欢迎光临平顶山市教育体育局!今天是:
| 繁体 | 网站已支持ipv6当前位置: 首页 - 机构设置 - 二级机构 - 教育体育资源保障中心 - 网络安全
各县(市、区)教体局、高新区农社局,局属各学校:
为进一步提高平顶山市教育体育系统网络安全和信息化管理水平,确保教体系统网络安全、稳定运行,保护信息资产,防止信息泄露、篡改和破坏,市教体局制定了《平顶山市教育体育系统网络安全和信息化管理制度》,现印发给你们,请认真贯彻执行。
2023年12月22日
平顶山市教育体育系统网络安全和信息化管理制度
第一章 总则
第一条 为贯彻《中华人民共和国网络安全法》(以下简称《网络安全法》),最大限度地消除互联网应用风险和隐患,提高全市教育体育系统网络安全防护水平,保障网络及应用系统的安全、稳定运行,制定本制度。
第二条 把信息系统安全纳入教体系统的发展规划和预算管理,确立信息系统安全在教体系统发展中的重要地位。
第三条 加强信息系统安全队伍建设,将人才培养与推进信息化安全结合起来,提高全员信息化应用安全水平。
第四条 制订信息化安全管理和应用培训计划,开展信息化安全应用相关培训,不断提升我市教体系统全体干部职工以及师生的安全防护意识和能力。
第五条 本规定基本内容包括:网络安全管理、设备管理、系统安全管理、机房管理、数据安全管理、信息安全管理、个人信息保护、应急处理。
第二章 网络安全管理
第六条 设立网络安全和信息化领导小组,负责制定网络安全策略、审批网络安全管理制度和协调处理重要网络安全事件。建立网络管理台账,掌握本单位的网络结构及终端的接入情况,做到条理清楚、管理到位。
(一)网络管理员负责网络设备的日常维护、安全配置和监测,及时处理网络故障和安全事件。所有网络设备(包括防火墙、路由器、交换机等)由网络部统一管理,其安装、维护等操作应由专人员进行,其他任何人不得破坏或擅自进行维修和修改。同时,登录网络设备密码应遵循复杂性原则,且位数应不低于8位。
(二)建立网络拓朴图,标注线路连接、设备功能、IP地址、子网掩码、出口网关等常用管理信息。
(三)教育城域网应实行静态IP管理,IP地址由软件部统一分配,并制定“IP地址分配表”,记录IP地址使用单位。
(四)网络访问控制采用身份认证技术,对用户进行身份验证,确保只有授权用户能够访问教育城域网内的网络资源。
(五)划分不同的网络区域,根据业务需求设置访问权限,限制不同区域之间的访问。对外部网络连接进行严格管理,通过防火墙、入侵检测等技术手段防范外部攻击。
(六)教育城域网用户应严格执行国家《网络安全法》和网络安全相关规定,不得进行非法网络活动,对在网络上(包括内网和外网)从事任何有悖网络安全法律法规的活动者,将视其情节轻重交有关部门或公安机关处理。
(七)建立网络安全监测机制,实时监测网络流量和系统状态,及时发现安全隐患。制定网络安全应急预案,明确应急响应流程和责任分工,定期进行应急演练。在发生网络安全事件时,及时启动应急预案,采取有效措施进行处置,并向上级主管部门报告。
第三章 设备管理
第七条 对网络设备进行登记管理,定期进行设备巡检和维护,及时更新网络设备的软件和固件,修复已知安全漏洞,确保设备正常运行。
(一)建立设备管理台账,应包含以下内容:设备型号、序列号、设备配置、技术参数、运行时间、保修期限等日常维护信息;
(二)服务器电源应保证冗余电源,有条件的情况下采用双路电源接入。对于运行重要应用系统的服务器设备,还应配备不间断(UPS)电源,以避免非常规断电造成服务器设备的物理损坏。UPS负载必须保持在总负荷80%以下,并且定期对UPS设备进行检测,确保设备运行正常和有效;
(三)相关管理人员应定期对各设备进行巡检,查看设备运行日志,监测设备,并填写“巡检情况记录”;
(四)严禁撕毁、涂画或遮盖IT设备标签,或未经允许擅自调整信息系统的配置;
(五)对网络设备的配置进行备份,以便在设备故障或安全事件发生时能够快速恢复。
(六)终端设备,特别是笔记本电脑等移动设备应采用实名制,不得赠送、出借、出售给他人使用。
第四章 系统安全管理
第八条 系统安全管理应充分利用现有资源,完善相关的管理制度和流程,保证安全系统有效、稳定和可靠运行。
