根据中国科学技术大学(中科大)官网最新信息,5月22日,(中科大)召开网络安全等级保护定级工作专家评审会,针对学校OA公文系统、图书馆综合信息系统、数字档案馆系统、合同综合信息系统的等级保护初步定级进行评审。评审专家组由中国科学技术大学信息安全测评中心高级测评师程绍银为组长,成员包括研究生院副院长倪瑞、党政办公室副主任彭慧、网络信息中心主任李京、副主任张焕杰、高级工程师夏玉良等业务专家。 依照《GB/T22240-2020信息安全技术 网络安全等级保护定级指南》,中科大严格履行“自主定级、专家评审、主管部门审批和公安机关监督”的工作流程。本次评审会对校内四个拟确定为等级保护二级系统进行定级评审。 网络信息中心陈蕾针对四个信息系统的初步定级过程和初步确定等级向专家组做了总体汇报,向专家组介绍了信息系统的责任单位,系统承载的业务和服务对象,系统的风险着眼点,初步确定的安全等级。各信息系统的负责人详细汇报了系统的建设和运行情况,介绍系统业务信息安全等级和系统服务安全等级的定级依据。 专家组听取了党政办公室、图书馆、档案馆、财务处负责老师对信息系统定级情况汇报,查阅定级报告和备案表,并对四个信息系统相关情况进行讨论和质询。与会专家针对定级报告中援引的定级依据文件、定级结果描述做出规范性建议,针对信息系统的功能模块耦合提出需合理分析、准确定级的建议。 专家组一致认为此次定级工作引用标准正确,风险分析合理,建议本次四个信息系统的保护等级为二级。专家组建议在完成定级备案工作后,尽快开展信息系统的等级保护后续工作,尽早完成测评工作,完善数据灾备方案,确保信息系统的安全合规、稳定运行。 GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》是国家等级保护标准体系的核心标准之一,规定了非涉及国家秘密的等级保护对象的定级方法和流程。根据该指南,只要对象满足:具有确定的主要安全责任体;承载相对独立的业务应用;包含相互关联的多个资源等三个基本特征,就要进行定级备案。且安全保护等级初步确定为第二级及以上的等级保护对象,其运营者应当依据标准要求分别进行专家评审、主管部门核准和公安机关备案审核,最终确定其安全保护等级。