陕西省教育厅网络安全综合治理行动方案

     教育行业网络安全是国家网络安全的重要组成部分。近年来，按照国家网络安全的总体部署，在全省教育系统的共同努力下，我省教育系统网络安全意识显著提高，形势明显好转，工作机制基本建立，防护能力不断加强。但也要看到，我省教育系统机构多、系统多、数据多、影响面广，网络安全工作仍存在许多问题，主要表现在：安全责任不落实、管理不规范、安全隐患修复不及时、监测预警和应急响应能力不足、网络安全事件时有发生等问题。这些问题给教育系统不仅造成了不良影响，同时危害到师生的切身利益。为全面贯彻党中央、国务院关于网络安全的统筹部署，落实《网络安全法》，迎接党的十九大胜利召开，按照《教育部办公厅关于印发< 教育行业网络安全综合治理行动方案>的通知》精神，我厅经研究决定，自2017年5月至8月，在厅机关内部开展以“治乱、堵漏、补短、规范”为目标的网络安全综合治理行动，综合治理行动方案如下：

     一、工作目标

     面向厅机关各处室、直属有关事业单位，坚持以问题导向、突出重点、完善机制、狠抓落实，重点加强对网站乱象的治理、堵塞安全漏洞、补齐等保短板、规范安全管理。同时，兼顾近期与长远、综合治理与源头治理相结合，全面提升我省教育系统网络安全水平，增强信息系统防护能力，有效防范和抵御安全风险隐患，切实保障信息系统（网站）稳定运行和数据安全。

     二、工作内容

     1. 进一步落实网站统一标识工作。各单位应按照《党政机关网站开办审核、资格复核和网站标识管理办法》要求，尽快到机构编制部门完成网站开办审核、资格复核和挂标工作。如未按期完成，将根据有关职能部门要求对网站主管单位予以督办。（2017年5月底前完成）

     2. 加强教育网站信息发布管理。各单位应全面检查网站信息发布情况，如有发布的信息中存在法律和行政法规禁止发布或传输的信息、涉及个人隐私和单位秘密的信息，应釆取删除或更正等措施立即整改。加强对电子邮箱的管理，对非在职人员电子邮箱账号予以注销，对使用简单密码的应采取有效措施要求更换，并建立定期更新密码的制度。（2017年5月底前完成）

     3. 开展教育机构网站域名清理工作。中国教育和科研计算机网网络信息中心根据教育机构名录核对注册.edu.cn域名的机构情况，根据实际情况对非教育机构的网站使用该域名的进行清理。教育部研究加强对教育机构网上名称的管理，规范教育机构域名，提升教育机构网站的公信力和权威性。（2017年8月底完成）

     4. 全面监测网络安全威胁。各单位应对本单位主管的信息系统（网站）开展常态化监测，发现存在漏洞、后门、暗链、弱口令等安全威胁的信息系统（网站），应及时通报、限时修复、跟踪核查整改结果，尽快消除安全隐患。持续推进。

     5. 加快完成定级备案。各单位应清楚掌握主管的信息系统(网站）情况，按照《教育部公安部关于全面推进教育行业信息安全等级保护工作的通知》（以下简称《通知》）的要求，建立信息系统安全等级保护制度和程序，尽快完成信息系统（网站）等级保护定级工作，并到当地公安机关进行备案。新建系统应在正式上线前完成信息系统定级备案和测评整改。（2017年5月底完成）

     6. 有序推进测评整改。各单位应按照《通知》要求，对主管的信息系统（网站）开展网络安全等级测评整改工作。重点加强对主管的关键信息基础设施的保护，明确安全管理负责人，制订专门应急预案，完成年度测评工作，深入查找薄弱环节并迅速整改。(2017年6月底完成）

     三、工作要求

     （一）提高思想认识，加强组织领导。省教育厅负责统筹部署本次综合治理行动，各单位应充分认识开展综合治理行动的重要性和紧迫性，将工作纳入重要议事日程予以部署，明确主管领导、牵头部门和责任人，提供必要的工作保障，确保各项工作落到实处。

     （二）加强监督检查，完善通报机制。各单位应在每月底报送当月工作进展情况，填写《教育行业网络安全综合治理行动进展统计表》(见附件）。省教育厅将综合治理行动纳入教育信息化工作月报内容定期通报。同时，将网络安全工作纳入考核评价体系，建立网络安全长效监督机制。

     （三）开展宣传教育，提升安全意识。各单位应组织开展网络安全宣传教育，面向网络安全管理人员和技术人员开展专题培训，切实提高网络安全意识、管理水平和防护能力。以网络安全宣传周为契机，通过形势政策课、讲座、报告会等方式面向广大教育工作者开展网络安全宣传教育，提高网络安全意识和素养。