1、第 PAGE15 頁 共 NUMPAGES15 頁辦公室信息管理制度寧夏回族自治區教育行業網絡與信息安全管理辦法（試 行）第一章 總 則第一條 為加強我區教育行業網絡與信息安全管理工作，明確網絡與信息安全工作責任，增強網絡與信息安全保護意識，根據網絡安全法中華人民共和國計算機信息系統安全保護條例寧夏回族自治區計算機信息系統安全保護條例計算機信息網絡國際聯網安全保護管理辦法教育部關于加強教育行業網絡與信息安全工作的指導意見教育部 公安部關于全面推進教育行業信息安全等級保護工作的通知和其他法律、行政法規的有關規定，制定本辦法。第二條 本辦法適用于各市、縣（區）教育行政部門、各級各類學校（含民辦學校

2、）、非學歷教育機構（以下簡稱各教育機構）建設、運行和應用的各類網站、非涉密信息系統和網絡。第三條 我區教育行業網絡與信息安全工作的目標是全面提高我區教育行業網絡與信息安全意識，建立健全教育網絡與信息安全保障體系和工作責任體系，提高網絡與信息安全防護和應急處置能力，形成與教育信息化發展相適應的、完備的網絡與信息安全保障體系，支撐我區教育現代化事業健康持續發展。第四條 我區教育行業網絡與信息安全工作遵循“統籌規劃、遵從標準”“分級管理、逐級負責”和“自主防護、明確責任”的基本原則。（一）統籌規劃、遵從標準。各教育機構要統籌規劃網絡與信息安全工作，按統一歸口管理、與信息化工程同步規劃、同步建設和同步

3、使用的要求，嚴格執行國家、自治區網絡與信息安全的政策法規和標準規范，預測、研判、化解、處置網絡信息管理和使用風險。（二）分級管理、逐級負責。自治區教育廳統籌管理和指導我區教育行業的網絡與信息安全工作，負責工作部署與監督檢查；各市、縣（區）教育局負責本單位及下屬單位的網絡與信息安全工作；各級各類學校負責本單位的網絡與信息安全工作。（三）自主防護、明確責任。各教育機構按“誰主管誰負責、誰運維誰負責、誰使用誰負責”的原則，明確責任部門和責任人，落實網絡與信息安全責任。第二章工作任務第五條 各教育機構要建立黨政一把手負責的網絡安全與信息化工作領導機構，完善網絡與信息安全工作責任體系，領導機構主要負責同

4、志是網絡與信息安全的第一責任人。第六條 各教育機構每年要安排網絡與信息安全專用經費，用于配備設備、管理運維、等級保護測評整改、人員培訓等工作，建立規范的網絡與信息安全專項經費投入機制，保障網絡與信息安全工作有序開展。第七條 各教育機構要建立健全網絡與信息安全工作技術支撐保障體系，明確安全技術支持部門和管理人員，積極與網信辦、公安和通信管理局等部門建立跨部門協調機制，與相關安全企業建立技術協作機制，建立保障有力的技術支撐體系和協作處置機制。第八條 各教育機構要加強信息系統基礎設施的安全建設及管理，統一為信息系統提供符合安全要求的網絡、服務器及存儲等基礎環境，按技術規范配備安全設備，由技術支持部門

5、負責基礎環境的安全運維，切實保障基礎設施運行安全。第九條 各教育機構要加強信息系統安全建設管理，新建業務信息系統必須經第三方軟件測評和信息安全等級保護測評合格后，才能上線運行；要加強對部署資和工作流程的管控，與工程實施方簽訂保密協議，防止網絡、服務器等基礎資配置被非法修改及信息泄密。第十條 各教育機構要加強信息系統日常安全檢測和風險管控，完善安全服務的保障機制，由技術支持部門有計劃、有步驟的對信息系統進行安全檢測，在業務部門的主導下，協調生產廠商積極修改和完善系統漏洞，對安全隱患嚴重的系統暫停運行，完成整改后再上線開通運行。系統運行和使用的審計日志等數據留存不少于6個月。第十一條 各教育機構要

6、加強信息系統安全應用管理，由各業務部門負責信息系統的使用和數據管理，技術支持部門不涉及系統業務和數據的管理及操作；要加強業務管理人員的管理，簽訂安全保密協議，因調離、崗位變更等原因而更換管理員的，要保證賬號密碼信息的安全交接，避免發生數據泄露事故。第十二條 各教育機構要加強信息系統業務數據的安全管理，明確由業務使用部門負責數據內容的安全管理，業務部門對信息系統數據采集與處置要遵循合法、正當、必要的原則，實施過程要采用規范的處置流程和安全的技術手段，防止業務數據泄漏。第十三條 各教育機構要全面落實國家網絡安全等級保護制度,開展信息系統的定級與備案，實施安全等級保護測評與整改，四級系統每年要進行兩

