2018年是贯彻党的十九大精神的开局之年，也是改革开放40周年，也是决胜全面建成小康社会、实施“十三五”规划承上启下的关键一年，同时还是教育系统实施“奋进之笔”的进取之年。

17年底，杜占元副部长在《学习贯彻党的十九大精神  推动教育管理信息化跃上新台阶》的讲话中提及，加强网络信息安全，保障信息化稳定持续发展。他指出，教育部党组高度重视教育行业网络安全工作，部网信领导小组召开的三次全体会议都涉及网络安全主题，要求全面从硬件、软件、人员、管理等方面把好安全关。管理信息化是网络安全的关键领域，掌握存储的海量学生、教师、家长信息，一旦出现数据被泄露或篡改等安全问题，将会造成严重影响，尤其要高度重视加强数据防护和内部管理，保障信息安全。各省级教育部门一定要做好部署在省级教育数据中心的国家系统、地方系统的安全保障工作，责任重大，不容有失。

教育行业是我国最大的民生行业之一，也是网络安全法定义的关键基础设施行业之一。    

我们对教育行业的网络安全等级保护相关政策及有关工作加以梳理。

----2009----

教育部办公厅早在2009年底，就发布了《教育部办公厅关于开展信息系统安全等级保护工作的通知》（教办厅函〔2009〕80号），通知中表明，教育部教育管理信息中心根据国家有关规定对三级教育信息系统每年进行一次安全等级测评，四级教育信息系统每半年进行一次等级测评。每年11月前完成安全测评。不符合要求的信息系统在第二年4月前完成整改工作。

----2010----

紧接着2010年初发表通知落实此事，通知中要求各单位按照国家有关部门开展信息系统安全等级保护工作要求和《教育部办公厅关于开展信息系统安全等级保护工作的通知》（教办厅函〔2009〕80号）的精神，报送主要信息系统及安全等级保护情况。

----2011----

2011年7月份，教育部为了落实公安部等四部委《关于印发<信息安全等级保护管理办法>的通知》(公通字〔2007〕43号)精神和《教育部2011年工作要点》中“做好教育系统网络信息安全保障工作”的要求，加快建立完备的教育网络信息安全保障体系，发布了《教育部办公厅关于进一步加强网络信息系统安全保障工作的通知》（教办厅函〔2011〕83号），此次通知中要求以信息安全等级保护工作为抓手，建立完善网络信息安全保障体系。各地教育行政部门和学校要按照国家信息安全等级保护制度规定和《教育部办公厅关于开展信息系统安全等级保护工作的通知》（教办厅函〔2009〕80号）要求，开展信息系统定级备案、建设整改和等级测评等各项工作，力争在2012年底基本建立教育信息安全等级保护体系。各地教育行政部门和学校的第二级及以上信息系统，要参照国家和教育行业有关标准规范，在定级备案后2年内完成首次安全建设整改和等级测评工作。已定级的第三级及以上信息系统安全整改方案由教育部组织专家审定，在2012年底前完成首次安全建设整改和等级测评工作。

----2014----

2014年10月，教育部办公厅发布了关于印发《教育行业信息系统安全等级保护定级工作指南（试行）》的通知（教技厅函〔2014〕74号），定级工作指南中对信息系统的类型进行了明确的划分，并提出，按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则进行定级工作的责任主体判定。信息系统的主管单位为定级工作的责任主体，负责组织运维单位、使用单位开展信息系统定级工作。经审核批准的二级以上信息系统，由其主管单位负责组织到所在地设区的市级以上公安机关办理备案手续。

----2015----

2015年9月，山东省教育厅，发布了《关于全面推进我省教育行业信息安全等级保护工作的通知》（鲁教信推办〔2015〕7号），通知中明确规定第三级以上信息系统应从《全国信息系统安全等级保护测评机构推荐目录》中选择测评机构并定期开展等级测评。

