为贯彻落实为进一步落实粤教信息函〔2010〕1号《关于开展信息系统安全等级保护工作的通知》的要求,结合2015年7月3日下午广东省公安厅、广东省教育厅召开的高等学校信息安全电视电话会议精神,精神,更好地推进我校信息系统安全等级保护工作,规范校园网的管理,全面提高我校基础信息网络和重要信息系统的信息安全保护能力和水平,特制定本方案。
一、指导思想和基本原则
以教育厅有关加强信息安全保障工作的意见为指导,认真贯彻落实国家和省公安部门关于信息系统安全等级保护工作的精神和要求,通过全面推行信息安全等级保护工作,从维护和保障学校信息安全大局出发,明确责任、依照标准、指导监督、重点保护,同步建设、动态调整,提高我校信息安全的保障能力和防护水平,维护校园安全和师生利益,保障我校信息化建设顺利推进。
二、组织领导
成立岭南师范学院信息安全工作领导小组,由学校党委书记梁英任组长,分管信息工作的副校长邵乐喜任组长,党办主任、校办主任、宣传部部长、保卫处长、学生处处长、团委书记、后勤处处长、信息与教育技术中心主任为成员,领导小组办公室设在信息与教育技术中心,由信息与教育技术中心主任兼任办公室主任,成员由信息中心相关人员和信息系统运营、使用部门信息安全员组成,具体负责等保工作的组织实施。
三、主要工作任务及目标
通过实行等级保护工作,使基础信息网络和重要信息系统做到根据信息系统的确重要性区分等级,依照相关法律法规和标准进行信息系统的建设和管理,使重要的、核心的、要害的信息得到更为有效的保护;通过开展安全等级保护工作,全面掌控我校信息系统的使用情况,制订并落实保障措施,提高我校信息安全保障能力,为维护信息网络的安全与稳定,促进校园信息化服务。
四.工作内容
(一)系统定级 信息系统使用单位应按照国家有关规定,确定信息系统的安全保护等级,有主管部门的,应当经主管部门审核批准。
(二)定级评审 在使用单位初步确定安全保护等级后,聘请信息系统保护等级专家评审组的专家进行评审。
(三)系统备案 安全保护等级为二级以上的信息系统,在等级确定后向湛江市公安机关备案。
(四)等级测评、整改 在进行信息系统备案后,选择具有相应资质的测评机构进行安全测评。根据测评测报告。经测评信息系统安全状况未达到安全保护等级要求的制定方案进行整改,以符合安全保护等级要求。
(五)安全管理、建设
根据国家有关规定和技术标准,建立与完善信息安全等级保护管理制度,落实安全保护责任。具体包括制定信息安全事件等级响应和处置制度;信息安全等级保护系统建设、运行维护制度;信息系统安全检测和风险评估制度;安全教育和培训制度等。
五、工作安排
(一)信息系统的调研
信息安全工作领导小组办公室对我校在用信息系统进行调研,主要调研的内容包括:
1.信息系统基本情况 使用部门、信息系统名称、软硬件购置时间、使用人和责任人;
2.信息系统功能概述、与其他信息系统的业务联系;
3.信息系统网络访问情况,信息系统安全防护措施。
(二)信息系统的自查
各使用单位按照“谁主管、谁负责,谁运营、谁负责”的原则,根据信息系统安全保护相关文件所规定的法信息系统网络访问情况,定级原则,提出本部门信息系统的安全保护等级。由信息安全领导小组办公室负责,统一填写省教育技术中心发布的《教育系统信息安全等级保护工作自查情况表》。
我校信息系统的安全保护等级是根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素来确定。
(三)信息系统的建设与完善
各使用部门按照所使用的信息系统的安全保护等级完成信息系统的建设和完善工作,建立健全信息系统安全与管理的相关规章制度,做好日常的管理工作。
(四)信息系统的定级备案
信息安全领导小组办公室负责汇总调研表和定级报告,聘请专家进行定级评审,定级评审后提交领导小组审核,对全校信息系统进行定级,定级结果向湛湛发核江市公安局申请备案,并上报广东省教育厅。