7、次測評整改，三級系統每年要進行一次測評整改，二級系統每兩年要進行一次測評整改，嚴格落實對測評中發現安全問題及隱患的整改。第十四條 自治區教育廳加強對各地落實信息安全等級保護制度的管理，各市、縣（區）教育行政部門、高等院校、中等職業學校和廳直屬學校要將二級（含二級）以上系統登記造冊，連同備案表復印件報自治區教育廳；按要求開展測評整改，將測評整改情況報自治區教育廳。第十四條 各教育機構要加強對門戶網站、微信公眾平臺、微博等宣傳媒體內容的安全管理，明確由新聞宣傳部門或辦公室負責對外宣傳信息內容的安全，建立完善的信息審核與發布制度，確保網絡宣傳媒體信息內容的安全、可靠。第十五條 各教育機構要加強網絡與

8、信息安全隊伍的建設，選拔具有網絡和信息系統管理經驗和專業技能的人員從事網絡與信息安全管理工作，加強對管理和技術人員的專業培訓，落實崗位責任和考核機制，逐步實行管理和技術人員持證上崗制度。第十六條 各教育機構在信息化建設中采購網絡產品和外包服務，要依據網絡安全法相關規定，與提供者簽訂安全保密協議，明確安全和保密義務與責任。對于存儲大量敏感信息的關鍵業務系統，應當使用國產密碼設備對數據進行加密傳輸與存儲。第十七條 各教育機構要建立和完善網絡與信息安全值班管理制度，落實日常節假日的安全值班，重要節假日和敏感時期要實施24小時值班，值班期間要做好設備安全運行的各項數據記錄，加強對系統運行的安全監測。第

9、十八條 各教育機構要建立健全網絡與信息安全突發事件的應急預案，明確應急處置流程和權限，建立應急處置技術支撐隊伍，配備必要的應急設備和環境，定期開展應急預案培訓和安全實戰演練，提高信息安全應急反應與處置能力；各市、縣（區）教育局要指導下屬單位開展好網絡與信息安全應急處置工作。第十九條 各教育機構要加強信息技術安全事件報告與處置管理，一旦發現安全事件，應嚴格按寧夏回族自治區教育行業信息技術安全事件報告與處置流程進行操作，有效降低安全損失和不良影響。第二十條 自治區教育廳將定期組織有關技術支撐機構開展信息系統安全監測，并將監測過程中發現的問題及時告知各教育機構，各教育機構要高度重視并在限定時間內完成

10、整改。第二十一條 各教育機構加強網絡與信息安全工作的監督檢查，建立健全網絡與信息安全通報機制。自治區教育廳將定期開展安全檢查活動，對各教育機構涌現出的優秀工作經驗、得力工作措施和成績突出單位進行總結與通報表揚；對安全意識淡漠、信息系統頻繁出現高危安全漏洞、工作措施不得力的教育機構進行通報批評；有違法行為的，將配合公安機關依法開展行政處罰；觸犯刑法的，將由公安機關依法追究相關單位、人員的刑事責任。第三章 附 則第二十二條 本辦法由寧夏回族自治區教育廳負責解釋。第二十三條 本辦法自20_年7月1日起施行。寧夏回族自治區教育行業網絡與信息安全管理辦法（試行）第一章 總則第一條 為加強我區教育行業網絡

11、與信息安全管理工作，明確網絡與信息安全工作責任，增強網絡與信息安全保護意識，根據網絡安全法中華人民共和國計算機信息系統安全保護條例寧夏回族自治區計算機信息系統安全保護條例計算機信息網絡國際聯網安全保護管理辦法教育部關于加強教育行業網絡與信息安全工作的指導意見教育部 公安部關于全面推進教育行業信息安全等級保護工作的通知和其他法律、行政法規的有關規定，制定本辦法。第二條 本辦法適用于各市、縣（區）教育行政部門、各級各類學校（含民辦學校）、非學歷教育機構（以下簡稱各教育機構）建設、運行和應用的各類網站、非涉密信息系統和網絡。第三條 我區教育行業網絡與信息安全工作的目標是全面提高我區教育行業網絡與信息

12、安全意識，建立健全教育網絡與信息安全保障體系和工作責任體系，提高網絡與信息安全防護和應急處置能力，形成與教育信息化發展相適應的、完備的網絡與信息安全保障體系，支撐我區教育現代化事業健康持續發展。第四條 我區教育行業網絡與信息安全工作遵循“統籌規劃、遵從標準”“分級管理、逐級負責”和“自主防護、明確責任”的基本原則。（一）統籌規劃、遵從標準。各教育機構要統籌規劃網絡與信息安全工作，按統一歸口管理、與信息化工程同步規劃、同步建設和同步使用的要求，嚴格執行國家、自治區網絡與信息安全的政策法規和標準規范，預測、研判、化解、處置網絡信息管理和使用風險。（二）分級管理、逐級負責。自治區教育廳統籌管理和指導

