教育行业信息系统安全等级保护定级工作指南(试行)(DOC30页)
广州市初中信息化系统设施教育装备配置指南
园文化和班级文化的宣传,也可实现走班考勤、成绩查询、课表查询和语音留言等功能。
一、建设要求
.选址位置:电子班牌系统的智能交互终端设备可设置在教室、功能室、宿舍等公共区域,能接入校园网络,方 便学生和教师使用C
(1)在教室门口安装电子班牌系统的智能交互终端设备,可发布通知公告,展示学校宣传图片和视频、班级相册 、教师风采等;学生可刷卡考勤,进行查询个人成绩、走班课表、家校联系等;通过电子班牌可以与数字教学管理 系统实现交互数据共享,进行场室预约、图书馆新书查阅等。
二、建设要求
校园网络系统建设包括综合布线、交换机和无线设备、中心机房建设、
UPS电源、网络和信息安全系统等。整体建设应贯彻“整体规划、分步实施、适度超前、留有扩展“原则。
(一)网络综合布线
网络综合布线应符合现行国家标准GB50311《综合布线系统工程设计规范》,满足语音、数据、图像、多媒体 信息大容量、高速传输的要求。
(2)在学生宿舍的公共区域,可以通过电子班牌系统的智能交互终端设备发布寝室卫生评比状况、检查通知、紧 急通告、重大事件新闻、日常生活常识以及天气预报等与学生生活息息相关的资讯。并支持学生通过校园卡或人脸 识别实现宿舍考勤登记。
.安装要求
(1)强电:通过220V电源插座或220V电源直接控制,整体管理在楼道间,与照明、一体机、空调等为不同线路 ,方便管理。室内线路应采用暗线敷设,安装自动断电保护器,应有可靠的接地措施。
一、面积指标
校园电视台使用面积建议不低于4611f。
一 7820
二、环境要求
三、教育装备
序号设备类型/名称
规格要求
配置单配备
数量位标准
.电子班牌系统
电子班牌系统是由智能交互终端设备及后台信息发布平台构成的整合系统,是学校老师日常工作、班级文化宣 传展示以及拓展课堂交流的应用载体,也是教育大数据数据的采集工具之-。电子班牌及校园信息发布系统能够用于 校
信息安全等级保护操作的指南和操作流程图
信息安全等级保护操作流程1信息系统定级1.1定级工作实施范围“关于开展全国重要信息系统安全等级保护定级工作的通知”对于重要信息系统的范围规定如下:(一)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
(二)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
(三)市(地)级以上党政机关的重要网站和办公信息系统。
(四)涉及国家秘密的信息系统(以下简称“涉密信息系统”)。
注:跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。
涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。
1.2定级依据标准《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发【2003】27 号文件)《关于信息安全等级保护工作的实施意见》(公通字【2004】66号文件)《电子政务信息系统安全等级保护实施指南(试行)》(国信办【2005】25 号文件)《信息安全等级保护管理办法》(公通字【2007】43 号文件)《计算机信息系统安全保护等级划分准则》《电子政务信息安全等级保护实施指南》《信息系统安全等级保护定级指南》《信息系统安全等级保护基本要求》《信息系统安全等级保护实施指南》《信息系统安全等级保护测评指南》1.3定级工作流程信息系统调查确定定级对象定级要素分析编写定级报告协助定级备案• 网络拓扑调查• 资产信息调查• 服务信息调查• 系统边界调查• ……• 管理机构分析• 业务类型分析• 物理位置分析• 运行环境分析• ……• 业务信息分析• 系统服务分析• 综合分析• 确定等级• ……• 编写定级报告• ……• 协助评审审批• 形成最终报告• 协助定级备案图 1-1信息系统定级工作流程1.3.1信息系统调查信息系统调查是通过一系列的信息系统情况调查表对信息系统基本情况进行摸底调查,全面掌握信息系统的数量、分布、业务类型、应用、服务范围、系统结构、管理组织和管理方式等基本情况。
兰州市教育局关于加强全市教育系统网络安全工作的通知
兰州市教育局关于加强全市教育系统网络安全工作的通知文章属性•【制定机关】兰州市教育局•【公布日期】2018.06.20•【字号】兰教电〔2018〕211号•【施行日期】2018.06.20•【效力等级】地方规范性文件•【时效性】现行有效•【主题分类】教育其他规定正文关于加强全市教育系统网络安全工作的通知各县区教育局、兰州新区教文体局、兰州高新区社农局,市属各学校、各事业单位学校、市属民办学校:为认真贯彻落实全国网络安全和信息工作会议精神,加强全市教育系统网络安全工作,进一步落实网络安全、信息安全责任,提高全市教育系统网络安全防护和应急处置能力,现就有关工作通知如下:一、提升思想认识,落实网络安全工作责任习近平总书记在全国网络安全和信息工作会议上强调,没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。
各单位、各学校要深入领会学习习近平总书记重要讲话精神,以习近平网络强国战略思想为行动指南,准确把握网络安全工作面临的形势变化,充分认识加强网络安全管理的重要性和紧迫性,牢固树立“四个意识”,保持清醒头脑,强化责任落实,采取有效措施,加强网络安全工作的组织部署,将网络安全工作纳入重点工作进行研究部署。
要健全网络安全责任机制,建立一把手为第一责任人的网络安全工作体系,落实网络安全责任制,组建专职机构或专人负责网络安全工作,及时妥善处理解决安全事件和问题。
二、优化管理体系,加强网络安全制度建设严格全市教育系统网站的开办审核,明确全市教育系统网站开办条件和审核要求。
各单位、各学校开办的网站主要任务是宣传党和国家教育方针政策、发布工作信息、开展网上办事。