----2017----

2017年6月1日，《中华人民共和国网络安全法》正式施行，网络安全越来越被重视。

8月31日教育部发布了《教育部关于进一步推进职业教育信息化的发展的指导意见》（教职成〔2017〕4号），意见书中指出。各地各职业院校要按照《网络安全法》等法律法规政策要求，建立主要负责人为第一责任人的网络安全工作体系，落实网络安全责任制。结合职业教育实际，制定并完善相关规章制度，开展多种形式的教育和培训。全面实施信息安全等级保护制度，制定方案，建立多层次网络与信息安全技术防护体系，按需配置网络与信息安全防护设备和软件，构建可信、可控、可查的网络与信息安全技术防护环境。

10月底，教育部职业教育与成人教育司发表《关于进一步落实职业院校网络安全工作的通知》（教职成司函〔2017〕100号），通知中明确说明全国中等职业学校学生管理信息系统安全保护等级定为三级，已完成定级备案和测评整改工作的省份，应加强日常检查，确保安全；未完成定级备案和测评整改工作的省份，须加紧推进和落实网络安全等级保护工作，并制订系统安全应急预案，确保系统和数据安全。国家级职业教育专业教学资源库主持单位，须提醒配合技术支撑单位完成安全检查任务。

由此可以看出，教育部一直关注网络安全工作，并且越来越重视。

案例介绍

2017年10月，因未落实等保制度致学生信息泄露，国内首例高校违法案例诞生。

案例细节如下：

9月28日，淮南市网络与信息安全信息通报中心接到国家网络与信息安全信息通报中心通报：淮南职业技术学院系统存在高危漏洞，系统存储的4000余名学生身份信息已经造成泄露。经查，确认淮南职业技术学院招生信息管理系统存在越权漏洞，后台登录密码弱口令，学院未落实网络安全管理制度，未建立网络安全防护技术措施、网络日志留存少于六个月，未采取数据分类、重要数据备份和加密措施，致使系统存储的4353名学生的身份信息泄露。

10月12日,安徽省淮南市网警巡查执法官方微博发布通报称，关于淮南职业技术学院未落实网络安全等级保护制度，导致4000余名学生身份信息泄露一事，淮南市公安局网安支队依法对该学院处以立即整改和行政警告的处罚措施。

法律依据：《网络安全法》第21条、第59条第1款。   

相关法条原文： 

1.《网络安全法》 

第21条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改： 

（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任； 

（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施； 

（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月； 

（四）采取数据分类、重要数据备份和加密等措施； 

（五）法律、行政法规规定的其他义务。

第59条第1款 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

我们建议各大高校依据等级保护工作定级、备案、安全建设整改、等级测评的顺序落实本单位的等保工作。

定级

参考《教育行业信息系统安全等级保护定级工作指南（试行）》（教技厅函〔2014〕74号）中的定级建议对学校的系统进行自主定级。实际定级工作中，信息系统所定等级原则上不应低于建议等级。

学校信息系统安全保护等级建议

主管单位完成信息系统自主定级后，需聘请有关信息安全等级保护专家对信息系统自主定级情况进行评审，形成评审意见，并填写《信息系统安全等级保护定级报告》、《信息系统安全等级保护备案表》和信息系统安全等级保护专家评审意见等材料，将相关材料报送至有关教育行政部门进行审批。

备案

经审核批准的二级以上信息系统，由其主管单位负责组织到所在地设区的市级以上公安机关办理备案手续。教育部全国联网统一运行系统由教育部统一向公安部备案，其在各地运行、应用的分支系统，由主管单位组织向所在地公安部门备案，确定为三级以上信息系统同时报教育部备案。

安全建设整改 

以《信息系统安全等级保护基本要求》为目标，从管理和技术两方面进行安全建设整改。制定符合相应等级要求的信息系统安全技术建设整改方案，开展安全技术措施建设，落实相应的物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施。

可以采取“一个中心三维防护（即一个安全管理中心和计算环境安全、区域边界安全和通信网络安全）” 策略，实现相应级别信息系统的安全保护技术要求。 

等级测评

我们是公安厅推荐的专业从事信息安全服务的等级保护测评机构。欢迎各位留言进行交流，我们竭诚为您服务。