教办厅函[2009]80号

        各省、自治区、直辖市教育厅（教委），各计划单列市教育局，新疆生产建设兵团教育局，部属各高等学校：

        信息系统安全等级保护制度是构建国家信息安全保障体系的基本制度。为进一步做好教育系统信息安全工作，提高教育信息系统安全保障能力和水平，经研究，决定在教育系统全面开展信息系统安全等级保护工作。有关要求通知如下：

        一、教育信息系统安全等级保护工作的目标

        落实国家有关信息系统安全等级保护制度建设的文件要求，增强各地、各校主管部门领导的信息安全保护意识；开展技术培训，建立信息安全技术队伍，建立健全教育系统信息安全等级保护技术保障体系；全面开展教育系统信息系统的定级、备案和测评工作，对发现的问题及时进行整改，用3年左右时间，基本建立教育系统信息系统安全等级保护体系，切实提高教育信息系统安全水平，保证教育信息化的健康持续发展。

        二、教育信息系统安全等级保护工作的内容

        1.按照国家信息安全等级保护有关要求，对教育系统各级行政部门、各级各类学校信息安全工作部门主管领导及技术骨干人员进行培训。

        2.信息系统安全定级和备案。各单位对本单位信息系统进行定级，对二级以上的信息系统要办理备案手续。

        3.对三级以上信息系统开展信息安全等级测评工作。根据测评结果，不符合要求的，要制订整改方案进行整改。

        4.根据公安部门要求，在教育系统联合开展信息系统安全等级保护监督检查工作。

        三、教育信息系统安全等级保护工作的安排

        1.教育部教育管理信息中心负责教育系统信息安全等级保护工作的组织实施，并配合公安部门在教育系统内开展监督检查工作。

        2.人员培训。到2010年底，基本完成高校及地市级以上教育行政部门的培训工作，每单位至少培训1名信息系统安全主管和1名技术骨干；到2012年，基本完成其余教育行政部门和学校的培训工作，每单位至少培训1名信息安全人员。对参加培训考核合格人员颁发相应证书。

       3.信息系统定级备案。由参加过培训并具有考核合格证书的人员对本单位信息系统协助进行定级。高校及地市级以上教育行政部门三级以上的信息系统要在教育部教育管理信息中心和当地公安部门同时办理备案手续。已建三级以上信息系统未办理备案手续或仅在当地公安部门办理手续的，2010年4月前要完成补办工作。

       4.信息系统安全等级测评和整改。教育部教育管理信息中心根据国家有关规定对三级教育信息系统每年进行一次安全等级测评，四级教育信息系统每半年进行一次等级测评。每年11月前完成安全测评。不符合要求的信息系统在第二年4月前完成整改工作。

        各地、各校要充分认识信息安全等级保护工作的重要性，提高信息系统安全意识，明确机构和责任，将信息安全等级保护建设、测评、培训等各项费用纳入年度预算，并为信息安全等级保护工作开展提供必要的工作便利。

       有关信息系统安全等级保护工作的具体实施安排由教育部教育管理信息中心制定并另行通知。

教育部办公厅

二○○九年十一月十一日