信息系统定级与备案案例总体介绍与常见问题解析

1、信息系统定级与备案案例总体介绍与常见问题解析2022-4-242提纲等级保护工作常见问题解析二二三三信息系统定级备案案例介绍教育部信息安全测评中心介绍四等级保护主要内容回顾一一2022-4-243一、等级保护主要内容回顾信息安全等级保护制度回顾各项工作意义各项工作意义定级是前提备案是基础整改是核心测评是手段监督是保障等保步骤定级备案整改测评监督等保含义对信息系统信息系统分等级保护;对安全产品分等级管理; 对发生的事件分等级响应、处置。2022-4-244一、等级保护主要内容回顾对信息安全等级保护工作的理解对信息安全等级保护工作的理解 开展该项工作不仅是实现国家对重要信息系统重点保护的重大措施，

2、也是一项事关国家安全、社会稳定和经济发展的政治任务政治任务。 该项工作是一项法律性法律性和技术性技术性很强的长期性长期性工作并非阶段性工作。 该项工作是以法规的形式法规的形式来保护信息系统和信息系统所有者的权益。2022-4-245一、等级保护主要内容回顾等级划分等级划分等级等级对象对象监管强度监管强度第一级第一级一般系统一般系统自主保护自主保护第二级第二级指导保护指导保护第三级第三级重要系统重要系统 监督检查监督检查第四级第四级强制监督保护强制监督保护第五级第五级极端重要系统极端重要系统 专门监督检查专门监督检查2022-4-246提纲等级保护工作常见问题解析二二三三信息系统定级备案案例介绍

3、教育部信息安全测评中心介绍四等级保护主要内容回顾一一2022-4-247二、等级保护工作常见问题解析问题问题1：什么系统需要定级备案？：什么系统需要定级备案？网站网站办公系统（办公系统（OA等）等）业务系统业务系统基础基础/专用网络专用网络2022-4-248二、等级保护工作常见问题解析问题问题2：开展等级保护工作对运营使：开展等级保护工作对运营使用单位意味着什么？用单位意味着什么？合规合规免责免责从法律层面保护信息系统从法律层面保护信息系统安全建设可操作性安全建设可操作性切实提高信息系统安全防护能力切实提高信息系统安全防护能力2022-4-2492022-4-249二、等级保护工作常见问题解

4、析问题问题3：如何准确进行信息系统定级？：如何准确进行信息系统定级？自主定级自主定级专家评审专家评审主管部门业务专家主管部门业务专家行业专家行业专家公安机关专家公安机关专家同类单位专家同类单位专家主管部门审批主管部门审批公安机关审核公安机关审核2022-4-24102022-4-2410二、等级保护工作常见问题解析问题问题4：如何确定受侵害客体？：如何确定受侵害客体？公民、法人和其他组织的合法权益公民、法人和其他组织的合法权益u只影响单位内部或者个人只影响单位内部或者个人u不会产生对社会秩序公众利益的损害不会产生对社会秩序公众利益的损害社会秩序、公众利益社会秩序、公众利益u影响国家机关社会管理

5、和公共服务的工作秩序影响国家机关社会管理和公共服务的工作秩序u影响社会成员获取公开信息资源影响社会成员获取公开信息资源u影响社会成员接受公共服务影响社会成员接受公共服务国家安全国家安全u影响国家统一、民族团结和社会安定影响国家统一、民族团结和社会安定u影响国家对外活动中的政治、经济利益影响国家对外活动中的政治、经济利益2022-4-24112022-4-2411二、等级保护工作常见问题解析问题问题5：如何确定客体受侵害程度？：如何确定客体受侵害程度？一般损害一般损害u工作职能受到局部影响工作职能受到局部影响u出现较轻的法律问题，较低的财产损失出现较轻的法律问题，较低的财产损失u有限的社会不良影

6、响有限的社会不良影响严重损害严重损害u工作职能受到严重影响工作职能受到严重影响u出现较严重的法律问题，较高的财产损失出现较严重的法律问题，较高的财产损失u较大范围的社会不良影响较大范围的社会不良影响特别严重损害特别严重损害u工作职能受到特别严重影响或丧失行使能力工作职能受到特别严重影响或丧失行使能力u出现极其严重的法律问题，极高的财产损失出现极其严重的法律问题，极高的财产损失u大范围的社会不良影响大范围的社会不良影响2022-4-24122022-4-2412二、等级保护工作常见问题解析问题问题6：定级过程中需要注意哪些问题？：定级过程中需要注意哪些问题？定级对象一定要明确定级对象一定要明确u