不具有教育行政职能、教育教学职能的单位原则上不得开办教育类网站。
开办网站须及时向市电教中心备案。
市电教中心要把好入口关,指导单位、学校按教育部下发的《教育行业信息系统安全等级保护定级工作指南》做好网站系统等保备案、测评工作,及时发现并关停传播违法违规和不良信息的教育类移动应用程序。
中小学校“智慧校园”建设与应用评价标准
中小学校“智慧校园”建设与应用评价标准一、编制背景为推进xxx教育信息化应用水平,促进并引领xxx中小学“智慧校园”的建设,根据国家《数字校园示范校建设参考指标》《构建利用信息化手段扩大优质教育资源覆盖面有效机制的实施方案》《教育行业信息系统安全等级保护定级工作指南(试行)》和《xxx教育信息化“十三五”规划(2016-2020年)》等文件,结合xxx实际,特制订《xxx中小学校“智慧校园”建设与应用评价标准》。
二、意义与目标“智慧校园”是“数字化校园”建设的高级阶段,是信息技术与教育教学融合创新的必然趋势,也是教育智慧化建设与发展的前沿阵地。
学校通过“智慧校园”的创建,使教育更加均衡化、教学更加个性化、数据更加规范化、管理更加精细化、决策更加科学化。
要利用云计算、大数据、物联网、人工智能等新技术,将信息化作为学校现代化建设、科研、培训、评价等各项工作的核心驱动力,使现代教育技术真正成为引领学校教育教学改革、教育管理决策与公共服务等领域创新发展的重要手段,成为提升学校核心竞争力的重要抓手,让学校中各部门之间的协作与互动更加集约高效、智能便捷。
根据全市智慧教育建设与发展的推进要求,力争用5年时间,完成从“数字化校园”到“智慧校园”建设的跨越,实现城镇20%以上学校达到“智慧校园”建设标准,涉农地区10%的学校达到“智慧校园”建设标准。
三、适用范围本标准的适用范围是xxx开展“智慧校园”建设与应用的中小学校,中等职业技术学校等可参照执行。
建设时间为2016年至2020年。
四、指标体系本标准结合xxx实际,以现代教育信息技术应用为核心,强调信息技术与教育的融合创新,基于科学性、前瞻性、创新性、可操作性等进行设计,分为基础支撑环境建设标准(34分)、数字化资源建设标准(34分)、信息化应用能力标准(80分)、可持续发展机制与保障标准(12分)四个维度(4个一级指标和11个二级指标)。
总分160分。
(一)基础支撑环境建设标准(34分)基础支撑环境是智慧校园建设与应用的基础,包括基础设施、网络空间、信息化应用系统等,为师生开展教学活动提供信息化基础应用环境支撑。
教育行业信息系统等保
自主
1) 应依据安全策略控制主体对客体的访问;
技术要求项 访问 控制
三级等保 2) 自主访问控制的覆盖范围应包括与信息安全直接相关的主体、客体及它 们之间的操作; 3) 自主访问控制的粒度应达到主体为用户级,客体为文件、数据库表级; 4) 应由授权主体设置对客体访问和操作的权限; 5) 权限分离应采用最小授权原则,分别授予不同用户各自为完成自己承担 任务所需的最小权限,并在他们之间形成相互制约的关系; 6) 应实现操作系统和数据库管理系统特权用户的权限分离; 7) 应严格限制默认用户的访问权限。
网络 入侵
1) 应在网络边界处应监视以下攻击行为:端口扫描、强力攻击、木马后门
技术要求项 防范
三级等保 攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等 入侵事件的发生; 2) 当检测到入侵事件时,应记录入侵的源IP、攻击的类型、攻击的目的、 攻击的时间,并在发生严重入侵事件时提供报警。
技术要求项 7) 应对机房设置监控报警系统。 防雷 击 1) 机房建筑应设置避雷装置; 2) 应设置防雷保安器,防止感应雷; 3) 应设置交流电源地线。 防火
三级等保
1) 应设置火灾自动消防系统,自动检测火情、自动报警,并自动灭火; 2) 机房及相关的工作房间和辅助房,其建筑材料应具有耐火等级; 3) 机房采取区域隔离防火措施,将重要设备与其他设备隔离开。
强制 访问 控制
1) 应对重要信息资源和访问重要信息资源的所有主体设置敏感标记; 2) 强制访问控制的覆盖范围应包括与重要信息资源直接相关的所有主体、 客体及它们之间的操作; 3) 强制访问控制的粒度应达到主体为用户级,客体为文件、数据库表级。
安全 审计
1) 安全审计应覆盖到服务器和客户端上的每个操作系统用户和数据库用 户; 2) 安全审计应记录系统内重要的安全相关事件,包括重要用户行为、系统 资源的异常使用和重要系统命令的使用; 3) 安全相关事件的记录应包括日期和时间、类型、主体标识、客体标识、 事件的结果等; 4) 安全审计应可以根据记录数据进行分析,并生成审计报表; 5) 安全审计应可以对特定事件,提供指定方式的实时报警; 6) 审计进程应受到保护避免受到未预期的中断; 7) 审计记录应受到保护避免受到未预期的删除、修改或覆盖等。
教育行业信息系统安全等级保护定级工作指南
教育行业信息系统安全等级保护定级工作指南随着社会经济发展和信息技术迅猛发展,教育行业也紧随步伐,开始大量使用电子化信息系统来提高教育行业的效率和服务质量。
由于信息系统里涉及到学校学生和教师的信息,信息安全就关乎到教育行业的安全和稳定,因此,教育行业需要对教育行业信息系统的安全性做出充分保障。
为了保障教育行业信息系统安全,必须强化信息安全管理,并根据不同教育行业信息系统的安全性需求,建立安全等级保护办法,对不同信息系统安全性进行统一性评估,实施安全等级保护。
为了更好实施安全等级保护,我国制定了《教育行业信息系统安全等级保护定级工作指南》,将教育行业信息系统安全等级保护定级工作分为四个阶段,分别是信息收集与审核、安全等级保护评估、结果处理及安全控制、安全等级保护实施等。
首先,在信息收集与审核阶段,首先要根据教育行业信息系统的不同性质,确定不同等级保护要求,包括安全等级保护要求、信息安全管理要求、维护等级保护要求;然后,根据信息系统的不同安全性等级,收集相应的安全性要求,组织专业审核小组,对安全性要求进行审核;最后,根据审核结果,制定安全等级保护定级方案。
