中学等级保护管理制度.doc

中学等级保护管理制度
　　一 总则
　　目的。为进一步加强江苏省宿迁中学信息安全建设项目验收的管理，更好地规范项目验收工作，为项目验收工作提供依据，确保信息安全系统项目建设的质量，依据《江苏省宿迁中学信息安全管理办法》制定本管理制度。
　　对象及范围。本制度规定了信息安全建设项目的验收流程和方法，适用于在信息安全建设项目实施完毕后的验收和交付工作。
　　要求。江苏省宿迁中学信息系统的等级保护安全管理要求统一遵循《GB/T 22239-2019信息安全技术 信息系统安全等级保护基本要求》。
　　二 系统定级
　　信息系统定级工作应按照“自主定级、专家评审、主管部门审批、公安机关审核”的原则进行。
　　定级工作的主要内容包括：确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核，具体可按照《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字〔2007〕861号）要求执行。
　　各信息系统运营使用单位和主管部门是信息安全等级保护的责任主体，根据所属信息系统的重要程度和遭到破坏后的危害程度，确定信息系统的安全保护等级。
　　信息系统应参照《信息安全技术 信息系统安全保护等级定级指南》等标准中规定的信息系统安全等级保护定级方法开展系统定级工作。
　　确定信息系统安全保护等级的一般流程如下：
　　（1）确定作为定级对象的信息系统；
　　（2）确定业务信息安全受到破坏时所侵害的客体；
　　（3）根据不同的受侵害客体，从多个方面综合评定业务信息安全被破坏对客体的侵害程度；
　　（4）根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度，得到业务信息安全保护等级；
　　（5）确定系统服务安全受到破坏时所侵害的客体；
　　（6）根据不同的受侵害客体，从多个方面综合评定系统服务安全被破坏对客体的侵害程度；
　　（7）根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度，得到系统服务安全保护等级；
　　（8）将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。
　　定级对象等级确定后，应编制定级报告。
　　在信息系统的运行过程中，安全保护等级应随着信息系统所处理的信息和业务状态的变化进行适当的变更，尤其是当状态变化可能导致业务信息安全或系统服务受到破坏后的受侵害客体和对客体的侵害程度有较大的变化，可能影响到系统的安全保护等级时，应重新定级和备案。
　　信息系统的安全保护等级确定后，应当按照国家信息安全等级保护管理规范和技术标准，使用符合国家有关规定，满足信息系统安全保护等级需求的信息技术产品，开展信息系统安全建设或者改建工作。
　　第三级以上信息系统应当选择使用符合以下条件的信息安全产品：
　　（1）产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的，在中华人民共和国境内具有独立的法人资格；
　　（2）产品的核心技术、关键部件具有我国自主知识产权；
　　（3）产品研制、生产单位及其主要业务、技术人员无犯罪记录；
　　（4）产品研制、生产单位声明没有故意留有或者设置漏洞、***、木马等程序和功能；
　　（5）对国家安全、社会秩序、公共利益不构成危害；
　　（6）对已列入信息安全产品认证目录的，应当取得国家信息安全产品认证机构