13、我區教育行業的網絡與信息安全工作，負責工作部署與監督檢查；各市、縣（區）教育局負責本單位及下屬單位的網絡與信息安全工作；各級各類學校負責本單位的網絡與信息安全工作。（三）自主防護、明確責任。各教育機構按“誰主管誰負責、誰運維誰負責、誰使用誰負責”的原則，明確責任部門和責任人，落實網絡與信息安全責任。第二章工作任務第五條 各教育機構要建立黨政一把手負責的網絡安全與信息化工作領導機構，完善網絡與信息安全工作責任體系，領導機構主要負責同志是網絡與信息安全的第一責任人。第六條 各教育機構每年要安排網絡與信息安全專用經費，用于配備設備、管理運維、等級保護測評整改、人員培訓等工作，建立規范的網絡與信息安全

14、專項經費投入機制，保障網絡與信息安全工作有序開展。第七條 各教育機構要建立健全網絡與信息安全工作技術支撐保障體系，明確安全技術支持部門和管理人員，積極與網信辦、公安和通信管理局等部門建立跨部門協調機制，與相關安全企業建立技術協作機制，建立保障有力的技術支撐體系和協作處置機制。第八條 各教育機構要加強信息系統基礎設施的安全建設及管理，統一為信息系統提供符合安全要求的網絡、服務器及存儲等基礎環境，按技術規范配備安全設備，由技術支持部門負責基礎環境的安全運維，切實保障基礎設施運行安全。第九條 各教育機構要加強信息系統安全建設管理，新建業務信息系統必須經第三方軟件測評和信息安全等級保護測評合格后，才能

15、上線運行；要加強對部署資和工作流程的管控，與工程實施方簽訂保密協議，防止網絡、服務器等基礎資配置被非法修改及信息泄密。第十條 各教育機構要加強信息系統日常安全檢測和風險管控，完善安全服務的保障機制，由技術支持部門有計劃、有步驟的對信息系統進行安全檢測，在業務部門的主導下，協調生產廠商積極修改和完善系統漏洞，對安全隱患嚴重的系統暫停運行，完成整改后再上線開通運行。系統運行和使用的審計日志等數據留存不少于6個月。第十一條 各教育機構要加強信息系統安全應用管理，由各業務部門負責信息系統的使用和數據管理，技術支持部門不涉及系統業務和數據的管理及操作；要加強業務管理人員的管理，簽訂安全保密協議，因調離、

16、崗位變更等原因而更換管理員的，要保證賬號密碼信息的安全交接，避免發生數據泄露事故。第十二條 各教育機構要加強信息系統業務數據的安全管理，明確由業務使用部門負責數據內容的安全管理，業務部門對信息系統數據采集與處置要遵循合法、正當、必要的原則，實施過程要采用規范的處置流程和安全的技術手段，防止業務數據泄漏。第十三條 各教育機構要全面落實國家網絡安全等級保護制度,開展信息系統的定級與備案，實施安全等級保護測評與整改，四級系統每年要進行兩次測評整改，三級系統每年要進行一次測評整改，二級系統每兩年要進行一次測評整改，嚴格落實對測評中發現安全問題及隱患的整改。第十四條 自治區教育廳加強對各地落實信息安全等

17、級保護制度的管理，各市、縣（區）教育行政部門、高等院校、中等職業學校和廳直屬學校要將二級（含二級）以上系統登記造冊，連同備案表復印件報自治區教育廳；按要求開展測評整改，將測評整改情況報自治區教育廳。第十四條 各教育機構要加強對門戶網站、微信公眾平臺、微博等宣傳媒體內容的安全管理，明確由新聞宣傳部門或辦公室負責對外宣傳信息內容的安全，建立完善的信息審核與發布制度，確保網絡宣傳媒體信息內容的安全、可靠。第十五條 各教育機構要加強網絡與信息安全隊伍的建設，選拔具有網絡和信息系統管理經驗和專業技能的人員從事網絡與信息安全管理工作，加強對管理和技術人員的專業培訓，落實崗位責任和考核機制，逐步實行管理和技

18、術人員持證上崗制度。第十六條 各教育機構在信息化建設中采購網絡產品和外包服務，要依據網絡安全法相關規定，與提供者簽訂安全保密協議，明確安全和保密義務與責任。對于存儲大量敏感信息的關鍵業務系統，應當使用國產密碼設備對數據進行加密傳輸與存儲。第十七條 各教育機構要建立和完善網絡與信息安全值班管理制度，落實日常節假日的安全值班，重要節假日和敏感時期要實施24小時值班，值班期間要做好設備安全運行的各項數據記錄，加強對系統運行的安全監測。第十八條 各教育機構要建立健全網絡與信息安全突發事件的應急預案，明確應急處置流程和權限，建立應急處置技術支撐隊伍，配備必要的應急設備和環境，定期開展應急預案培訓和安全實戰演練，提高信息安全應急反應與處置能力；各市、縣（區）教育局要指導下屬單位開展好網絡與信息安全應急處置工作。第十九條 各教育機構要加強信息技術安全事件報告與處置管理，一旦發現安全事件，應嚴格按寧夏回族自治區教育行業信息技術安全事件報告與處置流程進行操作，有效降低安全損失和不良影響。第二十條 自治區教育廳將定期組織有關技術支撐機構開展信息系統安全監測，