第一章 总则
第一条 为规范丽江师范高等专科学校(以下简称“丽江师专”)信息系统定级备案管理,制定本规定。
第二条 本规定适用于丽江师范高等专科学校,适用于丽江师专拟建、在建以及运行的非涉密重要信息系统。
第二章 定义
第三条 信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
第四条 名词定义:
业务部门:信息系统使用部门。
业务信息安全:从业务信息安全角度反映的信息系统安全。
系统服务安全: 从系统服务安全角度反映的信息系统安全。
受侵害客体:等级保护对象受到破坏时所侵害的客体包括以下三个方面:
a)公民、法人和其他组织的合法权益;
b)社会秩序、公共利益;
c)国家安全。
对客体的侵害程度:等级保护对象受到破坏后对客体造成侵害的程度有造成一般损害、造成严重损害和造成特别严重损害。
一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害。
严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。
特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。
第五条 角色定义
应用系统负责人:由业务部门为每个信息系统指定的定级备案工作负责人;
系统定级管理负责人:由信息安全职能部门指定的定级备案负责人。
第三章 岗位及职责
第六条 业务部门:应对待定级系统指定应用系统负责人,对待建、在建和已建信息系统根据等级保护相关要求进行定级,并完成定级报告。
第七条 信息安全职能部门:信息安全职能部门指定系统定级管理负责人,完成定级备案表,并报信息安全领导小组审核,审核通过后报公安机关备案。
第四章 系统定级方法
第八条 信息系统定级方法如图所示:
图1 信息系统定级方法图
第九条 信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度,定级要素与信息系统安全保护等级的关系如表1所示:
表1 业务信息安全保护等级矩阵表
受侵害的客体 |
对客体的侵害程度 |
一般损害 |
严重损害 |
特别严重损害 |
公民、法人和其他组织的合法权益 |
第一级 |
第二级 |
第二级 |
社会秩序、公共利益 |
第二级 |
第三级 |
第四级 |
国家安全 |
第三级 |
第四级 |
第五级 |
第十条 信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级应由业务信息安全和系统服务安全两方面确定。
第十一条 根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据表2业务信息安全保护等级矩阵表,即可得到业务信息安全保护等级。
表2 业务信息安全保护等级矩阵表
业务信息安全被破坏时所受侵害的客体 |
对相应客体的侵害程度 |
一般损害 |
严重损害 |
特别严重损害 |
公民、法人和其他组织的合法权益 |
第一级 |
第二级 |
第二级 |
社会秩序、公共利益 |
第二级 |
第三级 |
第四级 |
国家安全 |
第三级 |
第四级 |
第五级 |
第十二条 根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据表3系统服务安全保护等级矩阵表,即可得到系统服务安全保护等级。
表3 系统服务安全保护等级矩阵表
系统服务安全被破坏时所受侵害的客体 |
对相应客体的侵害程度 |
一般损害 |
严重损害 |
特别严重损害 |
公民、法人和其他组织的合法权益 |
第一级 |
第二级 |
第二级 |
社会秩序、公共利益 |
第二级 |
第三级 |
第四级 |
国家安全 |
第三级 |
第四级 |
第五级 |
第五章 系统定级备案管理
第十三条 丽江师专应按《信息安全等级保护管理办法》(公通字【2007】43号)和《GB/T 22240—2008 信息安全技术 信息系统安全等级保护定级指南》的要求进行信息系统的定级、设计、建设、测评、备案和变更管理,具体的定级备案工作由信息安全职能部门和业务需求单位共同负责。
第十四条 丽江师专信息系统定级遵循“自主定级”的原则,由业务部门进行自主定级,丽江师专信息系统安全保护等级一般为第二级或第三级,如因特殊情况需定级为第四级或以上,需由信息安全职能部门确认。
第十五条 信息系统定级流程如下:
(一)应用系统负责人应参照附件1填写《信息系统安全等级保护定级报告》,完成自主定级,报告应中明确信息系统安全保护等级,详细说明定级的方法和理由,定级方法详见第四章内容。
(二)业务部门完成自主定级后,将《信息系统安全等级保护定级报告》提交信息安全职能部门进行存档,并将定级结果报信息安全领导小组审核。
(三)由信息安全职能部门协助业务部门组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定,并对专家论证文档进行保存,记录专家对定级结果的论证意见。
(四)如安全技术专家对信息系统定级结果的合理性和正确性存在异议,则由业务部门、信息安全职能部门和技术专家组共同讨论确认信息系统的安全保护等级,并由业务部门根据最终的论证意见重新填写《信息系统安全等级保护定级报告》。
(五)如安全技术专家对信息系统定级结果的合理性和正确性无异议,则由信息安全职能部门指定的定级管理负责人根据《信息系统安全等级保护备案表》(附件2,以下简称《备案表》)中填表说明填写《备案表》,并进行备案工作。
第十六条 信息系统备案流程如下:
(一)定级管理负责人进行信息系统备案时应当提交公安机关公共信息网络安全监察部门《备案表》(一式两份)及其电子文档。第二级及以上信息系统备案时需提交《备案表》中的表一、二、三;第三级及以上信息系统还应当在系统整改、测评完成后30日内提交《备案表》表四以及其相关材料;
(二)备案资料经公安机关公共信息网络安全监察部门审核通过后,定级管理负责人会收到由公安机关公共信息网络安全监察部门出具的《信息系统安全等级保护备案材料接收回执》;
(三)公安机关公共信息网络安全监察部门审核后认定备案资料不齐全的,会在当场或者在五日内一次性告知定级管理负责人其补正内容,定级管理负责人应根据公安机关公共信息网络安全监察部门告知的补正内容补齐相关资料,并提交公安机关公共信息网络安全监察部门;
(四)备案材料经公安机关公共信息网络安全监察部门审核通过后,定级管理负责人会在递交材料的十个工作日内收到加盖公安机关印章(或等级保护专用章)的《备案表》一份;
(五)备案材料经公安机关公共信息网络安全监察部门审核未通过,认为其不符合等级保护要求的,公安机关公共信息网络安全监察部门会在十个工作日内通知定级管理负责人进行相应整改,并向定级管理负责人出具《信息系统安全等级保护备案审核结果通知》。
(六)定级管理负责人收到公安机关公共信息网络安全监察部门出具的由公安部统一监制《信息系统安全等级保护备案证明》后,信息系统备案工作结束。
第十七条 每个信息系统相应的应用系统负责人都应在信息安全职能部门进行登记,如应用系统负责人发生变更,业务部门应及时通知信息安全职能部门对人员信息进行变更。
第十八条 应用系统负责人有义务配合信息安全职能部门以及公安部进行信息安全等级保护检查工作。
第十九条 拟建以及在建的重要信息系统在投入使用前应按本规定进行信息系统定级,并且在信息系统投入使用后,应当按要求和程序进行该信息系统安全等级备案工作。
第二十条 信息系统发生重大变更导致系统安全保护等级变化时,信息安全职能部门和业务部门应重新确定信息系统的安全保护等级,按相应程序报备,并按新的等级要求调整保护措施。
第六章 附则
第二十一条 本规定的解释权归丽江师范高等专科学校。
第二十二条 本规定自发布之日起生效。