教育部公安部關(guān)于全面推進教育行業(yè)信息安全等級保護工作的通知
教育部 公安部關(guān)于全面推進教育行業(yè)信息安全等級保護工作的通知
各省、自治區(qū)、直轄市教育廳(教委)、公安廳(局),新疆生產(chǎn)建設兵團教育局、公安局,有關(guān)部門(單位)教育司(局),教育部直屬各高等學校、各直屬單位:
信息安全等級保護制度是提高信息安全保障能力和水平,維護國家安全、社會穩(wěn)定和公共利益,保障和促進信息化建設的一項基本制度。為貫徹落實國家信息安全等級保護制度,全面推進教育行業(yè)信息系統(tǒng)(含網(wǎng)站,下同)安全等級保護工作,保障教育行業(yè)信息化發(fā)展和重要網(wǎng)絡設施、信息系統(tǒng)及數(shù)據(jù)安全,現(xiàn)將有關(guān)事項通知如下。
一、工作目標
貫徹落實國家信息安全等級保護制度的相關(guān)法律法規(guī)、標準規(guī)范以及《教育行業(yè)信息系統(tǒng)安全等級保護定級工作指南》的相關(guān)要求,提高全體人員的信息技術(shù)安全意識,加快推進信息安全等級保護工作,提高信息系統(tǒng)安全防護能力,到2016年底基本完成教育行業(yè)信息系統(tǒng)的定級、備案和第三級以上信息系統(tǒng)的測評、整改工作。
二、工作分工
按照“自主定級、自主保護”的原則,教育行業(yè)各單位是信息技術(shù)安全工作的責任主體,負責本單位所屬信息安全等級保護工作。教育部負責統(tǒng)籌教育行業(yè)信息安全等級保護工作,組織教育部內(nèi)司局、直屬單位和部屬高校開展信息系統(tǒng)定級、備案、測評和整改。各省級教育行政部門和有關(guān)部門(單位)教育司局負責組織本地區(qū)教育行業(yè)或本部門(單位)所屬學校信息安全等級保護工作。公安部加強對教育行業(yè)信息安全等級保護工作的監(jiān)督、檢查和指導,地方各級公安機關(guān)負責本地區(qū)教育機構(gòu)的信息安全等級保護工作的監(jiān)督、檢查和指導。
建立由教育部、公安部組成的部際協(xié)調(diào)機制,按照各自職責分工,密切配合,定期溝通和通報工作進展,及時交流備案數(shù)據(jù)、整改測評情況和檢查結(jié)果。地方各級教育行政部門、公安機關(guān)根據(jù)地方實際,建立相應的工作協(xié)調(diào)機制,及時上報工作進展,保障和促進教育行業(yè)信息安全等級保護工作的順利開展。
三、工作內(nèi)容
(一)組織開展信息系統(tǒng)摸底調(diào)查工作。明確信息系統(tǒng)主管單位,準確掌握信息系統(tǒng)基本情況、ICP備案情況、安全等級保護情況和信息系統(tǒng)運維情況。通過摸底調(diào)查,建立起信息技術(shù)安全工作聯(lián)絡圖和信息系統(tǒng)名錄(參考模板見附件1),并進行動態(tài)更新,做到底數(shù)清、情況明。
(二)加快推進信息系統(tǒng)安全等級保護定級備案工作。按照國家和教育部有關(guān)要求,對已運行但未定級或定級不準的信息系統(tǒng)進行定級,新建、改建、擴建信息系統(tǒng)在設計階段確定系統(tǒng)安全保護等級并同步建設安全保護措施,在上線30日內(nèi)完成公安機關(guān)備案工作。地方各級教育行政部門對所屬單位的定級材料進行初審,經(jīng)初審后確定為第二級以上的信息系統(tǒng)應按相關(guān)要求到公安機關(guān)備案。
(三)開展信息系統(tǒng)安全等級測評和整改工作。在定級備案工作基礎上,對照國家相關(guān)標準規(guī)范,通過信息系統(tǒng)安全等級測評或風險評估等方式確定整改需求,對信息系統(tǒng)進行安全加固和完善,落實安全保護技術(shù)措施和安全制度,提高網(wǎng)絡和信息系統(tǒng)的整體保護能力。第三級以上信息系統(tǒng)應從《全國信息系統(tǒng)安全等級保護測評機構(gòu)推薦目錄》(http://www.djbh.net/)中擇優(yōu)選擇測評機構(gòu),按照規(guī)定要求定期開展等級測評,查找發(fā)現(xiàn)并及時整改存在的安全問題、漏洞和隱患,形成信息系統(tǒng)安全等級測評報告報公安機關(guān)備案。
