高校如何做信息安全等级保护工作
高应对做信息安全等级保护工作的做法:
调查摸底:信息安全等级保护工作是高校一项重要工作,可由信息化部门组织实施该项工作。各信息系统主管部门、运营使用部门组织开展对所屬信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用,或服务范围、系统结构,以及系统建设规划等基本情况,为开展信息安全等级保护工作打下基础。
确定等级:按照“谁主管、谁负责”原则,各信息系统主管部门按照《信息系统安全等级保护定级指南》,确定定级对象的安全保护等级。就目前高校工作实践来看,重要信息系统(如招生系统、门户系统、一卡通等)一般定为三级,其他基本定为一级或二级。
安全建设整改:由于高校信息化建设时间较早,系统较多,要区别对待新老系统。各信息系统主管部门根据确定的安全保护等级,对已有的老信息系统按照等级保护的管理规范和技术标准,采购和使用相应等级要求的信息安全产品,落实安全技术措施,完成系统整改。新系统在立项建设环节就考虑等保要求,参照《信息系统安全等级保护基本要求》,在上线前新增应用安全、数据安全以及部分主机安全部分的单元测评,推动实现等级保护所应达到的防护要求。
组织测评;信息系统建设完成后,信息系统主管部门应当依照《信息安全等级保护管理办法》选择符合要求的测评机构进行测评。已投入运行信息系统在完成系统整改后也应当进行测评。经测评,信息系统安全状况未达到安全保护等级要求的,主管部门应当联合信息化部门,制定方案进行整改。
履行备案手续:信息系统安全保护等级为第二级以上的信息系统主管部门,应当在系统投入运行后(新建系统)或确定等级后(已运营的系统)30 日内到地(市)及以上公安机关网监部门办理备案手续;跨地区、跨省(市)或者全国统一联网运行的信息系统在各地运行、应用的分支系统,向地级以上市公安局网监部门备案。
健全长效工作机制:在信息安全等级保护职能部门、信息系统主管部门间建立畅通的联络机制,建立职能部门、主管部门对信息系统的定期监督检查机制。信息化部门组织开展教育培训工作,加强对安全专业技术人员的培训,提高信息系统主管部门人员的技术和法律知识水平。