关于印发《2017年全区教育行业网络安全专项治理工作方案》的通知

各盟市教育（教体）局，各高等学校，各直属事业单位：

现将《2017年全区教育行业网络安全专项治理工作方案》印发给你们，请认真贯彻执行。

        内蒙古自治区教育厅

         2017年6月14日

2017年全区教育行业网络安全

专项治理工作方案

为贯彻落实《中华人民共和国网络安全法》，加强全区教育行业网络安全管理，增强网络与信息安全意识，提高安全防护和应急处置能力，按照教育部、自治区党委网络安全和信息化领导小组有关工作部署，经研究，定于2017年6月至12月，集中开展全区教育行业网络安全专项治理工作。

一、总体要求

面向全区各级教育行政部门及直属事业单位、各高等院校（以下简称各单位），坚持问题导向、突出重点、完善机制、狠抓落实，重点加强对网站乱象的治理、堵塞安全漏洞、补齐等保短板、规范安全管理。同时，兼顾近期与长远、综合治理与源头治理相结合，全面提升教育行业网络安全水平，增强信息系统（含网站，下同）防护能力，有效防范和抵御安全风险，切实保障信息系统稳定运行和数据安全。

二、主要任务

（一）统筹加强信息系统管理。各单位要全面清查本单位主管的信息系统情况，包括ICP备案、安全等级保护、系统运维情况等，建立清单名录，做到底数清、情况明。盟市教育行政部门负责统计汇总辖区内旗县（市区）教育行政部门和中小学（含中等职业学校，下同）信息系统情况,填写《信息系统（含网站）基本情况》（见附件1）。（2017年6月底前完成）

各级教育行政部门及其直属单位开办网站，必须符合《党政机关网站开办审核、资格复核和网站标识管理办法》有关规定，未按规定开办的，应尽快到各地机构编制部门完成网站开办审核、资格复核和挂标工作。要自查已开通政府门户网站，对不更新、不准确、不回复、不实用的“僵尸网站”，要抓紧整改。（2017年6月底前完成）

我区注册使用edu.cn域名的单位，要配合中国教育和科研计算机网网络信息中心做好域名清理工作。（2017年8月底前完成）

（二）全面落实等级保护制度。各单位要按照《教育部公安部关于全面推进教育行业信息安全等级保护工作的通知》（教技〔2015〕2号，以下简称《通知》）有关要求，全面完成信息系统定级，并到当地公安机关备案。（2017年6月底前完成）

各单位按《通知》有关要求，对已定级备案信息系统进行测评整改，新建信息系统必须在正式上线前完成定级备案和评测整改。（持续推进）

盟市教育行政部门要配合当地公安机关，指导旗县（市区）教育行政部门及辖区内中小学校开展信息系统定级备案和评测整改。（2017年12月底前完成）

（三）排查国家关键信息基础设施。按照《网络安全法》有关规定，国家对关键信息基础设施，在等级保护的基础上，实行重点保护。原则上将安全保护等级在第三级（含）以上的保护对象纳入关键信息基础设施范围。各单位要对主管的信息系统进行梳理排查，确定关键信息基础设施，填报《关键信息基础设施基本情况表》（见附件2）。（2017年6月底前完成）

对于国家关键信息基础设施，应开展专项检查和安全评估，研究制定关键信息基础设施管理和防护规范，明确产品和服务采购、人员管理工作要求，指导、监督关键信息基础设施的运行安全。（2017年底前完成）

（四）提升网络安全技术防护能力。各单位应结合实际，建立网络安全技术防护体系，按需配置网络安全防护软硬件设备，优先选用我国具有自主知识产权和核心技术的软硬件产品，加快推进软件正版化和国产密码在教育行业的全面应用，新建信息系统应当使用国产密码。（持续推进）

各单位应积极创造条件，统筹内外部资源，推进网络安全监测常态化，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险。（持续推进）

涉及重要业务或大量个人信息的信息系统，按照等级保护要求，采取数据分类、重要数据备份和加密等措施。委托外单位运维的，应与具有独立法人资格的单位签订委托服务合同，并督促做好系统安全防护工作，确保安全可控。（持续推进）

