宛院网字[2013]4号
南阳师范学院
关于印发《南阳师范学院信息系统安全等级保护定级指南》的通知
校属各单位:
南阳师范学院信息系统安全等级保护定级指南已经学校讨论通过,现予印发,请全校师生员工遵照执行。
附件:《南阳师范学院信息系统安全等级保护定级指南》
现代教育技术与网络中心
2013年11月6日
南阳师范学院信息系统安全等级保护定级指南
1 总则
为了对我校信息系统安全等级保护的定级工作提供指导,依据《中华人民共和国计算机信息系统安全保护条例》和《信息系统安全等级保护定级指南》等相关规定,结合我校信息化工作的特点制定本指南。
本指南所称的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
2 术语和定义
2.1 等级保护对象
信息安全等级保护工作直接作用的具体的信息和信息系统。
2.2 客体
受法律保护的、等级保护对象受到破坏时所侵害的社会关系,如国家安全、社会秩序、公共利益以及公民、法人或社会其他组织的合法权益。
2.3客观方面
对客体造成侵害的客观外在表现,包括侵害方式和侵害结果等。
3定级原理
3.1信息系统安全保护等级
根据国家等级保护相关文件,信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
3.2信息系统安全保护等级的定级要素
信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
3.2.1受侵害的客体
等级保护对象受到破坏时所侵害的客体包括以下三个方面:
a)公民、法人和其他组织的合法权益;
b)社会秩序、公共利益;
c)国家安全。
3.2.2对客体的侵害程度
对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。
等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:
a)造成一般损害;
b)造成严重损害;
c)造成特别严重损害。
3.3定级要素与安全保护等级的关系
定级要素与信息系统安全保护等级的关系见表1。
表 1 定级要素与信息系统安全保护等级的关系
受侵害的客体
| 对客体的侵害程度
|
一般损害
| 严重损害
| 特别严重损害
|
公民、法人和其他组织的合法权益
| 第一级
| 第二级
| 第二级
|
社会秩序、公共利益
| 第二级
| 第三级
| 第四级
|
国家安全
| 第三级
| 第四级
| 第五级
|
4定级方法
4.1定级的一般流程
信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。
从业务信息安全角度反映的信息系统安全保护等级称为业务信息安全保护等级。
从系统服务安全角度反映的信息系统安全保护等级称为系统服务安全保护等级。
确定信息系统安全保护等级的一般流程如下:
a)确定作为定级对象的信息系统;
b)确定业务信息安全受到破坏时所侵害的客体;
c)根据不同的受侵害客体,从多个方面综合评定业务信息安全被破坏对客体的侵害程度;
d)依据表4,得到业务信息安全保护等级;
e)确定系统服务安全受到破坏时所侵害的客体;
f)根据不同的受侵害客体,从多个方面综合评定系统服务安全被破坏对客体的侵害程度;
g)依据表5,得到系统服务安全保护等级;
h)将业务信息安全保护等级和系统服务安全保护等级的较高者确定为等级保护对象的安全保护等级。
确定信息系统安全保护等级一般流程见图1。
4.2确定定级对象
一个单位内运行的信息系统可能比较庞大,为了体现重要部分重点保护、有效控制信息安全建设成本、优化信息安全资源配置的等级保护原则,可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。
4.2.1定级对象的基本特征
4.2.1.1 具有唯一确定的安全责任单位
作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责任单位;
如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的单位。
4.2.1.2 具有信息系统的基本要素
作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象。
4.2.1.3 承载单一或相对独立的业务应用
定级对象承载“单一”的业务应用是指该业务应用的业务流程独立,且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。
4.2.2我校信息安全等级保护对象
根据我校实际,按照上述定级对象的基本特征,综合考虑信息系统的责任单位、业务类型和业务重要性等各种因素,将我校相关信息系统按照信息系统类别及承载的业务性质进行分类,见表2和表3。
