认真学习和落实《湖南省教育网络安全综合治理行动方案》(湘教通〔2017〕146号)文件精神
为全面贯彻中央、省委和教育部关于网络安全的工作部署,落实《网络安全法》,净化我省教育网络环境,迎接党的十九大胜利召开,根据《教育部办公厅关于印发<教育行业网络安全综合治理行动方案>的通知》(教技厅〔2017〕3号)要求,教育厅决定开展教育网络安全综合治理行动,并下发了《湖南省教育网络安全综合治理行动方案》(湘教通〔2017〕146号)文件,信息化管理办公室于2017年5月12日下午,组织部门全体工作人员,认真学习了文件内容,并将文件中所需要完成的工作进行了分解,并将工作目标和现状进行了描述说明,将每项工作如何完成进行了说明和安排(详见下表)。
分类 | 内容 | 工作内容 | 工作目标 | 完成状态 | 参考文件 | 备注 |
(一)建立健全网络安全组织体系,规范安全管理 | 1.成立网络安全和信息化领导小组。 | 各单位建立“主要负责人负总责,分管负责人牵头抓”的网络安全领导机构,明确主要负责人是本单位网络安全第一责任人,全面统筹网络安全工作,负责落实网络安全主体责任;分管负责人协助主要负责人履行本单位网络安全职责,承担组织实施、综合管理和监督等责任。结合本单位实际,设立并进一步明确网络安全的职能部门和技术保障部门,归口管理和支撑本单位网络安全工作。(持续推进) | 建立网络安全和信息化领导组织机构,统筹指导本单位网络安全工作。 | 已完成 | 《关于调整学院网络与信息安全工作领导小组成员的通知》湘环院人字[2016]26号 | |
2.落实网络安全的主体责任。 | 各单位要建立健全网络安全管理制度,按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,建立网络安全责任体系,针对每个信息系统(网站)落实相应主管单位、运维单位和使用单位的网络安全主体责任。(持续推进) | 建立网络安全管理制度 | 已建立 | |||
(二)治理网站乱象,强化主体责任 | 1.进一步明确和落实安全管理责任。 | 各单位加强对网站安全的领导,建立健全网站信息发布审核和保密审查制度,明确审核审查程序,指定机构和人员负责审核审查工作,建立审核审查记录档案,确保信息内容的准确性、真实性和严肃性,确保信息内容不涉及国家秘密和内部敏感信息。(持续推进) | 建立网站信息发布审核和保密审查制度 | 已建立 | 1、关于印发《湖南环境生物职业技术学院校园网络管理实施细则》的通知(湘环院字〔2015〕73号); 2、关于印发《湖南环境生物职业技术学院校园二级网站管理与考核实施办法》的通知(湘环院字〔2017〕20号) | |
2.进一步落实网站统一标识工作。 | 各级教育行政部门及其直属单位要按照《党政机关网站开办审核、资格复核和网站标识管理办法》要求,到机构编制部门完成网站开办审核、资格复核和挂标工作。(2017年5月20日前) | 学院网站建立统一标识 | 已完成 | 《党政机关网站开办审核、资格复核和网站标识管理办法》 | ||
3.加强网站信息发布和邮件系统管理。 | 各单位要全面检查网站信息发布情况,对发布的信息中存在法律和行政法规禁止发布或传输的信息、涉及个人隐私和单位秘密的信息,必须采取措施立即整改。加强对单位电子邮件系统的管理,对非在职人员电子邮箱账号予以注销,对使用简单密码的必须采取措施更换,并建立定期更新密码的制度。(持续推进) | 检查已有网站发布信息 | 已完成 | 《中华人民共和国网络安全法》 | 每月学院组织对二级网站信息发布情况检查,未使用邮箱系统 | |
