南通市學(xué)校信息安全與網(wǎng)絡(luò)安全管理評(píng)估細(xì)則?一、總則（一）目的為加強(qiáng)南通市學(xué)校信息安全與網(wǎng)絡(luò)安全管理，保障學(xué)校教育教學(xué)活動(dòng)的正常開(kāi)展，維護(hù)師生和學(xué)校的合法權(quán)益，根據(jù)國(guó)家相關(guān)法律法規(guī)和政策要求，制定本評(píng)估細(xì)則。（二）適用范圍本細(xì)則適用于南通市各級(jí)各類學(xué)校（含幼兒園、小學(xué)、中學(xué)、中等職業(yè)學(xué)校、高等學(xué)校等）。（三）基本原則1.預(yù)防為主：強(qiáng)化信息安全與網(wǎng)絡(luò)安全意識(shí)，建立健全預(yù)防機(jī)制，防范各類安全風(fēng)險(xiǎn)。2.綜合治理：實(shí)行學(xué)校主體責(zé)任、教育行政部門(mén)監(jiān)管責(zé)任，多方協(xié)同配合，共同推進(jìn)安全管理。3.技術(shù)與管理并重：運(yùn)用先進(jìn)技術(shù)手段，結(jié)合科學(xué)規(guī)范的管理制度，提升安全保障水平。4.動(dòng)態(tài)調(diào)整：根據(jù)信息技術(shù)發(fā)展和安全形勢(shì)變化，及時(shí)調(diào)整和完善評(píng)估細(xì)則。二、組織管理（一）安全管理機(jī)構(gòu)1.學(xué)校應(yīng)成立信息安全與網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組，由學(xué)校主要領(lǐng)導(dǎo)擔(dān)任組長(zhǎng)，成員包括相關(guān)部門(mén)負(fù)責(zé)人。（3分）2.領(lǐng)導(dǎo)小組定期召開(kāi)會(huì)議，研究部署信息安全與網(wǎng)絡(luò)安全工作，每學(xué)期不少于2次。（3分）3.明確信息安全與網(wǎng)絡(luò)安全管理部門(mén)或?qū)Ｈ素?fù)責(zé)日常工作，職責(zé)清晰。（3分）（二）管理制度1.建立健全信息安全與網(wǎng)絡(luò)安全管理制度，包括網(wǎng)絡(luò)安全責(zé)任制、信息系統(tǒng)安全管理制度、用戶賬號(hào)管理制度、數(shù)據(jù)安全管理制度、網(wǎng)絡(luò)安全應(yīng)急預(yù)案等。（5分）2.各項(xiàng)管理制度符合國(guó)家法律法規(guī)和行業(yè)標(biāo)準(zhǔn)要求，具有可操作性。（3分）3.定期對(duì)管理制度進(jìn)行修訂和完善，確保其有效性。（2分）（三）人員管理1.對(duì)涉及信息安全與網(wǎng)絡(luò)安全的工作人員進(jìn)行安全培訓(xùn)，每年不少于1次。（3分）2.與工作人員簽訂保密協(xié)議，明確其安全責(zé)任和義務(wù)。（3分）3.對(duì)新入職人員進(jìn)行信息安全與網(wǎng)絡(luò)安全背景審查。（2分）三、網(wǎng)絡(luò)安全（一）網(wǎng)絡(luò)邊界安全1.學(xué)校網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間設(shè)置防火墻，配置合理，功能正常。（5分）2.對(duì)進(jìn)出校園網(wǎng)絡(luò)的流量進(jìn)行監(jiān)控和審計(jì)，記錄保存不少于6個(gè)月。（3分）3.限制外部非法網(wǎng)絡(luò)訪問(wèn)，禁止非授權(quán)設(shè)備接入校園網(wǎng)絡(luò)。（3分）（二）網(wǎng)絡(luò)設(shè)備安全1.