其次,在安全等级保护评估阶段,组织信息安全专家,对教育行业信息系统安全性进行评估,综合参考安全等级保护定级方案,对教育行业信息系统安全等级做出统一评估,确定安全等级保护定级。
评估过程中,要结合安全等级保护要求的特性,考虑信息系统的安全性和易用性,同时要考虑信息系统的经济性和实用性,以便确定一个更加合理的安全等级保护定级。
再次,在结果处理及安全控制阶段,根据安全等级保护定级,制定相应的安全等级保护控制措施,采取有效控制措施,有效维护教育行业信息系统的安全性,同时也要严格控制安全等级保护定级的执行,确保安全等级保护定级结果落实到位。
最后,在安全等级保护实施阶段,根据安全等级保护定级控制措施,实施安全等级保护,包括定期采取安全性评估,确保安全等级保护的有效性,或者实施安全等级保护审计,确保安全等级保护的执行,以确保安全等级保护实施的有效性。
关于加强教育行业网络与信息安全工作的指导意见
教育部关于加强教育行业网络与信息
安全工作的指导意见
各省、自治区、直辖市教育厅(教委),各计划单列市教育局,新疆生产建设兵团教育局,有关部门(单位)教育司(局),部属各高等学校,部内各司局,各直属单位:
信息化在促进国家经济和社会发展方面的作用日益凸显,已深入到社会生活的各个角落。
随着信息化的快速发展和信息技术的广泛应用,网络安全面临的威胁持续加大,教育信息化是国家信息化重要组成部分,教育行业网络与信息安全工作关系着教育信息化的稳步推进和教育事业的改革发展。
为深入贯彻中央关于网络安全工作的总体部署,落实《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》与信息安全等级保护制度的要求,加快建立健全教育行业网络与信息安全保障体系,提高防护能力和水平,保障教育事业健康有序发展,现就教育行业网络与信息安全工作提出以下指导意见:
一、总体目标和基本原则
总体目标:全面提高教育行业网络与信息安全意识,建立健全教育网络与信息安全工作的组织体系、管理规章和责任制度,落实国家信息安全等级保护制度,有效防范、控制和抵御信息安全风险,增强安全预警、应急处置和灾难恢复能力,提高各级教育部门和学校整体安全防护水平,形成与教育信息化发展相适应的、完备的网络与信息安全保障体系,支撑教育现代化事业健康持续发展。
基本原则:。
教育部办公厅下发关于印发《教育行业信息系统安全等级保护定级工作指南(试行)》的通知
龙源期刊网
教育部办公厅下发关于印发《教育行业信息系统安全等级保护定级工作指南(试行)》的通知
作者:
来源:《基础教育参考》2014年第23期
为进一步加强教育行业信息安全工作,指导和规范教育行业信息系统安全等级保护定级工作,教育部印发《教育行业信息系统安全等级保护定级工作指南(试行)》,要求各地结合本地本单位实际,认真组织实施。
文件含总则、定级依据、信息系统的类型划分、信息系统的定级思路、信息系统的定级工作流程和登记变更六大项目。
(教育部网站,2014-11-15)。
等级保护定级工作指南
等级保护定级工作指南好吧,今天咱们聊聊等级保护定级工作,嘿,别一听到这些大词就觉得一头雾水,这个事情其实跟咱们生活中的很多事儿都有点儿像——就好比你家里的钥匙,锁得严严实实,万一丢了咋办?怎么才能保证东西不丢,安全系数足够高呢?这个就是“等级保护定级”的核心思想。
简单说,就是怎么让你的数据、系统、设备都能妥妥地处在一个安全的位置,不容易被外界搞乱。
这可不是随便玩玩的事情,搞不好就会变成“瓮中捉鳖”,说不定你的数据就被人悄悄拿走了。
要是这么简单,哪还需要什么定级呢?你看,等级保护定级听上去有点复杂,但其实道理很简单,什么呢?就是你得评估你的网络系统、应用程序,甚至是你那台随时待命的服务器,这些东西对你来说到底有多重要。
如果说你一个小公司,数据就几条,根本没啥价值,那你可能用个低一点的保护级别就够了。
但如果你是个大企业,客户的数据、公司的财务状况甚至是战略规划都在你的系统里,哎呀,那保护级别可得往上调,得像守着黄金一样。
不信你问问那些大公司,哪家公司敢随便放松数据保护的标准?他们可都是把所有的安全措施当成金子一样,分分钟把你掏空了,自己的数据还得好好藏着。
等级保护定级,就是给这些数据和系统划个“安全等级”——分高低的,就像酒店的星级一样。
五星级的,当然是最严密的保护;而一星级的,呵呵,估计也就用个密码锁差不多了。
要是你公司啥都没保护,别人随便一入侵,那就真是“有便宜谁不捡”的事情了。
再说了,这个“定级”可不是瞎定的,是要有一定的标准、规则的。
没错,国家也规定了哪些东西必须分成几个等级,分别对应不同的保护力度。
等级从一级到五级不等,第五级的就是最为严密的,一级的是最简单的,主要看你的业务内容、存储的数据类型、系统的运行环境等多方面的因素。
你要想知道自己属于哪个等级,就得先仔细审视一下自己到底存储了哪些内容,有没有涉及国家机密、用户隐私之类的。
如果你是个互联网平台,每天处理几百万的用户数据,那你的系统肯定要上个高等级。
教育行业信息系统安全等级保护定级工作指南
定级工作展望
完善定级工作流程和方法 提高定级工作的准确性和科学性 加强与其他行业的交流与合作 推动定级工作向更高水平发展
THANK YOU
汇报人:
安全等级划分:根据信息系统的重要性、涉密程度、业务影响等因素,将信息系统划分为不 同的安全等级
确定流程:按照国家相关标准,进行信息系统安全等级的确定工作,包括初步定级、专家评 审、最终确定等步骤
注意事项:在确定信息系统安全等级时,需充分考虑各种因素,确保定级的准确性和合理性
确定信息系统安全保护等级
定级工作注意事项
避免主观性和片面性
客观评估:确保评估过程不受主观因素干扰,依据客观标准进行定级 全面考虑:综合考虑信息系统的重要性、涉密程度、业务影响等因素 专家参与:邀请专家参与定级工作,提供专业意见,避免片面性 持续改进:定期对定级工作进行审查和调整,确保其准确性和适应性
