各省、自治區(qū)、直轄市教育廳（教委），各計劃單列市教育局，新疆生產(chǎn)建設(shè)兵團教育局，有關(guān)部門（單位）教育司（局），部屬各高等學(xué)校，部內(nèi)各司局，各直屬單位：

信息化在促進國家經(jīng)濟和社會發(fā)展方面的作用日益凸顯，已深入到社會生活的各個角落。隨著信息化的快速發(fā)展和信息技術(shù)的廣泛應(yīng)用，網(wǎng)絡(luò)安全面臨的威脅持續(xù)加大，教育信息化是國家信息化重要組成部分，教育行業(yè)網(wǎng)絡(luò)與信息安全工作關(guān)系著教育信息化的穩(wěn)步推進和教育事業(yè)的改革發(fā)展。為深入貫徹中央關(guān)于網(wǎng)絡(luò)安全工作的總體部署，落實《國務(wù)院關(guān)于大力推進信息化發(fā)展和切實保障信息安全的若干意見》與信息安全等級保護制度的要求，加快建立健全教育行業(yè)網(wǎng)絡(luò)與信息安全保障體系，提高防護能力和水平，保障教育事業(yè)健康有序發(fā)展，現(xiàn)就教育行業(yè)網(wǎng)絡(luò)與信息安全工作提出以下指導(dǎo)意見：

一、總體目標(biāo)和基本原則

總體目標(biāo)：全面提高教育行業(yè)網(wǎng)絡(luò)與信息安全意識，建立健全教育網(wǎng)絡(luò)與信息安全工作的組織體系、管理規(guī)章和責(zé)任制度，落實國家信息安全等級保護制度，有效防范、控制和抵御信息安全風(fēng)險，增強安全預(yù)警、應(yīng)急處置和災(zāi)難恢復(fù)能力，提高各級教育部門和學(xué)校整體安全防護水平，形成與教育信息化發(fā)展相適應(yīng)的、完備的網(wǎng)絡(luò)與信息安全保障體系，支撐教育現(xiàn)代化事業(yè)健康持續(xù)發(fā)展。

基本原則：

分級管理、逐級負(fù)責(zé)。教育部統(tǒng)籌指導(dǎo)教育行業(yè)的網(wǎng)絡(luò)與信息安全工作，負(fù)責(zé)教育部機關(guān)司局、直屬單位和部屬高等學(xué)校網(wǎng)絡(luò)與信息安全工作的統(tǒng)籌部署與監(jiān)督檢查。地方各級教育行政部門負(fù)責(zé)本地區(qū)教育部門和學(xué)校的網(wǎng)絡(luò)與信息安全工作。有關(guān)部門（單位）負(fù)責(zé)所屬學(xué)校的網(wǎng)絡(luò)與信息安全工作。各級各類學(xué)校負(fù)責(zé)本單位的網(wǎng)絡(luò)與信息安全工作。

自主防護、明確責(zé)任。各單位按照“誰主管誰負(fù)責(zé)、誰運維誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則切實落實網(wǎng)絡(luò)與信息安全責(zé)任。網(wǎng)絡(luò)與信息系統(tǒng)的主管部門承擔(dān)系統(tǒng)的安全管理和監(jiān)督責(zé)任，網(wǎng)絡(luò)與信息系統(tǒng)的運行維護部門承擔(dān)系統(tǒng)的技術(shù)安全保障責(zé)任，網(wǎng)絡(luò)與信息系統(tǒng)的使用單位和個人承擔(dān)系統(tǒng)操作與信息內(nèi)容的直接安全責(zé)任。

統(tǒng)籌規(guī)劃、同步建設(shè)。各單位對網(wǎng)絡(luò)與信息安全工作要歸口管理，做好統(tǒng)籌規(guī)劃。信息化與信息安全同步設(shè)計與建設(shè)，內(nèi)容與技術(shù)并重、管理與技術(shù)并舉。

政策合規(guī)、遵從標(biāo)準(zhǔn)。各單位要嚴(yán)格執(zhí)行國家網(wǎng)絡(luò)與信息安全法律法規(guī)、政策和標(biāo)準(zhǔn)規(guī)范，以及教育部制訂發(fā)布的各類教育信息化管理制度和網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn)規(guī)范，在管理、技術(shù)、人員崗位和操作實施等各個方面符合要求。

二、主要任務(wù)

