部属各高等学校、各直属单位:
为贯彻党的十八大和十八届三中、四中全会精神,落实中央关于网络安全工作的总体部署,现就进一步加强部属各类高等学校、各直属单位(以下简称各单位)信息技术安全工作通知如下。
一、加强领导,提高认识。各单位应认真贯彻落实《教育部关于加强教育行业网络与信息安全工作的指导意见》(教技〔2014〕4号)的相关要求,充分认识信息技术安全工作的重要性和紧迫性,加强党委对信息技术安全工作的领导,切实建立起党政一把手负责的网络安全与信息化领导机制,统筹本单位网络安全与信息化发展,统一规划、统一部署、统一推进、统一实施,做到两手抓两手都要硬。
二、建立健全信息技术安全责任制度。各单位是信息技术安全工作的责任主体,应建立信息技术安全领导责任制,单位主要负责人是信息技术安全工作的第一负责人,明确信息技术安全工作的分管负责人,协助主要负责人履行本单位信息技术安全职责;明确或设置本单位负责信息技术安全工作的职能处室,并根据实际明确技术支撑机构;建立本单位信息技术安全规章制度和操作规程;保障必要的经费投入、人员配置等工作条件。
三、加强信息系统统筹管理。各单位应准确掌握本单位信息系统情况,建立信息系统名录,做到底数清、情况明;按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,制定本单位信息系统管理制度,切实落实责任,规范建设、运维、使用等各个环节;委托外单位运维的信息系统,应与具有独立法人资格的单位签订委托服务合同,并督促指导做好系统运维与安全防护工作;涉及重要业务或大量个人信息的信息系统原则上应由本单位自行维护。
四、落实信息系统安全等级保护制度。各单位应按照国家信息系统安全等级保护制度的相关法律法规、标准规范以及《教育行业信息系统安全等级保护定级工作指南》(教技厅函〔2014〕74号)要求,落实信息系统安全等级保护制度;对已运行但未定级及定级不准的信息系统应在2015年底前完成定级备案工作;新建、改建、扩建信息系统应在设计阶段确定系统安全保护等级,与信息系统建设方案一并形成安全建设方案,同步实施,信息系统在上线后30日内应到公安机关备案;第三级及以上信息系统要依规定期进行安全等级测评、整改。
五、完善信息技术安全报告与处置制度。各单位应按照《信息技术安全事件报告与处置流程》(教技厅函〔2014〕75号)要求,建立健全本单位信息技术安全信息通报机制,制定并完善安全事件应急预案,完善24小时应急值守制度,定期开展应急演练,及时排查并处置安全隐患,做到防微杜渐,未雨绸缪;按要求报告并处置安全事件,做到早发现、早报告、早处置,将危害和影响降到最低。
六、加强数据统筹管理。各单位应明确本单位负责数据统筹管理的责任部门,制定数据管理办法,规范数据的采集、传输、存储、使用,确保数据安全;定期对数据进行备份,建立完善的数据灾备解决方案。
七、加强办公用计算机终端统筹管理。各单位应建立办公用计算机终端的管理制度,统筹推进软件正版化和安全防护工作;规范办公用计算机终端使用,杜绝弱口令和明文口令现象,对存储、处理重要信息的办公用计算机终端制定科学、严谨的口令策略,定期更换口令,并严格规范操作权限。
八、加强信息技术安全队伍建设与培训。各单位应制订信息技术安全工作人员管理办法,明确岗位素质要求,落实岗位责任;建立信息技术安全专业队伍,采取有效措施吸引和用好高素质的技术人才;制订管理人员和技术人员的培训方案,定期开展培训,提升管理安全意识、管理水平和专业技术能力。
九、提高信息技术安全防护能力。各单位应根据单位实际,研究制订安全防护方案,加快安全防护能力建设,并按照信息系统安全等级保护要求部署安全防护措施,探索购买专业化服务等方式加强安全防护能力,做到可管、可控;定期对终端计算机和承担网络与信息系统运行的关键设备(服务器、安全设备、网络设备)进行安全审计,通过记录、检查系统和用户活动信息,及时发现系统漏洞,处置异常访问和操作。
十、加强信息技术安全检查工作。各单位应定期开展信息技术安全自查工作,通过常规检查与专项检查相结合的方式,建立常态化的检查监督机制;应将信息技术安全工作纳入单位年度考核指标,建立责任追究和倒查机制,保障工作落实到位。教育部将结合年度网络安全检查,督查重点工作落实情况,对工作落实不到位的单位将视情况予以约谈和通报。
联系电话:教育部科技司 010-66096457
教育部
2015年3月30日