(一)设置防火墙安全策略时,应考虑隔离病毒传播、非授权访问的通道等方面的内容,而且策略应注明用途,避免冗余策略的产生;
(二)按照不同的访问权限,在核心交换机、路由器设置不同的访问控制策略。
(三)不定期开展对服务器进行安全扫描,针对发现的漏洞及时补漏加固。
(四)移动存储设备(优盘、移动硬盘等)必须进行病毒扫描确认无毒后,方能接入服务器;
(五)各应用系统管理员登录密码应遵循密码复杂度原则,且位数不应少于8位;
(六)定期查看各应用系统、终端操作系统相关安全公告,根据需要下载操作系统相关补丁安装包,进行测试后对服务器进行升级;
(七)禁止在机房服务器上安装与系统应用无关的软件,并且安装软件要确认安装包的安全性,安装和卸载软件应做好相应记录;
(八)定期对所配备的计算机终端的操作系统、杀毒软件等进行升级和更新,并定期进行病毒查杀;
(九)妥善保管根据职责权限所掌握的各类办公账号和密码,严禁随意向他人泄露和借用;
(十)经远程通信传送的程序或数据,必须经过安全检测确认无病毒后方可安装和使用;
(十一)定期组织灾难恢复演习,提高相关管理人员的应急反应能力,确保恢复过程安全、迅速和有效;
(十二)重大节假日之前,相关人员应对网络、各应用系统进行巡检,确保节假日期间网络和各应用系统运行安全、稳定和有效。
第五章 机房管理
第九条 对机房进行科学、规范管理,确保计算机网络、各应用系统安全、高效和稳定运行。
(一)采取措施确保机房设备物理安全;
(二)机房温、湿度达到《电子计算机机房设计规范》国家标准(GB50174-93)要求;
(三)未经授权且机房管理人员在场监督,任何人不得自行配置、更换或挪用机房内的路由器、交换机和服务器以及其他通信设备等;
(四)严禁携带易燃易爆和强磁物品及其它与机房工作无关的物品进入机房;
(五)机房定期做好清洁除尘工作,未经机房管理人员同意严禁无关人员进入机房。
第六章 数据安全管理
第十条 高度重视各类数据备份的重要性,制定备份策略,并定期进行恢复检查,确保数据的安全、完整和可用性,防止数据泄露、篡改和丢失。
(一)数据安全管理适用于教育城域网内所有数据的产生、存储、传输、处理和销毁等环节。
(二)数据安全管理职责。成立数据安全管理委员会,负责制定数据安全策略、审批数据安全管理制度和监督数据安全管理工作;数据管理员负责数据的日常管理和维护,包括数据备份、恢复、加密等工作;各单位负责人对本部门数据的安全负责,确保单位职工遵守数据安全规定。
(三)数据分类与分级。对单位内部的数据进行分类,如业务数据、财务数据、个人信息等;根据数据的重要性和敏感性,对数据进行分级,确定不同级别的数据安全保护要求。
(四)数据存储与备份。选择安全可靠的存储介质和存储方式,确保数据的存储安全;定期对重要数据进行备份,制定备份策略和恢复计划,确保数据的可恢复性。
(五)数据传输与共享。采用加密等技术手段,确保数据在传输过程中的安全;建立数据共享机制,明确数据共享的范围、方式和安全要求,确保数据共享的安全。
(六)数据销毁。制定数据销毁流程,确保不再使用的数据能够被安全销毁;对存储介质进行物理销毁或数据擦除,防止数据泄露。
第七章 信息安全管理
第十一条 加强涉密信息的安全管理工作,严格落实内、外网物理隔离,做到“涉密不上网,上网不涉密。
(一)对涉密的设备运行和使用情况进行定期检查;
(二)涉密的电脑不得接入局域网更不能直接接入互联网使用。涉密电脑因工作需要必须接入内网或者互联网时,原使用者应进行资料清理后再进行使用;
(三)涉密电脑密码不得向无关人员泄露,必须定期进行更换,原则上至少每半年更换一次,而且密码应具有一定复杂性;
(四)规范和细化存储介质的使用范围,如用于处理敏感信息的存储介质,不应处理和传输涉密信息,更不得在连接互联网的计算机上使用;
第八章 个人信息保护管理
第十二条 为保护个人信息的安全,规范个人信息的收集、使用和管理,制定个人信息保护办法。本办法适用于我市教体系统内部所有涉及个人信息处理的活动。
(一)个人信息保护办法的基本内容包括个人信息保护管理职责、个人信息的收集与使用、个人信息的存储与保护、个人信息的传输与共享、个人信息主体权利保障、个人信息安全事件处置。
