我国信息系统安全等级保护共分五级

教育行业信息系统安全等级保护

定级工作指南

（试行）

1 总则

本指南依据国家信息安全等级保护相关政策和标准，结合教育行业信息化工作的特点和具体实际，对教育行业信息系统进行分类，提出安全等级保护的定级思路，给出建议等级，明确工作流程。

本指南适用于各级教育行政部门及其直属事业单位、各级各类学校的非涉密信息系统安全等级保护定级工作。

信息系统的定级工作应在信息系统设计阶段完成，与信息系统建设同步实施。

2 定级依据

《中华人民共和国计算机信息系统安全保护条例》（国务院第147号令）

《信息系统安全等级保护定级指南》（GB/T 22240-2008）《信息系统安全等级保护实施指南》（GB/T 25058-2010）《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安〔2007〕861号）

《信息安全等级保护管理办法》（公通字〔2007〕43号）

3 信息系统的类型划分

信息系统的类型划分是进行信息系统安全等级划分的前提和基础。按照信息系统的主管单位、业务对象、部署模式对教育行业信息系统进行分类，形成信息系统分类表（附件1）。

3.1按信息系统主管单位划分

按照信息系统主管单位的不同，信息系统分为“教育行政部门及其直属事业单位信息系统”（简称“部门信息系统”）和“学

备案表编号：

信息系统安全等级保护

备案表

备 案 单 位： （盖章） 备 案 日 期：

受理备案单位： （盖章） 受 理 日 期：

中华人民共和国公安部监制

填 表 说 明

一、 制表依据。根据《信息安全等级保护管理办法》（公通字[2007]43号）之规定，制作本

表；

二、 填表范围。本表由第二级以上信息系统运营使用单位或主管部门（以下简称“备案单

位”）填写；本表由四张表单构成，表一为单位信息，每个填表单位填写一张；表二为信息系统基本信息，表三为信息系统定级信息，表二、表三每个信息系统填写一张；表四为第三级以上信息系统需要同时提交的内容，由每个第三级以上信息系统填写一张，并在完成系统建设、整改、测评等工作，投入运行后三十日内向受理备案公安机关提交；表二、表三、表四可以复印使用；

三、 保存方式。本表一式二份，一份由备案单位保存，一份由受理备案公安机关存档； 四、 本表中有选择的地方请在选项左侧“

中注明详细内容；

五、 封面中备案表编号（由受理备案的

目 次

前言 ................................................................................ III 引言 ................................................................................. IV 1 范围 ............................................................................... 1 2 规范性引用文件 ..................................................................... 1 3 术语和定义 ......................................................................... 1 4 等级保护实施概述 ................................................................... 1 4.1 基本原则

《信息系统安全等级保护定级报告》

一、马尔康县人民检察院门户网站信息系统描述

（一）该信息系统于2014年4月上线。目前该系统由马尔康县人民检察院办信息股负责运行维护。九龙县县政府办是该信息系统业务的主管部门，信息股为该信息系统定级的责任单位。

（二）此系统是计算机及其相关的和配套的设备、设施构成的，是按照一定的应用目标和规则对门户网站信息进行采集、加工、存储、传输、检索等处理的人机系统。

服务器托管在九龙县电信公司机房

（三）该信息系统业务主要包含：等业务。

二、马尔康县人民检察院门户网站信息系统安全保护等级确定

（一）业务信息安全保护等级的确定 1、业务信息描述

该信息系统业务主要包含：九龙新闻、信息公开、在线下载、旅游在线、县长信箱等业务。

2、业务信息受到破坏时所侵害客体的确定

该业务信息遭到破坏后，所侵害的客体是社会秩序和公众利

— 9 —

益。

侵害的客观方面（客观方面是指定级对象的具体侵害行为，侵害

形式以及对客体的造成的侵害结果）表现为：一旦信息系统的业务

信息遭到入侵、修改、增加、删除等不明侵害（形式可以包括丢失、破坏、损坏等），会对社会秩序和公众利益造成影响和损害，可以表现为：发布虚假信息，影响公共利益，造成不良影响，引起法律纠

