桂教规范〔2017〕10号：广西壮族自治区教育厅 广西壮族自治区公安厅关于广西教育行业网络安全等级保护工作实施意见

各市、县(市、区)教育局,各高等学校,区直各中等职业学校,教育厅各直属事业单位、二层单位:

网络安全等级保护工作是国家网络安全的基础性工作,是《网络安全法》规定的一项基本制度。为贯彻实施国家《网络安全法》,落实国家信息安全等级保护制度,全面推进广西教育行业网络安全等级保护定级、备案、测评等工作有序开展,规范备案受理、审核和管理等工作,根据教育部、公安部《关于全面推进教育行业信息安全等级保护工作的通知》(教技〔2015〕2号)和《教育行业信息系统安全等级保护定级工作指南(试行)》(教

技厅函〔2014〕74号)等文件精神,结合广西实际,提出如下实施意见。

一、等级保护范围

等级保护范围为全区各级教育行政部门及其直属事业单位、各级各类学校(以下简称教育行业单位)安全保护等级为二级及以上的信息系统,按照“谁主管谁负责、谁建设谁负责、谁运维谁负责、谁使用谁负责”的原则开展工作。

本文适用于非涉及国家秘密的,广西行政区域范围内教育行业单位信息系统(含网站,以下简称“信息系统”)的定级、备案、测评、整改及相关管理工作。

二、等级保护实施基本原则

等级保护工作的核心是对信息系统分等级、按标准进行建设、管理和监督。网络安全等级保护实施过程中应遵循“自主定级、自主保护、同步建设、动态调整”的原则。信息系统主管部门、使用单位及其运营单位应按照国家相关法律法规,自主确定信息系统的安全保护等级,自觉履行安全保护义务。各单位在新建、改建、扩建信息系统时应当同步规划和设计安全方案,投入一定的资金建设网络安全设施,使网络安全与信息化建设同步推进。

三、明确职责分工

自治区教育厅科学技术与信息化处牵头统筹全区教育行业网络安全等级保护工作,负责督促、指导高等学校落实网络安全等级保护工作;广西教育信息化中心配合协助教育厅做好网络安全等级保护的技术指导和支持工作;各市县教育局对本地区教育行业单位(不含高等学校)的网络安全工作负有监督管理责任,须明确专门部门和人员负责督促、指导属地的单位、学校及时开展网络安全等级保护工作。各单位、各学校是网络安全等级保护工作的责任主体,须明确本单位本学校负责网络安全等级保护工作的职能处室和人员。

自治区公安厅网络安全保卫总队负责受理教育厅厅机关及其直属事业单位的备案工作。市级以上公安机关网络安全保卫部门负责受理本辖区教育行业单位的备案工作。各级公安机关负责本地区教育行业单位的网络安全等级保护工作的指导、监督和检查。

四、等级确定原则

(一)安全保护等级分为:第一级、第二级、第三级、第四级、第五级。

第一级按照自主建设、自主定级、自主防护、自主运维的原则进行开办和管理。

第二级和第三级按照以下步骤开办和管理。一是根据建议等级定级;二是按时到公安机关备案;三是聘请等级保护测评机构开展测评;四是及时认真整改。

第四级和第五级参照国家文件执行。

(二)信息系统的类型划分。

运行在网络环境中(含非互联网)的教育信息系统应纳入到定级保护工作开展范围。教育信息系统主要按照主管单位、业务对象进行分类。按照主管单位的不同,信息系统分为部门信息系统和学校信息系统两类。

部门信息系统可分为省级教育行政部门及其直属事业单位信息系统(自治区级系统)、地市级教育行政部门及其直属事业单位(地市级系统)和区县级教育行政部门及其直属事业单位(区县级系统)。

学校划分为三类:Ⅰ类学校是设有硕士点的高等学校、高职高专国家级示范院校;Ⅱ类学校是除Ⅰ类以外的其他高等学校,学生数在5000人及以上中等职业学校;Ⅲ类学校是除Ⅱ类以外的其他中等职业学校,中小学、幼儿园,以及其他类型学校。