表 2南阳师范学院信息安全等级保护对象分类
序号
| 分类
| 系统名称
| 系统描述
|
1
| 教学支持类
| 教务管理系统(含本科生,研究生,成人教育,留学生教育)
| 提供学生学籍管理、教学计划管理、选课管理、成绩管理、教室管理、毕业管理等功能的管理系统。
|
2
| 教学资源与课程资源共享类辅助教学系统
| 提供教育教学资源/课程资源制作、发布、共享及教学活动组织管理等功能的资源系统。
|
3
| 教学评估系统
|
|
4
| 科研支持类
| 科研管理系统
| 提供项目申报、过程管理、经费管理、结果评估的功能的管理系统。
|
5
| 科学研究协同与支撑系统
|
|
6
| 科研情报系统
|
|
7
| 校务管理类
| 教育电子公文与信息交换系统
| 教育部指定的公文传输平台,主要提供上下级教育行政部门和学校之间的文件传输等功能。
|
8
| 办公与事务处理系统
| 提供在线公文流转、信息发布、会议管理等等事务处理。
|
9
| 人事管理系统
| 提供人员招聘、合同管理、工资管理、培训管理、绩效考核、奖惩管理等功能的管理系统。
|
10
| 教师管理系统
| 提供教师培训管理、职称管理、薪酬管理等功能的管理系统。
|
11
| 财务管理系统
| 提供会计核算、项目经费管理、财务信息发布等功能的管理系统。
|
12
| 资产管理系统
| 提供固定资产、仪器设备、公房管理等资产管理的信息系统。
|
13
| 学生教育工作管理系统(本科生、研究生、留学生等)
| 提供学生迎新、学生评估、奖惩管理、助学贷款申请审核、离校管理等功能的管理系统。
|
14
| 学生体质健康数据管理系统
| 提供学生体质健康数据采集、处理、查询等功能的管理系统。
|
15
| 档案管理系统
| 提供档案采集、立卷、组卷、统计、查询等功能的管理系统。
|
16
| 数据集成类
| 公共数据库系统
| 提供数据共享交换、数据分析、综合查询等功能的信息系统
|
17
| 信息门户系统
| 提供单点登录、信息聚合展现的应用系统
|
18
| 统一认证管理系统
| 提供身份管理、认证、权限控制等功能的综合服务系统。
|
19
| 信息发布类
| 学校门户网站
| 提供学校信息发布、校务公开、政策咨询、社会服务等功能的官方门户网站。
|
20
| 各部门、院、系、所、研究机构网站
| 提供各部门、院、系、所、研究机构信息发布、信息公开等功能的网站。
|
21
| 校务信息发布平台
| 提供校内相关公文、通知、公告信息的管理系统
|
22
| 公共服务类
| 后勤管理系统
| 提供后勤工作管理、后勤服务项目管理、后勤咨询投诉处理等功能的管理系统。能源管理系统
|
23
| 校园一卡通系统
| 提供饭卡、学生证、工作证、医疗卡、上机卡、考勤卡、门禁卡等应用项目的统一认证管理服务的综合系统。
|
24
| 图书馆管理系统
| 提供馆藏书目信息维护及查询、图书借阅管理、电子期刊数据查询等功能的管理系统。
|
25
| 安防监控系统
| 提供对学校重要场所进行远程监控、安全预警等功能的信息系统
|
26
| 招生就业类
| 本科生招生管理系统
| 提供本科生招生管理等功能的管理系统。
含招生信息、招生管理、网上报名等
|
27
| 研究生招生管理系统
| 提供研究生招生管理等功能的管理系统。
含招生信息、招生管理、网上报名等
|
29
| 本科生、研究生就业管理系统
| 含本科生、研究生就业信息、就业管理、就业数据分析等
|
30
| 基础网络服务类
| 校园网网络运维管理系统
| 提供校园网运行监控、设备管理、维护等功能的信息系统。
|
31
| 电子邮件系统
| 提供电子邮件发送、接收、查询等功能的信息系统。
|
32
| 网络视频服务系统
| 视频会议、视频点播、直播等视频即时服务
|
33
| 论坛、社区类网站
| 含思想教育、文化建设等,提供在线交互、论坛、博客、BBS等功能。
|
4.3确定受侵害的客体
4.3.1侵害客体的几个方面
定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。
侵害国家安全的事项包括以下方面:
1、影响国家政权稳固和国防实力;
2、影响国家统一、民族团结和社会安定;
3、影响国家对外活动中的政治、经济利益;
4、影响国家重要的安全保卫工作;
5、影响国家经济竞争力和科技实力;
6、其他影响国家安全的事项。
侵害社会秩序的事项包括以下方面:
1、影响国家机关社会管理和公共服务的工作秩序;
2、影响各种类型的经济活动秩序;
3、影响各行业的科研、生产秩序;
4、影响公众在法律约束和道德规范下的正常生活秩序等;
5、其他影响社会秩序的事项。
影响公共利益的事项包括以下方面:
1、影响社会成员使用公共设施;
2、影响社会成员获取公开信息资源;
3、影响社会成员接受公共服务等方面;
4、其他影响公共利益的事项。
