中学等级保护管理制度

　　一总则目的。为进一步加强江苏省宿迁中学信息安全建设项目验收的管理，更好地规范项目验收工作，为项目验收工作提供依据，确保信息安全系统项目建设的质量，依据《江苏省宿迁中学信息安全管理办法》制定本管理制度。

　　对象及范围。本制度规定了信息安全建设项目的验收流程和方法，适用于在信息安全建设项目实施完毕后的验收和交付工作。

　　要求。江苏省宿迁中学信息系统的等级保护安全管理要求统一遵循《GB/T 22239-2019信息安全技术 信息系统安全等级保护基本要求》。 二系统定级信息系统定级工作应按照“自主定级、专家评审、主管部门审批、公安机关审核”的原则进行。

　　定级工作的主要内容包括：确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核，具体可按照《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字〔2007〕861号)要求执行。

　　各信息系统运营使用单位和主管部门是信息安全等级保护的责任主体，根据所属信息系统的重要程度和遭到破坏后的危害程度，确定信息系统的安全保护等级。

　　信息系统应参照《信息安全技术信息系统安全保护等级定级指南》等标准中规定的信息系统安全等级保护定级方法开展系统定级工作。

　　确定信息系统安全保护等级的一般流程如下：

　　(1)确定作为定级对象的信息系统;

　　(2)确定业务信息安全受到破坏时所侵害的客体;

　　(3)根据不同的受侵害客体，从多个方面综合评定业务信息安全被破坏对客体的侵害程度;

　　(4)根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度，得到业务信息安全保护等级;

　　(5)确定系统服务安全受到破坏时所侵害的客体;

　　(6)根据不同的受侵害客体，从多个方面综合评定系统服务安全被破坏对客体的侵害程度;

　　(7)根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度，得到系统服务安全保护等级;

　　(8)将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。

　　定级对象等级确定后，应编制定级报告。

　　在信息系统的运行过程中，安全保护等级应随着信息系统所处理的信息和业务状态的变化进行适当的变更，尤其是当状态变化可能导致业务信息安全或系统服务受到破坏后的受侵害客体和对客体的侵害程度有较大的变化，可能影响到系统的安全保护等级时，应重新定级和备案。

　　信息系统的安全保护等级确定后，应当按照国家信息安全等级保护管理规范和技术标准，使用符合国家有关规定，满足信息系统安全保护等级需求的信息技术产品，开展信息系统安全建设或者改建工作。

　　第三级以上信息系统应当选择使用符合以下条件的信息安全产品：

　　(1)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的，在中华人民共和国境内具有独立的法人资格;

　　(2)产品的核心技术、关键部件具有我国自主知识产权;

　　(3)产品研制、生产单位及其主要业务、技术人员无犯罪记录;

　　(4)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能;

　　(5)对国家安全、社会秩序、公共利益不构成危害;

　　(6)对已列入信息安全产品认证目录的，应当取得国家信息安全产品认证机构颁发的认证证书。 三系统备案系统备案材料的准备、提交和存档管理：

　　第二级以上信息系统，在安全保护等级确定后30日内，应到所在地设区的市级以上公安机关办理备案手续。办理备案手续时，应当首先到公安机关指定的网址下载并填写备案表，准备好备案文件，然后到指定的地点备案。

　　备案时应当提交一式两份《信息系统安全等级保护备案表》及其电子文档。第二级以上信息系统备案时需提交《信息系统安全等级保护备案表》外还需提交“单位基本情况表”，“信息系统情况表”，“信息系统定级情况”三份材料;第三级以上信息系统还应当在系统整改、测评完成后30日内提交除上述材料外，还需提供“第三级以上信息系统提交材料情况”表。 四系统测评需按照《信息安全技术信息系统安全等级保护测评要求》开展信息系统的等级测评工作。

　　第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评：

　　(1) 在中华人民共和国境内注册成立(港澳台地区除外);

　　(2) 由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);

　　(3) 从事相关检测评估工作两年以上，无违法记录;

　　(4) 工作人员仅限于中国公民;

　　(5) 法人及主要业务、技术人员无犯罪记录;

　　(6) 使用的技术装备、设施应当符合本办法对信息安全产品的要求;

　　(7) 具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;

　　(8) 对国家安全、社会秩序、公共利益不构成威胁。

　　应选择符合规定的测评机构，依据《信息安全技术信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应每年至少进行一次等级测评，第四级信息系统应每半年至少进行一次等级测评，第五级信息系统应依据特殊安全需求进行等级测评。经测评，信息系统安全状况未达到安全保护等级要求的，应制定方案进行整改。

　　应定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应每年至少进行一次自查，第四级信息系统应每半年至少进行一次自查，第五级信息系统应依据特殊安全需求进行自查。经自查，信息系统安全状况未达到安全保护等级要求的，应制定方案进行整改。 五附则对违反本制度的人员，将按照江苏省宿迁中学有关规定进行处罚。

　　本制度由信息安全工作小组负责制定、解释和修改。

　　本制度自发布之日起执行。