(五)信息系统的测评与整改
信息系统定级备案后按要求进行测评,在测评中发现的问题,及时采取相应的措施切实整改,使信息系统符符合相应等级的安全标准。此后,还要开展定期测评和自查,对测评、自查和整改,二级系统与三级系统每年都要自查,三级系统由专业测评机构每年进行一次测评。没有达到相应等级保护要求的信息系统,要采取措施、加大安全防护设备投入,达到等级保护要求。
(六)信息系统安全防护要求
信息系统安全防护措施要达到以下要求。
1.等级保护一级
⑴、防火墙;
⑵、防病毒系统;
⑶、数据备份系统;
⑷、数据销毁系统;
⑸、网站网页防篡改系统。
2.等级保护二级
⑴、防火墙、WEB应用防护墙;
⑵、网闸系统(内外网数据交换系统);
⑶、防病毒、恶意程序检测系统;
⑷、数据存储与备份系统;
⑸、数据销毁系统;
⑹、入侵保护系统(IPS);
⑺、安全审计系统(运行和维护安全审计、上网行为审计、数据库审计等);
⑻、网站网页防篡改系统。
(七)时间安排
我校信息系统安全等级保护工作的时间安排详见下表。
信息系统安全等级保护工作进度安排
| 序号 |
日期 |
工作内容 |
责任部门 |
| 1 |
2014.12.1-2014.12.15 |
系统统计、安全责任 |
领导小组、办公室 |
| 2 |
2014.12.15-2014.12.31 |
信息系统调研 |
办公室 |
| 3 |
2015.1.1-2015.3.10 |
使用单位自查与定级 |
使用单位、办公室 |
| 4 |
2015.3.11-2015.3.20 |
定级核准 |
办公室 |
| 5 |
2015.3.21-2015.5.30 |
形成定级报告报教育厅 |
领导小组、办公室 |
| 6 |
2015.6.1-2015.6.30 |
信息系统定级专家评审 |
办公室 |
| 7 |
2015.7.1-2015.7.20 |
等差评测招标 |
招标中心、办公室 |
| 8 |
2015.9.30-2015.10.30 |
整改方案 |
办公室 |
| 9 |
2015.11.1-2015.12.1 |
整改方案报批 |
办公室 |
| 10 |
2016.1.1-2015.3.20 |
设备招标 |
招标中心、办公室 |
| 11 |
2016.4.20-2016.5.30 |
验收测评 |
办公室 |
六、工作要求
1、提高认识,明确责任。要从维护和保障国家信息安全的大局出发,充分认识开展等级保护工作的重要性、必要性和紧迫性。按照“谁主管,谁负责”的原则认真开展信息系统安全等级保护工作。信息系统所在的部门为责任部门,其部门负责人为主要责任人,各部门要安排技术人员负责本部门信息系统的建设、管理与维护,切实保障信息系统安全。
2、加强管理,有序推进。各部门要将信息系统等级保护工作作为增强网络信息安全管理水平、化解网络信息安全责任风险的重要手段,按照相应的技术标准和要求,拿出切实可行的整改措施和方案,按等级保护工作的进度安排有计划地推动等级保护工作的开展。各部门要以此为契机,着力推进本部门信息化工作建设,建立健全信息系统管理的规章。
3、开展检查,加强监督。以后学校将采取定期与不定期的方式开展教育信息系统安全等级保护工作检查,对不符合管理规范和技术标准的单位责令整改,对违反等级保护相关政策法规造成损害的,依法追究有关人员的责任。各部门也要定期组织开展本单位的自查工作,确保信息系统等级保护工作各项要求落实到位。
岭南师范学院
二〇一四年十一月十二日
附件 岭南师范学院网络信息安全管理领导小组名单
组 长:梁 英
副组长:邵乐喜 彭权群 李江凌
成 员:黄达海 邓逢光 谢应明 李 粤
郭和才 林 森 林 雨 程子建
办公室主任:林 雨
