信息安全等级保护

点击次数:  发布时间:2017-04-25 18:11:49

  根据《教育部关于加强教育行业网络与信息安全工作的指导意见》(教技〔2014〕4号)、《广东省教育厅关于印发<广东省教育行业信息系统安全等级保护工作方案>的通知》(粤教信息函〔2015〕12号)和《深圳市教育局 深圳市公安局关于印发<深圳市基础教育信息系统安全等级保护工作规范>的通知》(深教〔2016〕551号)文件要求,为进一步做好我市基础教育系统信息安全工作,提高教育信息系统安全保障能力和水平,结合实际,制定本工作方案。

    一、工作目标

贯彻落实教育部和省教育厅、市信息安全主管部门关于信息系统安全等级保护工作的具体要求,全面实施信息系统安全等级保护制度,增强各级教育行政部门及学校的信息安全保护意识,建立信息安全管理与技术支持队伍,建立教育信息安全保障体系,逐步构建信息安全工作的长效机制,切实提高教育信息系统安全水平,确保教育信息化的健康持续发展。

    根据《深圳市教育局 深圳市公安局关于印发<深圳市基础教育信息系统安全等级保护工作规范>的通知》(深教2016〕551号)规范标准,力争2017年6月底前,完成全市基础教育信息系统等级保护定级备案工作,2017年底前,完成全市基础教育信息系统等级保护自查、安全整改及验收测评工作。

   二、组织管理

市教育局是我市基础教育系统信息安全等级保护工作的主管部门,市教育信息技术中心负责组织管理和业务指导工作。

各区(新区)教育行政部门和各学校要建立相应的管理机制,明确工作职责和分工,配合上级教育行政部门,按照本方案要求,统筹落实本区(新区)本校的信息安全等级保护工作。具体组织管理工作如下:

   (一)市教育局

    1.制定深圳市基础教育信息系统安全等级保护工作规范并指导市局机关各处室,市局直属单位(学校)、区(新区)教育行政部门直属单位(学校)开展信息系统等级保护工作。

    2.组织专家对市局机关、市直属单位(学校)等级保护二级及以上的信息系统进行自定级专家评审。评审通过后,报上级主管部门审批,教育部落地部署的三级及以上系统需报教育部备案。

    3.汇总全市基础教育信息系统等级保护工作情况并通报总结。

   (二)区(新区)教育行政部门

    1.制定辖区内直属单位(学校)信息系统等级保护工作实施方案并提交到市教育局备案。

    2.组织专家对辖区内直属单位(学校)等级保护二级及以上的信息系统进行定级评审,评审通过后,汇总备案材料并统一提交到深圳市公安局网监分局进行备案,教育部落地部署的三级以上系统需报教育部备案。

3.定级情况汇总上报,汇总辖区内学校等级保护二级及以上系统定级情况,形成报告并上报到市教育局信息安全主管部门。

4.测评结果汇总上报,汇总辖区内学校等级保护二级及以上系统的测评结果,形成年度报告并上报到市教育局信息安全主管部门。

三、工作任务及时间安排

根据公安部和教育部对信息系统安全等级保护的工作要求,各单位要全面实施信息安全等级保护制度。一是按照教育行业有关规范定级和备案,对新建系统要在系统规划、设计阶段同步确定安全保护等级;二是按照国家和省市有关标准规范要求进行测评(四级系统每年进行两次测评,二级和三级系统每年进行一次测评);三是要按照国家和教育行业有关标准规范要求进行安全建设与问题整改,对于新建系统,要在系统设计实施阶段同步建设安全防护措施,对于已建系统要按照系统所定级别进行安全整改。在教育信息系统安全等级保护的工作中,应严格按照“确定责任主体、自主定级、专家评审、主管部门审核批准、公安机关备案、自查测评、安全建设整改、等级验收测评”的步骤,开展定级、备案、测评等信息安全等级保护工作。

   (一)信息系统安全等级保护工作培训(完成时间:2017年4月)

    市教育局组织开展全市基础教育信息系统安全等级保护工作培训,解读我市基础教育信息系统安全等级保护工作流程和网络安全法,开展自定级专家培训,部署相关工作。

   (二)明确责任主体(完成时间:2017年4月)

 根据等保要求以及按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,结合我市基础教育实际情况,对工作责任主体(以下统称主管单位)做以下规定:

