《教育行业信息系统安全等级保护定级工作指南》

教育行业信息系统安全等级保护定级工作指南〔试行〕总则业信息化工作的特点和具体实际，对教育行业信息系统进展分程。校的非涉密信息系统安全等级保护定级工作。设同步实施。定级依据《中华人民共和国计算机信息系统安全保护条例》〔国务院第147号令〕《信息系统安全等级保护定级指南》〔GB/T22240-2023〕《信息系统安全等级保护实施指南》〔GB/T25058-2023〕《关于开展全国重要信息系统安全等级保护定级工作的通知》〔公信安〔2023〕861号〕《信息安全等级保护治理方法》〔公通字〔2023〕43号〕信息系统的类型划分信息系统的类型划分是进展信息系统安全等级划分的前提和根底信息系统进展分类，形成信息系统分类表〔1〕。按信息系统主管单位划分其直属事业单位信息系统”〔简称“部门信息系统”〕和“学校信息系统”两类。〔部级系统〕、省级教育行政部门及其直属事业单位信息系统〔省级系统〕、地市级教育行政部门及其直属事业单位信息系统〔市级系统〔县级系统〕；学校信息系统可分为重点建设类高等学校信息系统〔I类〔Ⅱ类〔含中职中专院校〕信息系统〔Ⅲ类〕。按信息系统业务对象划分依据信息系统业务对象不同，部门信息系统可分为政务治理类、学校治理类、学生治理类、教师治理类、综合效劳类；学校信息按信息系统部署模式划分理与效劳的信息系统。统一运行系统是指供多家〔级单位共同使用，实现某项业务的跨单位统一治理与效劳的信息系统。息系统规律上是一套系统，在一个单位统一部署、治理和运行，多家〔级〕单位共同使用，实现信息系统、业务流程和数据的集〔级〕单位和数据的分布式治理。信息系统的定级思路级建议表〔附件2〕。实际定级工作中，信息系统所定等级原则级思路综合分析，确定安全等级。定级思路概述部门信息系统与学校信息系统分别定级。由于面对的对象不同、定级思路。信息系统受到破坏后造成的危害程度与其安全等级正相关，造成的危害程度越大，安全等级应越高。部门信息系统定级思路度分析受到破坏后造成的危害程度。轻。行信息系统大于内部信息系统。业务类型与性质的推断分析详见学校信息系统定级思路析受到破坏后造成的危害程度。系统大于中小学校信息系统。造成的危害程度正相关，影响力越大则危害程度越严峻，“985工程”学校和“211工程”学校大于其他高等学校。业务类型与性质的推断分析详见。业务类型与性质的推断分析信息系统较承载一般业务的信息系统受到破坏后造成的危害程位治理、招生录用治理、考试考务治理、教师治理、门户网站管位治理、招生录用治理、考试考务治理、教师治理、门户网站管理等。越严峻；隐私和相关数据的信息系统，其受破坏危害更严峻。信息系统的定级工作流程教育行业信息系统安全等级保护应坚持“自主定级、自主保护”的原则，依据《信息系统安全等级保护定级指南》的定级原理、系统定级工作。确定定级责任主体统的主管单位参照中心系统的安全保护等级自主组织定级工作。统的主管单位参照中心系统的安全保护等级自主组织定级工作。信息系统的运维单位应帮助主管单位完成定级过程中的具体技术支撑工作。自主定级2的建议等定级。专家评审定级责任主体自行聘请专家进展评审。主管部门审核批准保护定级报告》〔附件3〕、《信息系统安全等级保护备案表》〔附件4〕和信息系统安全等级保护专家评审意见等材料。各级教育行政部门将相关材料报送至上一级教育行政部门进展审核，教育行政部门将相关材料报送至上一级教育行政部门进展审核，直属事业单位和各级各类学校依据隶属关系将相关材料报送至所属教育行政部门或有关部门进展审批。公安机关备案上信息系统同时报教育部备案。上信息系统同时报教育部备案。等级变更系统效劳受到破坏后的受侵害对象和受侵害程度有较大的变化时，应依据具体状况重定级，并变更等级。附件：1.信息系统分类表信息系统安全保护等级建议表信息系统安全等级保护定级报告信息系统安全等级保护备案表1信息系统分类表1：部门信息系统分类表序分类号〔01〕

