关于进一步加强陕西省
教育行业网络与信息安全工作的指导意见
各市教育局,杨凌示范区教育局、西咸新区社会事务管理局,韩城市、神木县、府谷县教育局,各高等学校、厅属中等职业学校,厅属有关单位:
为深入贯彻党中央、国务院关于网络与信息安全工作的总体部署,落实《教育部关于加强教育行业网络与信息安全工作的指导意见》与信息安全等级保护制度的要求,加快我省教育行业网络与信息安全防护体系建设,提高教育行业网络与信息安全防护能力与水平,保障全省教育信息化稳步推进和教育事业顺利发展,现就进一步加强我省教育行业网络与信息安全工作提出如下指导意见,请结合实际贯彻执行。
一、基本要求
(一)工作思路。
以党中央、国务院加强网络信息安全保障和互联网管理的指示精神为指导,按照“安全与信息化工作统一谋划、统一部署、统一推进、统一实施”的基本思想,遵循管理、组织与技术三方面并重的原则,以提高教育行业网络与信息安全意识、建立健全教育信息安全防护体系为核心,重点保障教育数据中心和重要应用系统安全,提高各级教育管理部门和学校安全防护能力与水平,支撑全省教育信息化和现代化发展。
1.分级管理、逐级负责。省教育厅统筹指导全省教育信息安全管理工作,各市县(区)教育局负责本地区教育管理部门和各类学校的信息安全管理工作,各高等院校负责本单位的信息安全管理工作。
2.自主防护、明确责任。各单位按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则切实落实信息安全责任。信息系统的主管部门承担系统的安全管理和监督责任,信息系统的运行维护部门和技术支持单位承担系统的技术安全保障责任,信息系统的使用单位和个人承担系统操作与信息内容的直接安全责任。
3.统筹规划、同步建设。各单位要在教育信息化的过程中做好信息安全管理工作,确保信息安全管理与信息化规划、实施和应用同步,信息安全管理与防护技术并举。
4.政策合规、遵从标准。各单位要在管理、组织和技术等方面严格执行国家网络与信息安全法律法规、政策和标准规范,以及教育部制订发布的各类教育信息化管理制度和信息安全标准规范,落实陕西省信息安全相关要求,做好信息安全管理工作。
(二)工作目标。
一是形成顺畅的信息安全管理体制机制。在全省各级教育管理部门和各类学校建立完善的信息安全管理机构,合理的信息安全管理队伍,权责明晰的信息安全管理制度,制定相对完善的信息安全管理规范和应急预案,实现全省教育信息安全管理工作上下畅通,责任到人。
二是形成完善的信息安全防护设施。按照信息安全等级保护要求,各单位数据中心基本配齐必备的信息安全防护设施,实现分级分域分层次的安全防护要求。重要网站和应用系统安全管理水平明显提高,安全防范能力明显增强,安全隐患和安全事故明显减少。
到2016年底,全省教育信息安全管理组织机构基本健全,数据中心等关键信息设施基本配齐信息安全防护设备,重点网站和应用系统基本达到等级保护要求,信息安全防护能力显著提升,安全管理工作更加规范化。
二、主要任务
(一)健全教育管理部门信息安全组织体系。
各级教育管理部门按照决策、咨询和实施三层架构,依托教育信息化管理机构健全安全管理机构,强化教育信息安全管理科室,配备专业安全管理与技术人员,建立体系完善的信息安全管理组织。市县教育局要参照省教育信息化与网络安全领导小组人员组成,组建市、县教育信息化与网络安全领导小组。到2016年底,完成安全管理机构和队伍建设。
(二)加强各类学校信息安全管理队伍建设。
各类学校要通过增加编制、加挂牌子、明确职能、调剂人员、专题培训等办法,选拔配备与工作要求相符合,具有网络安全管理经验或信息安全教育背景的专业人员,从事网络与信息安全管理工作。要成立或健全党政一把手直接负责的教育信息化与网络安全领导小组,高校要在信息化部门中建立信息安全管理机构,充实专职安全管理技术人员,与安全行业或公司建立安全技术协作机制,与公安部门建立跨部门协调和事件处理机制,建立保障有力的技术支撑部门。基础教育学校和学前教育机构要指定信息安全管理员,实现安全管理工作责任到人。
(三)加快完成各级教育数据中心信息安全基本条件建设。
