打开微信扫一扫
各市教育局,绥中县、昌图县教育局,各高等学校,各厅直属单位:
根据《中华人民共和国计算机信息系统安全保护条例》、《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)、《教育部办公厅关于开展信息系统安全等级保护工作的通知》(教办厅函[2009]80号)和《教育部办公厅关于进一步加强网络信息系统安全保障工作的通知》(教办厅函[2011]83号)等文件精神,为进一步做好我省教育信息系统安全等级保护工作,提高教育信息系统安全保护能力和水平,现将《辽宁省教育信息系统安全等级保护工作实施方案》印发给你们,请各单位高度重视,认真贯彻落实。
请各单位详细填写教育信息安全等级保护工作机构人员情况表(详见附件1),并报送至辽宁省教育系统信息安全等级保护工作领导小组办公室,同时报送电子文档。
联 系 人:赵宇青、肖勇
联系电话:024-86591283
电子邮箱: lnjydb@126.com
通信地址:沈阳市皇姑区黄河北大街249号
邮政编码:110034
二0一二年五月八日
辽宁省教育信息系统安全等级保护工作 实施方案
为进一步推进我省教育系统信息安全等级保护建设工作,提高教育系统信息安全保护能力和水平,全面开展教育信息系统的定级、备案和测评工作,及时整改发现的问题,增强安全防范能力,确保教育信息化的健康持续发展,实现我省教育信息安全等级保护工作常态化、制度化,特制定本方案。
一、工作组织和职责
辽宁省教育厅履行教育信息系统等级保护工作行业主管部门职责,督促、检查、指导本行业信息系统安全等级保护工作。辽宁省教育系统信息安全等级保护工作领导小组办公室在辽宁省教育厅的指导下,具体负责以下工作:
(1)制定全省教育行业信息系统安全等级保护工作实施方案;
(2)组织开展全省教育信息系统安全等级保护工作培训;
(3)成立辽宁省教育系统信息安全等级保护专家评审委员会,对教育行业相关单位的信息系统定级报告出具行业定级意见,对信息系统测评报告和整改方案进行评审;
(4)为有关单位提供系统定级、行业备案、整改建设、安全保护等业务指导和服务;
(5)会同省直相关部门对全省教育信息系统安全等级保护工作进行监督检查。
各市教育局、高等学校、教育厅直属单位根据“自主定级、自主保护”的原则开展本单位信息系统安全等级保护工作。各单位应设立相应的信息系统安全等级保护工作领导和组织机构,负责组织开展本单位信息系统安全等级保护工作。
二、工作范围
省、市级教育行政部门、各高等学校、教育厅直属单位的非涉密信息系统按照国家有关要求开展信息系统安全等级保护工作;县(市)区级教育局及中小学校的有关工作安排另行通知;教育行业涉密信息系统按照国家保密相关规定进行保护。
实施安全等级保护的信息系统包括各有关单位的政务管理类系统、学校管理类系统、学生管理类系统、教师管理类系统、综合服务类系统、校务管理类系统、教学管理类系统、科研管理类系统、招生就业类系统、综合服务类系统等。
三、工作任务
(一)定级备案
1. 确定安全保护等级
各单位根据本单位信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南》的要求,自主确定信息系统的安全保护等级。
各单位初步确定信息系统安全保护等级后,请从辽宁省教育厅网站下载定级备案材料格式文本,填写《信息系统安全等级保护定级报告》(详见附件2)和《信息系统安全等级保护备案表》(以下简称《备案表》)(一式三份)(详见附件3)及其电子文档,报送至辽宁省教育系统信息安全等级保护工作领导小组办公室。
已自主定级的信息系统出现下列情况之一时,须重新定级:
(1)信息系统所承载的业务、服务范围、安全需求发生变化的;
(2)经辽宁省教育厅审批,确认为定级不准的;
(3)在后续工作中发现定级不准的。
2.主管部门审批
辽宁省教育厅组织辽宁省教育系统信息安全等级保护专家评审委员会,负责对各单位报送的信息系统自主定级材料进行审定并出具评审意见。辽宁省教育厅根据各单位自主定级材料和辽宁省教育系统信息安全等级保护专家评审委员会评审意见,出具行业定级审批意见。
3.备案
各单位将辽宁省教育厅审批后的定级为第二级及以上的信息系统备案材料报公安机关网警部门备案审核。省级教育行政和管理部门向同级公安机关进行备案,其他单位向所在地的市(地)级公安机关进行备案。
各有关单位在获得省教育厅出具的行业定级审批意见后15个工作日内到公安机关进行定级备案,备案时应当提交《备案表》(一式二份)及其电子文档和辽宁省教育厅的审批意见。
