高校等保定级指南教育部

教育信息系统等级保护定级指南(试行)doc教育信息系统安全等级保护定级指南（试行）1 总则本指南依据国家信息安全等级保护相关政策和标准，在《信息系统安全等级保护定级指南》（GB/T 22240-2008）的基础上，结合各级教育行政部门及高等学校信息化工作实际需要，重点给出了教育信息系统的定级流程和级别建议，适用于教育部、省（自治区、直辖市、计划单列市）、市教育行政部门及高等学校主要信息系统的安全等级保护定级工作。

区县及以下教育行政部门、中等职业学校、中小学校和其他教育机构的信息系统安全等级保护定级工作可根据实际需要，参照本指南执行。

2 依据公安部等四部委《关于印发<信息安全等级保护管理办法>的通知》（公通字〔2007〕43号）公安部等四部委《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安〔2007〕861号）《信息系统安全等级保护定级指南》（GB/T 22240-2008）《教育部办公厅关于开展信息系统安全等级保护工作的通知》（教办厅函〔2009〕80号）《教育部办公厅关于进一步加强网络信息系统安全保障工作的通知》（教办厅函〔2011〕83号）3 术语和定义3.1信息系统本指南中的信息系统是指教育教学管理与服务过程中涉及到教师、学生和教育组织等业务管理、资源服务等不涉及国家秘密的信息系统。

信息和信息系统是教育信息安全等级保护工作直接面对的对象。

3.2基础网络本指南中的基础网络是指承载并保障信息系统运行的基础设施环境和局域网络系统。

如教育城域网、教育科研网（CERNET）、校园网等。

3.3安全责任单位本指南中的安全责任单位是指承担信息系统安全保护责任的单位或部门。

信息系统的安全责任单位是唯一的。

教育信息系统按照“谁的业务谁负责”的原则确定安全责任单位，由安全责任单位负责定级：●对于基础网络，由运行维护单位或部门负责定级，如网络中心/信息中心/电教馆等；●对于信息系统，由业务承担单位或部门负责定级，如办公室/基教处/信息中心等；●对于不能确定唯一安全责任单位的信息系统，应按照“谁主管谁负责”的原则，由主管部门负责定级。

校园等保2.0建设优化全方案一、开学季，防“毒”正当时校园除了严格按照相关防疫措施做好校园的“防毒、消毒、灭毒”工作，学校也正在利用数字化技术手段，为师生打赢即将面对的数据安全与网络病毒战。

与新冠病毒战“疫”一样，网络病毒也是一场没有硝烟、没有终点的战争。

学校开学后，各种学习资料、教学材料、实验数据、办公数据将被重新激活，这些数据在传输过程中，会带来两个潜在的风险。

一是师生、学生之间资料的拷贝，会带来人员聚集的风险，不仅要防新冠病毒，还要防电脑病毒；二是海外处于半停工状态，网络攻击行为较为活跃，多数学校在网络和病毒防护方面，力量不够强大。

新冠病毒危害师生健康，必须严防，为啥网络病毒也要防呢？归纳起来，主要有三个方面的要求：一是国家法律法规的要求。

早在2014年10月，教育部办公厅就印发了《教育行业信息系统安全等级保护定级工作指南（试行）》的通知，对教育行业信息系统进行分类，提出安全等级保护的定级思路，给出建议等级，明确工作流程。

2017年6月1日，《中华人民共和国网络安全法》正式实施，进一步明确相关单位对于核心数据和业务高可用的职责，对于落实不到位导致数据丢失、业务停顿，影响正常生产生活的行为，还明确了处罚的条例。

2019年12月1日起，《信息安全技术网络安全等级保护基本要求》（简称：等保2.0）正式实施，作为我国网络安全领域的基本国策、基本制度和基本方法，等保2.0根据信息技术的发展和网络安全的形式发生变化，在等保1.0的基础上，更加注重主动防御、动态防御、整体防控和精准防护。

