宁夏回族自治教育行业网络与信息.docVIP

宁夏回族自治区教育行业网络与信息 安全管理办法 （试 行） 第一章 总 则 第一条 为加强我区教育行业网络与信息安全管理工作，明确网络与信息安全工作责任，增强网络与信息安全保护意识，根据《网络安全法》《中华人民共和国计算机信息系统安全保护条例》《宁夏回族自治区计算机信息系统安全保护条例》《计算机信息网络国际联网安全保护管理办法》《教育部关于加强教育行业网络与信息安全工作的指导意见》《教育部 公安部关于全面推进教育行业信息安全等级保护工作的通知》和其他法律、行政法规的有关规定，制定本办法。 第二条 本办法适用于各市、县（区）教育行政部门、各级各类学校（含民办学校）、非学历教育机构（以下简称各教育机构）建设、运行和应用的各类网站、非涉密信息系统和网络。 第三条 我区教育行业网络与信息安全工作的目标是全面提高我区教育行业网络与信息安全意识，建立健全教育网络与信息安全保障体系和工作责任体系，提高网络与信息安全防护和应急处置能力，形成与教育信息化发展相适应的、完备的网络与信息安全保障体系，支撑我区教育现代化事业健康持续发展。 第四条 我区教育行业网络与信息安全工作遵循“统筹规划、遵从标准”“分级管理、逐级负责”和“自主防护、明确责任”的基本原则。 （一）统筹规划、遵从标准。各教育机构要统筹规划网络与信息安全工作，按统一归口管理、与信息化工程同步规划、同步建设和同步使用的要求，严格执行国家、自治区网络与信息安全的政策法规和标准规范，预测、研判、化解、处置网络信息管理和使用风险。 （二）分级管理、逐级负责。自治区教育厅统筹管理和指导我区教育行业的网络与信息安全工作，负责工作部署与监督检查；各市、县（区）教育局负责本单位及下属单位的网络与信息安全工作；各级各类学校负责本单位的网络与信息安全工作。 （三）自主防护、明确责任。各教育机构按“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，明确责任部门和责任人，落实网络与信息安全责任。 第二章 工作任务 第五条 各教育机构要建立党政一把手负责的网络安全与信息化工作领导机构，完善网络与信息安全工作责任体系，领导机构主要负责同志是网络与信息安全的第一责任人。 第六条 各教育机构每年要安排网络与信息安全专用经费，用于配备设备、管理运维、等级保护测评整改、人员培训等工作，建立规范的网络与信息安全专项经费投入机制，保障网络与信息安全工作有序开展。 第七条 各教育机构要建立健全网络与信息安全工作技术支撑保障体系，明确安全技术支持部门和管理人员，积极与网信办、公安和通信管理局等部门建立跨部门协调机制，与相关安全企业建立技术协作机制，建立保障有力的技术支撑体系和协作处置机制。 第八条 各教育机构要加强信息系统基础设施的安全建设及管理，统一为信息系统提供符合安全要求的网络、服务器及存储等基础环境，按技术规范配备安全设备，由技术支持部门负责基础环境的安全运维，切实保障基础设施运行安全。 第九条 各教育机构要加强信息系统安全建设管理，新建业务信息系统必须经第三方软件测评和信息安全等级保护测评合格后，才能上线运行；要加强对部署资源和工作流程的管控，与工程实施方签订保密协议，防止网络、服务器等基础资源配置被非法修改及信息泄密。 第十条 各教育机构要加强信息系统日常安全检测和风险管控，完善安全服务的保障机制，由技术支持部门有计划、有步骤的对信息系统进行安全检测，在业务部门的主导下，协调生产厂商积极修改和完善系统漏洞，对安全隐患严重的系统暂停运行，完成整改后再上线开通运行。系统运行和使用的审计日志等数据留存不少于6个月。 第十一条 各教育机构要加强信息系统安全应用管理，由各业务部门负责信息系统的使用和数据管理，技术支持部门不涉及系统业务和数据的管理及操作；要加强业务管理人员的管理，签订安全保密协议，因调离、岗位变更等原因而更换管理员的，要保证账号密码信息的安全交接，避免发生数据泄露事故。 第十二条 各教育机构要加强信息系统业务数据的安全管理，明确由业务使用部门负责数据内容的安全管理，业务部门对信息系统数据采集与处置要遵循合法、正当、必要的原则，实施过程要采用规范的处置流程和安全的技术手段，防止业务数据泄漏。 第十三条 各教育机构要全面落实国家网络安全等级保护制度,开展信息系统的定级与备案，实施安全等级保护测评与整改，四级系统每年要进行两次测评整改，三级系统每年要进行一次测评整改，二级系统每两年要进行一次测评整改，严格落实对测评中发现安全问题及隐患的整改。 第十四条 自治区教育厅加强对各地落实信息安全等级保护制度的管理，各市、县（区）教育行政部门、高等院校、中等职业学校和厅直属学校要将二级（含二级）以上系统登记造册，连同备案表复印件报自治区教育厅；按要求开展测评整改，将测评整改情况报自治区教育厅。 第十