關于轉發教育部《教育行業信息系統安全等級保護定級工作指南（試行）》的通知

魯教信函[2014]5號

各市教育局，各高等學校，廳屬各單位：

為指導和規范教育行業信息系統安全等級保護定級工作，現將教育部辦公廳《教育行業信息系統安全等級保護定級工作指南（試行）》轉發給你們，并結合我省實際，提出以下要求，請一并貫徹落實。

一、提高認識，增強信息安全工作的責任感、緊迫感

隨著教育行業信息化的快速發展和網絡信息技術的普及應用，網絡安全面臨的威脅越來越嚴峻。省教育信息中心今年11月對我省教育行業149家單位的網絡信息安全的遠程抽查結果顯示，有74家單位的網站或信息系統存在跨站腳本、SQL注入和后臺管理弱口令等高危漏洞，部分網站已經被植入木馬。部分單位雖然配置了安全防護設備，但疏于管理，實效性較差，安全防護效果不明顯。總體來看，我省教育行業的網絡與信息安全形勢嚴峻，各單位須切實提高安全防范意識，及時查補信息安全漏洞，積極采取應對措施。

二、建立健全網絡與信息安全組織領導體系，制定完善網絡與信息安全規劃和管理制度

各單位要建立以主要負責人任組長的網絡安全與信息化工作領導小組，設立或明確職能部門和專門管理人員，歸口管理本單位網絡安全與信息化工作。要按照有關網絡和信息安全的政策要求，結合自身實際，制定網絡與信息安全總體規劃，建立并完善本單位網絡與信息安全管理規章制度，重點包括網絡安全管理、計算機軟硬件管理、信息系統建設與運維管理、門戶網站管理、郵件服務系統管理、數據安全及使用管理等制度，并在實際工作中予以落實。

三、加強網絡與信息安全隊伍建設和人員培訓，大力提升技術防護能力

各單位應選拔具有網絡和信息系統管理經驗和專業技能的人員從事網絡與信息安全管理工作，有條件的單位應建立網絡與信息安全管理專職隊伍和技術支撐專業隊伍，落實崗位責任和考核機制。各單位應制定網絡與信息安全的培訓規劃，開展面向全員的普及性培訓，加強對管理和技術人員的專業培訓，逐步實行管理和技術人員持證上崗制度。

各單位要研究制定網絡與信息安全技術防護方案，建立多層次網絡與信息安全技術防護體系，按需配置網絡與信息安全防護設備和軟件，加強網絡與信息安全核心技術的研發和使用，推動軟件正版化和優先采用具有自主知識產權和自有核心技術的軟硬件產品，實現安全防護、監測預警、災難恢復、安全認證等安全保障與網絡信任功能，構建可信、可控、可查的網絡與信息安全技術防護環境。

四、積極開展信息安全等級保護工作，建立安全應急處置機制

各單位要按照有關信息安全等級保護的工作要求，積極開展信息安全等級保護相關工作，制定網絡與信息安全應急預案，明確應急處置流程和權限，落實應急處置技術支撐隊伍，開展安全應急演練，提高網絡與信息安全應急處置能力。

附件：教育部辦公廳關于印發《教育行業信息系統安全等級保護定級工作指南（試行）》的通知

 山東省教育廳

                                                           2014 年12 月26 日