（五）加强网站信息发布管理。各单位要健全网站信息发布管理制度，确保信息编辑、审核、发布等环节责任到人。（2016年6月底前）

建立网站巡查制度，指派专人负责，发现问题及时整改。（持续推进）

定期维护信息系统后台用户名、密码，相关人员工作变动应及时注销。（持续推进）

（六）完善网络安全应急处置机制。各单位应结合工作实际，制定网络安全事件应急处置预案，建立网络安全事件分级响应机制，明确应急处置流程和权限，加强应急处置技术队伍建设，定期开展网络安全应急演练，提高网络安全应急处置能力。落实《关于建立全区教育行业网络与信息安全信息通报机制的通知》（内教技函﹝2016﹞51号）要求，建立网络安全逐级通报机制。（2017年9月底前完成）

发生危害网络安全的事件时，应立即采取措施降低损害程度，防止事态扩大，按照规定留存相关网络日志并向有关主管部门报告。（持续推进）

三、工作步骤

2017年网络安全综合治理工作主要分三个阶段开展。

（一）自查自纠阶段（2017年6月）

各单位按照本通知精神，细化工作方案，做好动员部署，围绕专项治理重点任务，认真开展调查摸底和自查自纠，加快补齐短板。填报《2017年教育行业网络安全自查表》（见附件3）。

（二）实地检查阶段（2017年7月-9月）

在各单位自查自纠基础上，我厅会同自治区网信、公安等部门，组织专家组，对盟市、高校网络安全工作进行专项检查，提出整改意见，通报典型问题。

（三）整改提高阶段（2017年10月-12月）

各单位针对自查自纠和实地检查阶段发现的问题，进行全面整改，总结有效做法和成功经验，推进网络安全工作制度化、常态化。

四、工作要求

（一）组织领导。各单位要充分认识开展网络安全专项治理的重要性和紧迫性，把网络安全纳入安全稳定工作全局，列入重要议事日程。要建立党政一把手负责的网络安全与信息化工作领导机构，主要负责人为网络与信息安全的第一责任人，健全网络安全责任制和内部分工协调机制，明确职能部门归口管理网络安全工作，建立专业化的技术支撑部门。加强与各级网信、公安等部门沟通协作，在打击网络违法行为、处置网络安全时间等方面形成工作合力。

（二）条件保障。各单位应加强网络安全队伍建设，建立网络安全管理和技术支撑专业队伍。建立持续稳定的网络安全经费投入机制，重点支持信息安全等级保护、安全防护能力建设、信息安全服务、人员培训等工作。各盟市教育行政部门应加强对所辖旗县（市区）教育行政部门及学校的工作指导。

（三）宣传教育。各单位要以贯彻落实《网络安全法》为重点，组织开展形式多样、针对性强的宣传教育活动，增强师生员工网络安全意识和基本技能。特别是要加强对学生的网络安全教育，提高学生识别有害信息的能力，教育引导学生树立科学健康的用网习惯，培养学生规范合法的网络行为。

（四）督促检查。各单位认真开展自查自纠，同时应加强与网信部门、公安机关等部门的沟通协调，配合做好专项检查。确保按照进度要求完成本次专项治理各项任务。

请各单位务于2017年6月30日前，将网络安全自查报告及《信息系统基本情况》《关键信息基础设施基本情况表》《2017年教育行业网络安全自查表》《全区教育行业网络安全专项治理计划月报表》报送我厅教育信息中心（同时报送电子版）。7月—12月，每月25日前，将《全区教育行业网络安全专项治理计划月报表》报送我厅教育信息中心（同时报送电子版）。

本通知及附件请登陆我厅门户网站“www.nmgov.edu.cn”文件通知栏下载。

联系人及联系方式：

自治区教育厅教育信息中心，靳丽、沙日娜，0471-2856405，xinxike_gz@163.com

自治区教育厅学校安全管理处，郭文朝，0471-2857022

自治区教育厅科学技术与教育信息化处，傅聿韬，0471-2857035

地址：内蒙古自治区呼和浩特市新城区丁香路5号

附件：1.信息系统（含网站）基本情况（详见电子版）

2.国家关键信息基础设施基本情况表

3.2017年教育行业网络安全自查表

4.全区教育行业网络安全专项治理计划月报表

【附件下载】

附件1.信息系统（含网站）基本情况.xls
附件2.国家关键信息基础设施基本情况表.docx
附件3.2017年教育行业网络安全自查表.docx
附件4.全区教育行业网络安全专项治理计划月报表.docx