)流程和數(shù)據(jù)的分布式管理。

4 信息系統(tǒng)的定級思路

信息系統(tǒng)的定級思路是在信息系統(tǒng)分類的基礎(chǔ)上，參照國家對信息系統(tǒng)的安全保護(hù)等級標(biāo)準(zhǔn)的等級劃分，形成教育行業(yè)信息系統(tǒng)安全等級劃分建議。按主管單位不同，分別對部門信息系統(tǒng)和學(xué)校信息系統(tǒng)采取不同的思路進(jìn)行分析，分別形成信息系統(tǒng)安全等級建議表（附件2）。實(shí)際定級工作中，信息系統(tǒng)所定等級原則上不應(yīng)低于建議等級。如遇未能涵蓋的信息系統(tǒng)，可按照下述定級思路綜合分析，確定安全等級。

4.1 定級思路概述

部門信息系統(tǒng)與學(xué)校信息系統(tǒng)分別定級。由于面向的對象不同、承載的業(yè)務(wù)不同、受到破壞后造成的侵害程度不同，采取不同的定級思路。

信息系統(tǒng)受到破壞后造成的危害程度與其安全等級正相關(guān)，造成的危害程度越大，安全等級應(yīng)越高。

4.2 部門信息系統(tǒng)定級思路

部門信息系統(tǒng)根據(jù)行政級別、部署模式和業(yè)務(wù)類型與性質(zhì)三個(gè)維度分析受到破壞后造成的危害程度。

行政級別與危害程度分析。行政級別與信息系統(tǒng)受到破壞后造成的危害程度正相關(guān)，級別越高則危害程度越嚴(yán)重，反之則相對較輕。

部署模式與危害程度分析。部署模式與信息系統(tǒng)受到破壞后造成的危害程度正相關(guān)，涉及的單位越多則危害程度越嚴(yán)重，統(tǒng)一運(yùn)行信息系統(tǒng)大于內(nèi)部信息系統(tǒng)。

業(yè)務(wù)類型與性質(zhì)的判斷分析詳見4.4

4.3 學(xué)校信息系統(tǒng)定級思路

學(xué)校信息系統(tǒng)根據(jù)辦學(xué)規(guī)模、社會影響力、業(yè)務(wù)類型三個(gè)維度分析受到破壞后造成的危害程度。

辦學(xué)規(guī)模與危害程度分析。辦學(xué)規(guī)模與信息系統(tǒng)受到破壞后造成的危害程度正相關(guān)，規(guī)模越大則危害程度越嚴(yán)重，高等學(xué)校信息系統(tǒng)大于中小學(xué)校信息系統(tǒng)。

社會影響力與危害程度分析。社會影響力與信息系統(tǒng)受到破壞后造成的危害程度正相關(guān)，影響力越大則危害程度越嚴(yán)重，“985工程”學(xué)校和“211工程”學(xué)校大于其他高等學(xué)校。

業(yè)務(wù)類型與性質(zhì)的判斷分析詳見4.4。

4.4 業(yè)務(wù)類型與性質(zhì)的判斷分析

業(yè)務(wù)類型與危害程度分析。承載教育教學(xué)管理與服務(wù)核心業(yè)務(wù)的信息系統(tǒng)較承載一般業(yè)務(wù)的信息系統(tǒng)受到破壞后造成的危害程度嚴(yán)重。教育教學(xué)管理與服務(wù)的核心業(yè)務(wù)包括學(xué)籍學(xué)歷管理、學(xué)位管理、招生錄取管理、考試考務(wù)管理、教師管理、門戶網(wǎng)站管理等。

業(yè)務(wù)連續(xù)性與危害程度分析。業(yè)務(wù)的連續(xù)性要求與信息系統(tǒng)受到破壞后造成的危害程度正相關(guān)，連續(xù)性要求越高，其受破壞危害越嚴(yán)重；

業(yè)務(wù)數(shù)據(jù)重要性與危害程度分析。業(yè)務(wù)數(shù)據(jù)的重要性要求與信息系統(tǒng)受到破壞后造成的危害程度正相關(guān)，涉及的國家安全、個(gè)人隱私和相關(guān)數(shù)據(jù)的信息系統(tǒng)，其受破壞危害更嚴(yán)重。