信息系统人事治理财务治理

业务描述公文流转与日常办公事务处理等。输、信息报送等。资治理、培训治理、绩效考核、奖惩治理等。等。政务治理类(05)资产治理党务治理科研治理

固定资产、仪器设备治理等。信访业务受理、办理、反响、统计等。党员个人根本信息治理、进展党员信息管治理、党组织活动信息公布等。评估等。序分类 信息系统 业务描述号(11)决策支持(12)应急指挥舆情监测与治理治理录用治理与效劳评审、表彰治理学校治理

报、查询和分析等。数据分析、学问觉察、决策支持等。统计、报警联动等。互联网信息舆情监测、分析与处理等。等。全国一般高校招生网上录用系统。、数据分析、决策指挥等。报、单位推举和专家评审等。育经费治理、基建治理、技术装备信息管理、教学信息治理等。〔02〕

评估等。教改工程申报、政策与标准公布、教学状态学校治理类(03)教学改革治理教学质量评估

数据库治理等。质量报告公布等。理等。序分类 信息系统 业务描述号

执行状况的监管和统计等。各类学生入学治理、学生学籍治理等。〔03〕〔04〕〔05〕

招生录用治理学生资助治理(04)学位授予治理教师培训治理教师职称治理(01)门户网站教育教学资源

治理等。等。学士、硕士、博士学位授予治理等。个人档案治理等。综合治理等。等。等。合治理等。询问、社会效劳等。即时消息、在线交互、论坛、博客、微博、BBS等。等。序分类 信息系统号安防监控证(10)运维治理

业务描述指导等。电子邮件发送、接收、查询等。频会议、视频点播直播等。重要场所远程监控、安全预警等。限把握、CA证书治理等。数据共享交换、数据分析、综合查询等。等。序序号分类信息系统业务描述(01)办公与事务处理公文流转与日常办公事务处理等。(02)公文与信息交换上下级教育行政部门和学校之间的文件传(04)财务治理会计核算、工程经费治理、财务信息公布表2：学校信息系统分类表〔01〕输、信息报送等。校务治理人力资源治理，如人员聘请、合同治理、工类(03)人事治理资治理、培训治理、绩效考核、奖惩治理等。序分类 信息系统 业务描述号等。资产治理后勤治理治理档案治理党务治理教学改革治理

固定资产、仪器设备、公房治理等。投诉处理、能源使用治理等。贷款申请审核、离校治理等。等。档案采集、立卷、组卷、统计、查询等。党员个人根本信息治理、进展党员信息管治理、党组织活动信息公布等。数据库治理等。学科和专业的申报、建设、评估等。〔02〕类

教务教学治理教学资源治理障科研工程治理

互认、教学实践治理、实训治理、教室管理、毕业治理、学位治理等。共享及教学活动组织治理等。效果评测与保障等。科研工程申报、过程治理、经费治理、结果科研与试验的协同、资源共享治理等。序分类号〔03〕类〔04〕类

信息系统招生录用治理学生就业治理门户网站(03)数字图书馆电子邮件视频效劳安防监控校园一卡通证(10)运维治理

业务描述各种科研情报猎取、共享与治理等。等。析、就业指导等。效劳等。即时消息、在线交互、论坛、博客、微博、BBS等。电子期刊数据查询等。电子邮件发送、接收、查询等。频会议、视频点播直播等。重要场所远程监控、安全预警等。效劳等。限把握、CA证书治理等。数据共享交换、数据分析、综合查询等。等。2信息系统安全保护等级建议表序号建议安全保护等级序号建议安全保护等级分类信息系统部级省级地市(01)办公与事务处理其次级其次级其次级(02)公文与信息交换第三级第三级其次级(03)人事治理其次级其次级其次级(04)财务治理其次级其次级其次级(05)资产治理其次级其次级其次级(06)信访治理其次级其次级其次级〔01〕(07)档案治理——其次级其次级政务治理类(08)党务治理其次级其次级其次级(09)科研治理其次级其次级其次级(10)教育统计治理第三级其次级其次级(11)决策支持其次级其次级其次级(12)应急指挥第三级其次级其次级(13)舆情监测与治理第三级其次级其次级(14)高等教育招生打算治理第三级其次级其次级序分类 信息系统