網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)等）運(yùn)行穩(wěn)定，定期進(jìn)行維護(hù)和檢查。（3分）2.網(wǎng)絡(luò)設(shè)備的登錄密碼安全強(qiáng)度高，定期更換。（2分）3.對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行漏洞掃描和修復(fù)，及時(shí)處理安全隱患。（3分）（三）無(wú)線網(wǎng)絡(luò)安全1.校園無(wú)線網(wǎng)絡(luò)采用WPA2及以上加密協(xié)議。（3分）2.對(duì)無(wú)線網(wǎng)絡(luò)用戶進(jìn)行身份認(rèn)證和授權(quán)管理。（3分）3.定期檢查無(wú)線網(wǎng)絡(luò)的安全性，防止無(wú)線網(wǎng)絡(luò)被破解。（2分）（四）網(wǎng)絡(luò)安全監(jiān)測(cè)與應(yīng)急處置1.建立網(wǎng)絡(luò)安全監(jiān)測(cè)機(jī)制，實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)運(yùn)行狀態(tài)和安全事件。（3分）2.制定網(wǎng)絡(luò)安全應(yīng)急預(yù)案，明確應(yīng)急處置流程和責(zé)任分工。（5分）3.定期組織網(wǎng)絡(luò)安全應(yīng)急演練，每學(xué)期不少于1次。（3分）4.發(fā)生網(wǎng)絡(luò)安全事件時(shí)，能及時(shí)采取措施進(jìn)行處置，并按規(guī)定報(bào)告。（4分）四、信息系統(tǒng)安全（一）系統(tǒng)建設(shè)與管理1.學(xué)校自主建設(shè)或使用的信息系統(tǒng)符合安全設(shè)計(jì)要求，通過(guò)安全檢測(cè)和備案。（5分）2.對(duì)信息系統(tǒng)進(jìn)行安全等級(jí)保護(hù)定級(jí)備案，根據(jù)定級(jí)開(kāi)展相應(yīng)的安全建設(shè)和管理。（5分）3.信息系統(tǒng)的開(kāi)發(fā)、上線、變更等過(guò)程進(jìn)行安全評(píng)估和審核。（3分）（二）系統(tǒng)訪問(wèn)控制1.對(duì)信息系統(tǒng)用戶進(jìn)行身份認(rèn)證和授權(quán)管理，權(quán)限設(shè)置合理。（3分）2.定期清理系統(tǒng)中無(wú)效或長(zhǎng)期未使用的賬號(hào)。（2分）3.限制非授權(quán)用戶訪問(wèn)信息系統(tǒng)。（3分）（三）系統(tǒng)數(shù)據(jù)安全1.對(duì)信息系統(tǒng)中的重要數(shù)據(jù)進(jìn)行備份，備份策略合理，備份數(shù)據(jù)保存完整。（5分）2.采取數(shù)據(jù)加密、存儲(chǔ)加密等技術(shù)手段保護(hù)數(shù)據(jù)安全。（3分）3.建立數(shù)據(jù)安全審計(jì)機(jī)制，對(duì)數(shù)據(jù)訪問(wèn)和操作進(jìn)行審計(jì)。（3分）（四）系統(tǒng)安全維護(hù)1.定期對(duì)信息系統(tǒng)進(jìn)行漏洞掃描和修復(fù)，及時(shí)處理安全隱患。（3分）2.安裝防病毒軟件，實(shí)時(shí)更新病毒庫(kù)，對(duì)系統(tǒng)進(jìn)行病毒防護(hù)。（3分）3.關(guān)注信息系統(tǒng)供應(yīng)商發(fā)布的安全補(bǔ)丁，及時(shí)進(jìn)行更新。（2分）五、數(shù)據(jù)安全（一）數(shù)據(jù)分類分級(jí)管理1.