根据业务对象不同,部门信息系统可分为政务管理类、学校管理类、学生管理类、教师管理类、综合服务类;学校信息系统可分为校务管理类、教学科研类、招生就业类、综合服务类。

(三)定级思路。

部门信息系统与学校信息系统分别定级。由于面向的对象不同、承载的业务不同、受到破坏后造成的侵害程度不同,采取不同的定级思路。信息系统受到破坏后造成的危害程度与其安全等级正相关,造成的危害程度越大,安全等级应越高。部门信息系统根据行政级别、部署模式和业务类型与性质三个维度分析受到破坏后造成的危害程度。学校信息系统根据办学规模、社会影响力、业务类型三个维度分析受到破坏后造成的危害程度。具体安全保护等级的确定请参考《网络安全保护等级建议表》(附件1)。实际定级工作中,教育信息系统所定等级原则上不应低于建议等级。

五、等级保护工作流程

(一)初步定级。各单位、各学校须全面梳理本单位、学校在用和在建信息系统的数量,并根据《网络安全保护等级建议表》初步确定安全保护等级。

二级及以下信息系统根据自主定级原则,各单位、各学校自行根据《网络安全保护等级建议表》确定安全保护等级。

三级及以上信息系统自主定级时,需要组织3名以上来自不同单位(同一单位限1人)的网络安全专家(从事相关专业工作满8年、本科以上学历、高级技术职称或自治区公安厅网络安全保卫总队确定的等级保护专家)和业务专家进行评审,并出具附有专家签字的专家评审意见。

(二)按时备案。各单位、各学校应当在信息系统安全保护等级确定后30日内,到属地公安机关网络安全保卫部门办理备案手续。

申请备案原则上按属地原则进行备案。各单位、各学校到自治区公安厅网络门户网站(网址:http://www.gazx.gov.cn)网上服务-表格下载专栏下载并填写“信息系统安全等级保护备案表”,到属地公安机关网络安全保卫部门申请备案。

主管部门审核。各单位、各学校应将初步定级结果报上级教育行政部门审核。广西教育信息化中心负责对各市教育局开办的建议等级为三级及以上系统,高校、区直中等职业学校开办的建议等级为二级及以上系统进行审核,各市县教育局对管辖范围内的教育行业单位的二级及以上系统进行审核,重点审核自主定级与《网络安全保护等级建议表》的一致性。在审核过程中,出现所定等级低于建议等级的,应向公安机关网安部门提交书面说明。

形式审查。公安机关网络安全保卫部门负责对系统备案材料开展形式审查工作。公安机关网络安全保卫部门应在收到材料的2个工作日内将形式审查结果反馈备案单位。如材料不符合要求的,备案单位应于收到反馈后5个工作日内将补正后的材料重新提交。公安机关网络安全保卫部门通过形式审查程序直至材料符合要求。

(三)科学测评。全区教育行业单位安全保护等级为二级及以上的信息系统要开展等级测评工作,测评机构选择由广西信息安全等级保护工作协调小组办公室或其他省份信息安全等级保护协调(领导)小组办公室推荐、经公安部信息安全等级保护评估中心评估合格、在自治区公安厅进行备案的信息安全等级测评机构,或委托教育部教育管理信息中心(教育信息安全等级保护测评中心)对本学校信息系统开展等级测评。区外信息安全等级测评机构在广西区内开展等级测评项目的,须按照公安部规定办理相关备案手续。

安全保护等级为三级的信息系统每年要开展一次等级测评工作,安全保护等级为二级的信息系统每两年要开展一次等级测评工作。新建系统须在上线前完成测评工作。

(四)认真整改。等级测评完成后,信息系统责任单位要及时针对测评发现的问题认真开展整改工作。对于不能及时完成整改的问题,要及时向教育行政部门和公安机关网安部门书面报告原因,教育行政部门和公安机关网安部门要结合实际情况督促、指导相关单位制定详细的整改计划和方案,签署整改承诺书,确保信息系统安全。

