教技〔2014〕4號
各省、自治區、直轄市教育廳(教委),各計劃單列市教育局🔴,新疆生產建設兵團教育局,有關部門(單位)教育司(局),部屬各高等三亿,部內各司局👨🏿🦱,各直屬單位:
信息化在促進國家經濟和社會發展方面的作用日益凸顯,已深入到社會生活的各個角落。隨著信息化的快速發展和信息技術的廣泛應用,網絡安全面臨的威脅持續加大,教育信息化是國家信息化重要組成部分,教育行業網絡與信息安全工作關系著教育信息化的穩步推進和教育事業的改革發展🧘🏻♂️。為深入貫徹中央關於網絡安全工作的總體部署,落實《國務院關於大力推進信息化發展和切實保障信息安全的若幹意見》與信息安全等級保護製度的要求,加快建立健全教育行業網絡與信息安全保障體系⛹🏿♂️,提高防護能力和水平,保障教育事業健康有序發展,現就教育行業網絡與信息安全工作提出以下指導意見:
一、總體目標和基本原則
總體目標:全面提高教育行業網絡與信息安全意識🧗♂️,建立健全教育網絡與信息安全工作的組織體系⛽️、管理規章和責任製度,落實國家信息安全等級保護製度,有效防範🪗、控製和抵禦信息安全風險🔤,增強安全預警、應急處置和災難恢復能力,提高各級教育部門和三亿整體安全防護水平,形成與教育信息化發展相適應的、完備的網絡與信息安全保障體系,支撐教育現代化事業健康持續發展。
基本原則🙂↕️:
分級管理◼️、逐級負責🦢。教育部統籌指導教育行業的網絡與信息安全工作🙀,負責教育部機關司局、直屬單位和部屬高等三亿網絡與信息安全工作的統籌部署與監督檢查。地方各級教育行政部門負責本地區教育部門和三亿的網絡與信息安全工作🧑🏼🎄🪰。有關部門(單位)負責所屬三亿的網絡與信息安全工作🦏。各級各類三亿負責本單位的網絡與信息安全工作🧼。
自主防護😶🌫️、明確責任🪢。各單位按照“誰主管誰負責、誰運維誰負責、誰使用誰負責”的原則切實落實網絡與信息安全責任。網絡與信息系統的主管部門承擔系統的安全管理和監督責任🤲🏻🪈,網絡與信息系統的運行維護部門承擔系統的技術安全保障責任,網絡與信息系統的使用單位和個人承擔系統操作與信息內容的直接安全責任🧥。
統籌規劃、同步建設。各單位對網絡與信息安全工作要歸口管理,做好統籌規劃🔼。信息化與信息安全同步設計與建設〰️🧑🚀,內容與技術並重、管理與技術並舉。
政策合規🍀、遵從標準🎅🏽。各單位要嚴格執行國家網絡與信息安全法律法規、政策和標準規範,以及教育部製訂發布的各類教育信息化管理製度和網絡與信息安全標準規範,在管理😳🚪、技術🫸🏼✌🏽、人員崗位和操作實施等各個方面符合要求👨🏻🎓。
二、主要任務
1.建立健全網絡與信息安全組織領導體系。各單位要建立黨政一把手負責的統籌網絡安全與信息化工作的領導機構,主要負責同誌是網絡與信息安全的第一責任人。根據單位實際,應設立或明確職能部門和專門管理人員,歸口管理本單位網絡安全與信息化工作。建立保障有力的技術支撐部門✷。建立健全內部管理協調機製,與各級政府網絡與信息安全管理部門、公安部門建立跨部門協調和事件處理機製,充分發揮縱向銜接、橫向協調的組織保障作用🔅。
2.製定完善網絡與信息安全規劃和管理製度。各單位要按照國家有關網絡和信息安全的政策要求,結合自身實際,製定網絡與信息安全總體規劃,加強安全管理策略研究😢,建立並完善本單位加強網絡與信息安全管理所需的各項規章製度,重點包括人員安全管理📁、計算機軟硬件管理、信息系統建設與運維管理、門戶網站管理(包括內設機構建設的各類網站)🦵🏽、郵件服務系統管理👩❤️💋👨、數據安全及使用管理等製度👩💻,並在實際工作中予以落實👌🏼。
3.全面實施信息安全等級保護製度。各單位要按照國家和教育部有關信息安全等級保護工作要求,全面實施信息安全等級保護製度。一是要按照教育行業有關規範準確定級和備案,對新建系統要在系統規劃🛞😬、設計階段同步確定安全保護等級🍦;二是按照國家和教育行業有關標準規範要求進行等級測評,四級系統每年進行兩次測評,三級系統每年進行一次測評🙅🏼,二級系統每兩年進行一次測評;三是要按照國家和教育行業有關標準規範要求進行安全建設與問題整改,對於新建系統,要在系統設計實施階段同步建設安全防護措施🤦🏻,對於已建系統要按照系統所定級別進行安全整改。