(三)堵塞安全漏洞,有效预防安全事件 | 1.全面监测网络安全威胁。 | 各单位要建立信息系统(网站)常态化监测机制,及时发现存在漏洞、后门、暗链、弱口令等安全威胁的信息系统(网站),对安全管理不到位、安全责任人体系不健全、技术防范措施缺乏的信息系统必须按安全等级保护的要求限期整改,消除安全隐患。信息系统(网站)整改期间上线运行的,必须24小时进行安全监控。(持续推进) | 建立《信息系统安全检测机制》,并保留台账 | 进行中 | 学院网站已经购买安全防护,将所有网站形式的信息系统纳入该保护系统,对于非网站形式的应用系统将购买相关检测平台服务 | |
2.加强和规范数据管理。 | 各单位要制订数据管理办法,规范数据采集、存储、使用和开放共享工作,加快推进对重要数据的加密存储、传输和容灾备份,防止数据失、泄密事件发生。(持续推进) | 建立《数据管理办法》 | 进行中 | 学院将建立《大数据中心数据标准》及容灾备份系统 | ||
3.加强关键信息基础设施规范管理。 | 各单位必须开展关键信息基础设施专项检查和安全评估,制订关键信息基础设施管理和防护方案,明确产品和服务采购、人员管理工作要求,保障关键信息基础设施运行安全。(持续推进) | 建立《关键信息基础设施管理和防护方案》 | 进行中 | 1、关于印发《湖南环境生物职业技术学院网络安全管理实施办法》的通知(湘环院字〔2015〕76号); 2、关于印发《湖南环境生物职业技术学院校园二级网站管理与考核实施办法》的通知(湘环院字〔2017〕20号) | 制订相关制度 | |
4.加快推进教育实名制上网工作。 | 各单位要按照《湖南教育系统网络与信息安全工作实施方案》的要求,加快推进教育网络安全综合管控平台建设并与省级平台对接,全面普及师生校园内通过教育电子身份证号(EEID)实名制上网;加快推进教育舆情管控系统建设,第一时间对教育网络舆情进行预报和跟踪分析,由事后追查转为事前防范。(2017年10月底前) | 完成教育网络安全综合管控平台对接,完成网络舆情管控系统 | 进行中 | 《湖南省教育网络与信息安全工作实施方案》湘教通〔2014〕499号 | 购买相关舆情监测平台服务 | |
(四)补齐信息系统(网站)等保短板,履行安全保护法定义务 | 1.加快完成信息系统(网站)的梳理与定级。 | 各单位按照《关于做好全省教育网站和信息系统网络安全排查工作的紧急通知》,组织开展信息系统(网站)的清理,并建立信息系统(网站)基本信息库(见附件1)。按照《教育厅 公安厅关于全面推进教育行业信息安全等级保护工作的通知》要求,制订信息系统(网站)安全等级保护制度和程序,组织开展信息系统(网站)等级保护定级工作。每年3月底前完成新建设信息系统(网站)梳理与定级工作。(2017年4月底前完成) | 完成附件1中《信息系统(网站)基本信息库》的填写 | 已完成 | 《关于做好全省教育网站和信息系统网络安全排查工作的紧急通知》湘教通〔2017〕19号 | |
2.尽快完成信息系统(网站)备案。 | 各单位按照《教育部 教育行业信息系统安全等级保护定级工作指南》,尽快完成已运行但未定级及定级不准的信息系统(网站)重新定级工作,并及时到当地公安机关进行备案。同时,将备案结果及时报我厅。新建、扩建、改建信息系统应在系统设计阶段确定安全保护等级,与系统建设同步实施,信息系统上线前完成定级备案和测评整改。(2017年5月底前完成) | 完成所有信息系统安全等级保护定级工作 | 部分完成 | 《教育行业信息系统安全等级保护定级工作指南》 | 目前二级系统有6个(其中3个已备案),一级系统有3个,未定级系统有3个。 | |
3.加快推进信息系统(网站)测评与整改。 | 各单位按照国家和教育行业有关标准规范要求,开展信息系统(网站)安全等级保护测评和整改工作。重点加强对关键信息基础设施的保护,明确安全管理负责人,制订专门应急预案,完成测评和整改工作。已建设系统必须按照系统所定级别和测评结果进行安全整改,新建系统必须在系统设计实施阶段同步建设安全防护措施。(2017年6月底前完成) | 完成已定级系统的安全等级保护测评和整改 | 进行中 | 购买等级保护测评服务,并根据报告采购相应设备进行整改。 |
信息化管理办公室
二〇一七年五月三日