教技[2015]1號(hào)
部屬各高等學(xué)校、各直屬單位:
為貫徹黨的十八大和十八屆三中、四中全會(huì)精神�,落實(shí)中央關(guān)于網(wǎng)絡(luò)安全工作的總體部署���,現(xiàn)就進(jìn)一步加強(qiáng)部屬各類高等學(xué)校、各直屬單位(以下簡(jiǎn)稱各單位)信息技術(shù)安全工作通知如下����。
一����、加強(qiáng)領(lǐng)導(dǎo),提高認(rèn)識(shí)��。各單位應(yīng)認(rèn)真貫徹落實(shí)《教育部關(guān)于加強(qiáng)教育行業(yè)網(wǎng)絡(luò)與信息安全工作的指導(dǎo)意見》(教技[2014]4號(hào))的相關(guān)要求���,充分認(rèn)識(shí)信息技術(shù)安全工作的重要性和緊迫性�����,加強(qiáng)黨委對(duì)信息技術(shù)安全工作的領(lǐng)導(dǎo)�,切實(shí)建立起黨政一把手負(fù)責(zé)的網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)機(jī)制,統(tǒng)籌本單位網(wǎng)絡(luò)安全與信息化發(fā)展��,統(tǒng)一規(guī)劃��、統(tǒng)一部署�、統(tǒng)一推進(jìn)、統(tǒng)一實(shí)施�����,做到兩手抓兩手都要硬�。
二、建立健全信息技術(shù)安全責(zé)任制度���。各單位是信息技術(shù)安全工作的責(zé)任主體�,應(yīng)建立信息技術(shù)安全領(lǐng)導(dǎo)責(zé)任制����,單位主要負(fù)責(zé)人是信息技術(shù)安全工作的第一負(fù)責(zé)人,明確信息技術(shù)安全工作的分管負(fù)責(zé)人���,協(xié)助主要負(fù)責(zé)人履行本單位信息技術(shù)安全職責(zé)�;明確或設(shè)置本單位負(fù)責(zé)信息技術(shù)安全工作的職能處室,并根據(jù)實(shí)際明確技術(shù)支撐機(jī)構(gòu)���;建立本單位信息技術(shù)安全規(guī)章制度和操作規(guī)程���;保障必要的經(jīng)費(fèi)投入、人員配置等工作條件���。
三��、加強(qiáng)信息系統(tǒng)統(tǒng)籌管理�����。各單位應(yīng)準(zhǔn)確掌握本單位信息系統(tǒng)情況����,建立信息系統(tǒng)名錄���,做到底數(shù)清、情況明���;按照“誰主管誰負(fù)責(zé)���、誰運(yùn)維誰負(fù)責(zé)����、誰使用誰負(fù)責(zé)”的原則���,制定本單位信息系統(tǒng)管理制度����,切實(shí)落實(shí)責(zé)任����,規(guī)范建設(shè)、運(yùn)維�����、使用等各個(gè)環(huán)節(jié)���;委托外單位運(yùn)維的信息系統(tǒng)�,應(yīng)與具有獨(dú)立法人資格的單位簽訂委托服務(wù)合同���,并督促指導(dǎo)做好系統(tǒng)運(yùn)維與安全防護(hù)工作�����;涉及重要業(yè)務(wù)或大量個(gè)人信息的信息系統(tǒng)原則上應(yīng)由本單位自行維護(hù)�。
四、落實(shí)信息系統(tǒng)安全等級(jí)保護(hù)制度���。各單位應(yīng)按照國(guó)家信息系統(tǒng)安全等級(jí)保護(hù)制度的相關(guān)法律法規(guī)���、標(biāo)準(zhǔn)規(guī)范以及《教育行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指南》(教技廳函[2014]74號(hào))要求,落實(shí)信息系統(tǒng)安全等級(jí)保護(hù)制度�;對(duì)已運(yùn)行但未定級(jí)及定級(jí)不準(zhǔn)的信息系統(tǒng)應(yīng)在2015年底前完成定級(jí)備案工作;新建��、改建��、擴(kuò)建信息系統(tǒng)應(yīng)在設(shè)計(jì)階段確定系統(tǒng)安全保護(hù)等級(jí)�,與信息系統(tǒng)建設(shè)方案一并形成安全建設(shè)方案,同步實(shí)施�����,信息系統(tǒng)在上線后30日內(nèi)應(yīng)到公安機(jī)關(guān)備案����;第三級(jí)及以上信息系統(tǒng)要依規(guī)定期進(jìn)行安全等級(jí)測(cè)評(píng)、整改���。