二是信息系统运营商向外提供业务服务时，需要通过相关的等保测评，能向客户及利益相关方展示信息系统安全性承诺，提高用户与合作伙伴的信心。

三是校方自身安全需求，随着教育信息化2.0行动计划的推进，校园信息系统运营和业务部门，通过开展等保工作，及时发现可能存在的数据安全隐患和业务中断的风险，进而通过建设相关的灾备项目，提升校园系统的安全防护能力，降低被攻击的风险和损失。

等保2.0下，高校如何设计网络安全方案？自“数字校园”的建设目标提出以来，全国各高校的信息化水平便以极大步调高速发展。

在这样的发展形势下，各类网络信息系统如雨后春笋一般在高校出现和发展。

每一项工作，甚至每个项目，均能衍生出多个信息系统。

时至今日，“数字校园”已升格为“智慧校园”，而高校教学的教学、科研、管理等均高度依赖于信息化手段的支撑。

各类网络信息系统的出现最初是为了解决高校的管理问题，而这些系统的盲目建设又引发了新一轮的管理问题。

国家政策法规对于我们解决这些问题提供了依据和指导意见。

早在2008年，我国公安部即颁布《信息安全技术信息系统安全等级保护基本要求(GB/T22239-2008)》（以下简称等保1.0）。

根据标准，高校作为信息系统的建设者和运营者，应对其进行定级并实施分级保护。

2019年12月1日，《信息安全技术网络安全等级保护基本要求（GB/T22239-2019）》（以下简称等保2.0）的正式实施标志着我国的信息安全等级保护工作已从1.0时代跨入2.0时代[1]。

等保2.0在等保1.0的基础上进行了优化和调整，扩大了等级保护对象的范围，变被动防御为主动防御，明确了“一个中心，三重防护”的防护体系[2]。

等保2.0明确指出，网络运营者应根据保护对象的安全保护等级及其他级别保护对象的关系进行安全整体规划和安全方案设计[3]。

因此高校亟需对学校整体网络安全进行规划，形成安全方案。

安全方案应该实现涵盖全校网络信息系统的目标，并综合考虑学校信息化和网络安全的现状和发展趋势，以便对学校网络安全工作起到规范和指导作用。

设计原则和总体安全架构设计原则高校网络安全方案设计应遵循如下原则：1.符合等保2.0标准。

在进行高校网络安全方案设计时，应以等保2.0标准为基本依据，方案内容与标准中的控制点应形成对应关系，确保安全方案实施后学校的网络安全工作切实符合等级保护相关要求。

2.立足校级层面，力求通用性。

教育行业信息系统安全等级保护定级工作指南随着社会经济发展和信息技术迅猛发展，教育行业也紧随步伐，开始大量使用电子化信息系统来提高教育行业的效率和服务质量。

由于信息系统里涉及到学校学生和教师的信息，信息安全就关乎到教育行业的安全和稳定，因此，教育行业需要对教育行业信息系统的安全性做出充分保障。

为了保障教育行业信息系统安全，必须强化信息安全管理，并根据不同教育行业信息系统的安全性需求，建立安全等级保护办法，对不同信息系统安全性进行统一性评估，实施安全等级保护。

为了更好实施安全等级保护，我国制定了《教育行业信息系统安全等级保护定级工作指南》，将教育行业信息系统安全等级保护定级工作分为四个阶段，分别是信息收集与审核、安全等级保护评估、结果处理及安全控制、安全等级保护实施等。

首先，在信息收集与审核阶段，首先要根据教育行业信息系统的不同性质，确定不同等级保护要求，包括安全等级保护要求、信息安全管理要求、维护等级保护要求；然后，根据信息系统的不同安全性等级，收集相应的安全性要求，组织专业审核小组，对安全性要求进行审核；最后，根据审核结果，制定安全等级保护定级方案。

其次，在安全等级保护评估阶段，组织信息安全专家，对教育行业信息系统安全性进行评估，综合参考安全等级保护定级方案，对教育行业信息系统安全等级做出统一评估，确定安全等级保护定级。