充分考虑业务需求和实际环境
明确业务需求:在定级工作开始前,需要充分了解业务需求,明确信息系统在业务中的角 色和重要性。
评估实际环境:对信息系统的实际环境进行全面评估,包括系统架构、网络环境、设备情 况等,确保定级工作的准确性。
综合考虑:在考虑业务需求和实际环境的基础上,对信息系统进行综合分析,确定合理的 定级结果。
及时调整:随着业务需求和实际环境的变化,定级结果可能需要进行调整。因此,在定级 工作完成后,还需要定期进行复查和调整。
教育行业信息系统安全等级保护依据
《中华人民共和国 网络安全法》
《信息安全技术 信息系统安全等级 保护定级指南》
《教育行业信息系 统安全等级保护定 级工作指南》
其他相关法规和标 准
定级工作实施要求
组织与人员要求
成立定级工作小组
等级保护定级指南
为什么要实施等级保护毒
3Q大战
荆州市商务局
沧州电信泄密
网站篡改
敏感数据泄密
钓鱼网站
假冒的中国工商银行网站
真正的中国工商银行网站
扬州市城乡建设局网站(/)
我们身边的重大安全事件案例
• 深圳市10万孕妇信息泄露 1.2万元一张光盘 贩卖 怀疑卫生局、计生委 • 广东电网珠海供电局无人值守终端向互联 网扫描 导致GDCERT告警 • 广州市政府机关网络信息中心UPS电池火 灾 瘫痪72小时 • 广州市越秀区教育局门户网站域名过期抢 注变色情网站 • 广州市破获省人事厅网站被入侵案,带破 福建省建设信息网等10多起黑客入侵案件 。
受到破坏时侵害了什 么?(客体) • 公民、法人 • 社会秩序、公共利益 • 国家安全
信息系统安全保 护等级
系统服务范围 业务服务保 证性 业务依赖程度
侵害的程度如何? (对客体造成侵害 的程度) • 一般损害 • 严重损害 • 特别严重损害
等级保护组合可能性
安全等级
第一级 第二级 第三级 S1A1G1 S1A2G2,S2A2G2,S2A1G2 S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3
第二级
指导性保护
Байду номын сангаас第三级
监督性保护
国家安全
社会秩序和公共利益
损害
特别严重损害 强制性保护 专控性保护
国家安全 极端重要系 统
国家安全
严重损害
特别严重损害
定级三条件
• 具有唯一确定的安全责任单位 • 满足信息系统的基本要素 • 承载相对独立的业务应用
定级对象识别与划分
• 可能使定级要素赋值不同因素
– 可能涉及不同客体的系统。 – 可能对客体造成不同程度损害的系统。 – 处理不同类型业务的系统。 • • 本身运行在不同的网络环境中的系统。 分不开的系统,按照高级别保护。
网络安全等级保护项目参数及要求
网络安全等级保护项目参数及要求1.1 项目名称项目名称:商丘医学高等专科学校网络安全等级保护测评项目1.2 项目基本情况1. 项目概况:商丘医学高等专科学校网络安全等级保护测评项目2. 采购内容包括:智慧化校园平台、网站群、教务管理系统和财务内控管理系统。
3. 采购方式:竞争性谈判4. 项目预算金额:5. 工期:合同签订生效后30 个工作日(不包含整改建设时间)。
6. 服务地点:采购人指定地点。
7. 服务要求:满足采购人要求。
8. 质量标准:符合国家或行业规定的合格标准,满足采购人提出的技术标准及要求。
9. 验收标准:满足采购人的验收标准及要求。
10. 技术要求:2 供应商须知一、响应投标文件的编写1、要求1.1 投标人应仔细阅读招标文件的全部内容,按招标文件的要求提供响应投标文件,并保证所提供的全部资料的真实性和可靠性,以使其文件对招标文件作出实质性响应。
投标人应接受采购单位和采购代理机构对其中任何资料作出进一步审查的要求,否则其响应投标将有可能被拒绝。
1.2 投标人应认真检查招标文件中所有的须知、格式、条款、技术、规格和其它资料,如果投标人未按照招标文件的要求提交全部资料,或者提交的资料没有对招标文件在各方面作出实质性响应,可能导致其响应投标文件被拒绝,由此导致的不利后果由投标人自行承担。
1.3 响应投标文件的和资格证明文件的主要内容格式部分中的各项内容和表格为评审的重要参考内容和依据,投标人应严格按照格式要求统一填写编制,否则,其响应投标将有可能被拒绝。
2、响应语言2.1 响应投标文件及投标人、采购单位和采购代理机构就响应交换的文件和来往信件,应以中文书写。
若投标人提交的资料为英文或其他语言文字文本,须附中文译文以让评审小组成员知晓内容,否则视为未提供该资料。
3、货币单位3.1 响应投标文件涉及到的货币价格一律使用人民币元为单位。
4、响应投标文件的组成及要求:按照本招标文件中所附的表格内容完整填写。
信息安全体系定级指南
等级确定的依据 等级确定方法 定级报告 定级举例
信息系统安全保护等级的依据
开展安全等级保护定级工作依据的政策和法律依据
国家信息化领导小组关于加强信息安全保障工作的意见》(中办 发[2003]27号)
《关于信息安全等级保护工作的实施意见》(公通字[2004]66号) 《信息安全等级保护管理办法》(公通字[2007]43号) 《关于开展全国重要信息系统安全等级保护定级工作的通知》
理系统等。
信息系统安全保护等级的依据
确定受侵害客体-1)国家安全
侵害国家安全的事项包括以下方面: • 影响国家政权稳固和国防实力; • 影响国家统一、民族团结和社会安定; • 影响国家对外活动中的政治、经济利益; • 影响国家重要的安全保卫工作; • 影响国家经济竞争力和科技实力; • 其他影响国家安全的事项。
了解用户或用户群的数量分布,各类用户可访问的数据信息类型 和操作权限
作用:了解用户类型和数量,有助于判断系统服务中断或系统信 息被破坏可能影响的范围和程度
信息系统安全保护等级的确定
• 第二步,确定定级对象-1
应用系统应按照不同业务类别单独确定为定级对象,不以 系统是否进行数据交换、是否独享设备为确定定级对象条 件
由各行业统一规划、统一建设、统一安全保护策略的信息 系统,应由各部委统一确定一个级别