《信息系统安全等级保护定级报告》

一、XXX信息系统描述

简述确定该系统为定级对象的理由。从三方面进行说明：一是描述承担信息系统安全责任的相关单位或部门，说明本单位或部门对信息系统具有信息安全保护责任，该信息系统为本单位或部门的定级对象；二是该定级对象是否具有信息系统的基本要素，描述基本要素、系统网络结构、系统边界和边界设备；三是该定级对象是否承载着单一或相对独立的业务，业务情况描述。

二、XXX信息系统安全保护等级确定（定级方法参见国家标准《信息系统安全等级保护定级指南》）

（一）业务信息安全保护等级的确定

1、业务信息描述

描述信息系统处理的主要业务信息等。

2、业务信息受到破坏时所侵害客体的确定

说明信息受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

3、信息受到破坏后对侵害客体的侵害程度的确定

说明信息受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

4、业务信息安全等级的确定

依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级。

（二）系统服务安全保护等级的确定

1、系统服务描述

描述信息系统的服务范围、服务对象等。

2、系统服务受

医院信息系统安全等级保护定级报告

一、 医院信息系统描述

（一） 医院于2008年起逐步建立基于医院信息管理、电子 病历的信息系统，该信息系统由医院负责系统管理运维，医院为该信息系统定级的责任单位。

（二） 该信息系统使用了7台HP服务器，安装有Window 2003 Server操作系统，Mysql数据库，用于医院信息管理系统的运行。使用了5台HP服务器，安装有Window 2003 Server操作系统，用于新农合即时结报平台的运行。医院在内外网

之间搭建有天融信防火墙，门诊二楼安有用于无线终端连接内

网的两个无线AP，各科室配有连接医院内网的终端计算机。 （三） 该信息系统主要包含：医院信息管理系统（HIS），电子病历系统、LIS、卫生统计直报系统、医院门户网站等系统组成。

二、 医院信息系统安全保护等级的确定 （一） 业务信息安全保护等级的确定 1、 业务信息描述

本信息系统主要处理的业务有医院信息管理的日常运行、在院患者的日常管理、医院院务公开、对外宣传等工作。旨在保障医院业务正常运行，提高工作效率，增强院务透明度，扩大医院社会影响力。

2、 业务信息受到破坏时所侵害客体的确定

该业务信息遭到破坏后，所侵害的客体是患者、法人和医院

附录A

（规范性附录）

《信息系统安全等级保护定级报告》

一、XXX信息系统描述（XX电力公司生产管理（PSMS）信息系统）

简述确定该系统为定级对象的理由。从三方面进行说明：一是描述承担信息系统安全责任的相关单位或部门，说明本单位或部门对信息系统具有信息安全保护责任，该信息系统为本单位或部门的定级对象；二是该定级对象是否具有信息系统的基本要素，描述基本要素、系统网络结构、系统边界和边界设备；三是该定级对象是否承载着单一或相对独立的业务，业务情况描述。

? 生产管理（PSMS）管理信息系统作为该电力公司生产部、安全监督部、调度三个部门的信息系统，涵盖了省公司以及各个地区局电力生产的各个业务操作流程、以及与之相关联的业务数据和管理数据。整个系统采用省地分布式网络，省地之间两侧采用防火墙进行隔离。地区局系统作为下属单位主要的侧重点在于业务流程，省电力公司侧重的主要是进行流程的审核、数据的分类汇总、统计分析。

