宁夏回族自治区教育行业网络与信息
安全管理办法
(试 行)
第一章 总 则
第一条 为加强我区教育行业网络与信息安全管理工作,明确网络与信息安全工作责任,增强网络与信息安全保护意识,根据《网络安全法》《中华人民共和国计算机信息系统安全保护条例》《宁夏回族自治区计算机信息系统安全保护条例》《计算机信息网络国际联网安全保护管理办法》《教育部关于加强教育行业网络与信息安全工作的指导意见》《教育部 公安部关于全面推进教育行业信息安全等级保护工作的通知》和其他法律、行政法规的有关规定,制定本办法。
第二条 本办法适用于各市、县(区)教育行政部门、各级各类学校(含民办学校)、非学历教育机构(以下简称各教育机构)建设、运行和应用的各类网站、非涉密信息系统和网络。
第三条 我区教育行业网络与信息安全工作的目标是全面提高我区教育行业网络与信息安全意识,建立健全教育网络与信息安全保障体系和工作责任体系,提高网络与信息安全防护和应急处置能力,形成与教育信息化发展相适应的、完备的网络与信息安全保障体系,支撑我区教育现代化事业健康持续发展。
第四条 我区教育行业网络与信息安全工作遵循“统筹规划、遵从标准”“分级管理、逐级负责”和“自主防护、明确责任”的基本原则。
(一)统筹规划、遵从标准。各教育机构要统筹规划网络与信息安全工作,按统一归口管理、与信息化工程同步规划、同步建设和同步使用的要求,严格执行国家、自治区网络与信息安全的政策法规和标准规范,预测、研判、化解、处置网络信息管理和使用风险。
(二)分级管理、逐级负责。自治区教育厅统筹管理和指导我区教育行业的网络与信息安全工作,负责工作部署与监督检查;各市、县(区)教育局负责本单位及下属单位的网络与信息安全工作;各级各类学校负责本单位的网络与信息安全工作。
(三)自主防护、明确责任。各教育机构按“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,明确责任部门和责任人,落实网络与信息安全责任。
第二章 工作任务
第五条 各教育机构要建立党政一把手负责的网络安全与信息化工作领导机构,完善网络与信息安全工作责任体系,领导机构主要负责同志是网络与信息安全的第一责任人。
第六条 各教育机构每年要安排网络与信息安全专用经费,用于配备设备、管理运维、等级保护测评整改、人员培训等工作,建立规范的网络与信息安全专项经费投入机制,保障网络与信息安全工作有序开展。
第七条 各教育机构要建立健全网络与信息安全工作技术支撑保障体系,明确安全技术支持部门和管理人员,积极与网信办、公安和通信管理局等部门建立跨部门协调机制,与相关安全企业建立技术协作机制,建立保障有力的技术支撑体系和协作处置机制。
第八条 各教育机构要加强信息系统基础设施的安全建设及管理,统一为信息系统提供符合安全要求的网络、服务器及存储等基础环境,按技术规范配备安全设备,由技术支持部门负责基础环境的安全运维,切实保障基础设施运行安全。
第九条 各教育机构要加强信息系统安全建设管理,新建业务信息系统必须经第三方软件测评和信息安全等级保护测评合格后,才能上线运行;要加强对部署资源和工作流程的管控,与工程实施方签订保密协议,防止网络、服务器等基础资源配置被非法修改及信息泄密。
第十条 各教育机构要加强信息系统日常安全检测和风险管控,完善安全服务的保障机制,由技术支持部门有计划、有步骤的对信息系统进行安全检测,在业务部门的主导下,协调生产厂商积极修改和完善系统漏洞,对安全隐患严重的系统暂停运行,完成整改后再上线开通运行。系统运行和使用的审计日志等数据留存不少于6个月。
第十一条 各教育机构要加强信息系统安全应用管理,由各业务部门负责信息系统的使用和数据管理,技术支持部门不涉及系统业务和数据的管理及操作;要加强业务管理人员的管理,签订安全保密协议,因调离、岗位变更等原因而更换管理员的,要保证账号密码信息的安全交接,避免发生数据泄露事故。
第十二条 各教育机构要加强信息系统业务数据的安全管理,明确由业务使用部门负责数据内容的安全管理,业务部门对信息系统数据采集与处置要遵循合法、正当、必要的原则,实施过程要采用规范的处置流程和安全的技术手段,防止业务数据泄漏。
第十三条 各教育机构要全面落实国家网络安全等级保护制度,开展信息系统的定级与备案,实施安全等级保护测评与整改,四级系统每年要进行两次测评整改,三级系统每年要进行一次测评整改,二级系统每两年要进行一次测评整改,严格落实对测评中发现安全问题及隐患的整改。
第十四条 自治区教育厅加强对各地落实信息安全等级保护制度的管理,各市、县(区)教育行政部门、高等院校、中等职业学校和厅直属学校要将二级(含二级)以上系统登记造册,连同备案表复印件报自治区教育厅;按要求开展测评整改,将测评整改情况报自治区教育厅。