影响公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。
确定作为定级对象的信息系统受到破坏后所侵害的客体时,应首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,最后判断是否侵害公民、法人和其他组织的合法权益。
4.3.2我校相关信息系统受到破坏时侵害的客体
根据我校特点,分析相关信息系统与国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的关系,从而确定信息系统受到破坏时所侵害的客体。
招生管理类、数据集成类、校务管理类、基础网络服务类等信息系统的业务信息安全或系统服务安全受到破坏,可能影响学校正常秩序,影响学校正常行使工作职能,侵害学校、教师、学生及部分社会公众合法权益,可能在一定范围内对社会秩序造成影响,可能侵害公共利益,引起法律纠纷等;
教学支持类、科研管理类、公共服务类、信息发布类等信息系统业务信息安全或系统服务安全受到破坏,可能影响学校正常秩序,影响学校正常行使工作职能,侵害学校、教师、学生合法权益,引起法律纠纷等。
4.4确定对客体的侵害程度
4.4.1侵害的客观方面
在客观方面,对客体的侵害行为外在表现为对定级对象的破坏,其危害方式表现为对信息安全的破坏和对系统服务安全的破坏,其中信息安全是指要确保信息系统内信息的私密性、完整性和可用性等,系统服务安全是指要确保信息系统可以及时、有效地提供服务,以完成预定的业务目标。由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同,在定级过程中,需要分别处理这两种危害方式。
信息安全和系统服务安全受到破坏后,可能产生以下危害后果:
1、影响行使工作职能;
2、导致业务能力下降;
3、引起法律纠纷;
4、导致财产损失;
5、造成社会不良影响;
6、对其他组织和个人造成损失;
7、其他影响。
4.4.2综合判定侵害程度
侵害程度是指客观方面的不同外在表现程度,因此,应首先根据不同的受侵害客体、不同危害后果分别确定其危害程度。对不同危害后果确定其危害程度所采取的方法和所考虑的角度可能不同,例如系统服务安全被破坏导致业务能力下降的程度可以从信息系统服务覆盖的区域范围、用户人数或业务量等不同方面确定,业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。
在针对不同的受侵害客体进行侵害程度的判断时,应参照以下不同的判别基准:
1、如果受侵害客体是公民、法人或其他组织的合法权益,则以本人或本单位的总体利益作为判断侵害程度的基准;
2、如果受侵害客体是社会秩序、公共利益或国家安全,则应以整个行业或国家的总体利益作为判断侵害程度的基准。
不同危害后果的三种危害程度描述如下:
一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害。
严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。
特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且功能无法执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。
业务信息安全和系统服务安全被破坏后对客体的侵害程度,由对不同危害结果的危害程度进行综合评定得出。由于各单位信息系统所处理的信息种类和系统服务特点各不相同,业务信息安全和系统服务安全受到破坏后可能产生的危害结果以及危害程度的评估方式均可能不同,各单位可根据本单位信息种类和系统服务特点,制定危害程度的综合评定方法,并给出侵害不同客体造成一般损害、严重损害、特别严重损害的具体定义,从而确定保护等级。
4.4.3我校相关信息系统受到破坏对客体的侵害程度
我校信息系统的业务信息安全或系统服务安全受到破坏时,对客体的侵害程度与信息系统所属单位的级别以及承载业务的重要性、影响程度、规模等有关。分别描述如下:
我校信息系统中,招生管理类、数据集成类、校务管理类、基础网络服务类信息系统的业务信息安全或系统服务安全受到破坏,可能使我校工作秩序和工作职能受到严重影响,对社会将产生一定范围的不良影响,对社会秩序和公共利益造成严重损害,对学生及部分社会公众造成严重损害;
教学支持类、科研管理类、公共服务类、信息发布类等信息系统业务信息安全或系统服务安全受到破坏,可能严重影响学校正常秩序,影响学校正常行使工作职能,侵害学校、教师、学生合法权益,引起法律纠纷。
4.5确定定级对象的安全保护等级
4.5.1定级对象的安全保护等级
根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据表3业务信息安全保护等级矩阵表,即可得到业务信息安全保护等级。