由各部委统一规划、分级建设、运行的信息系统,应由部、 省、地市分别确定系统等级,但各行业应对该类系统提出 定级意见,避免出现同类系统定级出现较大偏差问题
信息系统安全保护等级的确定
• 第三步,初步确定信息系统等级-3
两个信息系统安全保护等级较高者确定 • 信息系统的管理终端与相应被管理的服务器、网络设备及安全设
信息安全等级保护安全建设整工作指南.doc
1.2工作内容信息系统运营使用单位在开展信息安全等级保护安全建设整改工作中,应按照国家有关规定和标准规范要求,坚持管理和技术并重的原则,将技术措施和管理措施有机结合,建立信息系统综合防护体系,提高信息系统整体安全保护能力。
信息安全等级保护安全建设整工作指南
附件2信息安全等级保护安全建设整改工作指南中华人民共和国公安部二〇〇九年十月前言为便于信息安全等级保护安全建设整改工作相关单位全面了解和掌握安全建设整改工作所依据的技术标准规范,以及安全建设整改工作的目标、内容和方法,公安部编写了信息安全等级保护安全建设整改工作指南,供参考。
该流程如图2所示。
信息系统安全管理建设信息系统安全技术建设开展信息系统安全自查和等级测评信息系统安全保护现状分析信息系统安全建设整改工作规划和工作部署确定安全策略,制定安全建设整改方案物理安全网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理图2信息系统安全建设整改工作基本流程1.4标准应用信息系统安全建设整改工作应依据基本要求,并在不同阶段、针对不同技术活动参照相应的标准规范进行。
要依据信息系统安全等级保护基本要求(以下简称基本要求),落实信息安全责任制,建立并落实各类安全管理制度,开展人员安全管理、系统建设管理和系统运维管理等工作,落实物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施,具体内容如图1所示。
信息系统安全等级保护基本要求安全管理机构l岗位设置l人员配备l授权和审批l沟通和合作l审核和检查安全管理制度l管理制度l制定和发布l评审和修订人员安全管理l人员录用l人员离岗l人员考核l教育和培训l人员访问管理系统建设管理l定级备案l安全方案设计l产品采购使用l自行软件开发l外包软件开发l工程实施l测试验收l系统交付l安全服务选择l等级测评系统运维管理l环境管理l资产管理l介质管理l设备管理l监控管理l安全管理中心l网络安全管理l系统安全管理l变更管理l备份恢复管理l事件处置l应急响应安全管理建设整改物理安全l机房位置选择l防火防雷l防水防潮l防静电l物理访问控制l防盗窃防破坏l温湿度控制l电力供应l电磁防护网络安全l区域划分l边界防护l访问控制l安全审计l入侵防范l病毒防护l通信保护数据安全与备份恢复l数据保密性l数据完整性l备份与恢复主机安全l身份鉴别l访问控制l安全审计l入侵防范l病毒防护l资源控制l安全标记l剩余信息保护应用安全l身份鉴别l访问控制l安全审计l通信完整性l通信保密性l软件容错l资源控制l安全标记l剩余信息保护l抗抵赖安全技术建设整改图1信息系统安全建设整改主要内容需要说明的是不同级别信息系统安全建设整改的具体内容应根据信息系统定级时的业务信息安全等级和系统服务安全等级,以及信息系统安全保护现状确定。
信息系统安全等级保护定级指南
1信息系统安全等级保护定级指南为宣贯《信息系统安全等级保护定级指南》(以下简称《定级指南》)国家标准,由标准起草人介绍标准制、修订过程,讲解标准的主要内容,解答标准执行中可能遇到的问题。
1.1定级指南标准制修订过程1.1.1制定背景本标准是公安部落实66号文件,满足开展等级保护工作所需要的重要规范性文件之一,是其他标准规范文件的基础。
本标准依据66号文件与“信息安全等级保护管理办法”的精神与原则,从信息系统对国家安全、经济建设、社会生活重要作用,信息系统承载业务的重要性、业务对信息系统的依赖程度与信息系统的安全需求等方面的因素,确定信息系统的安全保护等级,提出了分级的原则与方法。
本任务来自全国信息系统安全标准化技术委员会,由全国信息安全标准化技术委员会WG5工作组负责管理。
1.1.2国外相关资料分析本标准编制前,编制人员收集与信息系统确定等级相关的国外资料,其中主要是来自美国的标准或文献资料,例如:●FIPS 199 Standards for Security Categorization of Federal Information and InformationSystems(美国国家标准与技术研究所)●DoD INSTRUCTION 8510.1-M DoD Information Technology Security Certificationand Accreditation Process Application Manual(美国国防部)●DoD INSTRUCTION 8500.2 Information Assurance (IA) Implementation(美国国防部)●Information Assurance Technology Framework3.1(美国国家安全局)这些资料表明,美国政府及军方也在积极进行信息系统分等级保护的尝试,从一个侧面反映了分等级对重要信息系统实施重点保护的思想不仅适用于像我国这样的信息技术水平不高的发展中国家,也适用于信息化发达国家。
教育行业信息系统安全等级保护定级工作指南
教育行业信息系统安全等级保护定级工作指
南
1. 教育行业信息系统安全等级保护定级工作指南旨在帮助教育行业信息系统管理者建立安全管理制度和体系,提高信息系统的安全等级。
2. 根据教育信息安全法规要求,确定教育行业信息系统的安全等级分类:低、中、高三个等级,并对其进行安全等级评估、安全审计和安全测试等。
3. 建立完善的信息安全管理体系,形成安全等级保护认证标准,建立教育行业信息系统安全审计、安全评估和安全测试等过程,严格确定安全等级保护认证标准。
