近日教育部正式印发了《教育信息化2.0行动计划》，提出到2022年实现“三全两高一大”发展目标，以教育信息化全面推动教育现代化，开启智能时代教育新征程。可见履行网络安全等级保护成为网络运营者的基本义务，假如信息系统没有定级备案、没有测评整改，都属于违法运维，从教育系统以及高校违反网络安全法的处理情况来看都是非常严格的，需要引起各高校信息化部门的高度重视。网络安全工作贯穿整个教育信息化建设的始终，是需要持之以恒、常抓不懈的关键性支撑工作。

《网络安全法》其中很重要的一方面就是网络安全等级保护制度。1994年国务院147号令提出“计算机信息系统全面实行信息安全等级保护”，“等保”这个提法正式出现，随着近年来云计算、移动互联、大数据、物联网、人工智能等新技术不断涌现，计算机信息系统的概念已经不能涵盖全部，特别是互联网快速发展带来大数据价值的凸显，等保2.0标准应运而生。网络安全等级保护2.0与网络安全法保持一致，《中华人民共和国网络安全法》明确规定“国家实行网络安全等级保护制度”，等保2.0也与时俱进地将原标准的“信息系统安全等级保护”改为“网络安全等级保护”，并且覆盖全社会、全行业和全对象，这个“网络”是大的网络概念，基础网络、信息系统、移动互联网、云计算、物联网、工控等都包含在其中。

具体到等保测评过程，应该注意以下几个方面，一是测评要求和测评内容增加，等保2.0中虽然表面测评项有所减少，实际上原网络、主机、应用层面的要求均合并至安全计算环境，实际测评对象并未减少，且网络层面扩充为“安全通信网络与安全区域边界”，增加了安全管理中心的要求；二是新标准进一步要求加强问题分析以及渗透性验证测试。三是新标准的测评结论由之前的“符合、基本符合、不符合”三项变为优（90分）、良（80分）、中（70分）、差（70分以下）四项量化比较成绩，汇总形成教育系统测评得分统计和分析，并通报给有关部门。

1.建立网络安全责任制。切实加强党对网信工作的领导；建立网络安全工作考核机制，将网络安全工作纳入领导干部考核；建立网络安全问责机制，确立了六条问责条款。

2.加快教育系统网络安全标准规范研究与编制。研究制定数据安全相关管理办法、关键信息基础设施识别认定指南和网络安全通报机制管理办法等。

3.推进监测通报机制建设。与教育科研网、高教学会信息化分会、国家有关职能部门、专业安全服机构建立合作，建立网络安全漏洞和威胁共享机制；更新教育系统网络安全工作管理平台，完善信息系统资产管理，实现网络安全监测预警通报自动化，提高教育系统整体安全防护联动处置效率。

4.落实监督检查工作。一是推进网络安全纳入综治考核，二是开展网络安全现场检查，三是加强网络安全通报，四是对网络安全涉事单位和责任人进行监督问责。

5.加强网络安全的宣传教育、人才培养。尽快开展一流网络安全学院建设、网络安全一级学科设立，在网络安全宣传周期间让网络安全意识进校园、进教材、进头脑。

6.部署落实上半年重要时期网络安全保障工作。教育部印发《关于做好2019年上半年重要时期网络安全保障工作的通知》，集中部署春节寒假、全国两会、“一带一路”国际合作峰会论坛、五一假期和高考期间等上半年的重要时期网络安全保障工作，提出了加强网络安全保障工作的组织部署、按需调整重要时期网络防护策略、健全监测预警通报机制、做好网络安全应急响应工作、落实网络安全“零报告”制度等工作要求。

7.开展教育APP专项监测工作。组织开展校园APP专项调研，采取抽样调查问卷和网络爬虫相结合的方式对各级各类学校和教育行政部门的APP进行调研。在此基础上，对教育行政部门和学校主管的298个教育APP进行网络安全监测。监测共发现安全威胁3091个。已将相关安全威胁通报至相关单位，并要求涉事单位进行限期整改。目前，相关安全威胁修复率已达60%以上。

1.加强学习，提升网信工作能力。首先是学习习近平总书记网络强国战略思想和关于网信工作的一系列重要论述，这是做好网信工作的首要政治任务和根本措施保障。其次是学习最新的网信理论知识和技术成果，与教育战线需求相结合。再次是学习兄弟单位乃至其他国家的先进经验和成功做法。最后总结以往的工作经验和教训，自己向自己学习，这要成为网信工作的基本“算法”。

2.加强网络安全责任制落实。按照相关要求和量化的考核评分办法，落实网络安全和信息化领导小组和网信办的具体职责、任务。党委（党组）要定期研究部署网络安全工作，分管负责同志至少每季度召开一次会议听取网络安全工作汇报，每年要制定网信领导小组年度工作要点或者网络安全年度工作要点。

3.落实网络安全等级保护制度。全面完成信息系统网络安全等级保护定级备案，定期开展网络安全等级测评（三级系统每年一次，二级系统每两年一次）和安全整改。按照2.0标准，对照落实相关要求。

4.加强网络安全教育培训。对于单位在职全体人员，要开展全面网络安全意识培训，培训时间要满足要求；对于单位信息化管理人员和技术人员，要开展网络安全素养培训，培训时间要满足相关要求；对于系统运维和安全技术人员，要组织参加专业技术培训，获得相关资质证书，全面提升网络安全防范技能和水平。

5.提升数据安全防护能力。要做好数据治理，推进一数一源，制定本单位数据安全管理办法，规范采集、传输、管理和使用。全面采用密码技术，包括加密、签名等，加强重要数据安全保障。

6.开展安全监测和应急演练。日常安全威胁监测要通过配备工具或者购买服务的方式进行，对系统运行安全状态进行实时监测，能够第一时间发现问题。落实《教育系统网络安全应急预案》要求，参照制定/修订本单位的预案和具体信息系统的应急预案，定期开展应急演练。有条件的单位开展攻防实战演习。

7.落实重要时期安全保障。首先要提高安全意识，加强统筹部署，安全工作是一项政治性很强的工作，关键时间节点要有不同的措施，确保“万无一失”。其次，优化信息系统和网站服务，区分持续访问、工作时间访问、限制访问、关停等策略。第三，落实“零报告”和7×24小时值守制度。第四，做好监测预警和应急管理，发现问题马上改，发生事件马上报。