关于开展网络安全检查工作的通知
鲁教信函〔2014〕3号
各市教育局、各高等学校、厅属各单位:
按照教育部《关于加强教育行业网络与信息安全工作的指导意见》(教技[2014]4号)、省经济和信息化委《关于印发〈2014年山东省网络安全检查工作方案〉的通知》(鲁经信安[2014]425号)要求,为全面加强我省教育行业信息系统(含网站系统)的安全工作,切实保障信息系统的安全运行,决定组织开展网络安全检查工作,现就有关事项通知如下:
一、检查目的
通过开展网络安全检查,摸清重要信息系统的底数,建立健全网络安全责任制,深入分析安全风险,系统评估安全状况,全面排查安全隐患,提升网络安全技术防护能力,构建可信、可控、可查的网络安全环境,预防和减少网络安全事件的发生,切实保障信息系统的安全运行。
二、检查对象
各市教育局、各高等学校、厅属各单位。
三、检查范围
检查范围主要包括基础网络设施和各类信息系统。对事关广大学生、家长和社会公众利益,对正常教育管理公共服务及教学活动具有较大影响的信息系统,进行重点检查。
涉及国家秘密的信息系统不在本次检查范围内。
四、检查内容
(一)网络与信息安全管理情况
按照国家网络安全政策和标准规范要求,建立健全网络安全管理制度及落实情况。重点检查网络安全主管领导、管理机构和工作人员履职情况,人员、资产、采购、外包服务等日常安全管理情况,网络安全经费保障情况等。
(二)信息系统基本情况
信息系统建设与运行情况,主要包括域名或IP地址、责任单位、运维单位、定级与备案、安全管理等情况。我们将根据各单位报送的信息系统情况汇总形成信息系统名录。
(三)技术防护情况
按照国家网络安全政策和标准规范要求,建立健全技术防护体系及安全防护情况。重点检查防病毒、防攻击、防篡改、防瘫痪、防泄密措施及有效性;网络边界防护措施,互联网接入安全措施,无线网络安全防护措施;服务器、网络设备、安全设备等安全策略配置,应用系统安全功能及有效性;终端计算机、移动存储介质安全防护措施;重要数据传输、存储的安全防护措施等。
(四)应急工作情况
按照国家网络与信息安全事件应急预案要求,建立健全网络安全应急工作体系情况。重点检查网络安全事件应急预案的制修订、应急演练情况;应急技术支撑队伍、灾难备份措施建设情况;重大网络安全事件处置情况等。
(五)宣传教育培训情况
重点检查网络安全宣传教育、领导干部及各级人员网络与信息安全基础培训、网络安全人员专业技术培训情况等。
(六)Windows XP停止安全服务应对工作情况
重点检查Windows XP使用情况,安全保护方案制定情况,安全防护产品部署情况,关闭不必要服务和端口等安全措施情况,推广国产操作系统和应用软件的工作落实情况。
(七)数据泄露及系统被控情况
重点检查数据中心及使用的云计算服务设施是否设在境外,采用系统设计开发、系统集成、运行维护、数据处理、数据备份、灾难恢复、系统委托、安全测评等外包服务过程中数据是否被提交给境外机构,系统是否被境外机构远程控制等情况。
(八)安全问题整改情况
以前安全检查发现问题的整改情况及整改效果,本次安全检查发现问题的整改情况及整改效果,进一步分析安全风险,评估安全状况。
五、检查方式
本次检查采取摸底调查、自查、远程安全检测与现场抽查相结合的方式开展。
(一)摸底调查
按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,各单位确定一名主管领导为本单位安全责任人,全面负责本单位网络安全工作;明确负责网络安全的责任部门和安全技术支撑部门(根据单位具体情况,责任部门和安全技术支撑部门可以为一个部门),全面负责本单位网络安全的管理和技术具体工作,部门主要负责同志为本单位安全协调人和技术负责人。
落实各信息系统的网络安全责任制,明确信息系统的主办部门为信息系统主管部门,全面负责信息系统的安全管理工作。每个信息系统应确定一名在编人员作为信息系统的联络员,负责本系统的安全联络工作。
认真清查本单位所属的信息系统、设备、操作系统及应用软件,梳理网络安全管理制度、防护情况等,按要求填写附件。
(二)自评自查
各单位对照《山东省2014年教育行业网络安全管理工作自评估表》(附件3),从网络安全组织管理、日常管理、防护管理、应急管理、教育培训、安全检查等方面进行量化评估,总结成绩,查找不足,更好地推动网络安全管理工作。
(三)安全抽查
1.远程安全检测。委托有资质的检测机构对各单位门户网站以及重要信息系统进行远程安全抽检,查找安全漏洞和隐患,及时将检测中发现的问题通报给相关单位,督促核查和整改。
2.现场抽查。在各单位开展自查和远程安全检测的基础上,成立联合检查组对部分单位的重要信息系统进行现场抽查。
六、检查结果报送
各单位在检查工作完成后,应对检查情况进行汇总分析和总结评估,按照要求编写《网络安全工作检查总结报告》,连同附件1、附件2和附件3(包括纸质文档和电子文档)报送至山东省教育信息中心。本通知相关材料电子版可访问省教育厅网站或通过联系电子邮箱获取。
总结报告应至少包括:网络安全情况总体评价;2014年网络安全工作的情况;检查发现的主要问题及整改情况;对网络安全工作的意见建议。
七、时间安排
2014年10月,各单位组织开展摸底调查和自评自查工作,10月24日前,各单位将检查总结报告及附件等材料报送至山东省教育信息中心。
2014年10月至12月,进行远程安全检测和现场抽查。
八、工作要求
(一)各单位要高度重视此次检查行动,加强领导,明确责任,保证检查工作顺利进行,并以此次检查为契机,切实提高网络与信息安全意识,夯实网络与信息保障工作。
(二)各单位要结合实际,周密制定检查实施方案,全面深入查找安全问题和安全隐患,切实做到不走过场、不漏环节、不留死角。对发现的问题要及时整改,举一反三,标本兼治,因条件不具备而暂时不能整改的应采取临时防范措施。
(三)各单位要强化风险控制,有针对性制定检查工作应急预案,确保被检查系统正常运行。要加强对检查活动、检查人员及相关文档和数据的安全保密管理。委托外部机构进行安全检测的,要对其机构背景、技术能力、服务水平、人员资质及安全保密管理措施等进行严格审查,并明确外部机构及人员的安全责任。
(四)各单位在检查中遇到技术问题,可联系山东省教育信息中心。对不重视检查工作、未按时完成检查、发现问题不及时进行整改的单位,将予以通报批评。
联系单位:山东省教育信息中心
联 系 人:王准
联系电话:0531-81676765
电子邮箱:[email protected]
通信地址:济南市历下区南圩门外街8号(250011)
附件:1. 2014年山东省教育行业网络安全检查结果统计表
2. 2014年山东省教育行业重要信息系统(含网站)安全检查结果统计表
山东省教育厅
2014年9月27日