4. 根据安全等级保护定级要求,制定教育行业信息系统安全规程和安全管理制度,如系统备份、用户身份认证、密码管理、加密技术应用和安全审计等。
5. 对教育行业信息系统的数据库进行全面安全评估,鉴定间接漏洞,如文件、表单等,分析攻击行为及其对数据库的影响;改进和管理系统的安全性,使信息系统的安全性能接近安全等级保护要求。
6. 落实安全性验证技术及标准,防止计算机病毒攻击、恶意代码攻击和拒绝服务攻击、偷窃信息或威胁数据安全,确保教育行业信息系统安全性等级达到定级要求。
7. 在日常运行安全管理工作中,进行安全风险评估,更新和改善安全系统,对不符合要求的信息系统做出有效的处理,确保教育行业信息系统安全等级保护定级要求持续有效地执行。
四部门下发《关于开展全国重要信息系统安全等级保护定级工作的通知》
四部门下发《关于开展全国重要信息系统安全等级保护定级工作的通知》关于开展全国重要信息系统安全等级保护定级工作的通知公信安[2007]861号各省、自治区、直辖市公安厅(局)、保密局、国家密码管理局(国家密码管理委员会办公室)、信息化领导小组办公室,新疆生产建设兵团公安局、保密局、国家密码管理局、信息化领导小组办公室,中央和国家机关各部委保密委员会办公室、密码工作领导小组办公室、信息化领导小组办公室,各人民团体保密委员会办公室:为进一步贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》和公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》(以下简称《管理办法》)精神,提高我国基础信息网络和重要信息系统的信息安全保护能力和水平,根据国家网络与信息安全协调小组2007年的工作部署,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室定于2007年7月至10月在全国范围内组织开展重要信息系统安全等级保护定级工作(以下简称“定级工作”)。
现就有关事项通知如下:一、定级范围(一)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
(二)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
(三)市(地)级以上党政机关的重要网站和办公信息系统。
(四)涉及国家秘密的信息系统(以下简称“涉密信息系统”)。
二、定级工作的主要内容(一)开展信息系统基本情况的摸底调查。
各行业主管部门、运营使用单位要组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《管理办法》和《信息系统安全等级保护定级指南》的要求,确定定级对象。
教育部办公厅关于印发《教育行业信息系统安全等级保护定级工作指南(试行)》的通知
教育部办公厅关于印发《教育行业信息系统安全等级保护定级工作指南(试行)》的通知文章属性•【制定机关】教育部•【公布日期】2014.10.27•【文号】教技厅函[2014]74号•【施行日期】2014.10.27•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】教育信息化正文教育部办公厅关于印发《教育行业信息系统安全等级保护定级工作指南(试行)》的通知教技厅函[2014]74号各省、自治区、直辖市教育厅(教委),新疆生产建设兵团教育局,有关部门(单位)教育司(局),部属各高等学校,部内各司局、各直属单位:为进一步加强教育行业信息安全工作,指导和规范教育行业信息系统安全等级保护定级工作,现将《教育行业信息系统安全等级保护定级工作指南(试行)》印发给你们,请结合本地本单位实际,认真组织实施。
联系人:教育部科技司潘润恺电话:66096457 邮箱:***********.cn附:《教育行业信息系统安全等级保护定级工作指南》教育部办公厅2014年10月27日教育行业信息系统安全等级保护定级工作指南(试行)1 总则本指南依据国家信息安全等级保护相关政策和标准,结合教育行业信息化工作的特点和具体实际,对教育行业信息系统进行分类,提出安全等级保护的定级思路,给出建议等级,明确工作流程。
本指南适用于各级教育行政部门及其直属事业单位、各级各类学校的非涉密信息系统安全等级保护定级工作。
信息系统的定级工作应在信息系统设计阶段完成,与信息系统建设同步实施。
2 定级依据《中华人民共和国计算机信息系统安全保护条例》(国务院第147号令)《信息系统安全等级保护定级指南》(GB/T 22240-2008)《信息系统安全等级保护实施指南》(GB/T 25058-2010)《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)《信息安全等级保护管理办法》(公通字〔2007〕43号)3 信息系统的类型划分信息系统的类型划分是进行信息系统安全等级划分的前提和基础。
河南省教育厅、河南省公安厅关于深入开展教育行业信息系统安全等级保护工作的通知
河南省教育厅、河南省公安厅关于深入开展教育行业信息系统安全等级保护工作的通知文章属性•【制定机关】河南省教育厅,河南省公安厅•【公布日期】2015.08.24•【字号】教科技〔2015〕710号•【施行日期】2015.08.24•【效力等级】地方规范性文件•【时效性】现行有效•【主题分类】公共信息网络安全监察正文河南省教育厅、河南省公安厅关于深入开展教育行业信息系统安全等级保护工作的通知教科技〔2015〕710号各省辖市、省直管县教育局、公安局,各高等学校,厅直各单位:为贯彻落实国家信息安全等级保护制度,全面推进教育行业信息系统(含网站,下同)安全等级保护工作,保障教育信息化发展和重要网络设施、信息系统及数据安全,根据教育部《关于加强教育行业网络与信息安全工作的指导意见》、《教育部公安部关于全面推进教育行业信息安全等级保护工作的通知》,现就全面开展我省教育行业信息系统安全等级保护工作通知如下:一、工作目标按照国家信息安全等级保护制度的相关法律法规、标准规范以及《教育行业信息系统安全等级保护定级工作指南(试行)》要求,全面开展信息安全等级保护工作。