5 信息系統(tǒng)的定級工作流程

教育行業(yè)信息系統(tǒng)安全等級保護(hù)應(yīng)堅(jiān)持“自主定級、自主保護(hù)”的原則，依據(jù)《信息系統(tǒng)安全等級保護(hù)定級指南》的定級原理、方法，參照本指南的信息系統(tǒng)類型劃分、定級思路組織開展信息系統(tǒng)定級工作。

5.1 確定定級責(zé)任主體

信息系統(tǒng)應(yīng)明確定級工作的責(zé)任主體。按照“誰主管誰負(fù)責(zé)、誰運(yùn)維誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則，信息系統(tǒng)的主管單位為定級工作的責(zé)任主體，負(fù)責(zé)組織運(yùn)維單位、使用單位開展信息系統(tǒng)定級工作。集中式信息系統(tǒng)由信息系統(tǒng)牽頭建設(shè)單位負(fù)責(zé)組織信息系統(tǒng)定級工作。分布式信息系統(tǒng)由牽頭建設(shè)單位負(fù)責(zé)組織信息系統(tǒng)定級工作，確定中心信息系統(tǒng)安全保護(hù)等級；各分支信息系統(tǒng)的主管單位參照中心系統(tǒng)的安全保護(hù)等級自主組織定級工作。信息系統(tǒng)的運(yùn)維單位應(yīng)協(xié)助主管單位完成定級過程中的具體技術(shù)支撐工作。

5.2 自主定級

主管單位對本單位信息系統(tǒng)進(jìn)行梳理分析，參考附表2的建議等級進(jìn)行自主定級，確定信息系統(tǒng)安全保護(hù)等級。對于承載復(fù)雜業(yè)務(wù)的信息系統(tǒng)，安全保護(hù)等級可高于建議等級；對于承載多個(gè)業(yè)務(wù)的信息系統(tǒng)，應(yīng)以所承載業(yè)務(wù)的信息系統(tǒng)的最高建議等級進(jìn)行定級。

5.3 專家評審

主管單位完成信息系統(tǒng)自主定級后，需聘請有關(guān)信息安全等級保護(hù)專家對信息系統(tǒng)自主定級情況進(jìn)行評審，形成評審意見。擬確定為第四級及以上的信息系統(tǒng)，由教育部邀請國家信息安全保護(hù)等級專家評審委員會進(jìn)行評審；擬確定為其他等級信息系統(tǒng)可由定級責(zé)任主體自行聘請專家進(jìn)行評審。

5.4 主管部門審核批準(zhǔn)

主管單位完成信息系統(tǒng)專家評審后，需填寫《信息系統(tǒng)安全等級保護(hù)定級報(bào)告》（附件3）、《信息系統(tǒng)安全等級保護(hù)備案表》（附件4）和信息系統(tǒng)安全等級保護(hù)專家評審意見等材料。各級教育行政部門將相關(guān)材料報(bào)送至上一級教育行政部門進(jìn)行審核，直屬事業(yè)單位和各級各類學(xué)校按照隸屬關(guān)系將相關(guān)材料報(bào)送至所屬教育行政部門或有關(guān)部門進(jìn)行審批。

5.5 公安機(jī)關(guān)備案

經(jīng)審核批準(zhǔn)的二級以上信息系統(tǒng)，由其主管單位負(fù)責(zé)組織到所在地設(shè)區(qū)的市級以上公安機(jī)關(guān)辦理備案手續(xù)。教育部全國聯(lián)網(wǎng)統(tǒng)一運(yùn)行系統(tǒng)由教育部統(tǒng)一向公安部備案，其在各地運(yùn)行、應(yīng)用的分支系統(tǒng)，由主管單位組織向所在地公安部門備案，確定為三級以上信息系統(tǒng)同時(shí)報(bào)教育部備案。

6 等級變更

信息系統(tǒng)運(yùn)行過程中，當(dāng)系統(tǒng)狀態(tài)變化可能導(dǎo)致業(yè)務(wù)信息安全或系統(tǒng)服務(wù)受到破壞后的受侵害對象和受侵害程度有較大的變化時(shí)，應(yīng)根據(jù)具體情況重新定級，并變更等級。