二、XXX信息系统安全保护等级确定（定级方法参见国家标准《信息系统安全等级保护定级指南》）

（一）业务信息安全保护等级的确定

1、业务信息描述

描述信息系统处理的主要业务信息等。

安全信息系统主要的业务信息主要包括：电网概况、设备台帐以及相

XX信息系统安全等级保护定级报告

（起草参考实例）

一、 X省邮政金融网中间业务系统描述

（一）该中间业务于*年*月*日由*省邮政局科技立项，省邮政信息技术局自主研发。目前该系统由技术局运行维护部负责运行维护。省邮政局是该信息系统业务的主管部门，省邮政局委托技术局为该信息系统定级的责任单位。

（二）此系统是计算机及其相关的和配套的设备、设施构成的，是按照一定的应用目标和规则对邮储金融中间业务信息进行采集、加工、存储、传输、检索等处理的人机系统。整个网络分为两部分，（图略），第一部分为省数据中心，第二部分为市局局域网。

在省数据中心的核心设备部署了华为的S**三层交换机，……

在省数据中心的网络中配置了两台与外部网络互联的边界设备：天融信 NGFW 4**防火墙和Cisco 2**路由器……

省数据中心网络中剩下的一部分就是与下面各个地市的互联。其中主要设备部署的是……整个省数据中心网络中的所有设备系统都按照统一的设备管理策略，只能现场配置，不可远程拨号登录。

整个信息系统的网络系统边界设备可定为NGFW 4** 与 Cisco 2**。Cisco 2** 外联的其它系统都划分为外部网络部分，而

NGFW 4** 以内的部分包括与各地市互联的部分

教育信息系统安全等级保护定级指南

（试行）

1 总则

本指南依据国家信息安全等级保护相关政策和标准，在《信息系统安全等级保护定级指南》（GB/T 22240-2008）的基础上，结合各级教育行政部门及高等学校信息化工作实际需要，重点给出了教育信息系统的定级流程和级别建议，适用于教育部、省（自治区、直辖市、计划单列市）、市教育行政部门及高等学校主要信息系统的安全等级保护定级工作。区县及以下教育行政部门、中等职业学校、中小学校和其他教育机构的信息系统安全等级保护定级工作可根据实际需要，参照本指南执行。 2 依据

公安部等四部委《关于印发<信息安全等级保护管理办法>的通知》（公通字〔2007〕43号）

公安部等四部委《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安〔2007〕861号）

《信息系统安全等级保护定级指南》（GB/T 22240-2008） 《教育部办公厅关于开展信息系统安全等级保护工作的通知》（教办厅函〔2009〕80号）

1

《教育部办公厅关于进一步加强网络信息系统安全保障工作的通知》（教办厅函〔2011〕83号） 3 术语和定义 3.1 信息系统

本指南中的信息系统是指教育教学管理与服务过程中涉及到教师、学生和教育组

信息系统安全等级保护定级报告示例

信息系统安全等级保护定级报告

一、XX平台系统描述

(一)2014年8月,XX正式上线,XX隶属于北京XX科技有限公司,该公司就是从事网络借贷信息中介业务活动的金融信息服务企业。主要就是通过线上XX平台,将出借人与借款人衔接,为二者提供中介服务进而实现借贷关系。通过提供信息搜集、信息公布、资信评估、信息交互、借贷撮合等服务解决借款人与出借人的投融资难的问题。目前该XX平台系统由公司运维部负责维护。我公司就是该平台系统业务的主要负责机构,也就是为该信息系统定级的责任单位。

(二)此系统就是计算机及其相关的与配套的设备、设施构成的,就是按照一定的应用目标与规则对该系统金融业务数据信息进行存储、传输、检索等处理的人机机制。

该系统相关的用户数据中心网络,资金管理等边界部分都就是等级保护定级的范围与对象。在此次定级过程中,将该系统的网络设备与数据中心连同业务数据作为一个定级对象加以考虑,统一进行定级、备案。该系统的网络设备与数据中心还要作为整个系统的分系统分别进行定级、备案。

(三)该系统业务主要包含:用户身份安全信息、业务平台数据、购买服务等业务,并新增加了法务审核,风险控制等等业务。系统针对业务实现的差异分别提供实时联机处理