首頁>>技術前沿>>廣西南寧軟件行業動態
廣西教育行業網絡安全等級保護工作實施意見(全文)
作者:南寧軟件公司 | 原創 來源:南寧軟件公司 | 時間:2019年8月30日| 點擊:0次 | 【評論】

網絡安全等級保護工作是國家網絡安全的基礎性工作,是《網絡安全法》規定的一項基本制度。為貫徹實施國家《網絡安全法》,落實國家信息安全等級保護制度,全面推進廣西教育行業網絡安全等級保護定級、備案、測評等工作有序開展,規范備案受理、審核和管理等工作,根據教育部、公安部《關于全面推進教育行業信息安全等級保護工作的通知》(教技〔2015〕2號)和《教育行業信息系統安全等級保護定級工作指南(試行)》(教技廳函〔2014〕74號)等文件精神,結合廣西實際,提出如下實施意見。
教育行業網絡安全等級保護
一、等級保護范圍
等級保護范圍為全區各級教育行政部門及其直屬事業單位、各級各類學校(以下簡稱教育行業單位)安全保護等級為二級及以上的信息系統,按照“誰主管誰負責、誰建設誰負責、誰運維誰負責、誰使用誰負責”的原則開展工作。
本文適用于非涉及國家秘密的,廣西行政區域范圍內教育行業單位信息系統(含網站,以下簡稱“信息系統”)的定級、備案、測評、整改及相關管理工作。
二、等級保護實施基本原則
等級保護工作的核心是對信息系統分等級、按標準進行建設、管理和監督。網絡安全等級保護實施過程中應遵循“自主定級、自主保護、同步建設、動態調整”的原則。信息系統主管部門、使用單位及其運營單位應按照國家相關法律法規,自主確定信息系統的安全保護等級,自覺履行安全保護義務。各單位在新建、改建、擴建信息系統時應當同步規劃和設計安全方案,投入一定的資金建設網絡安全設施,使網絡安全與信息化建設同步推進。
三、明確職責分工
自治區教育廳科學技術與信息化處牽頭統籌全區教育行業網絡安全等級保護工作,負責督促、指導高等學校落實網絡安全等級保護工作;廣西教育信息化中心配合協助教育廳做好網絡安全等級保護的技術指導和支持工作;各市縣教育局對本地區教育行業單位(不含高等學校)的網絡安全工作負有監督管理責任,須明確專門部門和人員負責督促、指導屬地的單位、學校及時開展網絡安全等級保護工作。各單位、各學校是網絡安全等級保護工作的責任主體,須明確本單位本學校負責網絡安全等級保護工作的職能處室和人員。
自治區公安廳網絡安全保衛總隊負責受理教育廳廳機關及其直屬事業單位的備案工作。市級以上公安機關網絡安全保衛部門負責受理本轄區教育行業單位的備案工作。各級公安機關負責本地區教育行業單位的網絡安全等級保護工作的指導、監督和檢查。
四、等級確定原則
(一)安全保護等級分為:第一級、第二級、第三級、第四級、第五級。
第一級按照自主建設、自主定級、自主防護、自主運維的原則進行開辦和管理。
第二級和第三級按照以下步驟開辦和管理。一是根據建議等級定級;二是按時到公安機關備案;三是聘請等級保護測評機構開展測評;四是及時認真整改。
第四級和第五級參照國家文件執行。
(二)信息系統的類型劃分。
運行在網絡環境中(含非互聯網)的教育信息系統應納入到定級保護工作開展范圍。教育信息系統主要按照主管單位、業務對象進行分類。按照主管單位的不同,信息系統分為部門信息系統和學校信息系統兩類。
部門信息系統可分為省級教育行政部門及其直屬事業單位信息系統(自治區級系統)、地市級教育行政部門及其直屬事業單位(地市級系統)和區縣級教育行政部門及其直屬事業單位(區縣級系統)。
學校劃分為三類:Ⅰ類學校是設有碩士點的高等學校、高職高專國家級示范院校;Ⅱ類學校是除Ⅰ類以外的其他高等學校,學生數在5000人及以上中等職業學校;Ⅲ類學校是除Ⅱ類以外的其他中等職業學校,中小學、幼兒園,以及其他類型學校。