第十四条 各教育机构要加强对门户网站、微信公众平台、微博等宣传媒体内容的安全管理,明确由新闻宣传部门或办公室负责对外宣传信息内容的安全,建立完善的信息审核与发布制度,确保网络宣传媒体信息内容的安全、可靠。
第十五条 各教育机构要加强网络与信息安全队伍的建设,选拔具有网络和信息系统管理经验和专业技能的人员从事网络与信息安全管理工作,加强对管理和技术人员的专业培训,落实岗位责任和考核机制,逐步实行管理和技术人员持证上岗制度。
第十六条 各教育机构在信息化建设中采购网络产品和外包服务,要依据《网络安全法》相关规定,与提供者签订安全保密协议,明确安全和保密义务与责任。对于存储大量敏感信息的关键业务系统,应当使用国产密码设备对数据进行加密传输与存储。
第十七条 各教育机构要建立和完善网络与信息安全值班管理制度,落实日常节假日的安全值班,重要节假日和敏感时期要实施24小时值班,值班期间要做好设备安全运行的各项数据记录,加强对系统运行的安全监测。
第十八条 各教育机构要建立健全网络与信息安全突发事件的应急预案,明确应急处置流程和权限,建立应急处置技术支撑队伍,配备必要的应急设备和环境,定期开展应急预案培训和安全实战演练,提高信息安全应急反应与处置能力;各市、县(区)教育局要指导下属单位开展好网络与信息安全应急处置工作。
第十九条 各教育机构要加强信息技术安全事件报告与处置管理,一旦发现安全事件,应严格按《宁夏回族自治区教育行业信息技术安全事件报告与处置流程》进行操作,有效降低安全损失和不良影响。
第二十条 自治区教育厅将定期组织有关技术支撑机构开展信息系统安全监测,并将监测过程中发现的问题及时告知各教育机构,各教育机构要高度重视并在限定时间内完成整改。
第二十一条 各教育机构加强网络与信息安全工作的监督检查,建立健全网络与信息安全通报机制。自治区教育厅将定期开展安全检查活动,对各教育机构涌现出的优秀工作经验、得力工作措施和成绩突出单位进行总结与通报表扬;对安全意识淡漠、信息系统频繁出现高危安全漏洞、工作措施不得力的教育机构进行通报批评;有违法行为的,将配合公安机关依法开展行政处罚;触犯刑法的,将由公安机关依法追究相关单位、人员的刑事责任。
第三章 附 则
第二十二条 本办法由宁夏回族自治区教育厅负责解释。
第二十三条 本办法自2017年7月1日起施行。
宁夏回族自治区教育行业网络与信息
安全管理办法
(试行)
第一章 总则
第一条 为加强我区教育行业网络与信息安全管理工作,明确网络与信息安全工作责任,增强网络与信息安全保护意识,根据《网络安全法》《中华人民共和国计算机信息系统安全保护条例》《宁夏回族自治区计算机信息系统安全保护条例》《计算机信息网络国际联网安全保护管理办法》《教育部关于加强教育行业网络与信息安全工作的指导意见》《教育部 公安部关于全面推进教育行业信息安全等级保护工作的通知》和其他法律、行政法规的有关规定,制定本办法。
第二条 本办法适用于各市、县(区)教育行政部门、各级各类学校(含民办学校)、非学历教育机构(以下简称各教育机构)建设、运行和应用的各类网站、非涉密信息系统和网络。
第三条 我区教育行业网络与信息安全工作的目标是全面提高我区教育行业网络与信息安全意识,建立健全教育网络与信息安全保障体系和工作责任体系,提高网络与信息安全防护和应急处置能力,形成与教育信息化发展相适应的、完备的网络与信息安全保障体系,支撑我区教育现代化事业健康持续发展。
第四条 我区教育行业网络与信息安全工作遵循“统筹规划、遵从标准”“分级管理、逐级负责”和“自主防护、明确责任”的基本原则。
(一)统筹规划、遵从标准。各教育机构要统筹规划网络与信息安全工作,按统一归口管理、与信息化工程同步规划、同步建设和同步使用的要求,严格执行国家、自治区网络与信息安全的政策法规和标准规范,预测、研判、化解、处置网络信息管理和使用风险。
(二)分级管理、逐级负责。自治区教育厅统筹管理和指导我区教育行业的网络与信息安全工作,负责工作部署与监督检查;各市、县(区)教育局负责本单位及下属单位的网络与信息安全工作;各级各类学校负责本单位的网络与信息安全工作。
(三)自主防护、明确责任。各教育机构按“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,明确责任部门和责任人,落实网络与信息安全责任。
第二章 工作任务
第五条 各教育机构要建立党政一把手负责的网络安全与信息化工作领导机构,完善网络与信息安全工作责任体系,领导机构主要负责同志是网络与信息安全的第一责任人。
第六条 各教育机构每年要安排网络与信息安全专用经费,用于配备设备、管理运维、等级保护测评整改、人员培训等工作,建立规范的网络与信息安全专项经费投入机制,保障网络与信息安全工作有序开展。