(五)等级变更。信息系统运行过程中,当系统状态变化可能导致业务信息安全或系统服务受到破坏后的受侵害对象和受侵害程度有较大的变化时,应根据具体情况重新定级,并变更安全保护等级。

六、安全保障措施

(一)安全保障制度建设。

各单位、各学校应按照《网络安全法》及有关网络安全的法律法规、政策要求,结合自身实际,建立和完善本单位加强网络安全管理所需的各项规章制度,规范软硬件管理、人员安全管理、门户网站管理(包括内设机构建设的各类网站)、信息系统和数据的安全防护管理等工作。应制定网络安全应急预案,组织开展应急演练和安全检查,依规对网络安全事件进行报告和处置。

(二)安全保障队伍建设。

各单位、各学校应建立网络安全管理专职队伍和技术支撑专业队伍,制定安全人员管理办法,明确岗位素质要求,落实岗位责任。各单位、各学校应有不少于一名专职网络安全人员。要制定安全管理人员和技术人员培训方案,加强专业培训,提升安全意识、管理水平和专业技术能力,逐步做到持证上岗。

(三)经费保障。

各单位、各学校须将网络安全等级保护工作经费纳入年度预算,落实网络安全等级保护、安全防护能力建设、网络安全服务、技术人员培训等工作必需的经费,保障工作顺利开展。

(四)加强安全防护能力建设。

各单位、各学校应制定网络安全防护方案,按照网络安全等级保护要求部署安全防护措施,将网络安全防护工作落实到位,切实做到可管、可信、可控、可查。可通过自建或购买专业安全服务的方式,保障信息系统运行安全。

(五)加强监督检查。

各单位、各学校应定期开展网络安全检查工作,加强日常监控,建立常态化的监督检查机制,将网络安全等级保护工作纳入单位年度考核指标。自治区教育厅、自治区公安厅将开展年度网络安全检查工作,采取联合工作组现场抽查方式,重点监督检查各单位、各学校网络安全等级保护工作落实情况。对因未落实网络安全等级保护有关要求导致网络安全事故发生,造成恶劣影响,但尚不构成犯罪的,由教育行政部门对相关单位和责任人员进行处理。构成犯罪的,由公安机关依法对相关单位和责任人员进行处理。

七、工作要求

(一)各单位、各学校要高度重视网络安全等级保护工作,摸清底数,统筹规划,分步落实本单位本学校网络安全保护工作。请认真填写《网络安全等级保护工作进展统计表》(附件2),以公文形式报送教育厅科学技术与信息化处备案。

(二)各单位、各学校对未确定安全保护等级的信息系统和网站要尽快确定安全保护等级,及时办理备案。全区教育行业单位在用信息系统必须在2017年8月30日前完成系统定级、备案工作;所有在用的安全等级保护为二级及以上的信息系统应在2018年6月前完成测评工作。

自治区教育厅联系人和电话:科学技术与信息化处  岳增光、魏莹莹,0771—5815223、5815221,电子邮箱:gxjyxtb@163.com。自治区公安厅联系人和电话:朱磊,0771—2893136。

附件:1.网络安全保护等级建议表

2. 网络安全等级保护工作进展统计表

广西壮族自治区教育厅       广西壮族自治区公安厅

2017年8月1日

附件1

网络安全保护等级建议表

说明:区县级教育行政部门及其直属事业单位的系统建议一般定为第一级,区县级统一运行系统根据业务重要性建议可定为第二级。

表2:学校网络安全保护等级建议

附件2

网络安全等级保护工作进展统计表

填报单位(盖章):              

填报日期:            

填表人:        

手机号码:

(一)总  表

(二)信息系统清单

填报单位(盖章):