7、不能以单一服务器或其他设备作为定级对象不能以单一服务器或其他设备作为定级对象同类信息系统等级不能行政级别的降低而降低同类信息系统等级不能行政级别的降低而降低u例如教育电子公文与信息交换系统例如教育电子公文与信息交换系统新建系统要同步考虑并落实系统定级新建系统要同步考虑并落实系统定级2022-4-24132022-4-2413二、等级保护工作常见问题解析误区误区1： “我单位没有信息系统我单位没有信息系统”概念不清概念不清拒不定级拒不定级2022-4-2414二、等级保护工作常见问题解析误区误区2： “我单位的信息系统就内部我单位的信息系统就内部使用的，不需要等级保护了吧？使用的，不需要等级保护

8、了吧？”概念不清概念不清保护意识不够保护意识不够2022-4-2415二、等级保护工作常见问题解析误区误区3. “我单位信息系统还在建，我单位信息系统还在建，等建好了在定级备案等建好了在定级备案”概念不清概念不清同步定级同步定级2022-4-2416二、等级保护工作常见问题解析误区误区4： “我单位就两个信息系我单位就两个信息系统，一个对外，一个对内统，一个对外，一个对内”定级对象不明确定级对象不明确认识不够认识不够2022-4-2417二、等级保护工作常见问题解析误区误区5：“我单位的信息系统采取了安我单位的信息系统采取了安全技术防护，定二级系统就够了全技术防护，定二级系统就够了”概念不清概

9、念不清定级不准定级不准2022-4-2418二、等级保护工作常见问题解析误区误区6：“我们不想把信息系统定为三级我们不想把信息系统定为三级，但我们是按三级的标准来防护的，但我们是按三级的标准来防护的”故意低定故意低定认识不够认识不够2022-4-2419二、等级保护工作常见问题解析误区误区7：“我们已经把学校的门户网我们已经把学校的门户网站和我们管辖的信息系统定级备案站和我们管辖的信息系统定级备案了，其他信息系统不归我们管了，其他信息系统不归我们管”定级不全定级不全认识不够认识不够2022-4-2420二、等级保护工作常见问题解析误区误区8：“我单位的信息系统都有应我单位的信息系统都有应急预案

10、，但没有演练过急预案，但没有演练过”安全意识不够安全意识不够2022-4-2421提纲等级保护工作常见问题解析二二三三信息系统定级备案案例介绍教育部信息安全测评中心介绍四等级保护主要内容回顾一一2022-4-24222022-4-2422三、信息系统定级备案案例介绍 教育电子公文与信息交换系统应用介绍 教育电子公文与信息交换系统是教育部统一的行业公文与信息交换平台。 教育部与全国所有省（自治区、直辖市）教委（教育厅）和部属高校安装该系统，实现了电子公文信息的上传下达。 部分省市已经推广到区县和中小学。 广东省教育厅和地市、高校之间的公文传输已经全面使用。2022-4-2423三、信息系统定级备

11、案案例介绍 教育部电子公文与信息交换系统定级备案过程 自主定级 教育部办公厅、教育管理信息中心组织自主定级 三级（业务信息三级、系统服务二级） 专家评审 邀请教育部业务专家、其他行业业务专家和公安机关专家 最终定级准确，建议系统服务调为三级 主管部门评审（部委级单位此项略过） 公安机关审核 公安部审核系统定级备案材料2022-4-2424（一）系统定级报告 系统描述 系统业务情况描述（含功能、应用现状等） 系统基本要素描述（含系统主机设备、网络结果、边界等，一般以拓扑图形式） 确定安全责任单位或部门 安全保护等级确定 业务信息安全保护等级确定 系统服务安全保护等级确定 安全保护等级确定25系统

12、定级报告示例2022-4-2426NoImageNoImage备案表2022-4-2427备案证明备案证明NoImage2022-4-2428（三）政策解读 跨省或者全国统一联网运行的信息系统，由主管部门统一确定安全保护等级。 行业统一规划、统一建设、统一安全保护策略的全国联网系统，应由行业主管部门统一对下各级系统分别确定等级 行业统一规划、分级建设、全国联网的信息系统，应由部、省、地市分别确定系统等级，但各行业主管部门应对该系统提出定级意见，避免出现同类系统下级定级比上级高的现象。 该类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低提示：提示：中央级定为第三级，各地各单中央级定

