教技〔2014〕4号
教育部关于加强教育行业网络与信息安全工作的指导意见
教技〔2014〕4号
各省、自治区、直辖市教育厅(教委),各计划单列市教育局,新疆生产建设兵团教育局,有关部门(单位)教育司(局),部属各高等学校,部内各司局,各直属单位:
信息化在促进国家经济和社会发展方面的作用日益凸显,已深入到社会生活的各个角落。随着信息化的快速发展和信息技术的广泛应用,网络安全面临的威胁持续加大,教育信息化是国家信息化重要组成部分,教育行业网络与信息安全工作关系着教育信息化的稳步推进和教育事业的改革发展。为深入贯彻中央关于网络安全工作的总体部署,落实《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》与信息安全等级保护制度的要求,加快建立健全教育行业网络与信息安全保障体系,提高防护能力和水平,保障教育事业健康有序发展,现就教育行业网络与信息安全工作提出以下指导意见:
一、总体目标和基本原则
总体目标:全面提高教育行业网络与信息安全意识,建立健全教育网络与信息安全工作的组织体系、管理规章和责任制度,落实国家信息安全等级保护制度,有效防范、控制和抵御信息安全风险,增强安全预警、应急处置和灾难恢复能力,提高各级教育部门和学校整体安全防护水平,形成与教育信息化发展相适应的、完备的网络与信息安全保障体系,支撑教育现代化事业健康持续发展。
基本原则:
分级管理、逐级负责。教育部统筹指导教育行业的网络与信息安全工作,负责教育部机关司局、直属单位和部属高等学校网络与信息安全工作的统筹部署与监督检查。地方各级教育行政部门负责本地区教育部门和学校的网络与信息安全工作。有关部门(单位)负责所属学校的网络与信息安全工作。各级各类学校负责本单位的网络与信息安全工作。
自主防护、明确责任。各单位按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则切实落实网络与信息安全责任。网络与信息系统的主管部门承担系统的安全管理和监督责任,网络与信息系统的运行维护部门承担系统的技术安全保障责任,网络与信息系统的使用单位和个人承担系统操作与信息内容的直接安全责任。
统筹规划、同步建设。各单位对网络与信息安全工作要归口管理,做好统筹规划。信息化与信息安全同步设计与建设,内容与技术并重、管理与技术并举。
政策合规、遵从标准。各单位要严格执行国家网络与信息安全法律法规、政策和标准规范,以及教育部制订发布的各类教育信息化管理制度和网络与信息安全标准规范,在管理、技术、人员岗位和操作实施等各个方面符合要求。
二、主要任务
1.建立健全网络与信息安全组织领导体系。各单位要建立党政一把手负责的统筹网络安全与信息化工作的领导机构,主要负责同志是网络与信息安全的第一责任人。根据单位实际,应设立或明确职能部门和专门管理人员,归口管理本单位网络安全与信息化工作。建立保障有力的技术支撑部门。建立健全内部管理协调机制,与各级政府网络与信息安全管理部门、公安部门建立跨部门协调和事件处理机制,充分发挥纵向衔接、横向协调的组织保障作用。
2.制定完善网络与信息安全规划和管理制度。各单位要按照国家有关网络和信息安全的政策要求,结合自身实际,制定网络与信息安全总体规划,加强安全管理策略研究,建立并完善本单位加强网络与信息安全管理所需的各项规章制度,重点包括人员安全管理、计算机软硬件管理、信息系统建设与运维管理、门户网站管理(包括内设机构建设的各类网站)、邮件服务系统管理、数据安全及使用管理等制度,并在实际工作中予以落实。