2016年6月底前,基本完成全省教育行业信息系统的定级、备案和第三级(含)以上信息系统的测评、整改工作,建立信息安全等级保护工作长效机制,有效预防和减少信息安全事(案)件的发生。
二、工作分工按照“统筹推动、分级负责、自主定级、自主保护”的原则,信息系统建设与运维单位是信息安全等级保护工作的责任主体,直接负责本单位所属信息系统安全等级保护工作。
省教育厅负责统筹全省教育行业信息安全等级保护工作,组织教育厅各处室、厅直单位和省属高校开展信息系统定级、备案、测评和整改。
各省辖市、省直管县教育行政部门负责组织本单位和本辖区教育部门信息安全等级保护工作。
各行业办学主管部门负责组织所属学校的信息安全等级保护工作。
各级公安机关负责本地区教育机构信息安全等级保护工作的监督、检查和指导。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
教育行业信息系统安全等级保护定级工作指南(试行)(DOC30页)教育行业信息系统安全等级保护定级工作指南(试行)1 总则本指南依据国家信息安全等级保护相关政策和标准,结合教育行业信息化工作的特点和具体实际,对教育行业信息系统进行分类,提出安全等级保护的定级思路,给出建议等级,明确工作流程。
本指南适用于各级教育行政部门及其直属事业单位、各级各类学校的非涉密信息系统安全等级保护定级工作。
信息系统的定级工作应在信息系统设计阶段完成,与信息系统建设同步实施。
2 定级依据《中华人民共和国计算机信息系统安全保护条例》(国务院第147号令)《信息系统安全等级保护定级指南》(GB/T 22240-2008)《信息系统安全等级保护实施指南》(GB/T 25058-2010)《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)《信息安全等级保护管理办法》(公通字〔2007〕43号)3 信息系统的类型划分信息系统的类型划分是进行信息系统安全等级划分的前提和基础。
按照信息系统的主管单位、业务对象、部署模式对教育行业信息系统进行分类,形成信息系统分类表(附件1)。
3.1按信息系统主管单位划分按照信息系统主管单位的不同,信息系统分为“教育行政部门及其直属事业单位信息系统”(简称“部门信息系统”)和“学校信息系统”两类。
部门信息系统可分为教育部机关及其直属事业单位信息系统(部级系统)、省级教育行政部门及其直属事业单位信息系统(省级系统)、地市级教育行政部门及其直属事业单位信息系统(市级系统)和区县级教育行政部门及其直属事业单位信息系统(县级系统);学校信息系统可分为重点建设类高等学校信息系统(I类)、高等学校信息系统(Ⅱ类)、中小学校(含中职中专院校)信息系统(Ⅲ类)。
3.2按信息系统业务对象划分根据信息系统业务对象不同,部门信息系统可分为政务管理类、学校管理类、学生管理类、教师管理类、综合服务类;学校信息系统可分为校务管理类、教学科研类、招生就业类、综合服务类。
3.3按信息系统部署模式划分根据信息系统的部署模式,信息系统可以分为内部系统和统一运行系统。
内部系统是指仅供本单位内部使用,实现本单位业务管理与服务的信息系统。
统一运行系统是指供多家(级)单位共同使用,实现某项业务的跨单位统一管理与服务的信息系统。
统一运行系统可进一步分为集中式系统和分布式系统。
集中式信息系统逻辑上是一套系统,在一个单位统一部署、管理和运行,多家(级)单位共同使用,实现信息系统、业务流程和数据的集中式管理;分布式信息系统逻辑上是多套系统在多家(级)单位分别部署、管理和运行,通过技术接口实现信息系统、业务流程和数据的分布式管理。
4 信息系统的定级思路信息系统的定级思路是在信息系统分类的基础上,参照国家对信息系统的安全保护等级标准的等级划分,形成教育行业信息系统安全等级划分建议。
按主管单位不同,分别对部门信息系统和学校信息系统采取不同的思路进行分析,分别形成信息系统安全等级建议表(附件2)。
实际定级工作中,信息系统所定等级原则上不应低于建议等级。
如遇未能涵盖的信息系统,可按照下述定级思路综合分析,确定安全等级。
4.1定级思路概述部门信息系统与学校信息系统分别定级。
由于面向的对象不同、承载的业务不同、受到破坏后造成的侵害程度不同,采取不同的定级思路。
信息系统受到破坏后造成的危害程度与其安全等级正相关,造成的危害程度越大,安全等级应越高。
4.2部门信息系统定级思路部门信息系统根据行政级别、部署模式和业务类型与性质三个维度分析受到破坏后造成的危害程度。
行政级别与危害程度分析。
行政级别与信息系统受到破坏后造成的危害程度正相关,级别越高则危害程度越严重,反之则相对较轻。
部署模式与危害程度分析。
部署模式与信息系统受到破坏后造成的危害程度正相关,涉及的单位越多则危害程度越严重,统一运行信息系统大于内部信息系统。
业务类型与性质的判断分析详见4.44.3学校信息系统定级思路学校信息系统根据办学规模、社会影响力、业务类型三个维度分析受到破坏后造成的危害程度。
办学规模与危害程度分析。
办学规模与信息系统受到破坏后造成的危害程度正相关,规模越大则危害程度越严重,高等学校信息系统大于中小学校信息系统。
社会影响力与危害程度分析。
社会影响力与信息系统受到破坏后造成的危害程度正相关,影响力越大则危害程度越严重,“985工程”学校和“211工程”学校大于其他高等学校。
业务类型与性质的判断分析详见4.4。
4.4业务类型与性质的判断分析业务类型与危害程度分析。
承载教育教学管理与服务核心业务的信息系统较承载一般业务的信息系统受到破坏后造成的危害程度严重。
教育教学管理与服务的核心业务包括学籍学历管理、学位管理、招生录取管理、考试考务管理、教师管理、门户网站管理等。
业务连续性与危害程度分析。