建议安全保护等级号治理(16)教育考试考务治理与效劳治理(16)教育考试考务治理与效劳第三级第三级其次级(17)评审、表彰治理其次级其次级其次级(01)学校治理第三级其次级其次级(02)学科、专业治理第三级其次级其次级(03)教学改革治理第三级其次级其次级(04)教学质量评估第三级其次级其次级(05)校园安全与稳定治理第三级其次级其次级(06)教育经费监管第三级其次级其次级(01)学生学籍治理第三级第三级其次级(02)招生录用治理第三级第三级第三级(03)学生资助治理第三级第三级其次级(04)学位授予治理第三级第三级其次级(01)教师根本信息治理第三级其次级其次级(02)教师资格认定治理第三级其次级其次级(03)教师培训治理第三级其次级其次级(04)教师教育治理第三级其次级其次级(05)教师职称治理第三级其次级其次级(01)门户网站第三级第三级其次级

部级

省级

地市〔02〕学校治理类〔03〕学生治理类〔04〕教师治理类〔05〕分类信息系统部级省级地市综合效劳类 论坛、社区类网站其次级其次级其次级(03)教育教学资源第三级其次级其次级(04)毕业、就业信息治理第三级其次级其次级(05)电子邮件其次级其次级其次级(06)视频效劳第三级其次级其次级(07)安防监控其次级其次级其次级(08)内网门户与身份认证第三级其次级其次级(09)公共数据库第三级其次级其次级(10)运维治理第三级其次级其次级序号建议安全保护等级序号建议安全保护等级序号建议安全保护等级序号建议安全保护等级分类信息系统I类学校II类学校III类学校(01)办公与事务处理其次级其次级第一级〔01〕(02)公文与信息交换其次级其次级第一级校务治理类(03)人事治理其次级其次级第一级(04)财务治理其次级其次级第一级分类信息系统序 建议安全保护等级分类信息系统号〔02〕教学科研类〔03〕招生就业类〔04〕综合效劳类

资产治理后勤治理学生教育工作治理档案治理(10)党务治理教学改革治理学科、专业治理教学资源治理教学质量评估与保障(06)科研治理科研情报学生就业治理(01)门户网站(03)数字图书馆(04)电子邮件

其次级其次级其次级其次级

其次级其次级其次级其次级

第一级第一级第一级第一级序序号建议安全保护等级分类 信息系统(05)视频效劳I类学校其次级II类学校其次级III类学校第一级(06安防监控其次级其次级第一级(07)校园一卡通第三级其次级第一级(08)内网门户与身份认证其次级其次级第一级(09)公共数据库其次级其次级第一级(10)运维治理其次级其次级第一级3信息系统安全等级保护定级报告一、XXX信息系统描述简述确定该系统为定级对象的理由。从三方面进展说明：一是描述担当信息系统安全责任的相关单位或部门，说明本单位或部门对信息系统具有信息安全保护责任，该信息系统为本单位或部门的定级对象；二是该定级对象是否具有信息系统的根本要素，描述根本要素、系统网络构造、系统边界和边界设备；三是该定级对象是否承载着单一或相对独立的业务，业务状况描述。二、XXX信息系统安全保护等级确定〔一〕业务信息安全保护等级确实定业务信息描述描述信息系统处理的主要业务信息等。业务信息受到破坏时所侵害客体确实定说明信息受到破坏时侵害的客体是什么，即对三个客体〔国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益〕中的哪些客体造成侵害。信息受到破坏后对侵害客体的侵害程度确实定说明信息受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严峻损害还是特别严峻损害。业务信息安全等级确实定依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级。〔二〕系统效劳安全保护等级确实定系统效劳描述描述信息系统的效劳范围、效劳对象等。系统效劳受到破坏时所侵害客体确实定〔国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益〕中的哪些客体造成侵害。系统效劳受到破坏后对侵害客体的侵害程度确实定即说明是一般损害、严峻损害还是特别严峻损害。系统效劳安全等级确实定依据系统效劳受到破坏时所侵害的客体以及侵害程度确定系统效劳安全等级。〔三〕安全保护等级确实定信息系统的安全保护等级由业务信息安全等级和系统效劳安全等级较高者打算，最终确定XXX系统安全保护等级为第几级。信息系统名称信息系统名称安全保护等级业务信息安全等级系统效劳安全等级XXX信息系统XXX4备案表编号：备案表备案单备案单位：备案日期：受理备案单位： 受理日期：中华人民共和国公安部监制填表说明制表依据。依据《信息安全等级保护治理方法》〔公通字[2023]43号〕之规定，制作本表；填表范围。本表由其次级以上信息系统运营使用单位或主管部门〔以下简称“备案单位”〕填写；本表由四张表单构成，表一为单位信息，每个填表单位填写一张；表二为信息系统根本信息，表三为信息系统定级信息，表二、表三每个信息系统填写一张；表四为第三级以上信息系统需要同时提交的内容，由每个第三级以上信息系统填写一张，并在完成系统建设、整改、测评等工作，投入运行后三十日内向受理备案公安机关提交；表二、表三、表四可以复印使用；保存方式。本表一式二份，一份由备案单位保存，一份由受理备案公安机关存档；本表中有选择的地方请在选项左侧“内容；

