为规范信息安全等级保护管理,提高学校信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进学校信息化建设,制定本制度。
第一章 总 则
第一条 根据国家制定的信息安全等级保护管理规范和技术标准,对学校所使用和运营的信息系统分等级实行安全保护。
第二条 在学校网络安全和信息化领导小组的领导下,网络信息中心负责学校信息系统安全定级和保护的具体实施工作。
第三条 各部门、各单位应当依照本制度及相关的标准规范,对运营和使用的信息系统履行安全等级保护的义务和责任。
第二章 等级划分和保护
第四条 信息等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
第五条 信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
第三章 等级保护的实施与管理
第六条 信息系统应用部门依照本制度和《网络安全等级保护定级指南》(GB/T22240-2020)确定信息系统的安全保护等级,报网络信息中心审核后,统一上报到济南市公安局网络安全总队等级保护大队进行备案。
第七条 信息系统的安全保护等级确定后,应用部门应当按照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作,最后由网络安全和信息化领导小组组织验收,经验收后可投入使用。
第八条 在信息系统建设过程中,应用部门应按照《计算机信息系统安全保护等级划分准则》(GB 17859-1999)、《网络安全等级保护实施指南》(GB/T25058-2020)、《网络安全等级保护定级指南》(GB/T22240-2020)、《网络安全等级保护基本要求》(GB/T22239-2019)、《网络安全等级保护设计技术要求》(GB/T25070-2019)、《网络安全等级保护测评要求》(GB/T28448-2019)、《网络安全等级保护测评过程指南》(GB/T28449-2018)、等技术标准同步建设符合该等级要求的信息安全设施。
第九条 应用部门应当参照《网络安全等级保护基本要求》(GB/T22239-2019)、《网络安全等级保护设计技术要求》(GB/T25070-2019)、《网络安全等级保护测评要求》(GB/T28448-2019)等管理规范,制定并落实符合本系统安全保护等级要求的安全管理制度。
第十条 网络安全和信息化领导小组及信息系统应用部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。经自查,信息系统安全状况未达到安全保护等级要求的,应用部门应当制定方案进行整改。
第四章 附 则
第十一条 应用部门对各本部门各种信息系统进行梳理,按照本制度的要求确定信息系统的安全保护等级;新建信息系统在设计、规划阶段确定安全保护等级。
鲁ICP备15010726号-1 鲁公网安备37018102000736号