沈阳医学院信息系统安全等级保护管理办法

第一章 总 则

为加强信息安全等级保护管理，提高我校信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进我校信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》（国务院第147号）《信息安全等级保护管理办法》（公通字〔2007〕43号）、教育部办公厅《关于开展信息系统安全等级保护工作的通知》（教办厅函〔2009〕80号）、辽宁省教育厅《关于开展教育信息系统安全等级保护工作的通知》等有关文件要求，制定本管理办法。

第二章 等级划分和保护

第一条 根据国家制定的信息安全等级保护管理规范和技术标准，对我校所使用和运营的信息系统分等级实行安全保护。

第二条 在学校网络安全和信息化领导小组的领导下，教育技术中心负责学校信息系统安全定级和保护的指导和检查工作。

第三条 各部门依照本管理办法及相关标准和规范进行本部门运营和使用的信息系统的定级保护工作。

第四条 各部门应当依照本办法及相关的标准规范，对运营和使用的信息系统履行安全等级保护的义务和责任。

第五条 信息等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度和信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

第六条 信息系统的安全保护等级分为以下五级：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

第三章 等级保护的实施与管理

第七条 信息系统运营、使用部门应当按照《信息系统安全等级保护实施指南》具体实施等级保护工作。

第八条 信息系统运营、使用部门依照本管理办法确定信息系统的安全保护等级，报教育技术中心。教育技术中心审核后，统一上报到沈阳市公安局。根据沈阳市公安局网络安全主管部门的审核和指导意见，完成我校信息系统的安全定级工作。对定为二级以上的信息系统按照相关规定报沈阳市公安局备案。

第九条 信息系统的安全保护等级确定后，运营及使用部门应当按照国家信息安全等级保护管理规范和技术标准，使用符合国家有关规定、满足信息系统安全保护等级需求的信息技术产品，开展信息系统安全建设或者改建工作。

第十条 在信息系统建设过程中，运营、使用部门应当按照《计算机信息系统安全保护等级划分准则》（GB17859-1999）《信息系统安全等级保护基本要求》等技术标准，参照《信息安全技术信息系统通用安全技术要求》（GB/T20271-2006）《信息安全技术网络基础安全技术要求》（GB/T20270-2006）《信息安全技术操作系统安全技术要求》（GB/T20272-2006）《信息安全技术数据库管理系统安全技术要求》（GB/T20273-2006）《信息安全技术服务器技术要求》《信息安全技术终端计算机系统安全等级技术要求》（GA/T671-2006）等技术标准同步建设符合该等级要求的信息安全设施。

第十一条 运营、使用部门应当参照《信息安全技术 信息系统安全管理要求》（GB/T20269-2006）《信息安全技术信息系统安全工程管理要求》（GB/T20282-2006）《信息系统安全等级保护基本要求》等管理规范，制定并落实符合本系统安全保护等级要求的安全管理制度。

第十二条 信息系统运营、使用部门及其主管部门应当定期对信息系统安全状况、安全保护制度的落实情况进行自查。经自查，信息系统安全状况未达到安全保护等级要求的，运营、使用部门应当制定方案进行整改。

第四章 附 则

第十三条 各部门对本部门运营和使用的信息系统进行梳理，按照本管理办法的要求确定信息系统的安全保护等级；新建信息系统在设计、规划阶段确定安全保护等级，并报学校网络安全和信息化领导小组审核。

第十四条 本管理办法所称“以上”包含本级。

第十五条 本办法由学校网络安全和信息化领导小组负责解释，自印发之日起执行。