根據業務對象不同,部門信息系統可分為政務管理類、學校管理類、學生管理類、教師管理類、綜合服務類;學校信息系統可分為校務管理類、教學科研類、招生就業類、綜合服務類。
(三)定級思路。
部門信息系統與學校信息系統分別定級。由于面向的對象不同、承載的業務不同、受到破壞后造成的侵害程度不同,采取不同的定級思路。信息系統受到破壞后造成的危害程度與其安全等級正相關,造成的危害程度越大,安全等級應越高。部門信息系統根據行政級別、部署模式和業務類型與性質三個維度分析受到破壞后造成的危害程度。學校信息系統根據辦學規模、社會影響力、業務類型三個維度分析受到破壞后造成的危害程度。具體安全保護等級的確定請參考《網絡安全保護等級建議表》(附件1)。實際定級工作中,教育信息系統所定等級原則上不應低于建議等級。
五、等級保護工作流程
(一)初步定級。各單位、各學校須全面梳理本單位、學校在用和在建信息系統的數量,并根據《網絡安全保護等級建議表》初步確定安全保護等級。
二級及以下信息系統根據自主定級原則,各單位、各學校自行根據《網絡安全保護等級建議表》確定安全保護等級。
三級及以上信息系統自主定級時,需要組織3名以上來自不同單位(同一單位限1人)的網絡安全專家(從事相關專業工作滿8年、本科以上學歷、高級技術職稱或自治區公安廳網絡安全保衛總隊確定的等級保護專家)和業務專家進行評審,并出具附有專家簽字的專家評審意見。
(二)按時備案。各單位、各學校應當在信息系統安全保護等級確定后30日內,到屬地公安機關網絡安全保衛部門辦理備案手續。
申請備案原則上按屬地原則進行備案。各單位、各學校到自治區公安廳網絡門戶網站(網址:http://www.gazx.gov.cn)網上服務-表格下載專欄下載并填寫“信息系統安全等級保護備案表”,到屬地公安機關網絡安全保衛部門申請備案。
主管部門審核。各單位、各學校應將初步定級結果報上級教育行政部門審核。廣西教育信息化中心負責對各市教育局開辦的建議等級為三級及以上系統,高校、區直中等職業學校開辦的建議等級為二級及以上系統進行審核,各市縣教育局對管轄范圍內的教育行業單位的二級及以上系統進行審核,重點審核自主定級與《網絡安全保護等級建議表》的一致性。在審核過程中,出現所定等級低于建議等級的,應向公安機關網安部門提交書面說明。
形式審查。公安機關網絡安全保衛部門負責對系統備案材料開展形式審查工作。公安機關網絡安全保衛部門應在收到材料的2個工作日內將形式審查結果反饋備案單位。如材料不符合要求的,備案單位應于收到反饋后5個工作日內將補正后的材料重新提交。公安機關網絡安全保衛部門通過形式審查程序直至材料符合要求。
(三)科學測評。全區教育行業單位安全保護等級為二級及以上的信息系統要開展等級測評工作,測評機構選擇由廣西信息安全等級保護工作協調小組辦公室或其他省份信息安全等級保護協調(領導)小組辦公室推薦、經公安部信息安全等級保護評估中心評估合格、在自治區公安廳進行備案的信息安全等級測評機構,或委托教育部教育管理信息中心(教育信息安全等級保護測評中心)對本學校信息系統開展等級測評。區外信息安全等級測評機構在廣西區內開展等級測評項目的,須按照公安部規定辦理相關備案手續。
安全保護等級為三級的信息系統每年要開展一次等級測評工作,安全保護等級為二級的信息系統每兩年要開展一次等級測評工作。新建系統須在上線前完成測評工作。
(四)認真整改。等級測評完成后,信息系統責任單位要及時針對測評發現的問題認真開展整改工作。對于不能及時完成整改的問題,要及時向教育行政部門和公安機關網安部門書面報告原因,教育行政部門和公安機關網安部門要結合實際情況督促、指導相關單位制定詳細的整改計劃和方案,簽署整改承諾書,確保信息系統安全。