1. 建立健全網(wǎng)絡(luò)與信息安全組織領(lǐng)導(dǎo)體系。各單位要建立黨政一把手負(fù)責(zé)的統(tǒng)籌網(wǎng)絡(luò)安全與信息化工作的領(lǐng)導(dǎo)機構(gòu)，主要負(fù)責(zé)同志是網(wǎng)絡(luò)與信息安全的第一責(zé)任人。根據(jù)單位實際，應(yīng)設(shè)立或明確職能部門和專門管理人員，歸口管理本單位網(wǎng)絡(luò)安全與信息化工作。建立保障有力的技術(shù)支撐部門。建立健全內(nèi)部管理協(xié)調(diào)機制，與各級政府網(wǎng)絡(luò)與信息安全管理部門、公安部門建立跨部門協(xié)調(diào)和事件處理機制，充分發(fā)揮縱向銜接、橫向協(xié)調(diào)的組織保障作用。

2. 制定完善網(wǎng)絡(luò)與信息安全規(guī)劃和管理制度。各單位要按照國家有關(guān)網(wǎng)絡(luò)和信息安全的政策要求，結(jié)合自身實際，制定網(wǎng)絡(luò)與信息安全總體規(guī)劃，加強安全管理策略研究，建立并完善本單位加強網(wǎng)絡(luò)與信息安全管理所需的各項規(guī)章制度，重點包括人員安全管理、計算機軟硬件管理、信息系統(tǒng)建設(shè)與運維管理、門戶網(wǎng)站管理（包括內(nèi)設(shè)機構(gòu)建設(shè)的各類網(wǎng)站）、郵件服務(wù)系統(tǒng)管理、數(shù)據(jù)安全及使用管理等制度，并在實際工作中予以落實。

3. 全面實施信息安全等級保護制度。各單位要按照國家和教育部有關(guān)信息安全等級保護工作要求，全面實施信息安全等級保護制度。一是要按照教育行業(yè)有關(guān)規(guī)范準(zhǔn)確定級和備案，對新建系統(tǒng)要在系統(tǒng)規(guī)劃、設(shè)計階段同步確定安全保護等級；二是按照國家和教育行業(yè)有關(guān)標(biāo)準(zhǔn)規(guī)范要求進行等級測評，四級系統(tǒng)每年進行兩次測評，三級系統(tǒng)每年進行一次測評，二級系統(tǒng)每兩年進行一次測評；三是要按照國家和教育行業(yè)有關(guān)標(biāo)準(zhǔn)規(guī)范要求進行安全建設(shè)與問題整改，對于新建系統(tǒng)，要在系統(tǒng)設(shè)計實施階段同步建設(shè)安全防護措施，對于已建系統(tǒng)要按照系統(tǒng)所定級別進行安全整改。

4. 大力提升網(wǎng)絡(luò)與信息安全技術(shù)防護能力。各單位應(yīng)研究制定網(wǎng)絡(luò)與信息安全技術(shù)防護方案，建立多層次網(wǎng)絡(luò)與信息安全技術(shù)防護體系，按需配置網(wǎng)絡(luò)與信息安全防護設(shè)備和軟件，加強網(wǎng)絡(luò)與信息安全核心技術(shù)的研發(fā)和使用，推動軟件正版化和優(yōu)先采用具有自主知識產(chǎn)權(quán)和自有核心技術(shù)的軟硬件產(chǎn)品，實現(xiàn)安全防護、監(jiān)測預(yù)警、災(zāi)難恢復(fù)、安全認(rèn)證等安全保障與網(wǎng)絡(luò)信任功能，構(gòu)建可信、可控、可查的網(wǎng)絡(luò)與信息安全技術(shù)防護環(huán)境。

5. 建立健全網(wǎng)絡(luò)與信息安全應(yīng)急處置和通報機制。各單位應(yīng)制定網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案，明確應(yīng)急處置流程和權(quán)限，落實應(yīng)急處置技術(shù)支撐隊伍，開展安全應(yīng)急演練，提高網(wǎng)絡(luò)與信息安全應(yīng)急處置能力。建立重大網(wǎng)絡(luò)與信息安全事件處置和報告制度，確定報送范圍、規(guī)范報告格式、建立報送流程、明確報送時間。發(fā)生事件后，信息系統(tǒng)的運維單位應(yīng)當(dāng)立即采取措施降低損害程度，防止事件擴大，保存相關(guān)記錄；按照應(yīng)急處置程序?qū)Πl(fā)生安全事件的信息系統(tǒng)立即向有關(guān)部門報告，做到應(yīng)急處置迅速，報告及時。