业务的连续性要求与信息系统受到破坏后造成的危害程度正相关,连续性要求越高,其受破坏危害越严重;业务数据重要性与危害程度分析。
业务数据的重要性要求与信息系统受到破坏后造成的危害程度正相关,涉及的国家安全、个人隐私和相关数据的信息系统,其受破坏危害更严重。
5 信息系统的定级工作流程教育行业信息系统安全等级保护应坚持“自主定级、自主保护”的原则,依据《信息系统安全等级保护定级指南》的定级原理、方法,参照本指南的信息系统类型划分、定级思路组织开展信息系统定级工作。
5.1确定定级责任主体信息系统应明确定级工作的责任主体。
按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,信息系统的主管单位为定级工作的责任主体,负责组织运维单位、使用单位开展信息系统定级工作。
集中式信息系统由信息系统牵头建设单位负责组织信息系统定级工作。
分布式信息系统由牵头建设单位负责组织信息系统定级工作,确定中心信息系统安全保护等级;各分支信息系统的主管单位参照中心系统的安全保护等级自主组织定级工作。
信息系统的运维单位应协助主管单位完成定级过程中的具体技术支撑工作。
5.2自主定级主管单位对本单位信息系统进行梳理分析,参考附表2的建议等级进行自主定级,确定信息系统安全保护等级。
对于承载复杂业务的信息系统,安全保护等级可高于建议等级;对于承载多个业务的信息系统,应以所承载业务的信息系统的最高建议等级进行定级。
5.3专家评审主管单位完成信息系统自主定级后,需聘请有关信息安全等级保护专家对信息系统自主定级情况进行评审,形成评审意见。
拟确定为第四级及以上的信息系统,由教育部邀请国家信息安全保护等级专家评审委员会进行评审;拟确定为其他等级信息系统可由定级责任主体自行聘请专家进行评审。
5.4主管部门审核批准主管单位完成信息系统专家评审后,需填写《信息系统安全等级保护定级报告》(附件3)、《信息系统安全等级保护备案表》(附件4)和信息系统安全等级保护专家评审意见等材料。
各级教育行政部门将相关材料报送至上一级教育行政部门进行审核,直属事业单位和各级各类学校按照隶属关系将相关材料报送至所属教育行政部门或有关部门进行审批。
5.5公安机关备案经审核批准的二级以上信息系统,由其主管单位负责组织到所在地设区的市级以上公安机关办理备案手续。
教育部全国联网统一运行系统由教育部统一向公安部备案,其在各地运行、应用的分支系统,由主管单位组织向所在地公安部门备案,确定为三级以上信息系统同时报教育部备案。
6 等级变更信息系统运行过程中,当系统状态变化可能导致业务信息安全或系统服务受到破坏后的受侵害对象和受侵害程度有较大的变化时,应根据具体情况重新定级,并变更等级。
附件:1.信息系统分类表2.信息系统安全保护等级建议表3.信息系统安全等级保护定级报告4.信息系统安全等级保护备案表附件1信息系统分类表表1:部门信息系统分类表表 2:学校信息系统分类表附件2信息系统安全保护等级建议表表1:部门信息系统安全保护等级建议说明:区县级教育行政部门及直属事业单位的系统建议一般定为第一级,区县级统一运行系统根据业务重要性建议可定为第二级。
本表中未单独列出。
表2:学校信息系统安全保护等级建议附件3信息系统安全等级保护定级报告一、XXX信息系统描述简述确定该系统为定级对象的理由。
从三方面进行说明:一是描述承担信息系统安全责任的相关单位或部门,说明本单位或部门对信息系统具有信息安全保护责任,该信息系统为本单位或部门的定级对象;二是该定级对象是否具有信息系统的基本要素,描述基本要素、系统网络结构、系统边界和边界设备;三是该定级对象是否承载着单一或相对独立的业务,业务情况描述。
二、XXX信息系统安全保护等级确定(一)业务信息安全保护等级的确定1.业务信息描述描述信息系统处理的主要业务信息等。
2.业务信息受到破坏时所侵害客体的确定说明信息受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。
3.信息受到破坏后对侵害客体的侵害程度的确定说明信息受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。
4.业务信息安全等级的确定依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级。
(二)系统服务安全保护等级的确定1.系统服务描述描述信息系统的服务范围、服务对象等。
2.系统服务受到破坏时所侵害客体的确定说明系统服务受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。
3.系统服务受到破坏后对侵害客体的侵害程度的确定说明系统服务受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。
4.系统服务安全等级的确定依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。
(三)安全保护等级的确定信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定,最终确定XXX系统安全保护等级为第几级。
附件4信息系统安全等级保护备案表备案表编号:备案单位:(盖章)备案日期:受理备案单位:(盖章)受理日期:中华人民共和国公安部监制填表说明一、制表依据。
根据《信息安全等级保护管理办法》(公通字[2007]43号)之规定,制作本表;二、填表范围。
本表由第二级以上信息系统运营使用单位或主管部门(以下简称“备案单位”)填写;本表由四张表单构成,表一为单位信息,每个填表单位填写一张;表二为信息系统基本信息,表三为信息系统定级信息,表二、表三每个信息系统填写一张;表四为第三级以上信息系统需要同时提交的内容,由每个第三级以上信息系统填写一张,并在完成系统建设、整改、测评等工作,投入运行后三十日内向受理备案公安机关提交;表二、表三、表四可以复印使用;三、保存方式。