13、为第三级，各地各单位必须也定为第三级！位必须也定为第三级！规划：规划：统一测评、整改、升级统一测评、整改、升级2022-4-2429提纲等级保护工作常见问题解析二二三三信息系统定级备案案例介绍教育部信息安全测评中心介绍四等级保护主要内容回顾一一2022-4-24302022-4-2430四、信息安全测评中心介绍机构职能行业标准制定 教育等级保护政策研究 教育行业等级保护标准、规范研究 教育行业重要信息系统定级备案材料审查等级测评等级保护综合管理平台 差距分析、风险评估、自测自评 日常管理安全咨询与服务 差距分析、风险评估、安全建设整改等信息安全服务 信息系统定级咨询 等级保护业务与技术培训 网

14、站安全监测2022-4-2431四、信息安全测评中心介绍咨询服务案例 定级咨询定级咨询 辅助部机关和直属单位完成129个信息系统分析，提供定级建议并辅助编写定级报告 组织部机关和直属单位完成129个信息系统的备案工作，其中第三级系统45个，第二级系统84个2022-4-2432四、信息安全测评中心介绍咨询服务案例 风险评估（含渗透测试）风险评估（含渗透测试） 学生体质健康网系统 教育部学生体质健康网系统评估报告 教育部学生体质健康数据上报系统渗透测试报告 留学生报到登记系统 留学生报到登记系统评估报告 留学生报到登记系统渗透测试报告2022-4-2433四、信息安全测评中心介绍咨询服务案例 等

15、级测评等级测评 教育部门户网站 教育部门户网站等级测评报告 教育部门户网站等级测评差距分析报告 教育部电子公文交换系统 教育部电子公文交换系统等级测评报告 教育部电子公文交换系统等级测评差距分析报告2022-4-2434四、信息安全测评中心介绍咨询服务案例 等级保护安全建设等级保护安全建设 服务单位：某直属单位 项目范围：全球性学习网站、OA系统、门户网站三个信息系统 技术手段：差距分析、风险分析、渗透测试 项目成果：已完成各系统差距分析报告、系统评估报告及渗透测试报告；已完成三个系统的需求分析报告、详细设计方案；2022-4-24352022-4-2435四、信息安全测评中心介绍咨询服务案例

16、 网站安全监测网站安全监测 网页篡改 网站挂马 网页非法内容 主机漏洞 应用漏洞（SQL注入、XSS等） 网络钓鱼 网站性能2022-4-2436四、信息安全测评中心介绍咨询服务案例 网站安全监测网站安全监测 适用对象：各单位网站 使用情况 11月中旬和12月初对部机关直属单位27个对外服务网站、各省级教育行政部门和部属高校111个门户网站的检查性安全监测并对高风险网站出具深度挖掘报告 共监测到各类漏洞4243个，其中挂马22个，SQL注入400个，XSS跨站645个，CGI漏洞2244个，应用漏洞932个。2022-4-2437四、等级保护综合管理平台 等级保护综合管理平台等级保护综合管理平

17、台 适用对象： 各级教育主管部门和信息系统运营使用单位 部署依据： 公安部在信息安全等级保护安全建设整改工作的总体工作要求中提出了安全建设整改工作的具体工作方法，其中重点强调了“将安全建设整改工作与业务工作、信息化建设工作有机结合，利用信息安全等级保护综合工作平台信息安全等级保护综合工作平台，使等级保护工作常态化”。 教育部在教育部办公厅关于进一步加强网络信息系统安全保障工作的通知（教办厅函201183号）文件中明确提出“通过分级建设信息安全等级保护综合管理系统信息安全等级保护综合管理系统，使等级保护工作常态化、制度化，加强对教育行政部门等级保护工作的管” 。2022-4-2438四、等级保护综合管理平台 主要功能： 重要信息系统的定级备案信息维护与管理 信息系统安全建设整改活动管理 等级测评活动的组织和管理 安全检查活动情况的跟踪记录管理 信息系统风险评估活动相关信息的维护管理 等级保护工作相关信息与数据的统计及分析 提供等级保护各个工作环节所需的基础数据的维护管理应用价值应用价值实现等级保护工作数据集中管理提