新疆维吾尔自治区教育厅关于开展全区教育系统重要信息系统安全等级保护定级工作的通知
伊犁哈萨克自治州教育局,各地、州、市教育局,各高等院校:
为进一步贯彻落实公安部、国家保密局、
国家密码管理局、国务院信息化工作办公室《关于印发<信息安全等级保护管理办法>的通知》(公通字[2007]43号)精神,按照自治区公安厅、保密局、密码管理委员会办公室、信息化办公室《关于开展全区重要信息系统安全等级保护定级工作的通知》(新公通[2007]203号,见附件)文件要求,定于2007年9月至10月在全疆教育系统范围内组织开展重要信息系统安全等级保护定级工作(以下简称“定级工作”)。现就有关事项通知如下:
一、定级范围
(一)教育系统各单位,关于生产、调度、管理、办公(含招生考试)等方面的重要信息系统(含信息网络、网站、业务应用系统等)。
(二)涉及国家秘密的信息系统(以下简称“涉密信息系统”)。
二、定级工作的主要内容
(一)开展信息系统基本情况的摸底调查
各单位要组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《管理办法》和《信息系统安全等级保护定级指南》的要求,确定定级对象。
(二)初步确定安全保护等级
各信息系统主管部门和运营使用单位要按照《管理办法》和《信息系统安全等级保护定级指南》,初步确定定级对象的安全保护等级,起草定级报告(报告模版见新公通[2007]203号文的附件1)。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。
(三)评审与审批
初步确定信息系统安全保护等级后,可以聘请专家进行评审。对拟确定为第四级以上信息系统的,由运营使用单位或主管部门请国家信息安全保护等级专家评审委员会评审。运营使用单位或主管部门参照评审意见最后确定信息系统安全保护等级,形成定级报告。当专家评审意见与信息系统运营使用单位或其主管部门意见不一致时,由运营使用单位或主管部门自主决定信息系统安全保护等级。信息系统运营使用单位有上级行业主管部门的,所确定的信息系统安全保护等级应当报经上级行业主管部门审批同意。