(四)開展信息系統(tǒng)安全等級保護專項檢查。定期對信息系統(tǒng)安全保護狀況、安全保護制度及技術(shù)措施的落實情況進行自查,及時發(fā)現(xiàn)系統(tǒng)中存在的安全問題并整改。各級教育行政部門和有關(guān)部門(單位)教育司局應定期監(jiān)督、檢查所屬單位信息安全等級保護工作落實情況,指導開展信息安全等級保護工作;各級公安機關(guān)會同教育行政部門定期對本地區(qū)信息安全等級保護工作進行監(jiān)督檢查,推動信息系統(tǒng)安全防護能力逐步達到信息安全等級保護要求。
四、工作要求
(一)提高認識,加強領(lǐng)導。各單位應高度重視教育行業(yè)信息安全工作,將加快推進信息安全等級保護工作擺在重要位置,加強統(tǒng)籌領(lǐng)導、明確職責分工、保障必要的工作條件,確保工作有序推進。
(二)制定計劃,明確節(jié)點。各單位應按照整體部署,在信息系統(tǒng)摸底調(diào)查的基礎上,研究制定信息安全等級保護工作方案,明確工作要求、程序和進度安排。各單位填寫《教育行業(yè)信息安全等級保護工作情況統(tǒng)計表》(附件2),教育部屬各高校同時填寫《信息系統(tǒng)名錄》(附件1),于8月31日前將加蓋公章的紙質(zhì)版材料(附光盤)報教育部科技司。
(三)加強監(jiān)督,定期通報。各單位應建立健全通報機制,及時掌握工作進展情況,逐步推動信息技術(shù)安全工作達到信息安全等級保護要求。各單位自第3季度起,每季度末填寫《教育行業(yè)信息安全等級保護工作進度統(tǒng)計表》(附件3),以電子郵件的方式報教育部科技司。教育部將信息安全等級保護工作納入教育信息化工作月報,定期通報信息安全等級保護工作情況。
附件請于工作時間到教育部科技司網(wǎng)站下載中心欄目進行下載。
聯(lián)系人:
教育部科技司 潘潤愷
附件:1.信息系統(tǒng)名錄
2.教育行業(yè)信息安全等級保護工作情況統(tǒng)計表
3.教育行業(yè)信息安全等級保護工作進度統(tǒng)計表
各省、自治區(qū)、直轄市教育廳(教委)、公安廳(局),新疆生產(chǎn)建設兵團教育局、公安局,有關(guān)部門(單位)教育司(局),教育部直屬各高等學校、各直屬單位:
信息安全等級保護制度是提高信息安全保障能力和水平,維護國家安全、社會穩(wěn)定和公共利益,保障和促進信息化建設的一項基本制度。為貫徹落實國家信息安全等級保護制度,全面推進教育行業(yè)信息系統(tǒng)(含網(wǎng)站,下同)安全等級保護工作,保障教育行業(yè)信息化發(fā)展和重要網(wǎng)絡設施、信息系統(tǒng)及數(shù)據(jù)安全,現(xiàn)將有關(guān)事項通知如下。
一、工作目標
貫徹落實國家信息安全等級保護制度的相關(guān)法律法規(guī)、標準規(guī)范以及《教育行業(yè)信息系統(tǒng)安全等級保護定級工作指南》的相關(guān)要求,提高全體人員的信息技術(shù)安全意識,加快推進信息安全等級保護工作,提高信息系統(tǒng)安全防護能力,到2016年底基本完成教育行業(yè)信息系統(tǒng)的定級、備案和第三級以上信息系統(tǒng)的測評、整改工作。
二、工作分工
按照“自主定級、自主保護”的原則,教育行業(yè)各單位是信息技術(shù)安全工作的責任主體,負責本單位所屬信息安全等級保護工作。教育部負責統(tǒng)籌教育行業(yè)信息安全等級保護工作,組織教育部內(nèi)司局、直屬單位和部屬高校開展信息系統(tǒng)定級、備案、測評和整改。各省級教育行政部門和有關(guān)部門(單位)教育司局負責組織本地區(qū)教育行業(yè)或本部門(單位)所屬學校信息安全等級保護工作。公安部加強對教育行業(yè)信息安全等級保護工作的監(jiān)督、檢查和指導,地方各級公安機關(guān)負責本地區(qū)教育機構(gòu)的信息安全等級保護工作的監(jiān)督、檢查和指導。