(五)等級變更。信息系統運行過程中,當系統狀態變化可能導致業務信息安全或系統服務受到破壞后的受侵害對象和受侵害程度有較大的變化時,應根據具體情況重新定級,并變更安全保護等級。
六、安全保障措施
(一)安全保障制度建設。
各單位、各學校應按照《網絡安全法》及有關網絡安全的法律法規、政策要求,結合自身實際,建立和完善本單位加強網絡安全管理所需的各項規章制度,規范軟硬件管理、人員安全管理、門戶網站管理(包括內設機構建設的各類網站)、信息系統和數據的安全防護管理等工作。應制定網絡安全應急預案,組織開展應急演練和安全檢查,依規對網絡安全事件進行報告和處置。
(二)安全保障隊伍建設。
各單位、各學校應建立網絡安全管理專職隊伍和技術支撐專業隊伍,制定安全人員管理辦法,明確崗位素質要求,落實崗位責任。各單位、各學校應有不少于一名專職網絡安全人員。要制定安全管理人員和技術人員培訓方案,加強專業培訓,提升安全意識、管理水平和專業技術能力,逐步做到持證上崗。
(三)經費保障。
各單位、各學校須將網絡安全等級保護工作經費納入年度預算,落實網絡安全等級保護、安全防護能力建設、網絡安全服務、技術人員培訓等工作必需的經費,保障工作順利開展。
(四)加強安全防護能力建設。
各單位、各學校應制定網絡安全防護方案,按照網絡安全等級保護要求部署安全防護措施,將網絡安全防護工作落實到位,切實做到可管、可信、可控、可查。可通過自建或購買專業安全服務的方式,保障信息系統運行安全。
(五)加強監督檢查。
各單位、各學校應定期開展網絡安全檢查工作,加強日常監控,建立常態化的監督檢查機制,將網絡安全等級保護工作納入單位年度考核指標。自治區教育廳、自治區公安廳將開展年度網絡安全檢查工作,采取聯合工作組現場抽查方式,重點監督檢查各單位、各學校網絡安全等級保護工作落實情況。對因未落實網絡安全等級保護有關要求導致網絡安全事故發生,造成惡劣影響,但尚不構成犯罪的,由教育行政部門對相關單位和責任人員進行處理。構成犯罪的,由公安機關依法對相關單位和責任人員進行處理。
七、工作要求
(一)各單位、各學校要高度重視網絡安全等級保護工作,摸清底數,統籌規劃,分步落實本單位本學校網絡安全保護工作。請認真填寫《網絡安全等級保護工作進展統計表》(附件2),以公文形式報送教育廳科學技術與信息化處備案。
(二)各單位、各學校對未確定安全保護等級的信息系統和網站要盡快確定安全保護等級,及時辦理備案。全區教育行業單位在用信息系統必須在2017年8月30日前完成系統定級、備案工作;所有在用的安全等級保護為二級及以上的信息系統應在2018年6月前完成測評工作。

此內容DOC下載 此內容PDF下載

【全文完】
關鍵詞標簽: 教育行業 網絡安全 等級保護 
0 ([$-頂稿人數-$])
0 ([$-踩稿人數-$])

版權聲明:

1、南寧弈聰軟件公司網站內容中凡注明“來源:XXX(非南寧弈聰軟件公司網站)”的作品,轉載自其它媒體,轉載目的在于傳遞更多信息,其中涉及的廣西南寧網站建設,廣西南寧網站優化,廣西南寧軟件公司,百度關鍵詞優化,廣西南寧軟件開發等技術細節并不代表本站贊同支持其觀點,并不對其真實性負責。對于署名“南寧弈聰軟件公司”的作品系本站版權所有,任何人轉載請署名來源,否則南寧弈聰軟件公司將追究其相關法律責任。

2、本站內容中未聲明為“原創”的內容可能源自其它網站,但并不代表本站支持其觀點,對此帶來的法律糾紛及其它責任與我方無關。如果此內容侵犯了您的權益,請聯系我方進行刪除。

天天影视综合网