對(duì)學(xué)校各類數(shù)據(jù)進(jìn)行分類分級(jí)，明確不同級(jí)別數(shù)據(jù)的安全保護(hù)要求。（5分）2.根據(jù)數(shù)據(jù)分類分級(jí)結(jié)果，采取相應(yīng)的數(shù)據(jù)安全管理措施。（3分）（二）數(shù)據(jù)存儲(chǔ)與傳輸安全1.重要數(shù)據(jù)存儲(chǔ)在安全的存儲(chǔ)設(shè)備上，存儲(chǔ)設(shè)備有備份和異地存儲(chǔ)。（5分）2.在數(shù)據(jù)傳輸過(guò)程中采取加密等安全措施。（3分）（三）數(shù)據(jù)使用與共享安全1.規(guī)范數(shù)據(jù)使用流程，確保數(shù)據(jù)使用合法合規(guī)。（3分）2.在數(shù)據(jù)共享時(shí)，遵循相關(guān)法律法規(guī)和學(xué)校規(guī)定，簽訂數(shù)據(jù)共享協(xié)議，保障數(shù)據(jù)安全。（3分）（四）數(shù)據(jù)銷毀安全1.對(duì)不再使用或已過(guò)期的數(shù)據(jù)進(jìn)行安全銷毀。（3分）2.建立數(shù)據(jù)銷毀記錄，記錄保存不少于2年。（2分）六、用戶安全（一）用戶賬號(hào)管理1.建立用戶賬號(hào)管理制度，規(guī)范賬號(hào)的創(chuàng)建、修改、刪除等操作。（3分）2.用戶賬號(hào)采用強(qiáng)密碼策略，定期更換密碼。（3分）3.對(duì)用戶賬號(hào)的權(quán)限進(jìn)行嚴(yán)格管理，定期審核用戶權(quán)限。（3分）（二）用戶安全教育1.開(kāi)展面向師生的信息安全與網(wǎng)絡(luò)安全知識(shí)教育，每學(xué)期不少于1次。（3分）2.通過(guò)多種形式（如講座、課程、宣傳海報(bào)等）進(jìn)行安全教育宣傳。（3分）3.提高師生的信息安全與網(wǎng)絡(luò)安全意識(shí)和防范能力。（2分）七、評(píng)估與改進(jìn)（一）自我評(píng)估1.學(xué)校每年開(kāi)展信息安全與網(wǎng)絡(luò)安全自我評(píng)估，形成評(píng)估報(bào)告。（5分）2.評(píng)估報(bào)告內(nèi)容包括評(píng)估依據(jù)、評(píng)估范圍、評(píng)估方法、評(píng)估結(jié)果、存在問(wèn)題及改進(jìn)措施等。（5分）（二）整改落實(shí)1.根據(jù)自我評(píng)估和外部檢查發(fā)現(xiàn)的問(wèn)題，制定整改計(jì)劃，明確整改措施、責(zé)任人和整改期限。（5分）2.按時(shí)完成整改任務(wù)，對(duì)整改情況進(jìn)行跟蹤和復(fù)查，確保問(wèn)題得到有效解決。（5分）八、監(jiān)督與考核（一）教育行政部門(mén)監(jiān)督1.教育行政部門(mén)定期對(duì)學(xué)校信息安全與網(wǎng)絡(luò)安全管理工作進(jìn)行監(jiān)督檢查。（5分）2.對(duì)發(fā)現(xiàn)的問(wèn)題及時(shí)下達(dá)整改通知書(shū)，督促學(xué)校整改。（3分）（二）考核評(píng)價(jià)1.教育行政部門(mén)將學(xué)校信息安全與網(wǎng)絡(luò)安全管理工作納入年度考核內(nèi)容。（5分）2.根據(jù)評(píng)估細(xì)則對(duì)學(xué)校進(jìn)行量化考核，考核結(jié)果與學(xué)校評(píng)優(yōu)評(píng)先等掛鉤。（5分）九、附則（一）本細(xì)則由南通市教育局負(fù)責(zé)解釋。（二）本