表3业务信息安全保护等级矩阵表
业务信息安全被破坏时所侵害的客体
| 对相应客体的侵害程度
|
一般损害
| 严重损害
| 特别严重损害
|
公民、法人和其他组织的合法权益
| 第一级
| 第二级
| 第二级
|
社会秩序、公共利益
| 第二级
| 第三级
| 第四级
|
国家安全
| 第三级
| 第四级
| 第五级
|
根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据表4系统服务安全保护等级矩阵表,即可得到系统服务安全保护等级。
表4系统服务安全保护等级矩阵表
系统服务安全被破坏时所侵害的客体
| 对相应客体的侵害程度
|
一般损害
| 严重损害
| 特别严重损害
|
公民、法人和其他组织的合法权益
| 第一级
| 第二级
| 第二级
|
社会秩序、公共利益
| 第二级
| 第三级
| 第四级
|
国家安全
| 第三级
| 第四级
| 第五级
|
作为定级对象的信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。
4.5.2我校系统安全等级保护等级
综合考虑我校有关信息系统的业务信息安全等级和系统服务安全等级,各类信息系统定级建议见表5。各单位根据本单位信息系统业务功能,进行参照定级,安全等级应不低于建议级别;对于承载复杂功能的信息系统,安全等级可高于建议级别;对于承载多个业务功能的信息系统,应以建议的最高安全等级进行定级;未在建议表中列出的信息系统,可根据其承载的业务功能,参照本定级指南进行定级。
表5河南省高等院校各类信息系统建议等级
序号
| 分类
| 系统名称
| 建议等级
| 备注
|
信息系统安全保护等级
| 业务信息安全保护等级
| 系统服务安全保护等级
|
1
| 教学支持类
| 教务管理系统(含本科生,研究生,成人教育,留学生教育)
| 第二级
| 第二级
| 第二级
|
|
2
| 教学资源与课程资源共享类辅助教学系统
| 第二级
| 第二级
| 第二级
|
|
3
| 教学评估系统
| 第二级
| 第二级
| 第二级
|
|
4
| 科研支持类
| 科研管理系统
| 第二级
| 第二级
| 第二级
| 涉密和尖端科研领域除外
|
5
| 科学研究协同与支撑系统
|
|
|
|
|
6
| 科研情报系统
|
|
|
|
|
7
| 校务管理类
| 教育电子公文与信息交换系统
| 第三级
| 第三级
| 第三级
| 全国统一系统按上级要求定级
|
8
| 办公与事务处理系统
| 第二级
| 第二级
| 第二级
|
|
9
| 人事管理系统
| 第二级
| 第二级
| 第二级
|
|
10
| 教师管理系统
| 第二级
| 第二级
| 第二级
|
|
11
| 财务管理系统
| 第二级
| 第二级
| 第二级
|
|
12
| 资产管理系统
| 第二级
| 第二级
| 第二级
|
|
13
| 学生教育工作管理系统(本科生、研究生、留学生等)
| 第二级
| 第二级
| 第二级
|
|
14
| 学生体质健康数据管理系统
| 第二级
| 第二级
| 第二级
| 全国统一系统按上级要求定级
|
15
| 档案管理系统
| 第二级
| 第二级
| 第二级
|
|
16
| 数据集成类
| 公共数据库系统
| 第三级
| 第三级
| 第三级
|
|
17
| 信息门户系统
| 第三级
| 第三级
| 第三级
|
|
18
| 统一认证管理系统
| 第三级
| 第三级
| 第三级
|
|
19
| 信息发布类
| 学校门户网站
| 第二级
| 第二级
| 第二级
| 可根据学校实际情况定为二级
|
20
| 各部门、院、系、所、研究机构网站
| 第二级
| 第二级
| 第二级
|
|
21
| 校务信息发布平台
| 第二级
| 第二级
| 第二级
|
|
22
| 公共服务类
| 后勤管理系统
| 第二级
| 第二级
| 第二级
|
|
23
| 校园一卡通系统
| 第二级
| 第二级
| 第二级
| 可根据学校实际可定为二级
|
24
| 图书馆管理系统
| 第二级
| 第二级
| 第二级
|
|
25
| 安防监控系统
| 第二级
| 第二级
| 第二级
|
|
26
| 招生就业类
| 本科生招生管理系统
| 第三级
| 第三级
| 第三级
| 全国统一系统按上级要求定级,须与上级部门相应系统定级一致
|
27
| 研究生招生管理系统
| 第三级
| 第三级
| 第三级
|
|
28
| 本科生、研究生就业管理系统
| 第二级
| 第二级
| 第二级
|
|
29
| 基础网络服务类
| 校园网网络运维管理系统
| 第三级
| 第三级
| 第三级
|
|
30
| 电子邮件系统
| 第二级
| 第二级
| 第二级
|
|
31
| 网络视频服务系统
| 第二级
| 第二级
| 第二级
|
|
32
| 论坛、社区类网站
| 第二级
| 第二级
| 第二级
|
|
