第一条  为贯彻落实《中华人民共和国网络安全法》，规范学校网络安全等级保护定级备案工作，依据《中华人民共和国计算机信息系统安全保护条例》（国务院第147号令）、《教育行业信息系统安全等级保护定级工作指南（试行）》（教技厅函[2014]74号）、《教育部、公安部关于全面推进教育行业信息安全等保工作的通知》（教技[2015]2号）等国家网络安全等级保护相关政策和标准，结合学校实际情况，制定本办法。

第二条 信息系统定级备案是等级保护工作的关键环节，是开展信息系统建设整改、等级测评、监督检查等工作的重要基础，学校信息系统安全等级保护应严格执行国家有关规定。

第三条 本办法适用于学校所有的非涉密信息系统安全等级保护定级备案工作。信息系统的定级备案工作应与信息系统建设同步实施。

第二章  等级的确定

第四条 信息系统安全保护等级划分。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为五级，从第一级到第五级逐级增高。

第一级（自主保护级），信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级（指导保护级），信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级（监督保护级），信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级（强制保护级），信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级（专项保护级），信息系统受到破坏后，会对国家安全造成特别严重损害。

第五条 信息系统安全保护等级定级要素。信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。

（1）受侵害的客体。等级保护对象受到破坏时所侵害的客体包括以下三个方面：公民、法人和其他组织的合法权益；社会秩序、公共利益；国家安全。

（2）对客体的侵害程度。对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的，因此，对客体的侵害外在表现为对等级保护对象的破坏，通过危害方式、危害后果和危害程度加以描述。

等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种：造成一般损害；造成严重损害；造成特别严重损害。

第六条 定级要素与等级的关系。定级要素与信息系统安全保护等级的关系如表1所示。

表1 :定级要素与安全保护等级的关系

第三章　定级备案流程

第七条 确定定级责任主体。按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，信息系统所在的业务主管部门为定级工作的责任主体，信息化工作部门协助具体技术支撑工作。

第八条 确定定级对象。作为定级对象的信息系统应具有如下基本特征：

（1）具有唯一确定的安全责任单位。作为定级对象的信息系统应能够唯一地确定其安全责任单位。如一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任，则这个下级单位可以成为信息系统的安全责任单位；如一个单位中的不同下级单位分别承担信息系统不同方面的安全责任，则该信息系统的安全责任单位应是这些下级单位共同所属的单位。

（2）具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如服务器、终端、网络设备等作为定级对象。

（3）承载相对独立的业务应用。定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立，同时与其他业务应用有一定的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。

第九条 级次的确定。原则上只针对校内开放的信息系统可确定为第一级；面向互联网开放的信息系统，需参照《教育行业信息系统安全等级保护定级工作指南（试行）》（教技厅函[2014]74号）定级，完成公安机关定级备案流程并取得纸质《信息系统安全等级保护备案证明》，方可开放互联网访问。对于承载复杂业务的信息系统，安全保护等级可高于建议等级；对于承载多个业务的信息系统，应以所承载业务的信息系统的最高建议等级进行定级。

对于拟定为第一级的信息系统，业务主管部门应填写《成都医学院信息系统登记表》送交信息化工作部门备案即可；对于拟定为第二级（含）以上的信息系统，业务主管部门还需参照本规定完成后续信息系统定级备案工作，同时配合做好等保测评经费年度预算工作。

第十条 专家评审定级。对于拟定为第二级（含）以上的信息系统，业务主管部门需按公安机关要求填报备案申报材料，可自行或由信息化工作部门集中统一报送成都市网络安全协会参加定级评审，业务管理部门人员需参与现场评审答辩。

第十一条 登记审核。对于拟定为第二级（含）以上的信息系统，业务管理部门在信息化工作部门的指导下，逐一填报等保备案相关材料，可自行或由信息化工作部门集中统一报送公安机关进行登记并接受审核。

第十二条 信息系统等级测评及备案。拟定为第二级（含）以上的信息系统经公安机关审核通过后，由测评机构开展等级测评工作。测评机构对信息系统安全状况未达到安全保护等级要求的，提出整改意见和改进方案，学校信息化工作部门和相关业务部门应按职责分工，逐条对照整改，直至合格为止；经审查合格的，公安机关颁发纸质《信息系统安全等级保护备案证明》。

依据《信息系统安全等级保护测评要求》等技术标准，二级信息系统应当每两年至少进行一次等级测评，第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。

第十三条 资料管理。信息化工作部门需要做好《信息系统安全等级保护备案证明》原件和《信息系统等级测评报告》等资料保管工作。

第四章　等级变更

第十四条 信息系统运行过程中，当系统状态变化可能导致业务信息安全或系统服务受到破坏后的受侵害对象和受侵害程度有较大的变化时，应及时根据具体情况重新定级，并变更等级。

信息系统安全保护等级发生改变的，信息系统业务主管部门应当在30日内到当地公安机关办理变更备案。完成备案变更后，应将新变更的《信息系统安全等级保护备案证明》原件及时交学校信息化工作部门保管。

第五章　附  则

第十五条 本办法自印发之日起施行。

第十六条 本办法由学校网络安全与信息化领导小组负责解释。