教育行业信息系统安全等级保护

(公通字[2022 ] 43 号)第一条为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。

第二条国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。

第三条公安机关负责信息安全等级保护工作的监督、检查、指导。

国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。

国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。

涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。

国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。

第四条信息系统主管部门应当依照本办法及相关标准规范，催促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。

第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。

第六条国家信息安全等级保护坚持自主定级、自主保护的原则。

信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

第七条信息系统的安全保护等级分为以下五级:第一级，信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成伤害,但不伤害国家安全、社会秩序和公共利益。

第二级,信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重伤害,或者对社会秩序和公共利益造成伤害，但不伤害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重伤害，或者对国家安全造成伤害.第四级，信息系统受到破坏后,会对社会秩序和公共利益造成特殊严重伤害，或者对国家安全造成严重伤害。

信息安全等级保护管理办法（公通字[2007]43号）作者 : 来源 : 公安部、国家保密局、国家密码管理局、字体：大中小国务院信息工作办公室时间：2007-06-22第一章总则第一条为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。

第二条国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。

第三条公安机关负责信息安全等级保护工作的监督、检查、指导。

国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。

国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。

涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。

国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。

第四条信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。

第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。

第二章等级划分与保护第六条国家信息安全等级保护坚持自主定级、自主保护的原则。

信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

第七条信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

信息安全等级保护标准规范一、开展信息安全等级保护工作的重要性和必要性信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。

信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。

实行信息安全等级保护制度，能够充分调动国家、法人和其他组织及公民的积极性，发挥各方面的作用，达到有效保护的目的，增强安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，对促进我国信息安全的发展将起到重要推动作用。

二、信息安全等级保护相关法律和文件1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。

1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》。

2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号）明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。

2007年6月，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》（以下简称《管理办法》），明确了信息安全等级保护的具体要求。

三、工作分工和组织协调（一）工作分工。

公安机关负责信息安全等级保护工作的监督、检查、指导。

国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。

国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。

涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。

7月24日，公安部网站发布四部门联合制定的《信息安全等级保护管理办法》，全文如下：第一章总则第一条为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。

第二条国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。

第三条公安机关负责信息安全等级保护工作的监督、检查、指导。

国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。

国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。

涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。

国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。

第四条信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。

第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。

第二章等级划分与保护第六条国家信息安全等级保护坚持自主定级、自主保护的原则。

信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

第七条信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

随着信息技术的飞速发展，教育行业的信息化水平不断提高，学校信息系统已成为教育教学、行政管理、科研创新等方面的重要支撑。

为保障学校信息系统的安全稳定运行，防范各类信息安全风险，依据《中华人民共和国网络安全法》及相关法律法规，结合学校实际情况，特制定本制度。

一、制度目的1. 保障学校信息系统安全，防止信息泄露、篡改、破坏等安全事件发生。

2. 提高学校信息安全意识，培养信息安全人才。

3. 规范学校信息安全管理工作，建立健全信息安全保障体系。

二、适用范围本制度适用于学校所有信息系统，包括但不限于教务系统、财务系统、办公自动化系统、图书馆系统等。

三、组织架构1. 成立学校信息安全工作领导小组，负责学校信息等级保护工作的组织、协调和监督。

2. 设立信息安全管理部门，负责学校信息等级保护工作的具体实施。

3. 各部门、各单位明确信息安全责任人，负责本部门、本单位信息系统的安全管理工作。

四、信息等级划分1. 根据信息系统涉及的信息类型、业务范围、服务对象等因素，将学校信息系统划分为以下三个等级：（1）一级信息系统：涉及国家安全、社会公共利益的重要信息系统。

