近日教育部正式印發了《教育信息化2.0行動計劃》，提出到2022年實現“三全兩高一大”發展目標，以教育信息化全面推動教育現代化，開啟智能時代教育新征程。可見履行網絡安全等級保護成為網絡運營者的基本義務，假如信息系統沒有定級備案、沒有測評整改，都屬于違法運維，從教育系統以及高校違反網絡安全法的處理情況來看都是非常嚴格的，需要引起各高校信息化部門的高度重視。網絡安全工作貫穿整個教育信息化建設的始終，是需要持之以恒、常抓不懈的關鍵性支撐工作。

《網絡安全法》其中很重要的一方面就是網絡安全等級保護制度。1994年國務院147號令提出“計算機信息系統全面實行信息安全等級保護”，“等保”這個提法正式出現，隨著近年來云計算、移動互聯、大數據、物聯網、人工智能等新技術不斷涌現，計算機信息系統的概念已經不能涵蓋全部，特別是互聯網快速發展帶來大數據價值的凸顯，等保2.0標準應運而生。網絡安全等級保護2.0與網絡安全法保持一致，《中華人民共和國網絡安全法》明確規定“國家實行網絡安全等級保護制度”，等保2.0也與時俱進地將原標準的“信息系統安全等級保護”改為“網絡安全等級保護”，并且覆蓋全社會、全行業和全對象，這個“網絡”是大的網絡概念，基礎網絡、信息系統、移動互聯網、云計算、物聯網、工控等都包含在其中。

具體到等保測評過程，應該注意以下幾個方面，一是測評要求和測評內容增加，等保2.0中雖然表面測評項有所減少，實際上原網絡、主機、應用層面的要求均合并至安全計算環境，實際測評對象并未減少，且網絡層面擴充為“安全通信網絡與安全區域邊界”，增加了安全管理中心的要求；二是新標準進一步要求加強問題分析以及滲透性驗證測試。三是新標準的測評結論由之前的“符合、基本符合、不符合”三項變為優（90分）、良（80分）、中（70分）、差（70分以下）四項量化比較成績，匯總形成教育系統測評得分統計和分析，并通報給有關部門。

1.建立網絡安全責任制。切實加強黨對網信工作的領導；建立網絡安全工作考核機制，將網絡安全工作納入領導干部考核；建立網絡安全問責機制，確立了六條問責條款。

2.加快教育系統網絡安全標準規范研究與編制。研究制定數據安全相關管理辦法、關鍵信息基礎設施識別認定指南和網絡安全通報機制管理辦法等。

3.推進監測通報機制建設。與教育科研網、高教學會信息化分會、國家有關職能部門、專業安全服機構建立合作，建立網絡安全漏洞和威脅共享機制；更新教育系統網絡安全工作管理平臺，完善信息系統資產管理，實現網絡安全監測預警通報自動化，提高教育系統整體安全防護聯動處置效率。

4.落實監督檢查工作。一是推進網絡安全納入綜治考核，二是開展網絡安全現場檢查，三是加強網絡安全通報，四是對網絡安全涉事單位和責任人進行監督問責。

5.加強網絡安全的宣傳教育、人才培養。盡快開展一流網絡安全學院建設、網絡安全一級學科設立，在網絡安全宣傳周期間讓網絡安全意識進校園、進教材、進頭腦。

6.部署落實上半年重要時期網絡安全保障工作。教育部印發《關于做好2019年上半年重要時期網絡安全保障工作的通知》，集中部署春節寒假、全國兩會、“一帶一路”國際合作峰會論壇、五一假期和高考期間等上半年的重要時期網絡安全保障工作，提出了加強網絡安全保障工作的組織部署、按需調整重要時期網絡防護策略、健全監測預警通報機制、做好網絡安全應急響應工作、落實網絡安全“零報告”制度等工作要求。

7.開展教育APP專項監測工作。組織開展校園APP專項調研，采取抽樣調查問卷和網絡爬蟲相結合的方式對各級各類學校和教育行政部門的APP進行調研。在此基礎上，對教育行政部門和學校主管的298個教育APP進行網絡安全監測。監測共發現安全威脅3091個。已將相關安全威脅通報至相關單位，并要求涉事單位進行限期整改。目前，相關安全威脅修復率已達60%以上。

1.加強學習，提升網信工作能力。首先是學習習近平總書記網絡強國戰略思想和關于網信工作的一系列重要論述，這是做好網信工作的首要政治任務和根本措施保障。其次是學習最新的網信理論知識和技術成果，與教育戰線需求相結合。再次是學習兄弟單位乃至其他國家的先進經驗和成功做法。最后總結以往的工作經驗和教訓，自己向自己學習，這要成為網信工作的基本“算法”。

2.加強網絡安全責任制落實。按照相關要求和量化的考核評分辦法，落實網絡安全和信息化領導小組和網信辦的具體職責、任務。黨委（黨組）要定期研究部署網絡安全工作，分管負責同志至少每季度召開一次會議聽取網絡安全工作匯報，每年要制定網信領導小組年度工作要點或者網絡安全年度工作要點。

3.落實網絡安全等級保護制度。全面完成信息系統網絡安全等級保護定級備案，定期開展網絡安全等級測評（三級系統每年一次，二級系統每兩年一次）和安全整改。按照2.0標準，對照落實相關要求。

4.加強網絡安全教育培訓。對于單位在職全體人員，要開展全面網絡安全意識培訓，培訓時間要滿足要求；對于單位信息化管理人員和技術人員，要開展網絡安全素養培訓，培訓時間要滿足相關要求；對于系統運維和安全技術人員，要組織參加專業技術培訓，獲得相關資質證書，全面提升網絡安全防范技能和水平。

5.提升數據安全防護能力。要做好數據治理，推進一數一源，制定本單位數據安全管理辦法，規范采集、傳輸、管理和使用。全面采用密碼技術，包括加密、簽名等，加強重要數據安全保障。

6.開展安全監測和應急演練。日常安全威脅監測要通過配備工具或者購買服務的方式進行，對系統運行安全狀態進行實時監測，能夠第一時間發現問題。落實《教育系統網絡安全應急預案》要求，參照制定/修訂本單位的預案和具體信息系統的應急預案，定期開展應急演練。有條件的單位開展攻防實戰演習。

7.落實重要時期安全保障。首先要提高安全意識，加強統籌部署，安全工作是一項政治性很強的工作，關鍵時間節點要有不同的措施，確保“萬無一失”。其次，優化信息系統和網站服務，區分持續訪問、工作時間訪問、限制訪問、關停等策略。第三，落實“零報告”和7×24小時值守制度。第四，做好監測預警和應急管理，發現問題馬上改，發生事件馬上報。