教育行业网络信息安全等级保护测评认证工作如何开展

网络安全等级保护工作是国家网络安全的基础性工作，是《网络安全法》规定的一项基本制度。结合实际，教育厅、公安厅发布了《关于教育行业网络安全等级保护工作实施意见》（桂教规范〔2017〕10号），对于教育行业网络安全等级保护工作的开展有着极大的指导作用。

教育行业网络安全等级保护工作如何做？下面给大家分享一下《关于教育行业网络安全等级保护工作实施意见》的重点内容，不知道网络安全等级保护工作如何做的教育行业各机构快看过来！

等级保护范围为全区各级教育行政部门及其直属事业单位、各级各类学校（以下简称教育行业单位）安全保护等级为二级及以上的信息系统，按照“谁主管谁负责、谁建设谁负责、谁运维谁负责、谁使用谁负责”的原则开展工作。

等级保护工作的核心是对信息系统分等级、按标准进行建设、管理和监督。网络安全等级保护实施过程中应遵循“自主定级、自主保护、同步建设、动态调整”的原则。信息系统主管部门、使用单位及其运营单位应按照国家相关法律法规，自主确定信息系统的安全保护等级，自觉履行安全保护义务。各单位在新建、改建、扩建信息系统时应当同步规划和设计安全方案，投入一定的资金建设网络安全设施，使网络安全与信息化建设同步推进。

公安厅网络安全保卫总队负责受理教育厅厅机关及其直属事业单位的备案工作。市级以上公安机关网络安全保卫部门负责受理本辖区教育行业单位的备案工作。各级公安机关负责本地区教育行业单位的网络安全等级保护工作的指导、监督和检查。

1、安全保护等级分为：第一级、第二级、第三级、第四级、第五级。

第一级按照自主建设、自主定级、自主防护、自主运维的原则进行开办和管理。

第二级和第三级按照以下步骤开办和管理。一是根据建议等级定级；二是按时到公安机关备案；三是聘请等级保护测评机构开展测评；四是及时认真整改。

第四级和第五级参照国家文件执行。

2、信息系统类型如何划分？

运行在网络环境中（含非互联网）的教育信息系统应纳入到定级保护工作开展范围。教育信息系统主要按照主管单位、业务对象进行分类。按照主管单位的不同，信息系统分为部门信息系统和学校信息系统两类。

部门信息系统可分为省级教育行政部门及其直属事业单位信息系统（自治区级系统）、地市级教育行政部门及其直属事业单位（地市级系统）和区县级教育行政部门及其直属事业单位（区县级系统）。

学校划分为三类：Ⅰ类学校是设有硕士点的高等学校、高职高专国家级示范院校；Ⅱ类学校是除Ⅰ类以外的其他高等学校，学生数在5000人及以上中等职业学校；Ⅲ类学校是除Ⅱ类以外的其他中等职业学校，中小学、幼儿园，以及其他类型学校。

根据业务对象不同，部门信息系统可分为政务管理类、学校管理类、学生管理类、教师管理类、综合服务类；学校信息系统可分为校务管理类、教学科研类、招生就业类、综合服务类。

3、信息系统的定级

信息系统受到破坏后造成的危害程度与其安全等级正相关，造成的危害程度越大，安全等级应越高。部门信息系统根据行政级别、部署模式和业务类型与性质三个维度分析受到破坏后造成的危害程度。学校信息系统根据办学规模、社会影响力、业务类型三个维度分析受到破坏后造成的危害程度。

1、初步定级

教育行业各单位、各学校根据《网络安全保护等级建议表》初步确定安全保护等级。

二级及以下信息系统根据自主定级原则，各单位、各学校自行根据《网络安全保护等级建议表》确定安全保护等级。三级及以上信息系统自主定级时，需要组织3名以上来自不同单位（同一单位限1人）的网络安全专家（从事相关专业工作满8年、本科以上学历、高级技术职称或自治区公安厅网络安全保卫总队确定的等级保护专家）和业务专家进行评审，并出具附有专家签字的专家评审意见。

2、按时备案

各单位、各学校应当在信息系统安全保护等级确定后30日内，到属地公安机关网络安全保卫部门办理备案手续。申请备案原则上按属地原则进行备案。

3、科学测评

全区教育行业单位安全保护等级为二级及以上的信息系统要开展等级测评工作，测评机构选择由广西信息安全等级保护工作协调小组办公室或其他省份信息安全等级保护协调（领导）小组办公室推荐、经公安部信息安全等级保护评估中心评估合格、在自治区公安厅进行备案的信息安全等级测评机构，或委托教育部教育管理信息中心（教育信息安全等级保护测评中心）对本学校信息系统开展等级测评。区外信息安全等级测评机构在广西区内开展等级测评项目的，须按照公安部规定办理相关备案手续。

安全保护等级为三级的信息系统每年要开展一次等级测评工作，安全保护等级为二级的信息系统每两年要开展一次等级测评工作。新建系统须在上线前完成测评工作。

4、认真整改