各级教育管理部门和各类学校要将所管数据中心作为信息安全防护的重点,按照“分域控制,纵深防御,集中管理”的思路,在物理安全、网络安全、主机安全、应用安全等方面配齐必备的安全防护设备。市、县(区)教育局要配合数据中心托管单位尽快完成信息安全防护措施建设。自建数据中心的学校要尽快按照分级分域分层次的思路,参照信息安全等级保护二级防护要求,完成校园网数据中心的安全防护措施,不具备数据中心基础设施安全保障条件的学校必须将关键设备和三级及以上重要信息系统托管至具有合法资质的托管机构。到2016年底,市、县(区)、校数据中心基本完善必备的信息安全防护设施,形成安全可控的信息化基础环境。
(四)加强网站与教育应用系统安全防护工作。
各级教育管理部门和各类学校要高度重视本单位网站和应用系统的安全管理工作,分批开展信息安全等级保护测评工作,按照测评结果配齐相应的安全防护设施,健全本单位网站和应用系统信息安全审核制度。对于正在使用的网站和应用系统,要长期开展技术安全检查,全面彻查并及时补救安全漏洞,做好各系统的加固工作,并严格网上信息审核发布程序,实行主要领导负责制,明确专门部门、专门人员负责本单位门户网站和重要应用系统的管理,确保网站和应用系统管理工作落实到人。对于正在建设或拟投入使用的网站和应用系统,要做好系统上线前的信息安全测试与网站的审批工作,测试达标后方可上线。
(五)规范教育信息安全管理工作。
各级教育管理部门与各类学校要将信息安全管理工作纳入本单位重要议事日程,与教育信息化重点工作统一谋划、统一部署、统一推进、统一实施。要在本地本单位教育信息化与网络安全领导小组的领导下,明确信息化办公室和信息技术保障部门的安全职责,建立协调处理机制,制订详细的信息安全管理工作实施方案,建立和完善本地本单位的网络与信息安全运行、管理保障机制。要制订和完善各应用系统和教育基础数据的使用管理办法,确保数据安全可靠。要制订网络与信息安全应急预案,明确应急处置流程和权限,充实应急处置技术支撑队伍,配备必要的应急设备和环境,开展应急预案培训和演练,提高信息安全应急反应与处置能力。建立重大信息安全事件一事一报和年度综合分析报告制度,各单位要按流程上报本单位的网络信息安全管理工作情况、信息系统运行状况和网络信息事件处置情况,省教育厅定期通报全省网络与信息安全状况。
(六)全面落实信息安全等级保护制度。
各级教育管理部门和各类学校要严格落实教育部《教育信息系统安全等级保护定级工作指南(试行)》要求,明确信息系统主管部门以及信息系统建设、运行、维护、使用单位和个人的安全责任,分别落实和实施等级保护措施。要严格按照陕西省等级保护工作要求,开展定级和备案,对新建系统要在系统规划、设计阶段同步确定安全保护等级。要按照国家和教育行业有关标准规范要求开展测评,第四级系统每半年进行一次测评,第三级系统每年进行一次测评,第二级系统每两年进行一次测评。要按照国家和教育行业有关标准规范要求进行安全建设和问题整改,对于新建系统,要在系统设计实施阶段同步建设安全防护措施。未经安全定级备案或第三方安全测评的重要信息系统不得上线运行。
三、保障措施
(一)强化信息安全管理工作领导。
各单位要建立党政一把手负责的教育信息化与网络安全工作领导组织,主要负责人是信息安全的第一责任人。同时,建立健全管理协调机制,教育管理部门要与各级政府网络与信息安全管理部门、公安部门建立跨部门协调和事件处理机制,充分发挥纵向衔接、横向协调的组织保障作用。
(二)进一步加大网络与信息安全经费投入。
各地各单位要建立稳定的网络与信息安全经费投入机制,设立网络与信息安全专项经费,明确网络与信息安全专项经费占教育信息化经费的支出比例,重点支持网络信息安全设施建设、安全防护能力建设、信息安全服务、人员培训、等级保护和日常管理工作。
(三)进一步加强管理人员的信息安全素养教育。
各单位要按要求参加省教育厅组织的网络信息安全专业技术人员教育培训,并在省教育厅培训的基础上制订本单位的培训计划,确保培训工作不漏一人,落到实处。要组织形式多样、针对性强的全员宣传教育,将信息安全意识、知识、技能和伦理结合起来,全面提高我省教育系统安全管理人员的信息安全素养。
(四)进一步加强网络与信息安全督促检查。
各单位要将信息安全管理工作纳入工作绩效考核体系中,并建立网络信息安全定期检查制度,每年至少组织一次网络与信息安全大检查。要制定网络与信息安全检查、评价考核办法,建立隐患排查治理机制,认真开展安全检查,对于检查中发现的隐患必须及时整改。要建立网络泄密举报制度和奖惩制度,明确举报方式、受理机构和奖惩办法,充分调动社会各界和广大群众的监督作用。
陕西省教育厅
2016年4月15 日