信息安全服务

您目前的位置: 首页» 信息安全服务» 等级保护

北京建筑大学信息系统安全等级保护管理办法

第一章  总则
第一条  为规范信息系统安全等级保护管理,提高我校信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》(国务院第147号)、《信息安全等级保护管理办法》(公通字[2007]43号)、教育部办公厅《关于开展信息系统安全等级保护工作的通知》(教办厅函[2009]80号)、市公安局、市国密办等《关于印发北京市开展信息安全等级保护工作的实施方案的通知》(京公网监字通[2007]788号)等有关文件要求,制定本制度。
第二条 信息安全等级保护,是指对国家秘密信息及公民、法人和其他组织的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
第三条 信息系统安全等级保护工作内容的核心是对信息系统安全进行定级、按标准进行建设、管理和监督。我校开展信息系统安全等级保护工作,目的在于一是全面掌握学校信息系统现状情况,提升信息系统安全意识和提高安全防范能力,为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务,有效控制信息安全建设成本。二是提高学校信息系统安全建设的整体水平,有利于在学校信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调,优化信息安全资源的配置。三是明确信息系统建设与管理部门、人员的信息安全责任,加强信息系统安全建设和监管,形成信息系统安全保障和监管体系,保障信息系统的可持续发展。
第四条  我校信息网络及各类重要的信息系统均应纳入信息系统安全等级保护范畴,按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求完成等级保护的定级、备案、整改、测评等工作。
第五条  按照“谁主管谁负责、谁运营谁负责”原则,我校信息系统安全等级保护工作由网络信息管理服务中心(以下简称网信中心)牵头负责学校信息系统安全定级和保护的指导和检查工作。各单位新建信息系统的安全等级保护工作纳入全校等级保护工作统一部署。全校已有或新建的各类信息系统的主管部门或运营使用单位作为信息安全管理及信息系统安全等级保护第一责任单位,应严格按照本办法的要求,认真开展信息系统安全等级保护工作。
第六条  信息系统建设的负责单位在进行信息系统建设规划时,应充分考虑到信息系统的安全建设的重要性,应明确将信息系统安全等级保护工作作为重要内容列入建设,应当按照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,提升信息系统的安全,建设符合该等级要求的信息安全设施。
第二章  信息系统登记
第七条 为掌握全校信息系统建设情况,凡属上级单位(市教委等)下发、学校自建、研发、购置或升级改造的各类信息系统(软件),均应及时填写《北京建筑大学信息系统基本情况摸底调查表》(附件1),到网信中心登记备案,以便及时向市公安局文保总队做好定级备案工作。
第八条 当信息系统不再使用,应及时到网信中心登记撤销,并联系市公安局文保总队进行撤销登记备案手续。
第三章  定级、备案、整改和测评
第九条 信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
第十条  等级保护工作定级对象为具有独立业务应用的各类信息系统。信息系统是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络。具体分三类:一是各种信息系统运行的支撑系统。如网络平台等。二是各种业务管理信息系统,如教务、科研、人事、OA系统等业务管理系统。三是各类信息发布系统。如网站等。
第十一条  信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。我校信息系统定级由信息系统建设的责任单位、网信中心会同有关专家、市公安局文保总队协商后进行定级。
第十二条  信息系统负责单位认真填写《信息系统安全等级保护备案表》,由网信中心汇总后统一到市公安局文保总队完成定级备案工作。
第十三条  网信中心组织具有中国信息安全测评中心颁发的“信息安全服务资质证书”的第三方单位对全校新建信息系统或升级改造后的信息系统进行测差分析,并出具规范的信息系统差距分析报告,下达给信息系统的负责单位。 
第十四条  信息系统负责单位根据信息系统差距分析报告,研究制定信息安全等级保护整改方案,方案内容应包括信息系统概述和信息系统安全技术整改方案,除了要描述安全策略、安全技术体系框架、安全管理体系框架、安全措施和要求外,要对产品提出具体的功能指标和性能指标要求,为安全整改实施提供依据。
第十五条  信息系统负责单位要严格按照形成的信息安全等级保护整改方案落实整改,促进信息系统达到并符合安全等级保护要求。
第十六条  在信息系统负责单位完成整改后,网信中心组织具备公安部认可的信息安全等级保护测评资质的机构对信息系统进行等级测评,向信息系统负责单位出具信息系统等级测评报告。
第十七条  对不纳入安全等级保护工作或拒不整改达到符合安全等级保护工作要求的信息系统,学校有权利暂停系统运行,直至完成整改达到信息系统安全等级保护的要求。
第四章  附  注
第十八条  本办法自发布之日起执行。
第十九条  本办法由网络信息管理服务中心负责解释。