”划“√”，如选择“其他”，请在其后的横线中注明具体封面中备案表编号〔由受理备案的公安机关填写并校验〕：分两局部共11位，第一局部6位，为受理备案公安机关代码前六位〔可参照行标GA380-2023〕。其次局部5位，为受理备案的公安机关给出的备案单位的挨次编号；封面中备案单位：是指负责运营使用信息系统的法人单位全称；封面中受理备案单位：是指受理备案的公安机关公共信息网络安全监察部门名称。此项由受理备案的公安机关负责填写并盖章；表一04行政区划代码：是指备案单位所在的地(区、市、州、盟)行政区划代码；表一05单位负责人：是指主管本单位信息安全工作的领导；表一06责任部门：是指单位内负责信息系统安全工作的部门；表一08隶属关系：是指信息系统运营使用单位与上级行政机构的附属关系，须依据单位隶属关系代码〔GB/T12404―1997〕填写；表二02系统编号：是由运营使用单位给出的本单位备案信息系统的编号；表二05系统网络平台：是指系统所处的网络环境和网络构架状况；表二07关键产品使用状况：国产品是指系统中该类产品的研制、生产单位是由中国公民、法人投资或者国家投资或者控股，在中华人民共和国境内具有独立的法人资格，产品的核心技术、关键部件具有我国自主学问产权；表二08系统承受效劳状况：国内效劳商是指效劳机构在中华人民共和国境内注册成立〔港澳台地区除外〕，由中国公民、法人或国家投资的企事业单位；表三01、02、03项：填写上述三项内容，确定信息系统安全保护等级时可参考《信息系统安全等级保护定级指南》，信息系统安全保护等级由业务信息安全等级和系统效劳安全等级较高者打算。01、02项中每一个确定的级别所对应的损害客体及损害程度可多项选择；表三06主管部门：是指对备案单位信息系统负领导责任的行政或业务主管单位或部门。部级单位此项可不填；解释：本表由公安部公共信息网络安全监察局监制并负责解释，未经允许，任何单位和个人不得对本表进展改动。表一单位根本状况单位名称省(自治区、直辖市)地(区、市、州、盟)单位地址县(区、市、旗)邮政编码行政区划代码单位 姓 名职务/职称负责人 办公电子邮件责任部门姓 名责任部门职务/职称办公联系人电子邮件移动隶属关系

1中心4县〔区、市、旗〕

2省(自治区、直辖市)9其他

3地(区、市、州、盟)单位类型 1党委机关 2政府机关

3事业单位 4企业 9其他11电信21铁路务

12广电 13经营性公众互联网22银行 23海关 24税行业类别

25民航险

26电力 27证券 28保31国防科技工业35审计源

32公安36商业贸易

33人事劳动和社会保障37国土资源

34财政38能39交通政

40统计 41工商行政治理 42邮4343教育44文化45卫生46农业47水利48外交49进展改革50科技51宣传52质量监视检验检疫99其他信息系统其次级信息系统数个第三级信息系统数个个总数第四级信息系统数个第五级信息系统数个表二〔/〕信息系统状况系统名称 系统编号系统业务类型

生产作业

指挥调度

治理把握 4内部办公承载业务业务描述状况

5公众效劳 9其他10全国 11跨省〔区、市〕跨 个系统效劳范围

20全省〔区、市〕30地〔市、区〕内99其它

21跨地〔市、区〕跨 个效劳对象1单位内部人员2社会公众人员3两者均包括9其他系统掩盖范围1局域网2城域网3广域网 9其他网络平台网络性质1业务专网2互联网9其它系统互联状况

1与其他行业系统连接3与本单位其他系统连接

2与本行业其他单位系统连接9其它序号产品类型

使用国产品率全部使用 全部未使用

局部使用及使用率