教技〔2015〕2号
各省、自治区、直辖市教育厅(教委)、公安厅(局),新疆生产建设兵团教育局、公安局,有关部门(单位)教育司(局),教育部直属各高等学校、各直属单位:
信息安全等级保护制度是提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设的一项基本制度。为贯彻落实国家信息安全等级保护制度,全面推进教育行业信息系统(含网站,下同)安全等级保护工作,保障教育行业信息化发展和重要网络设施、信息系统及数据安全,现将有关事项通知如下。
一、工作目标
贯彻落实国家信息安全等级保护制度的相关法律法规、标准规范以及《教育行业信息系统安全等级保护定级工作指南》的相关要求,提高全体人员的信息技术安全意识,加快推进信息安全等级保护工作,提高信息系统安全防护能力,到2016年底基本完成教育行业信息系统的定级、备案和第三级以上信息系统的测评、整改工作。
二、工作分工
按照“自主定级、自主保护”的原则,教育行业各单位是信息技术安全工作的责任主体,负责本单位所属信息安全等级保护工作。教育部负责统筹教育行业信息安全等级保护工作,组织教育部内司局、直属单位和部属高校开展信息系统定级、备案、测评和整改。各省级教育行政部门和有关部门(单位)教育司局负责组织本地区教育行业或本部门(单位)所属学校信息安全等级保护工作。公安部加强对教育行业信息安全等级保护工作的监督、检查和指导,地方各级公安机关负责本地区教育机构的信息安全等级保护工作的监督、检查和指导。
建立由教育部、公安部组成的部际协调机制,按照各自职责分工,密切配合,定期沟通和通报工作进展,及时交流备案数据、整改测评情况和检查结果。地方各级教育行政部门、公安机关根据地方实际,建立相应的工作协调机制,及时上报工作进展,保障和促进教育行业信息安全等级保护工作的顺利开展。
三、工作内容
(一)组织开展信息系统摸底调查工作。明确信息系统主管单位,准确掌握信息系统基本情况、ICP备案情况、安全等级保护情况和信息系统运维情况。通过摸底调查,建立起信息技术安全工作联络图和信息系统名录(参考模板见附件1),并进行动态更新,做到底数清、情况明。
(二)加快推进信息系统安全等级保护定级备案工作。按照国家和教育部有关要求,对已运行但未定级或定级不准的信息系统进行定级,新建、改建、扩建信息系统在设计阶段确定系统安全保护等级并同步建设安全保护措施,在上线30日内完成公安机关备案工作。地方各级教育行政部门对所属单位的定级材料进行初审,经初审后确定为第二级以上的信息系统应按相关要求到公安机关备案。
(三)开展信息系统安全等级测评和整改工作。在定级备案工作基础上,对照国家相关标准规范,通过信息系统安全等级测评或风险评估等方式确定整改需求,对信息系统进行安全加固和完善,落实安全保护技术措施和安全制度,提高网络和信息系统的整体保护能力。第三级以上信息系统应从《全国信息系统安全等级保护测评机构推荐目录》(http://www.djbh.net/)中择优选择测评机构,按照规定要求定期开展等级测评,查找发现并及时整改存在的安全问题、漏洞和隐患,形成信息系统安全等级测评报告报公安机关备案。
(四)开展信息系统安全等级保护专项检查。定期对信息系统安全保护状况、安全保护制度及技术措施的落实情况进行自查,及时发现系统中存在的安全问题并整改。各级教育行政部门和有关部门(单位)教育司局应定期监督、检查所属单位信息安全等级保护工作落实情况,指导开展信息安全等级保护工作;各级公安机关会同教育行政部门定期对本地区信息安全等级保护工作进行监督检查,推动信息系统安全防护能力逐步达到信息安全等级保护要求。
四、工作要求
(一)提高认识,加强领导。各单位应高度重视教育行业信息安全工作,将加快推进信息安全等级保护工作摆在重要位置,加强统筹领导、明确职责分工、保障必要的工作条件,确保工作有序推进。
(二)制定计划,明确节点。各单位应按照整体部署,在信息系统摸底调查的基础上,研究制定信息安全等级保护工作方案,明确工作要求、程序和进度安排。各单位填写《教育行业信息安全等级保护工作情况统计表》(附件2),教育部属各高校同时填写《信息系统名录》(附件1),于8月31日前将加盖公章的纸质版材料(附光盘)报教育部科技司。
(三)加强监督,定期通报。各单位应建立健全通报机制,及时掌握工作进展情况,逐步推动信息技术安全工作达到信息安全等级保护要求。各单位自第3季度起,每季度末填写《教育行业信息安全等级保护工作进度统计表》(附件3),以电子邮件的方式报教育部科技司。教育部将信息安全等级保护工作纳入教育信息化工作月报,定期通报信息安全等级保护工作情况。
联系人:
教育部科技司 潘润恺
电 话:010-66096457 邮箱地址:prk@moe.edu.cn
公安部十一局 范春玲
电 话:010-66261383
教育部 公安部
2015年7月9日