3.全面实施信息安全等级保护制度。各单位要按照国家和教育部有关信息安全等级保护工作要求,全面实施信息安全等级保护制度。一是要按照教育行业有关规范准确定级和备案,对新建系统要在系统规划、设计阶段同步确定安全保护等级;二是按照国家和教育行业有关标准规范要求进行等级测评,四级系统每年进行两次测评,三级系统每年进行一次测评,二级系统每两年进行一次测评;三是要按照国家和教育行业有关标准规范要求进行安全建设与问题整改,对于新建系统,要在系统设计实施阶段同步建设安全防护措施,对于已建系统要按照系统所定级别进行安全整改。
4.大力提升网络与信息安全技术防护能力。各单位应研究制定网络与信息安全技术防护方案,建立多层次网络与信息安全技术防护体系,按需配置网络与信息安全防护设备和软件,加强网络与信息安全核心技术的研发和使用,推动软件正版化和优先采用具有自主知识产权和自有核心技术的软硬件产品,实现安全防护、监测预警、灾难恢复、安全认证等安全保障与网络信任功能,构建可信、可控、可查的网络与信息安全技术防护环境。
5.建立健全网络与信息安全应急处置和通报机制。各单位应制定网络与信息安全应急预案,明确应急处置流程和权限,落实应急处置技术支撑队伍,开展安全应急演练,提高网络与信息安全应急处置能力。建立重大网络与信息安全事件处置和报告制度,确定报送范围、规范报告格式、建立报送流程、明确报送时间。发生事件后,信息系统的运维单位应当立即采取措施降低损害程度,防止事件扩大,保存相关记录;按照应急处置程序对发生安全事件的信息系统立即向有关部门报告,做到应急处置迅速,报告及时。
6.加强网络与信息安全队伍建设和人员培训。各单位应选拔具有网络和信息系统管理经验和专业技能的人员从事网络与信息安全管理工作,有条件的单位应建立网络与信息安全管理专职队伍和技术支撑专业队伍,落实岗位责任和考核机制。各单位应制定网络与信息安全的培训规划,开展面向全员的普及性培训,加强管理和技术人员的专业培训,逐步实行管理和技术人员持证上岗。
7.加快教育行业网络与信息安全标准规范建设。结合教育行业网络与信息安全的特点,重点组织制定信息安全等级保护有关的定级指南、基本要求、测评规范、综合评估体系等行业标准规范,逐步建立健全具有教育行业特色的网络与信息安全标准规范体系,形成对教育行业网络与信息安全科学化、规范化和制度化管理。
三、工作要求
1.加强组织领导。各单位要充分认识网络与信息安全工作的重要性和紧迫性,将此项工作列入本单位重要议事日程,与信息化工作统一谋划、统一部署、统一推进、统一实施,主要负责同志要亲自抓,明确主管负责人,落实责任部门,切实将各项工作落到实处,不断提升安全管理和防护能力。
2.加大网络与信息安全投入。各单位应建立稳定的网络与信息安全经费投入机制,有条件的单位应设立专项经费,重点支持信息安全等级保护、安全防护能力建设、信息安全服务、人员培训等工作。加强网络与信息安全核心技术研发和使用,全面实现网络与信息安全的可管可控。
3.加强宣传教育。各单位要组织开展形式多样、针对性强的全员宣传教育,践行“忠诚、担当、创新、廉洁、团结、奉献”的网信精神,将网络与信息安全意识和政治意识、责任意识、保密意识结合起来,大力弘扬社会主义核心价值观,提高领导干部、管理人员、技术人员、教师的安全和防范意识。
特别要加强对学生的网络与信息安全教育,提高学生识别有害信息的能力,培养学生良好的媒介素养,引导学生树立科学健康的用网习惯,培养学生规范、合法的网络行为。
4.加强督促检查。地方各级教育行政部门、有关部门(单位)应定期开展本地区、本部门所属学校的网络与信息安全监督检查工作,通过自查、抽查和远程安全检测等形式,做到尽早发现、提前防范、及时补救,建立考核与奖惩机制,确保工作落到实处。教育部将于近期组织开展部内司局、直属单位及部属高等学校的网络安全检查和信息安全等级保护工作。地方各级教育行政部门、有关部门(单位)应尽快部署本地区、本部门(单位)网络安全检查和信息安全等级保护工作,2014年底由省级教育行政部门、有关部门(单位)将落实情况报送教育部。
教育部
2014年8月21日