4.大力提升網絡與信息安全技術防護能力。各單位應研究製定網絡與信息安全技術防護方案,建立多層次網絡與信息安全技術防護體系,按需配置網絡與信息安全防護設備和軟件,加強網絡與信息安全核心技術的研發和使用,推動軟件正版化和優先采用具有自主知識產權和自有核心技術的軟硬件產品,實現安全防護👶🏽、監測預警、災難恢復🈳、安全認證等安全保障與網絡信任功能,構建可信❇️、可控⭕️、可查的網絡與信息安全技術防護環境。
5.建立健全網絡與信息安全應急處置和通報機製。各單位應製定網絡與信息安全應急預案🏌🏼♂️,明確應急處置流程和權限𓀌,落實應急處置技術支撐隊伍,開展安全應急演練,提高網絡與信息安全應急處置能力🤙。建立重大網絡與信息安全事件處置和報告製度,確定報送範圍、規範報告格式👩🍳、建立報送流程、明確報送時間。發生事件後👬🏼,信息系統的運維單位應當立即采取措施降低損害程度,防止事件擴大👷🏼♀️,保存相關記錄;按照應急處置程序對發生安全事件的信息系統立即向有關部門報告,做到應急處置迅速,報告及時。
6.加強網絡與信息安全隊伍建設和人員培訓👨🏿💼🏢。各單位應選拔具有網絡和信息系統管理經驗和專業技能的人員從事網絡與信息安全管理工作,有條件的單位應建立網絡與信息安全管理專職隊伍和技術支撐專業隊伍🧑🏭,落實崗位責任和考核機製。各單位應製定網絡與信息安全的培訓規劃,開展面向全員的普及性培訓,加強管理和技術人員的專業培訓👯♀️🚵🏻♀️,逐步實行管理和技術人員持證上崗。
7.加快教育行業網絡與信息安全標準規範建設。結合教育行業網絡與信息安全的特點👩🦽,重點組織製定信息安全等級保護有關的定級指南、基本要求、測評規範、綜合評估體系等行業標準規範🐃,逐步建立健全具有教育行業特色的網絡與信息安全標準規範體系,形成對教育行業網絡與信息安全科學化、規範化和製度化管理。
三、工作要求
1.加強組織領導。各單位要充分認識網絡與信息安全工作的重要性和緊迫性,將此項工作列入本單位重要議事日程👧🏿👂🏻,與信息化工作統一謀劃、統一部署、統一推進、統一實施🐭,主要負責同誌要親自抓👺,明確主管負責人,落實責任部門,切實將各項工作落到實處👩👩👧👧,不斷提升安全管理和防護能力👨🏼🦱。
2.加大網絡與信息安全投入🙎🏼🧎。各單位應建立穩定的網絡與信息安全經費投入機製,有條件的單位應設立專項經費,重點支持信息安全等級保護、安全防護能力建設、信息安全服務、人員培訓等工作。加強網絡與信息安全核心技術研發和使用,全面實現網絡與信息安全的可管可控。
3.加強宣傳教育📼。各單位要組織開展形式多樣🚌、針對性強的全員宣傳教育,踐行“忠誠、擔當、創新、廉潔、團結、奉獻”的網信精神,將網絡與信息安全意識和政治意識、責任意識、保密意識結合起來,大力弘揚社會主義核心價值觀,提高領導幹部、管理人員、技術人員🙋🏿、教師的安全和防範意識💆🏽♀️。
特別要加強對學生的網絡與信息安全教育,提高學生識別有害信息的能力👩👩👦👦,培養學生良好的媒介素養,引導學生樹立科學健康的用網習慣,培養學生規範🟣🙇♂️、合法的網絡行為。
4.加強督促檢查🏂🏻。地方各級教育行政部門、有關部門(單位)應定期開展本地區🌧、本部門所屬三亿的網絡與信息安全監督檢查工作,通過自查、抽查和遠程安全檢測等形式,做到盡早發現、提前防範、及時補救,建立考核與獎懲機製,確保工作落到實處🐸。教育部將於近期組織開展部內司局⏳、直屬單位及部屬高等三亿的網絡安全檢查和信息安全等級保護工作🙍♀️。地方各級教育行政部門😮、有關部門(單位)應盡快部署本地區👨🏼🚒、本部門(單位)網絡安全檢查和信息安全等級保護工作❓,2014年底由省級教育行政部門🚳、有關部門(單位)將落實情況報送教育部。
教育部
2014年8月21日