（2）二级信息系统：涉及学校公共利益、重要业务、重要数据的重要信息系统。

（3）三级信息系统：涉及学校一般业务、一般数据的一般信息系统。

2. 信息系统的安全保护等级应根据信息系统的重要程度、影响范围等因素进行动态调整。

五、信息安全措施1. 物理安全：加强校园网络安全设施建设，确保信息系统设备安全运行。

2. 网络安全：建立网络安全防护体系，防范网络攻击、病毒入侵等安全风险。

3. 主机安全：对服务器、终端等主机进行安全配置，定期进行安全漏洞扫描和修复。

4. 应用安全：对信息系统进行安全测试，确保系统功能完善、安全可靠。

5. 数据安全：对重要数据进行加密存储、备份和恢复，防止数据泄露、篡改。

6. 安全管理：建立健全信息安全管理制度，加强人员培训，提高信息安全意识。

六、信息安全等级保护实施步骤1. 信息系统定级：根据信息系统的重要程度，确定其安全保护等级。

1信息系统安全等级保护定级指南为宣贯《信息系统安全等级保护定级指南》（以下简称《定级指南》）国家标准，由标准起草人介绍标准制、修订过程，讲解标准的主要内容,解答标准执行中可能遇到的问题。

1.1定级指南标准制修订过程1.1.1制定背景本标准是公安部落实66号文件，满足开展等级保护工作所需要的重要规范性文件之一，是其他标准规范文件的基础。

本标准依据66号文件与“信息安全等级保护管理办法”的精神与原则，从信息系统对国家安全、经济建设、社会生活重要作用，信息系统承载业务的重要性、业务对信息系统的依赖程度与信息系统的安全需求等方面的因素，确定信息系统的安全保护等级，提出了分级的原则与方法。

本任务来自全国信息系统安全标准化技术委员会，由全国信息安全标准化技术委员会WG5工作组负责管理。

1.1.2国外相关资料分析本标准编制前，编制人员收集与信息系统确定等级相关的国外资料，其中主要是来自美国的标准或文献资料，例如：●FIPS 199 Standards for Security Categorization of Federal Information and InformationSystems（美国国家标准与技术研究所）●DoD INSTRUCTION 8510.1-M DoD Information Technology Security Certificationand Accreditation Process Application Manual（美国国防部）●DoD INSTRUCTION 8500.2 Information Assurance (IA) Implementation（美国国防部）●Information Assurance Technology Framework3.1（美国国家安全局）这些资料表明，美国政府及军方也在积极进行信息系统分等级保护的尝试，从一个侧面反映了分等级对重要信息系统实施重点保护的思想不仅适用于像我国这样的信息技术水平不高的发展中国家，也适用于信息化发达国家。

教育行业二级等保内容
在中国，教育行业是需要遵守国家相关法律法规的。

根据国家网络安全等级保护制度（GB/T 22239-2019），教育行业属于
二级等保要求。

二级等保是指对信息系统的保护要求进行分级的一种措施，其目的是根据信息系统的重要性和涉及的信息资源等级，采取相应的技术措施和管理控制措施，对信息系统进行安全防护。

在教育行业，保护学生和教职工的个人隐私和敏感数据非常重要。

下面是教育行业二级等保可能涉及的内容：
1. 网络安全技术措施：包括网络隔离、入侵检测和防护、网络流量监控、安全认证和访问控制等。

2. 数据分类、加密和备份：对不同等级的敏感数据进行分类，并采取相应的加密和备份措施，确保数据在传输和存储过程中的安全。

3. 身份认证和访问控制：采取严格的身份认证和访问控制措施，确保只有授权人员才能访问敏感信息，并记录相应的操作日志。

4. 应急响应和安全管理：建立健全的网络安全管理制度，包括风险评估、漏洞管理、安全事件应急响应等，以应对潜在的网络安全威胁。

5. 教育信息系统的安全审计：对教育信息系统进行定期的安全
审计和检查，发现问题及时修复和改进。

以上仅是教育行业二级等保内容的一些示例，具体的实施要按照相关法律法规和标准进行。

教育机构应该做好网络安全保护工作，保障学生和教职工的信息安全。