宿州学院信息系统安全等级保护管理制度.doc

宿州学院信息系统安全等级保护管理制度 2012-10-27 22:24:27 第一条 为规范信息安全等级保护管理，提高我院信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》（国务院第147号）、《信息安全等级保护管理办法》（公通字[2007]43号）、教育部办公厅《关于开展信息系统安全等级保护工作的通知》（教办厅函[2009]80号）、《关于全省教育系统信息安全等级保护定级备案实施工作的通知》（皖教秘科[2011]80号）等有关文件要求，制定本制度。 第二条 根据国家制定的信息安全等级保护管理规范和技术标准，对本单位所使用和运营的信息系统分等级实行安全保护。 第三条 在学院信息化领导小组的领导下，网络信息中心负责学校信息系统安全定级和保护的指导和检查工作。 第四条 各单位依照本制度及相关标准和规范进行本单位运营和使用的信息系统的定级保护工作。 第五条 各单位应当依照本制定及相关的标准规范，对运营和使用的信息系统履行安全等级保护的义务和责任。 第二章 等级划分和保护 第六条 信息等级保护坚持坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 第七条 信息系统的安全保护等级分为以下五级： 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。 第三章 等级保护的实施与管理 第八条 信息系统运营、使用单位依照本制度和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级，报到网络信息中心。网络信息中心审核后，统一上报到安徽省教育厅信息中心。根据教育厅主管部门的审核和指导意见，完成我院信息系统的安全定级工作。对定为二级以上的信息系统按照相关规定报省公安厅备案。 第九条 信息系统的安全保护等级确定后，运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准，使用符合国家有关规定，满足信息系统安全保护等级需求的信息技术产品，开展信息系统安全建设或者改建工作。 第十条 在信息系统建设过程中，运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》（GB17859-1999）、《信息系统安全等级保护基本要求》等技术标准，参照《信息安全技术信息系统通用安全技术要求》（GB/T20271-2006）、《信息安全技术网络基础安全技术要求》（GB/T20270-2006）、《信息安全技术操作系统安全技术要求》（GB/T20272-2006）、《信息安全技术数据库管理系统安全技术要求》（GB/T20273-2006）、《信息安全技术服务器技术要求》、《信息安全技术终端计算机系统安全等级技术要求》（GA/T671-2006）等技术标准同步建设符合该等级要求的信息安全设施。 第十一条 运营、使用单位应当参照《信息安全技术 信息系统安全管理要求》（GB/T20269-2006）、《信息安全技术信息系统安全工程管理要求》（GB/T20282-2006）、《信息系统安全等级保护基本要求》等管理规范，制定并落实符合本系统安全保护等级要求的安全管理制度。 第十二条 信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。经自查，信息系统安全状况未达到安全保护等级要求的，运营、使用单位应当制定方案进行整改。 第四章 附 则 第十三条 各单位对本部门运营和使用的信息系统进行梳理，按照本制度的要求确定信息系统的安全保护等级；新建信息系统在设计、规划阶段确定安全保护等级。 Dcddd 二〇一二年五月二十四日