第七条 各教育机构要建立健全网络与信息安全工作技术支撑保障体系,明确安全技术支持部门和管理人员,积极与网信办、公安和通信管理局等部门建立跨部门协调机制,与相关安全企业建立技术协作机制,建立保障有力的技术支撑体系和协作处置机制。
第八条 各教育机构要加强信息系统基础设施的安全建设及管理,统一为信息系统提供符合安全要求的网络、服务器及存储等基础环境,按技术规范配备安全设备,由技术支持部门负责基础环境的安全运维,切实保障基础设施运行安全。
第九条 各教育机构要加强信息系统安全建设管理,新建业务信息系统必须经第三方软件测评和信息安全等级保护测评合格后,才能上线运行;要加强对部署资源和工作流程的管控,与工程实施方签订保密协议,防止网络、服务器等基础资源配置被非法修改及信息泄密。
第十条 各教育机构要加强信息系统日常安全检测和风险管控,完善安全服务的保障机制,由技术支持部门有计划、有步骤的对信息系统进行安全检测,在业务部门的主导下,协调生产厂商积极修改和完善系统漏洞,对安全隐患严重的系统暂停运行,完成整改后再上线开通运行。系统运行和使用的审计日志等数据留存不少于6个月。
第十一条 各教育机构要加强信息系统安全应用管理,由各业务部门负责信息系统的使用和数据管理,技术支持部门不涉及系统业务和数据的管理及操作;要加强业务管理人员的管理,签订安全保密协议,因调离、岗位变更等原因而更换管理员的,要保证账号密码信息的安全交接,避免发生数据泄露事故。
第十二条 各教育机构要加强信息系统业务数据的安全管理,明确由业务使用部门负责数据内容的安全管理,业务部门对信息系统数据采集与处置要遵循合法、正当、必要的原则,实施过程要采用规范的处置流程和安全的技术手段,防止业务数据泄漏。
第十三条 各教育机构要全面落实国家网络安全等级保护制度,开展信息系统的定级与备案,实施安全等级保护测评与整改,四级系统每年要进行两次测评整改,三级系统每年要进行一次测评整改,二级系统每两年要进行一次测评整改,严格落实对测评中发现安全问题及隐患的整改。
第十四条 自治区教育厅加强对各地落实信息安全等级保护制度的管理,各市、县(区)教育行政部门、高等院校、中等职业学校和厅直属学校要将二级(含二级)以上系统登记造册,连同备案表复印件报自治区教育厅;按要求开展测评整改,将测评整改情况报自治区教育厅。
第十四条 各教育机构要加强对门户网站、微信公众平台、微博等宣传媒体内容的安全管理,明确由新闻宣传部门或办公室负责对外宣传信息内容的安全,建立完善的信息审核与发布制度,确保网络宣传媒体信息内容的安全、可靠。
第十五条 各教育机构要加强网络与信息安全队伍的建设,选拔具有网络和信息系统管理经验和专业技能的人员从事网络与信息安全管理工作,加强对管理和技术人员的专业培训,落实岗位责任和考核机制,逐步实行管理和技术人员持证上岗制度。
第十六条 各教育机构在信息化建设中采购网络产品和外包服务,要依据《网络安全法》相关规定,与提供者签订安全保密协议,明确安全和保密义务与责任。对于存储大量敏感信息的关键业务系统,应当使用国产密码设备对数据进行加密传输与存储。
第十七条 各教育机构要建立和完善网络与信息安全值班管理制度,落实日常节假日的安全值班,重要节假日和敏感时期要实施24小时值班,值班期间要做好设备安全运行的各项数据记录,加强对系统运行的安全监测。
第十八条 各教育机构要建立健全网络与信息安全突发事件的应急预案,明确应急处置流程和权限,建立应急处置技术支撑队伍,配备必要的应急设备和环境,定期开展应急预案培训和安全实战演练,提高信息安全应急反应与处置能力;各市、县(区)教育局要指导下属单位开展好网络与信息安全应急处置工作。
第十九条 各教育机构要加强信息技术安全事件报告与处置管理,一旦发现安全事件,应严格按《宁夏回族自治区教育行业信息技术安全事件报告与处置流程》进行操作,有效降低安全损失和不良影响。
第二十条 自治区教育厅将定期组织有关技术支撑机构开展信息系统安全监测,并将监测过程中发现的问题及时告知各教育机构,各教育机构要高度重视并在限定时间内完成整改。
第二十一条 各教育机构加强网络与信息安全工作的监督检查,建立健全网络与信息安全通报机制。自治区教育厅将定期开展安全检查活动,对各教育机构涌现出的优秀工作经验、得力工作措施和成绩突出单位进行总结与通报表扬;对安全意识淡漠、信息系统频繁出现高危安全漏洞、工作措施不得力的教育机构进行通报批评;有违法行为的,将配合公安机关依法开展行政处罚;触犯刑法的,将由公安机关依法追究相关单位、人员的刑事责任。
第三章 附则
第二十二条 本办法由宁夏回族自治区教育厅负责解释。
第二十三条 本办法自2017年7月1日起施行。