河北工业大学信息系统等级保护工作实施意见

根据《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例》(国务院第147号令)、《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)和《教育行业信息系统安全等级保护定级工作指南》等法规、文件的要求,河北工业大学全面实施信息系统安全等级保护制度。

一、实施依据、范围及基本思路

(一)实施依据

《中华人民共和国网络安全法》

《中华人民共和国计算机信息系统安全保护条例》(国务院第147号令)

《信息系统安全等级保护定级指南》(GB/T 22240-2008)

《信息系统安全等级保护实施指南》(GB/T 25058-2010)

《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)

《信息安全等级保护管理办法》(公通字〔2007〕43号)

《教育行业信息系统安全等级保护定级工作指南》

《河北工业大学网络与信息技术安全管理办法》

(二)实施范围及信息系统的类型划分

1.本实施意见适用于全校各类非涉密信息系统安全等级保护工作。信息系统的定级工作应在信息系统设计阶段完成,与信息系统建设同步实施。

2.信息系统的类型划分

信息系统的类型划分是进行信息系统安全等级划分的前提和基础。按照信息系统的主管单位、业务对象、部署模式对我校信息系统进行分类,形成信息系统分类表(附件1)。

(三)信息系统的定级思路

信息系统的定级思路是在信息系统分类的基础上,按照教育部《教育行业信息系统安全等级保护定级工作指南》的学校信息系统安全等级建议表(I类学校)形成我校各信息系统的安全等级建议表(附件2)。

二、信息系统的定级工作流程

河北工业大学信息系统安全等级保护应坚持“自主定级、自主保护”的原则,依据《信息系统安全等级保护定级指南》的定级原理、方法,参照《教育行业信息系统安全等级保护定级工作指南》的信息系统类型划分、定级思路组织开展信息系统定级工作。

(一)确定定级责任主体

信息系统应明确定级工作的责任主体。按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,信息系统的主管单位为定级工作的责任主体,原则上信息系统业务主管单位为信息系统的主管单位,负责组织运维单位、使用单位开展信息系统定级工作。集中式信息系统由信息系统牵头建设单位负责组织信息系统定级工作。分布式信息系统由牵头建设单位负责组织信息系统定级工作,确定中心信息系统安全保护等级;各分支信息系统的主管单位参照中心系统的安全保护等级自主组织定级工作。信息系统的运维单位应协助主管单位完成定级过程中的具体技术支撑工作。

(二)自主定级

主管单位对本单位信息系统进行梳理分析,参考附表2的建议等级进行自主定级,确定信息系统安全保护等级。对于承载复杂业务的信息系统,安全保护等级可高于建议等级;对于承载多个业务的信息系统,应以所承载业务的信息系统的最高建议等级进行定级。

(三)专家评审

主管单位完成信息系统自主定级后,需聘请有关信息安全等级保护专家对信息系统自主定级情况进行评审,形成评审意见。拟定级的信息系统,由学校邀请信息安全保护等级专家评审小组进行评审。

(四)上级主管部门审核批准

学校完成信息系统专家评审后,填写《信息系统安全等级保护定级报告》(附件3)、《信息系统安全等级保护备案表》(附件4)和信息系统安全等级保护专家评审意见等材料。报送河北省教育厅和天津市教育委员会审批。

(五)公安机关备案

经审核批准的二级以上信息系统,由信息安全与技术服务中心负责组织到天津市公安局办理备案手续。

(六)等级变更

信息系统运行过程中,当系统状态变化可能导致业务信息安全或系统服务受到破坏后的受侵害对象和受侵害程度有较大的变化时,应根据具体情况重新定级,并变更等级。