关于转发教育部《教育行业信息系统安全等级保护定级工作指南(试行)》的通知
- 2019-10-18 15:15:00
- 阎俊杰
- 来源:http://edu.shandong.gov.cn/art/2015/1/7/art_11990_988675.html
- 发证机关:山东省教育厅
- 发文编号:鲁教信函[2014]5号
- 学段:
- 政策发布日期:2014-12-26
- 无具体说明的有效期
关于转发教育部《教育行业信息系统安全等级保护定级工作指南(试行)》的通知
鲁教信函[2014]5号
各市教育局,各高等学校,厅属各单位:
为指导和规范教育行业信息系统安全等级保护定级工作,现将教育部办公厅《教育行业信息系统安全等级保护定级工作指南(试行)》转发给你们,并结合我省实际,提出以下要求,请一并贯彻落实。
一、提高认识,增强信息安全工作的责任感、紧迫感
随着教育行业信息化的快速发展和网络信息技术的普及应用,网络安全面临的威胁越来越严峻。省教育信息中心今年11月对我省教育行业149家单位的网络信息安全的远程抽查结果显示,有74家单位的网站或信息系统存在跨站脚本、SQL注入和后台管理弱口令等高危漏洞,部分网站已经被植入木马。部分单位虽然配置了安全防护设备,但疏于管理,实效性较差,安全防护效果不明显。总体来看,我省教育行业的网络与信息安全形势严峻,各单位须切实提高安全防范意识,及时查补信息安全漏洞,积极采取应对措施。
二、建立健全网络与信息安全组织领导体系,制定完善网络与信息安全规划和管理制度
各单位要建立以主要负责人任组长的网络安全与信息化工作领导小组,设立或明确职能部门和专门管理人员,归口管理本单位网络安全与信息化工作。要按照有关网络和信息安全的政策要求,结合自身实际,制定网络与信息安全总体规划,建立并完善本单位网络与信息安全管理规章制度,重点包括网络安全管理、计算机软硬件管理、信息系统建设与运维管理、门户网站管理、邮件服务系统管理、数据安全及使用管理等制度,并在实际工作中予以落实。
三、加强网络与信息安全队伍建设和人员培训,大力提升技术防护能力
各单位应选拔具有网络和信息系统管理经验和专业技能的人员从事网络与信息安全管理工作,有条件的单位应建立网络与信息安全管理专职队伍和技术支撑专业队伍,落实岗位责任和考核机制。各单位应制定网络与信息安全的培训规划,开展面向全员的普及性培训,加强对管理和技术人员的专业培训,逐步实行管理和技术人员持证上岗制度。
各单位要研究制定网络与信息安全技术防护方案,建立多层次网络与信息安全技术防护体系,按需配置网络与信息安全防护设备和软件,加强网络与信息安全核心技术的研发和使用,推动软件正版化和优先采用具有自主知识产权和自有核心技术的软硬件产品,实现安全防护、监测预警、灾难恢复、安全认证等安全保障与网络信任功能,构建可信、可控、可查的网络与信息安全技术防护环境。
四、积极开展信息安全等级保护工作,建立安全应急处置机制
各单位要按照有关信息安全等级保护的工作要求,积极开展信息安全等级保护相关工作,制定网络与信息安全应急预案,明确应急处置流程和权限,落实应急处置技术支撑队伍,开展安全应急演练,提高网络与信息安全应急处置能力。
附件:教育部办公厅关于印发《教育行业信息系统安全等级保护定级工作指南(试行)》的通知
山东省教育厅
2014 年12 月26 日