6. 加強網(wǎng)絡(luò)與信息安全隊伍建設(shè)和人員培訓(xùn)。各單位應(yīng)選拔具有網(wǎng)絡(luò)和信息系統(tǒng)管理經(jīng)驗和專業(yè)技能的人員從事網(wǎng)絡(luò)與信息安全管理工作，有條件的單位應(yīng)建立網(wǎng)絡(luò)與信息安全管理專職隊伍和技術(shù)支撐專業(yè)隊伍，落實崗位責(zé)任和考核機制。各單位應(yīng)制定網(wǎng)絡(luò)與信息安全的培訓(xùn)規(guī)劃，開展面向全員的普及性培訓(xùn)，加強管理和技術(shù)人員的專業(yè)培訓(xùn)，逐步實行管理和技術(shù)人員持證上崗。

7. 加快教育行業(yè)網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn)規(guī)范建設(shè)。結(jié)合教育行業(yè)網(wǎng)絡(luò)與信息安全的特點，重點組織制定信息安全等級保護有關(guān)的定級指南、基本要求、測評規(guī)范、綜合評估體系等行業(yè)標(biāo)準(zhǔn)規(guī)范，逐步建立健全具有教育行業(yè)特色的網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn)規(guī)范體系，形成對教育行業(yè)網(wǎng)絡(luò)與信息安全科學(xué)化、規(guī)范化和制度化管理。

三、工作要求

1. 加強組織領(lǐng)導(dǎo)。各單位要充分認(rèn)識網(wǎng)絡(luò)與信息安全工作的重要性和緊迫性，將此項工作列入本單位重要議事日程，與信息化工作統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進、統(tǒng)一實施，主要負(fù)責(zé)同志要親自抓，明確主管負(fù)責(zé)人，落實責(zé)任部門，切實將各項工作落到實處，不斷提升安全管理和防護能力。

2. 加大網(wǎng)絡(luò)與信息安全投入。各單位應(yīng)建立穩(wěn)定的網(wǎng)絡(luò)與信息安全經(jīng)費投入機制，有條件的單位應(yīng)設(shè)立專項經(jīng)費，重點支持信息安全等級保護、安全防護能力建設(shè)、信息安全服務(wù)、人員培訓(xùn)等工作。加強網(wǎng)絡(luò)與信息安全核心技術(shù)研發(fā)和使用，全面實現(xiàn)網(wǎng)絡(luò)與信息安全的可管可控。

3. 加強宣傳教育。各單位要組織開展形式多樣、針對性強的全員宣傳教育，踐行“忠誠、擔(dān)當(dāng)、創(chuàng)新、廉潔、團結(jié)、奉獻”的網(wǎng)信精神，將網(wǎng)絡(luò)與信息安全意識和政治意識、責(zé)任意識、保密意識結(jié)合起來，大力弘揚社會主義核心價值觀，提高領(lǐng)導(dǎo)干部、管理人員、技術(shù)人員、教師的安全和防范意識。特別要加強對學(xué)生的網(wǎng)絡(luò)與信息安全教育，提高學(xué)生識別有害信息的能力，培養(yǎng)學(xué)生良好的媒介素養(yǎng)，引導(dǎo)學(xué)生樹立科學(xué)健康的用網(wǎng)習(xí)慣，培養(yǎng)學(xué)生規(guī)范、合法的網(wǎng)絡(luò)行為。

4. 加強督促檢查。地方各級教育行政部門、有關(guān)部門（單位）應(yīng)定期開展本地區(qū)、本部門所屬學(xué)校的網(wǎng)絡(luò)與信息安全監(jiān)督檢查工作，通過自查、抽查和遠(yuǎn)程安全檢測等形式，做到盡早發(fā)現(xiàn)、提前防范、及時補救，建立考核與獎懲機制，確保工作落到實處。教育部將于近期組織開展部內(nèi)司局、直屬單位及部屬高等學(xué)校的網(wǎng)絡(luò)安全檢查和信息安全等級保護工作。地方各級教育行政部門、有關(guān)部門（單位）應(yīng)盡快部署本地區(qū)、本部門（單位）網(wǎng)絡(luò)安全檢查和信息安全等級保護工作，2014年底由省級教育行政部門、有關(guān)部門（單位）將落實情況報送教育部?！　　　?/p>

教育部

2014年8月21日