    1.市教育局机关、市局直属各事业单位(学校),各自负责落实本单位的信息系统等级保护工作。

    2.各区(新区)教育行政部门机关及直属事业单位、本辖区内各学校,由各区(新区)教育行政部门统筹安排落实信息系统等级保护工作。

   (三)自主定级(完成时间:2017年5月)

主管单位对本单位信息系统进行梳理分析,参照《深圳市教育局 深圳市公安局关于印发<深圳市基础教育信息系统安全等级保护工作规范>的通知》(深教﹝2016﹞551号)文件的建议等级进行自主定级,确定信息系统安全保护等级。对于承载复杂业务的信息系统,安全保护等级可高于建议等级;对于承载多个业务的信息系统,应以所承载业务的信息系统的最高建议等级进行定级。

在信息系统的运行过程中,当系统状态可能导致业务信息安全或系统服务受到破坏后的受侵害对象和受侵害程度有较大的变化时,应根据具体情况重新定级,并变更级别。

   (四)专家评审(完成时间:2017年5月)

主管单位完成信息系统自主定级后,市局直属单位(学校)等级保护二级及以上信息系统统一报送到市教育局,由市教育局组织自定级专家评审。各区(新区)教育行政部门直属单位(学校)等级保护二级以上信息系统统一报送到区(新区)教育行政部门组织自定级专家评审。

   (五)主管部门审批(完成时间:2017年6月)

在完成信息系统专家评审后,须填写《信息系统安全等级保护定级报告》、《信息系统安全等级保护备案表》和《信息系统安全等级保护专家评审意见》等材料。市教育局报送至上级教育行政部门进行审核。区(新区)区级教育系统和市局直属单位(学校)报送至市教育局行政部门进行审核。区教育行政部门直属单位(学校)报送至区(新区)教育行政部门审核。

   (六)公安机关备案(完成时间:2017年6月-7月)

经审核批准的二级以上信息系统,由其主管单位负责将备案材料提交到市公安部门进行备案,教育部落地部署的三级以上系统须报教育部备案。信息系统的定级备案材料由其主管单位负责保管。

   (七)自查测评(完成时间:2017年7月-9月)

根据信息系统等级保护备案的级别自行组织开展等级保护自查测评工作。主管单位自行聘请具有安全服务资质的第三方机构对信息系统进行等级保护自查测评,根据自查测评结果对信息系统进行安全建设整改。

(八)安全建设整改(完成时间:2017年9月-11月)

信息系统安全保护等级确定后,主管单位按照《信息安全等级保护管理办法》(公通字﹝2007﹞43号)、《关于开展信息系统等级保护安全建设整改工作的指导意见》(公信安﹝2009﹞1429号)等有关管理规范和技术标准,选择《管理办法》要求的信息安全产品,制定并落实安全管理制度。落实安全责任,建设安全设施,落实安全技术措施。  

(九)等级验收测评(完成时间:2017年11月-12月)

    信息系统建设整改完成后,主管单位可委托具备信息安全等级保护测评资质的且熟悉教育行业的第三方测评机构,依据《信息安全等级保护管理办法》、《信息系统安全等级保护测评要求》和《信息系统安全等级保护测评过程指南》标准,对信息系统安全保护状况开展等级验收测评,按照《信息系统安全等级测评报告模版(试行)》(公信安﹝2009﹞1487号)编写等级测评报告。等级验收测评报告完成后需送至公安机关备案。

    四、工作要求及保障

 (一)高度重视,提高认识。各单位要充分认识网络与信息安全工作的重要性、紧迫性和长期性,务必予以高度重视,落实责任,完善运行机制和工作措施,保障教育信息系统信息安全。

    (二)加强领导,落实责任。各单位要成立本单位网络安全与信息化工作领导小组,加强组织领导,完善工作机制,要落实责任部门和责任人员,确保工作全面落实。

    (三)加强保障,确保实效。各单位要落实网络信息安全工作经费,将安全建设、测评和培训等经费列入项目建设投资预算和信息系统日常管理运营维护年度预算。要加强管理人员和技术人员的培训和配备,确保相关人员能够深入了解相关政策要求,准确把握工作步骤,按时有序推进信息安全工作。



上一篇: 智能排课系统 下一篇: 微课云平台