南通市学校信息安全与网络安全管理评估细则

南通市学校信息安全与网络安全管理评估细则一、总则（一）目的为加强南通市学校信息安全与网络安全管理，保障学校教育教学活动的正常开展，维护师生和学校的合法权益，根据国家相关法律法规和政策要求，制定本评估细则。（二）适用范围本细则适用于南通市各级各类学校（含幼儿园、小学、中学、中等职业学校、高等学校等）。（三）基本原则1.预防为主：强化信息安全与网络安全意识，建立健全预防机制，防范各类安全风险。2.综合治理：实行学校主体责任、教育行政部门监管责任，多方协同配合，共同推进安全管理。3.技术与管理并重：运用先进技术手段，结合科学规范的管理制度，提升安全保障水平。4.动态调整：根据信息技术发展和安全形势变化，及时调整和完善评估细则。二、组织管理（一）安全管理机构1.学校应成立信息安全与网络安全工作领导小组，由学校主要领导担任组长，成员包括相关部门负责人。（3分）2.领导小组定期召开会议，研究部署信息安全与网络安全工作，每学期不少于2次。（3分）3.明确信息安全与网络安全管理部门或专人负责日常工作，职责清晰。（3分）（二）管理制度1.建立健全信息安全与网络安全管理制度，包括网络安全责任制、信息系统安全管理制度、用户账号管理制度、数据安全管理制度、网络安全应急预案等。（5分）2.各项管理制度符合国家法律法规和行业标准要求，具有可操作性。（3分）3.定期对管理制度进行修订和完善，确保其有效性。（2分）（三）人员管理1.对涉及信息安全与网络安全的工作人员进行安全培训，每年不少于1次。（3分）2.与工作人员签订保密协议，明确其安全责任和义务。（3分）3.对新入职人员进行信息安全与网络安全背景审查。（2分）三、网络安全（一）网络边界安全1.学校网络与互联网之间设置防火墙，配置合理，功能正常。（5分）2.对进出校园网络的流量进行监控和审计，记录保存不少于6个月。（3分）3.限制外部非法网络访问，禁止非授权设备接入校园网络。（3分）（二）网络设备安全1.网络设备（路由器、交换机等）运行稳定，定期进行维护和检查。（3分）2.网络设备的登录密码安全强度高，定期更换。（2分）3.对网络设备进行漏洞扫描和修复，及时处理安全隐患。（3分）（三）无线网络安全1.校园无线网络采用WPA2及以上加密协议。（3分）2.对无线网络用户进行身份认证和授权管理。（3分）3.定期检查无线网络的安全性，防止无线网络被破解。（2分）（四）网络安全监测与应急处置1.建立网络安全监测机制，实时监测网络运行状态和安全事件。（3分）2.制定网络安全应急预案，明确应急处置流程和责任分工。（5分）3.定期组织网络安全应急演练，每学期不少于1次。（3分）4.发生网络安全事件时，能及时采取措施进行处置，并按规定报告。（4分）四、信息系统安全（一）系统建设与管理1.学校自主建设或使用的信息系统符合安全设计要求，通过安全检测和备案。（5分）2.对信息系统进行安全等级保护定级备案，根据定级开展相应的安全建设和管理。（5分）3.信息系统的开发、上线、变更等过程进行安全评估和审核。（3分）（二）系统访问控制1.对信息系统用户进行身份认证和授权管理，权限设置合理。（3分）2.定期清理系统中无效或长期未使用的账号。（2分）3.限制非授权用户访问信息系统。（3分）（三）系统数据安全1.对信息系统中的重要数据进行备份，备份策略合理，备份数据保存完整。（5分）2.采取数据加密、存储加密等技术手段保护数据安全。（3分）3.建立数据安全审计机制，对数据访问和操作进行审计。（3分）（四）系统安全维护1.定期对信息系统进行漏洞扫描和修复，及时处理安全隐患。（3分）2.安装防病毒软件，实时更新病毒库，对系统进行病毒防护。（3分）3.关注信息系统供应商发布的安全补丁，及时进行更新。（2分）五、数据安全（一）数据分类分级管理1.对学校各类数据进行分类分级，明确不同级别数据的安全保护要求。（5分）2.根据数据分类分级结果，采取相应的数据安全管理措施。（3分）（二）数据存储与传输安全1.重要数据存储在安全的存储设备上，存储设备有备份和异地存储。（5分）2.在数据传输过程中采取加密等安全措施。（3分）（三）数据使用与共享安全1.规范数据使用流程，确保数据使用合法合规。（3分）2.在数据共享时，遵循相关法律法规和学校规定，签订数据共享协议，保障数据安全。（3分）（四）数据销毁安全1.对不再使用或已过期的数据进行安全销毁。（3分）2.建立数据销毁记录，记录保存不少于2年。（2分）六、用户安全（一）用户账号管理1.建立用户账号管理制度，规范账号的创建、修改、删除等操作。（3分）2.用户账号采用强密码策略，定期更换密码。（3分）3.对用户账号的权限进行严格管理，定期审核用户权限。（3分）（二）用户安全教育1.开展面向师生的信息安全与网络安全知识教育，每学期不少于1次。（3分）2.通过多种形式（如讲座、课程、宣传海报等）进行安全教育宣传。（3分）3.提高师生的信息安全与网络安全意识和防范能力。（2分）七、评估与改进（一）自我评估1.学校每年开展信息安全与网络安全自我评估，形成评估报告。（5分）2.评估报告内容包括评估依据、评估范围、评估方法、评估结果、存在问题及改进措施等。（5分）（二）整改落实1.根据自我评估和外部检查发现的问题，制定整改计划，明确整改措施、责任人和整改期限。（5分）2.按时完成整改任务，对整改情况进行跟踪和复查，确保问题得到有效解决。（5分）八、监督与考核（一）教育行政部门监督1.教育行政部门定期对学校信息安全与网络安全管理工作进行监督检查。（5分）2.对发现的问题及时下达整改通知书，督促学校整改。（3分）（二）考核评价1.教育行政部门将学校信息安全与网络安全管理工作纳入年度考核内容。（5分）2.根据评估细则对学校进行量化考核，考核结果与学校评优评先等挂钩。（5分）九、附则（一）本细则由南通市教育局负责解释。（二）本