(二)个人信息保护管理职责。设立个人信息保护领导小组,负责制定个人信息保护策略、审批个人信息保护管理制度和协调处理个人信息安全事件;个人信息管理员负责个人信息的日常管理和维护,包括个人信息的收集、存储、使用、传输和销毁等工作;各单位负责人对本单位个人信息处理活动的安全负责,确保单位职工遵守个人信息保护规定。
(三)个人信息的收集与使用。明确个人信息的收集目的、范围和方式,确保收集的个人信息合法、正当、必要;在收集个人信息时,应向个人信息主体明示收集目的、方式和范围,并获得个人信息主体的同意;严格按照收集目的使用个人信息,不得超出范围使用个人信息。
(四)个人信息的存储与保护。选择安全可靠的存储介质和存储方式,确保个人信息的存储安全;对个人信息进行加密存储,采取访问控制、数据备份等措施,防止个人信息泄露、篡改和丢失。
(五)个人信息的传输与共享。采用加密等技术手段,确保个人信息在传输过程中的安全;建立个人信息共享机制,明确个人信息共享的范围、方式和安全要求,确保个人信息共享的安全。
(六)个人信息主体权利保障。个人信息主体有权查询、更正、删除其个人信息,单位应建立相应的受理机制,及时处理个人信息主体的请求;个人信息主体有权撤回其同意,单位应在收到撤回同意请求后,停止使用其个人信息。
(七)个人信息安全事件处置。制定个人信息安全事件应急预案,明确应急响应流程和责任分工;在发生个人信息安全事件时,及时启动应急预案,采取有效措施进行处置,并向个人信息主体和相关部门报告。
第九章 应急处理
第十三条 制定网络安全应急处理预案,明确责任,日常管理及日常处置的应急要求。当发生网络安全事件时,及时启动应急处理程序,调动有关资源作出响应,降低安全事件对网络运行的影响。
(一)当黑客攻击时的应急处理措施
1、当发现服务器内容被篡改,或通过防火墙发现有黑客正在进行攻击时,首先将被攻击的服务器等设备从网络中隔离出来,同时向网络安全与信息化领导小组汇报情况;
2、网络管理员负责被破坏系统的恢复与重建工您;
3、故障排除后,尽快恢复网络连接。
(二)病毒安全应急处理措施
1、当发现网络中有计算机感染病毒后,立即将该机从网络上隔离出来;
2、对设备的硬盘进行数据备份;
3、启用杀毒程序进行杀毒处理,同时进行全网查毒,对其他机器进行病毒扫描和清除工作;
4、如发现杀毒程序无法清除该病毒,应作好相关记录,同时立即向网络安全与信息化领导小组报告,并迅速联系有关产品供应商进行沟通、研究和解决。
(三)数据库系统应急处理措施
1、如发现是数据库故障导致应用系统不能运行,由应用系统相关部门应用管理员负责查找故障原因,并进行恢复;
2、如问题不能解决,应联系应用系统服务商进行技术支持或现场服务;
3、如服务商也无法解决故障,启用备份恢复系统,将数据库恢复至最近的备份时间点;
4、故障排除后,应恢复应用系统,并进行验证性测试。
(四)应用系统应急处理措施
1、如发现是应用系统软件故障导致应用系统不能运行,由相关部门应用系统管理员查找故障原因,并进行恢复;
2、如应用系统管理员不能解决故障,应立即联系应用系统开发商进行技术支持或进行现场服务;
3、如开发商也无法解决故障,启用备份恢复系统,将应用系统恢复至最近的备份时间点;
4、故障排除后,应恢复应用系统,并进行验证测试。
(五)互联网线路中断应急处理措施
1、网络管理员发现问题后,应迅速判断故障节点,查明故障原因;
2、如属单位管辖范围,由网络管理员采取相应措施第一时间予以恢复。如遇无法恢复情况,应向有关设备厂商寻求支持;
3、如属网络链路运营商管辖范围,应立即与网络链路运营商相关人员联系,进行故障报修,寻求尽快修复,并对修复进展进行实时跟进;
4、故障排除后,应恢复网络连接,并进行测试,保证网络稳定、正常运行。
第十章 附则
第十四条 本制度由市教育体育资源保障中心负责解释。
第十五条 本制度自发布之日起实施。
版权所有:平顶山市教育体育局 联系地址:平顶山市新城区和谐路中段
网站标识码 4104000017 联系电话:0375-2629911
ICP证号:豫ICP备07501304号-5 豫公网安备41017202000105号 技术支持:平顶山电子政务外网运维中心