鲁教信推办〔2015〕7号
各市教育局、各省属高校、各直属单位:
信息安全等级保护制度是提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设的一项基本制度。为贯彻落实国家信息安全等级保护制度,全面推进我省教育行业信息系统(含网站,下同)安全等级保护工作,保障教育行业信息化发展和重要网络设施、信息系统及数据安全,根据《教育部 公安部关于全面推进教育行业信息安全等级保护工作的通知》(教技〔2015〕2号)和《教育行业信息系统安全保护定级工作指南》文件要求,现将有关事项通知如下:
一、工作目标
贯彻落实国家信息安全等级保护制度的相关法律法规、标准规范及《教育行业信息系统安全保护定级工作指南》的相关要求,提高信息安全意识和信息系统安全防护能力,到2016年底基本完成全省教育行业信息系统的定级、备案和第三级及以上信息系统的测评、整改工作。
二、工作分工
按照“自主定级、自主保护”的原则,教育行业各单位是信息技术安全工作的责任主体,负责本单位所属信息安全等级保护工作。教育厅负责统筹我省教育行业信息安全等级保护工作,组织教育厅内处室、直属单位和省属高校开展信息系统定级、备案、测评和整改。各市教育局负责组织本地区教育行业单位的信息化安全等级保护工作。本地区教育行业单位的信息安全等级保护工作的监督、检查和指导由各级公安机关负责。
三、工作内容
(一)组织开展信息系统摸底调查工作。明确信息系统主管单位,准确掌握信息系统基本情况、ICP备案情况、安全等级保护情况和信息系统运维情况。通过摸底调查,做好信息系统登记(见附件1),并动态更新,做到底数清、情况明。
(二)加快推进信息系统安全等级保护定级备案工作。按照国家和教育部有关要求,对已运行但未定级或定级不准的信息系统进行定级,新建、改建、扩建信息系统在设计阶段确定系统安全保护等级并同步建设安全保护措施,在上线30日内完成公安机关备案工作。各级教育行政部门对所属单位的定级材料进行初审,经初审后确定为第二级及以上的信息系统应按相关要求到公安机关备案。
(三)开展信息系统安全等级测评和整改工作。在定级备案工作基础上,对照国家相关标准规范,通过信息系统安全等级测评或风险评估等方式确定整改需求,对信息系统进行安全加固和完善,落实安全保护技术措施和安全制度,提高网络和信息系统的整体保护能力。第三级及以上信息系统应从《全国信息系统安全等级保护测评机构推荐目录》(http://www.djbh.net/)中择优选择测评机构,按照规定要求定期开展等级测评,查找发现并及时整改存在的安全问题、漏洞和隐患,形成信息系统安全等级测评报告报公安机关备案。
四、工作要求
(一)提高认识,加强领导。各单位应高度重视教育行业信息安全工作,将加快推进信息安全等级保护工作摆在重要位置,加强统筹领导、明确职责分工、保障必要的工作条件,确保工作有序推进。
(二)制定计划,明确节点。各单位应按照整体部署,在信息系统摸底调查的基础上,研究制定信息安全等级保护工作方案,明确工作要求、程序和进度安排。各单位填写《教育行业信息安全等级保护工作情况统计表》(见附件2),省属高校同时填写《信息系统登记表》(见附件1,已定或计划定三级及以上系统填写上报,三级以下系统填写自查),于9月21日前将电子版和加盖公章的纸质版(或扫描件)材料报我办。以后新增定级为三级及以上的系统时,也应及时填写《信息系统登记表》报我处和及时反馈系统备案、测评和整改情况。
(三)加强监督,定期检查。各单位应建立健全监督检查机制,及时掌握信息系统变化和等级保护工作进展情况,逐步推动信息技术安全工作达到信息安全等级保护要求。
联系人:周春萍
电 话:0531-81676775
邮 箱:zcp@sdedu.gov.cn
附件:1.信息系统登记表.docx
3.教育行业信息系统安全等级保护定级工作指南(试行).pdf
山东省教育信息化工作推进办公室
2015年9月2日