按照《教育部办公厅关于加强信息技术安全工作的紧急通知》,依据国家信息安全等级保护相关政策标准和《教育行业信息系统安全等级保护定级工作指南(试行)》,开展我校所有非涉密信息系统(网站)安全等级保护的定级备案工作。
1 定级依据
《中华人民共和国计算机信息系统安全保护条例》(国务院第147号令)
《信息系统安全等级保护定级指南》(GB/T 22240-2008)
《信息系统安全等级保护实施指南》(GB/T 25058-2010)
《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)
《信息安全等级保护管理办法》(公通字〔2007〕43号)
《教育行业信息系统安全等级保护定级工作指南(试行)》(教技厅函[2014]74号)
2 定级原理
2.1 信息系统(网站)安全保护等级
根据等级保护相关管理文件,信息系统(网站)的安全保护等级分为以下五级:
第一级,信息系统(网站)受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统(网站)受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统(网站)受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统(网站)受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统(网站)受到破坏后,会对国家安全造成特别严重损害。
2.2 信息系统(网站)安全保护等级的定级要素
信息系统(网站)的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
2.2.1 受侵害的客体
等级保护对象受到破坏时所侵害的客体包括以下三个方面:
a) 公民、法人和其他组织的合法权益;
b) 社会秩序、公共利益;
c) 国家安全。
2.2.2 对客体的侵害程度
等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:
a) 造成一般损害;
b) 造成严重损害;
c) 造成特别严重损害。
2.3 定级要素与等级的关系
定级要素与信息系统(网站)安全保护等级的关系如表1所示。
3 信息系统的定级工作流程
教育行业信息系统安全等级保护应坚持“自主定级、自主保护”的原则,依据《信息系统安全等级保护定级指南》和《教育行业信息系统安全等级保护定级工作指南(试行)》组织开展信息系统(网站)定级工作。
3.1确定定级责任主体
信息系统(网站)应明确定级工作的责任主体。按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,信息系统(网站)的主管部门为定级工作的责任主体,负责组织运维部门、使用部门开展信息系统(网站)定级工作。
3.2自主定级
信息系统(网站)主管部门对本部门信息系统进行梳理分析,进行自主定级,确定信息系统(网站)安全保护等级。对于承载复杂业务的信息系统(网站),安全保护等级可高于一般等级;对于承载多个业务的信息系统,应以所承载业务的信息系统的最高建议等级进行定级。
3.3定级的一般流程
信息系统(网站)安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统(网站)定级也应由业务信息安全和系统服务安全两方面确定。
从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级。
从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。
确定信息系统安全保护等级的一般流程如下:
a) 确定作为定级对象的信息系统;
b) 确定业务信息安全受到破坏时所侵害的客体;
c) 根据不同的受侵害客体,从多个方面综合评定业务信息安全被破坏对客体的侵害程度;
d) 依据表1,得到业务信息安全保护等级;
e) 确定系统服务安全受到破坏时所侵害的客体;
f) 根据不同的受侵害客体,从多个方面综合评定系统服务安全被破坏对客体的侵害程度;
g) 依据表1,得到系统服务安全保护等级;
h) 将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。
3.4主管部门审核
信息系统(网站)主管部门完成信息系统定级后,需填写《结构化定级报告模版》(附件1)、《系统安全等级保护备案表模版》(附件2)和《信息系统等保定级备案补充信息表》(附件3),并将相关材料送至学校信息化办公室进行备案。
