北京市教育委员会关于印发北京市市属教育行业信息安全等级保护定级评审工作办法的通知
京教函〔2014〕119号
各区县教委,各市属高校,市教委各直属单位:
为贯彻落实市教委、市公安局《关于进一步推进市属教育行业信息安全等级保护工作的通知》(京教函〔2012〕363号),进一步规范北京市教育系统各单位开展信息系统安全等级保护定级评审工作,市教委制定了《北京市市属教育行业信息安全等级保护定级评审工作办法》,现印发给你们,请结合本单位工作实际认真贯彻执行。
联 系 人:徐 晶
联系电话:66062933-661006
电子邮件:zx_xj@bjedu.gov.cn
北京市教育委员会
2014年4月1日
北京市市属教育行业信息安全等级保护
定级评审工作办法
第一条 为进一步规范北京市市属教育行业各单位开展信息系统安全等级保护定级评审工作,根据国家信息安全等级保护相关政策和标准,结合本市教育行政部门及各有关单位信息化工作实际需要,制定本办法。
第二条 本办法适用于各区县教委的区县一级教育教学相关业务系统,以及各市属高校、市教委各直管直属单位等各有关单位的各类信息系统的安全等级保护定级评审工作。本办法中的信息系统是指由计算机及其相关和配套的设备、网络构成的对教育行业相关业务信息进行采集、加工、存储、传输、检索和处理,不涉及国家秘密的系统。
第三条 市教委在市公安局的业务配合和支持下,负责对本市教育行业信息安全等级保护工作的监督、检查和指导。北京教育网络和信息中心负责市属教育行业信息安全等级保护工作的组织实施,承担业务培训、先进经验推广、本级单位和区县级教育信息系统信息安全等级审核等工作。北京市教育信息安全等级保护专家咨询委员会作为北京市教育行业信息安全等级保护专家咨询机构,提供相关的定级评审意见、规划建议和技术咨询,成员由教育领域和其他领域信息化、信息安全专家构成,专家名单由北京教育网络和信息中心定期更新。
第四条 定级责任主体
按照“谁运营谁负责”的原则,定级责任主体为信息系统的运营使用单位。对于无法确定运营使用单位的,应由上级部门进行裁定。教育信息系统确定定级责任主体具体原则如下:
(1)对于基础网络,建议按照“谁运营,谁负责”的原则;
(2)对于业务系统,建议按照“谁使用,谁负责”的原则;
(3)对于内部信息系统,建议按照“谁主管,谁负责”的原则;
(4)对于无法确定运营单位和使用单位,或者运营单位和使用单位为多个的业务系统,优先考虑“谁主管,谁负责”的原则。
第五条 工作流程
根据公安部、教育部、市公安局、市教委对信息系统安全等级保护的工作要求,在教育信息系统安全等级保护的定级工作中,应严格依照“自主定级,专家评审,主管部门审批,公安机关监督”的步骤,按教办厅函〔2011〕83号和京教函〔2012〕363号文件要求,参照本办法开展定级评审工作。
第六条 自主定级
各单位对本单位信息系统进行梳理分析,结合实际情况,参照《信息系统安全等级保护定级指南》(GB/T 22240-2008),完成自主定级,编写《信息系统安全等级保护定级报告》,并草拟《信息系统安全等级保护备案表》(《信息系统安全等级保护定级报告》和《信息系统安全等级保护备案表》格式以公安部发布模板为准)。
第七条 专家评审
各单位在完成自主定级后,向北京教育网络和信息中心提出进行专家评审的书面申请,并将在自主定级阶段编写的《信息系统安全等级保护定级报告》和《信息系统安全等级保护备案表》作为附件一并提交;北京教育网络和信息中心组织专家组对信息系统自主定级情况进行评审;专家组出具评审意见。各区县教委的区县一级教育教学相关业务系统,及各市属高校、市教委各直管直属单位等各有关单位的各类信息系统,应由北京市教育信息安全等级保护专家咨询委员会专家成员组成的专家组进行评审,专家组成员人数不少于3人,其中教育领域和其他领域专家比例应约为2:1。对于系统定级未通过专家评审的,应对照本办法重新开展定级工作。
第八条 主管部门审批
专家评审后,各单位将通过专家评审的信息系统的《信息系统安全等级保护定级报告》、《信息系统安全等级保护备案表》和《北京市教育行业信息系统安全等级保护定级专家评审意见》报送北京教育网络和信息中心;北京教育网络和信息中心审核并反馈意见。对于系统定级未审批通过的,应对照本办法重新开展定级工作。
第九条 备案
审批通过后,各单位持《信息系统安全等级保护定级报告》、《信息系统安全等级保护备案表》、《北京市教育行业信息系统安全等级保护定级专家评审意见》和《北京市教育行业信息系统安全等级保护审批意见》,在30日内报公安机关备案。其中,系统运营单位保卫关系隶属市公安局内保局、文保总队的由市公安局内保局、文保总队受理备案;系统运营单位保卫关系隶属属地公安分局的由属地公安分局负责受理备案。
第十条 已定级备案的信息系统,在运行过程中,安全保护等级应随着信息系统所处理的信息和业务状态的变化进行适当变更,当可能影响到系统的安全保护等级时,应对照本办法重新开展定级工作,并及时在公安机关进行变更、撤销。
第十一条 北京市教育行业各单位要配合公安机关开展日常监管工作。
第十二条 本办法由市教委负责解释,自发布之日起施行。
(本文主动公开)
扫一扫分享本页