通过公安机关备案审核后,各有关单位应在5个工作日内将备案文件、《备案表》及公安机关颁发的备案证明复印件报送至辽宁教育等保办办理行业备案。
(二)自主整改
各有关单位对定为第二级及以上的信息系统要对照《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安〔2009〕1429号)和《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)的技术标准和管理规范开展安全建设自主整改工作。
(三)等级测评
定级为第二级及以上的信息系统应按照要求开展等级测评工作,由各单位根据本单位信息系统定级备案和准备情况,向辽宁省教育系统信息安全等级保护工作领导小组办公室提出测评申请,由辽宁省教育系统信息安全等级保护工作领导小组办公室协调具备合格资质的相关测评机构对信息系统安全等级状况定期开展等级测评,使信息系统安全保护状况达到等级保护要求。
第四级信息系统应当每半年至少进行一次等级测评,第三级信息系统和按第三级保护的第二级信息系统应当每年至少进行一次等级测评,第二级信息系统应当每两年至少进行一次等级测评。
等级测评机构应按照公安部制定的信息系统安全等级测评报告格式编制等级测评报告,并在完成测评后及时将测评报告提交辽宁省教育系统信息安全等级保护工作领导小组办公室和被测单位各一份,由辽宁省教育系统信息安全等级保护工作领导小组办公室组织成立辽宁省教育系统信息安全等级保护专家评审委员会对测评报告进行评审。测评结果不符合国家规定和有关标准的,责成测评机构和有关单位重新测评。
(四)建设整改
各单位应按照《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号),积极对所使用的信息系统开展安全建设整改工作。
对于经测评未达到安全保护要求的,有关单位要根据测评报告中的整改意见,制定整改方案并认真进行整改。
定级为第二级及以上的信息系统的安全整改方案要参照国家和教育行业有关标准规范制定,由辽宁省教育系统信息安全等级保护专家评审委员会审定后实施。
已完成信息系统定级备案的单位每半年要编制一份《信息安全等级保护安全建设整改工作情况报告》,并报送至辽宁省教育系统信息安全等级保护工作领导小组办公室。
(五)自查和检查
各单位应定期对信息系统安全状况、安全保护制度和措施、等级保护测评以及安全整改意见的落实情况进行自查。并将自查报告报送至辽宁省教育系统信息安全等级保护工作领导小组办公室。第三级信息系统每年至少进行一次自查,第四级信息系统每半年至少进行一次自查。
辽宁省教育厅将会同省直相关部门对全省教育系统信息安全等级保护工作的开展和落实情况进行监督检查。
四、工作要求
(一)各单位要高度重视、加强领导,明确等级保护工作分管领导及组织机构。落实具体责任部门负责本单位信息系统安全等级保护工作的管理与组织实施。要制定、完善信息系统安全管理制度,定期进行本单位网络信息安全自查,并将自查情况和工作总结报送辽宁省教育系统信息安全等级保护工作领导小组办公室。
请将本单位等级保护领导及组织机构成立情况及成员名单以正式文件形式报送辽宁省教育系统信息安全等级保护工作领导小组办公室。
(二)各单位要落实信息安全等级保护专项工作经费。从2012年开始,各单位的信息系统项目要参照国家发展和改革委员会等三部委《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技〔2008〕2071号)要求,将安全建设、测评和培训等经费列入项目建设投资预算和信息系统日常运营维护年度预算。
(三)各单位要建立信息安全岗位持证上岗制度,建设信息安全工作专业人才队伍。按照国家信息安全等级保护政策要求,各单位的等级保护工作负责人及技术骨干须参加由省教育厅统一组织的培训和考核,以便准确定级和开展自主保护工作。各单位应由具有“信息安全等级保护专业培训合格证书”的管理和技术人员具体负责本单位的信息安全等级保护工作。
(四)建立工作联络员制度。为进一步加强联系、交流,省教育厅拟建立教育系统信息安全等级保护工作联络员制度。请各单位精心挑选,逐步加强联络员队伍建设。
联络员主要职责:及时反映国家和省、市关于教育系统信息安全等级保护工作的落实执行情况;及时反馈本单位等级保护工作的动态情况、先进经验和调研成果;及时报送自查情况和工作总结;积极配合辽宁省教育系统信息安全等级保护工作领导小组办公室做好调查研究、信息交流、监督检查等各项工作。