评估过程中，要结合安全等级保护要求的特性，考虑信息系统的安全性和易用性，同时要考虑信息系统的经济性和实用性，以便确定一个更加合理的安全等级保护定级。

再次，在结果处理及安全控制阶段，根据安全等级保护定级，制定相应的安全等级保护控制措施，采取有效控制措施，有效维护教育行业信息系统的安全性，同时也要严格控制安全等级保护定级的执行，确保安全等级保护定级结果落实到位。

最后，在安全等级保护实施阶段，根据安全等级保护定级控制措施，实施安全等级保护，包括定期采取安全性评估，确保安全等级保护的有效性，或者实施安全等级保护审计，确保安全等级保护的执行，以确保安全等级保护实施的有效性。

龙源期刊网
教育部办公厅下发关于印发《教育行业信息系统安全等级保护定级工作指南（试行）》的通知
作者：
来源：《基础教育参考》2014年第23期
为进一步加强教育行业信息安全工作，指导和规范教育行业信息系统安全等级保护定级工作，教育部印发《教育行业信息系统安全等级保护定级工作指南（试行）》，要求各地结合本地本单位实际，认真组织实施。

文件含总则、定级依据、信息系统的类型划分、信息系统的定级思路、信息系统的定级工作流程和登记变更六大项目。

（教育部网站，2014-11-15）。

附件1信息系统分类表表1：部门信息系统分类表表 2：学校信息系统分类表附件2信息系统安全保护等级建议表表1：部门信息系统安全保护等级建议说明：区县级教育行政部门及直属事业单位的系统建议一般定为第一级，区县级统一运行系统根据业务重要性建议可定为第二级。

本表中未单独列出。

表2：学校信息系统安全保护等级建议附件3信息系统安全等级保护定级报告一、XXX信息系统描述简述确定该系统为定级对象的理由。

从三方面进行说明：一是描述承担信息系统安全责任的相关单位或部门，说明本单位或部门对信息系统具有信息安全保护责任，该信息系统为本单位或部门的定级对象；二是该定级对象是否具有信息系统的基本要素，描述基本要素、系统网络结构、系统边界和边界设备；三是该定级对象是否承载着单一或相对独立的业务，业务情况描述。

二、XXX信息系统安全保护等级确定（一）业务信息安全保护等级的确定1.业务信息描述描述信息系统处理的主要业务信息等。

2.业务信息受到破坏时所侵害客体的确定说明信息受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

3.信息受到破坏后对侵害客体的侵害程度的确定说明信息受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

4.业务信息安全等级的确定依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级。

（二）系统服务安全保护等级的确定1.系统服务描述描述信息系统的服务范围、服务对象等。

2.系统服务受到破坏时所侵害客体的确定说明系统服务受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

3.系统服务受到破坏后对侵害客体的侵害程度的确定说明系统服务受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

4.系统服务安全等级的确定依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。

等保二级和三级的认定标准# 等保二级和三级的认定标准## 一、前言嘿，朋友！你有没有听说过等保呀？等保呢，就是信息安全等级保护的简称。

随着咱们现在网络越来越发达，各种各样的信息系统那是多得数都数不过来。

这些信息系统里可都是有很多重要的数据呢，比如说企业的财务数据、政府部门的政务信息、还有咱们老百姓的一些个人隐私信息之类的。

为了保护这些信息的安全，等保就应运而生啦。

它就像是一个信息安全的守门员，按照不同的标准来给信息系统的安全程度定个等级，这样就能有针对性地保护好这些信息啦。

今天呢，咱们就来好好唠唠等保二级和三级的认定标准，这可对很多单位和组织都非常重要哦。

## 二、适用范围（一）等保二级适用范围等保二级适用的范围还是挺广的。

一般来说呢，像一些小型的企业、或者是普通的商业网站，只要涉及到一定量的用户信息或者是商业数据的，就可能适用等保二级。

比如说，一个小型的电商网站，虽然它可能规模不是特别大，但是它有用户注册登录的功能，存储了用户的姓名、地址、联系方式这些基本信息，还涉及到商品的库存、订单这些商业数据。

