教育部办公厅
二○一一年七月二十九日
各省、自治区、直辖市教育厅(教委),各计划单列市教育局,新疆生产建设兵团教育局,部属各高等学校,部内各司局,各直属单位:
为进一步落实公安部等四部委《关于印发<信息安全等级保护管理办法>的通知》(公通字〔2007〕43号)精神和《教育部2011年工作要点》中“做好教育系统网络信息安全保障工作”的要求,加快建立完备的教育网络信息安全保障体系,现就有关工作通知如下:
一、 加强组织领导,建立健全信息安全管理和责任机制
(一) 各地教育行政部门和学校要高度重视网络信息安全工作,落实责任部门与技术部门,负责网络信息安全的管理与具体实施。各省级教育行政部门、部直属高校和部机关直属单位在2011年10月10日前将填写的《教育系统网络信息安全工作情况表》(见附件)报送至教育部教育管理信息中心(教育信息安全等级保护测评中心)。
(二) 地方各级教育行政部门和学校要制定、完善信息系统安全管理制度;定期进行本单位网络信息安全自查,并将自查情况和工作总结报上级教育主管部门。
(三) 各地教育行政部门要每年对下级教育行政部门和学校进行督查,将网络信息安全工作纳入管理绩效考核体系。
二、 以信息安全等级保护工作为抓手,建立完善网络信息安全保障体系
各地教育行政部门和学校要按照国家信息安全等级保护制度规定和《教育部办公厅关于开展信息系统安全等级保护工作的通知》(教办厅函〔2009〕80号)要求,开展信息系统定级备案、建设整改和等级测评等各项工作,力争在2012年底基本建立教育信息安全等级保护体系。通过分级建设信息安全等级保护综合管理平台,使等级保护工作常态化、制度化,加强对教育行政部门信息安全等级保护工作的管理。
(一) 落实国家定级备案工作程序,加强教育信息系统定级备案管理。各地教育行政部门和学校要严格按照“自主定级、专家评审、主管部门审批、公安机关审核”的步骤,参照教育信息系统定级有关规范开展定级备案工作。各地教育行政部门和学校要将本单位的信息系统定级结果报主管部门审批。在2011年12月底前,完成所有信息系统的定级备案。
已定级备案但未经上级教育主管部门审批的信息系统,要按照上述程序进行评审及审批。定级不准确的应重新定级和备案。
(二) 开展安全建设整改和等级测评,提高教育信息系统整体安全水平。各地教育行政部门和学校的第二级及以上信息系统,要参照国家和教育行业有关标准规范,在定级备案后2年内完成首次安全建设整改和等级测评工作。已定级的第三级及以上信息系统安全整改方案由教育部组织专家审定,在2012年底前完成首次安全建设整改和等级测评工作。
三、 落实人员和经费保障,规范信息安全工作实施
(一) 建设信息安全工作专业人才队伍,建立信息安全岗位持证上岗制度。在2013年底前,各级教育行政部门和学校信息系统安全部门要培训和配备具有“教育信息安全等级保护专业培训合格证书”的专业人员。
各省级教育行政部门负责本地区各级教育行政部门和学校的培训与考核的组织工作。2012年底前完成地市级及以上教育行政部门和高等学校的培训;2013年底前完成其他教育行政部门和学校。
(二) 落实网络信息安全工作经费。从2011年开始,各单位的信息系统项目要参照国家发展和改革委员会等三部委《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技〔2008〕2071号)要求,将安全建设、测评和培训等经费列入项目建设投资预算和信息系统日常运营维护年度预算。
(三) 落实教育信息安全有关工作。教育部教育管理信息中心(教育信息安全等级保护测评中心)作为公安部批准的教育行业信息安全等级保护测评专业机构,近期重点要抓紧组织制定教育信息系统安全等级保护行业标准和技术规范并下发实施,组建信息安全等级保护专家组,开展教育行业各单位信息系统定级咨询、风险评估、等级测评和系统安全监测等,尤其是统筹第三级及以上信息系统的建设整改和等级测评工作。牵头组织落实“教育信息安全等级保护专业培训合格证书”的培训、认证考试和证书颁发管理等具体工作。