五��、完善信息技術(shù)安全報(bào)告與處置制度��。各單位應(yīng)按照《信息技術(shù)安全事件報(bào)告與處置流程》(教技廳函〔2014〕75號(hào))要求���,建立健全本單位信息技術(shù)安全信息通報(bào)機(jī)制,制定并完善安全事件應(yīng)急預(yù)案��,完善24小時(shí)應(yīng)急值守制度��,定期開展應(yīng)急演練��,及時(shí)排查并處置安全隱患�����,做到防微杜漸�,未雨綢繆;按要求報(bào)告并處置安全事件�,做到早發(fā)現(xiàn)、早報(bào)告�����、早處置,將危害和影響降到最低����。
六、加強(qiáng)數(shù)據(jù)統(tǒng)籌管理��。各單位應(yīng)明確本單位負(fù)責(zé)數(shù)據(jù)統(tǒng)籌管理的責(zé)任部門�,制定數(shù)據(jù)管理辦法,規(guī)范數(shù)據(jù)的采集��、傳輸�、存儲(chǔ)、使用��,確保數(shù)據(jù)安全��;定期對(duì)數(shù)據(jù)進(jìn)行備份�,建立完善的數(shù)據(jù)災(zāi)備解決方案。
七�����、加強(qiáng)辦公用計(jì)算機(jī)終端統(tǒng)籌管理。各單位應(yīng)建立辦公用計(jì)算機(jī)終端的管理制度����,統(tǒng)籌推進(jìn)軟件正版化和安全防護(hù)工作�����;規(guī)范辦公用計(jì)算機(jī)終端使用��,杜絕弱口令和明文口令現(xiàn)象����,對(duì)存儲(chǔ)、處理重要信息的辦公用計(jì)算機(jī)終端制定科學(xué)���、嚴(yán)謹(jǐn)?shù)目诹畈呗?��,定期更換口令,并嚴(yán)格規(guī)范操作權(quán)限��。
八���、加強(qiáng)信息技術(shù)安全隊(duì)伍建設(shè)與培訓(xùn)�。各單位應(yīng)制訂信息技術(shù)安全工作人員管理辦法,明確崗位素質(zhì)要求�,落實(shí)崗位責(zé)任;建立信息技術(shù)安全專業(yè)隊(duì)伍����,采取有效措施吸引和用好高素質(zhì)的技術(shù)人才;制訂管理人員和技術(shù)人員的培訓(xùn)方案���,定期開展培訓(xùn)�����,提升管理安全意識(shí)�����、管理水平和專業(yè)技術(shù)能力���。
九、提高信息技術(shù)安全防護(hù)能力����。各單位應(yīng)根據(jù)單位實(shí)際,研究制訂安全防護(hù)方案�����,加快安全防護(hù)能力建設(shè),并按照信息系統(tǒng)安全等級(jí)保護(hù)要求部署安全防護(hù)措施���,探索購買專業(yè)化服務(wù)等方式加強(qiáng)安全防護(hù)能力,做到可管�����、可控�;定期對(duì)終端計(jì)算機(jī)和承擔(dān)網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)行的關(guān)鍵設(shè)備(服務(wù)器、安全設(shè)備��、網(wǎng)絡(luò)設(shè)備)進(jìn)行安全審計(jì)���,通過記錄����、檢查系統(tǒng)和用戶活動(dòng)信息��,及時(shí)發(fā)現(xiàn)系統(tǒng)漏洞�,處置異常訪問和操作。
十�����、加強(qiáng)信息技術(shù)安全檢查工作。各單位應(yīng)定期開展信息技術(shù)安全自查工作�,通過常規(guī)檢查與專項(xiàng)檢查相結(jié)合的方式,建立常態(tài)化的檢查監(jiān)督機(jī)制�;應(yīng)將信息技術(shù)安全工作納入單位年度考核指標(biāo),建立責(zé)任追究和倒查機(jī)制����,保障工作落實(shí)到位。教育部將結(jié)合年度網(wǎng)絡(luò)安全檢查��,督查重點(diǎn)工作落實(shí)情況�����,對(duì)工作落實(shí)不到位的單位將視情況予以約談和通報(bào)�。
教育部
2015年3月30日