这种情况下，这个电商网站就应该按照等保二级的标准来进行安全保护。

说白了，就是只要你的信息系统有点重要的数据，但是规模和影响力又不是超级大的那种，等保二级就比较适合你。

（二）等保三级适用范围等保三级的适用范围可就更上一层楼啦。

像一些中型规模的企业，特别是涉及到金融、医疗、教育等重要行业的信息系统，往往需要达到等保三级的标准。

比如说银行的网上银行系统，这里面可是涉及到大量用户的资金信息啊，像账户余额、交易记录这些，那可都是非常敏感的数据。

还有医院的信息系统，里面有病人的病历、诊断结果、用药信息等隐私信息。

学校的教育管理系统，包含学生的成绩、学籍信息等重要数据。

这些系统一旦出了安全问题，那影响可就大了去了。

所以它们就得按照等保三级的标准来建设和保护自己的信息系统。

## 三、术语定义（一）信息系统这个就很好理解啦，简单说就是由计算机硬件、软件、网络设备、数据等组成的一个有机整体，这个整体是用来处理信息的。

教育信息系统安全等级保护定级指南下载提示：该文档是本店铺精心编制而成的，希望大家下载后，能够帮助大家解决实际问题。

文档下载后可定制修改，请根据实际需要进行调整和使用，谢谢！本店铺为大家提供各种类型的实用资料，如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等，想了解不同资料格式和写法，敬请关注！Download tips: This document is carefully compiled by this editor. I hope that after you download it, it can help you solve practical problems. The document can be customized and modified after downloading, please adjust and use it according to actual needs, thank you! In addition, this shop provides you with various types of practical materials, such as educational essays, diary appreciation, sentence excerpts, ancient poems, classic articles, topic composition, work summary, word parsing, copy excerpts, other materials and so on, want to know different data formats and writing methods, please pay attention!一、引言随着信息化时代的不断发展，教育信息系统的安全问题越来越受到关注。

等保定级指南等保定级是我国信息安全保护的一项重要政策，旨在维护国家及重要部门的信息系统安全。

为了提高信息安全保护水平，国家制定了一系列的等保定级指南，对不同级别的信息系统提出了相应的安全要求和建设措施。

以下是对等保定级指南的详细解读：一、等级划分等保定级指南根据信息系统的重要性和风险等级，将信息系统划分为不同的等级。

目前，我国的等保定级划分主要分为四个级别：一级至四级，依次递增。

一级是国家重要信息系统，四级是一般信息系统。

等级划分依据包括信息系统的实用性、保密性、完整性和可用性等关键指标。

二、安全要求不同等级的信息系统有不同的安全要求。

等保定级指南明确规定了各个等级信息系统需要满足的安全要求。

一级信息系统的安全要求最高，要求实施一系列严格的技术和管理措施，以确保系统安全性。

随着等级的降低，安全要求逐渐减弱，但仍需保持一定的安全防护能力。

各级信息系统的安全要求包括物理安全、网络安全、数据安全、人员安全等方面。

三、建设措施等保定级指南还明确规定了各级信息系统需要采取的建设措施。

这些措施主要包括技术措施和管理措施。

技术措施包括网络安全设备的部署、防火墙的设置、加密技术的应用等。

管理措施包括制定安全管理制度、实施安全培训、建立安全审计制度等。

这些措施旨在从技术和管理两个层面上提升信息系统的安全性。

四、监督检查等保定级指南还规定了对各级信息系统的监督检查要求。

根据等级划分，相关部门将定期对信息系统进行安全检查，评估系统的安全性和合规性。

对于不符合安全要求和建设措施的信息系统，相关部门将要求整改，并对违规单位进行处罚。

监督检查是确保信息系统安全的重要手段，同时也促进了信息系统安全建设的不断完善。

通过等保定级指南的实施，我国的信息系统安全水平得到了显著提升。

各级信息系统对安全的重视程度不断加强，安全防护能力得到有效增强。

随着技术的不断进步和威胁的不断变化，等保定级指南也在不断更新和完善，以适应新形势下的安全需求。