建立由教育部、公安部組成的部際協(xié)調(diào)機制,按照各自職責分工,密切配合,定期溝通和通報工作進展,及時交流備案數(shù)據(jù)、整改測評情況和檢查結(jié)果。地方各級教育行政部門、公安機關(guān)根據(jù)地方實際,建立相應的工作協(xié)調(diào)機制,及時上報工作進展,保障和促進教育行業(yè)信息安全等級保護工作的順利開展。
三、工作內(nèi)容
(一)組織開展信息系統(tǒng)摸底調(diào)查工作。明確信息系統(tǒng)主管單位,準確掌握信息系統(tǒng)基本情況、ICP備案情況、安全等級保護情況和信息系統(tǒng)運維情況。通過摸底調(diào)查,建立起信息技術(shù)安全工作聯(lián)絡圖和信息系統(tǒng)名錄(參考模板見附件1),并進行動態(tài)更新,做到底數(shù)清、情況明。
(二)加快推進信息系統(tǒng)安全等級保護定級備案工作。按照國家和教育部有關(guān)要求,對已運行但未定級或定級不準的信息系統(tǒng)進行定級,新建、改建、擴建信息系統(tǒng)在設計階段確定系統(tǒng)安全保護等級并同步建設安全保護措施,在上線30日內(nèi)完成公安機關(guān)備案工作。地方各級教育行政部門對所屬單位的定級材料進行初審,經(jīng)初審后確定為第二級以上的信息系統(tǒng)應按相關(guān)要求到公安機關(guān)備案。
(三)開展信息系統(tǒng)安全等級測評和整改工作。在定級備案工作基礎上,對照國家相關(guān)標準規(guī)范,通過信息系統(tǒng)安全等級測評或風險評估等方式確定整改需求,對信息系統(tǒng)進行安全加固和完善,落實安全保護技術(shù)措施和安全制度,提高網(wǎng)絡和信息系統(tǒng)的整體保護能力。第三級以上信息系統(tǒng)應從《全國信息系統(tǒng)安全等級保護測評機構(gòu)推薦目錄》(http://www.djbh.net/)中擇優(yōu)選擇測評機構(gòu),按照規(guī)定要求定期開展等級測評,查找發(fā)現(xiàn)并及時整改存在的安全問題、漏洞和隱患,形成信息系統(tǒng)安全等級測評報告報公安機關(guān)備案。
(四)開展信息系統(tǒng)安全等級保護專項檢查。定期對信息系統(tǒng)安全保護狀況、安全保護制度及技術(shù)措施的落實情況進行自查,及時發(fā)現(xiàn)系統(tǒng)中存在的安全問題并整改。各級教育行政部門和有關(guān)部門(單位)教育司局應定期監(jiān)督、檢查所屬單位信息安全等級保護工作落實情況,指導開展信息安全等級保護工作;各級公安機關(guān)會同教育行政部門定期對本地區(qū)信息安全等級保護工作進行監(jiān)督檢查,推動信息系統(tǒng)安全防護能力逐步達到信息安全等級保護要求。
四、工作要求
(一)提高認識,加強領(lǐng)導。各單位應高度重視教育行業(yè)信息安全工作,將加快推進信息安全等級保護工作擺在重要位置,加強統(tǒng)籌領(lǐng)導、明確職責分工、保障必要的工作條件,確保工作有序推進。
(二)制定計劃,明確節(jié)點。各單位應按照整體部署,在信息系統(tǒng)摸底調(diào)查的基礎上,研究制定信息安全等級保護工作方案,明確工作要求、程序和進度安排。各單位填寫《教育行業(yè)信息安全等級保護工作情況統(tǒng)計表》(附件2),教育部屬各高校同時填寫《信息系統(tǒng)名錄》(附件1),于8月31日前將加蓋公章的紙質(zhì)版材料(附光盤)報教育部科技司。
(三)加強監(jiān)督,定期通報。各單位應建立健全通報機制,及時掌握工作進展情況,逐步推動信息技術(shù)安全工作達到信息安全等級保護要求。各單位自第3季度起,每季度末填寫《教育行業(yè)信息安全等級保護工作進度統(tǒng)計表》(附件3),以電子郵件的方式報教育部科技司。教育部將信息安全等級保護工作納入教育信息化工作月報,定期通報信息安全等級保護工作情況。
附件請于工作時間到教育部科技司網(wǎng)站下載中心欄目進行下載。
聯(lián)系人:
教育部科技司 潘潤愷
附件:1.信息系統(tǒng)名錄
2.教育行業(yè)信息安全等級保護工作情況統(tǒng)計表
3.教育行業(yè)信息安全等級保護工作進度統(tǒng)計表