南通市學校信息安全與網絡安全管理評估細則?一、總則（一）目的為加強南通市學校信息安全與網絡安全管理，保障學校教育教學活動的正常開展，維護師生和學校的合法權益，根據國家相關法律法規和政策要求，制定本評估細則。（二）適用范圍本細則適用于南通市各級各類學校（含幼兒園、小學、中學、中等職業學校、高等學校等）。（三）基本原則1.預防為主：強化信息安全與網絡安全意識，建立健全預防機制，防范各類安全風險。2.綜合治理：實行學校主體責任、教育行政部門監管責任，多方協同配合，共同推進安全管理。3.技術與管理并重：運用先進技術手段，結合科學規范的管理制度，提升安全保障水平。4.動態調整：根據信息技術發展和安全形勢變化，及時調整和完善評估細則。二、組織管理（一）安全管理機構1.學校應成立信息安全與網絡安全工作領導小組，由學校主要領導擔任組長，成員包括相關部門負責人。（3分）2.領導小組定期召開會議，研究部署信息安全與網絡安全工作，每學期不少于2次。（3分）3.明確信息安全與網絡安全管理部門或專人負責日常工作，職責清晰。（3分）（二）管理制度1.建立健全信息安全與網絡安全管理制度，包括網絡安全責任制、信息系統安全管理制度、用戶賬號管理制度、數據安全管理制度、網絡安全應急預案等。（5分）2.各項管理制度符合國家法律法規和行業標準要求，具有可操作性。（3分）3.定期對管理制度進行修訂和完善，確保其有效性。（2分）（三）人員管理1.對涉及信息安全與網絡安全的工作人員進行安全培訓，每年不少于1次。（3分）2.與工作人員簽訂保密協議，明確其安全責任和義務。（3分）3.對新入職人員進行信息安全與網絡安全背景審查。（2分）三、網絡安全（一）網絡邊界安全1.學校網絡與互聯網之間設置防火墻，配置合理，功能正常。（5分）2.對進出校園網絡的流量進行監控和審計，記錄保存不少于6個月。（3分）3.限制外部非法網絡訪問，禁止非授權設備接入校園網絡。（3分）（二）網絡設備安全1.網絡設備（路由器、交換機等）運行穩定，定期進行維護和檢查。（3分）2.網絡設備的登錄密碼安全強度高，定期更換。（2分）3.對網絡設備進行漏洞掃描和修復，及時處理安全隱患。（3分）（三）無線網絡安全1.校園無線網絡采用WPA2及以上加密協議。（3分）2.對無線網絡用戶進行身份認證和授權管理。（3分）3.定期檢查無線網絡的安全性，防止無線網絡被破解。（2分）（四）網絡安全監測與應急處置1.建立網絡安全監測機制，實時監測網絡運行狀態和安全事件。（3分）2.制定網絡安全應急預案，明確應急處置流程和責任分工。（5分）3.定期組織網絡安全應急演練，每學期不少于1次。（3分）4.發生網絡安全事件時，能及時采取措施進行處置，并按規定報告。（4分）四、信息系統安全（一）系統建設與管理1.學校自主建設或使用的信息系統符合安全設計要求，通過安全檢測和備案。（5分）2.對信息系統進行安全等級保護定級備案，根據定級開展相應的安全建設和管理。（5分）3.信息系統的開發、上線、變更等過程進行安全評估和審核。（3分）（二）系統訪問控制1.對信息系統用戶進行身份認證和授權管理，權限設置合理。（3分）2.定期清理系統中無效或長期未使用的賬號。（2分）3.限制非授權用戶訪問信息系統。（3分）（三）系統數據安全1.對信息系統中的重要數據進行備份，備份策略合理，備份數據保存完整。（5分）2.采取數據加密、存儲加密等技術手段保護數據安全。（3分）3.建立數據安全審計機制，對數據訪問和操作進行審計。（3分）（四）系統安全維護1.定期對信息系統進行漏洞掃描和修復，及時處理安全隱患。（3分）2.安裝防病毒軟件，實時更新病毒庫，對系統進行病毒防護。（3分）3.關注信息系統供應商發布的安全補丁，及時進行更新。（2分）五、數據安全（一）數據分類分級管理1.對學校各類數據進行分類分級，明確不同級別數據的安全保護要求。（5分）2.根據數據分類分級結果，采取相應的數據安全管理措施。（3分）（二）數據存儲與傳輸安全1.重要數據存儲在安全的存儲設備上，存儲設備有備份和異地存儲。（5分）2.在數據傳輸過程中采取加密等安全措施。（3分）（三）數據使用與共享安全1.規范數據使用流程，確保數據使用合法合規。（3分）2.在數據共享時，遵循相關法律法規和學校規定，簽訂數據共享協議，保障數據安全。（3分）（四）數據銷毀安全1.對不再使用或已過期的數據進行安全銷毀。（3分）2.建立數據銷毀記錄，記錄保存不少于2年。（2分）六、用戶安全（一）用戶賬號管理1.建立用戶賬號管理制度，規范賬號的創建、修改、刪除等操作。（3分）2.用戶賬號采用強密碼策略，定期更換密碼。（3分）3.對用戶賬號的權限進行嚴格管理，定期審核用戶權限。（3分）（二）用戶安全教育1.開展面向師生的信息安全與網絡安全知識教育，每學期不少于1次。（3分）2.通過多種形式（如講座、課程、宣傳海報等）進行安全教育宣傳。（3分）3.提高師生的信息安全與網絡安全意識和防范能力。（2分）七、評估與改進（一）自我評估1.學校每年開展信息安全與網絡安全自我評估，形成評估報告。（5分）2.評估報告內容包括評估依據、評估范圍、評估方法、評估結果、存在問題及改進措施等。（5分）（二）整改落實1.根據自我評估和外部檢查發現的問題，制定整改計劃，明確整改措施、責任人和整改期限。（5分）2.按時完成整改任務，對整改情況進行跟蹤和復查，確保問題得到有效解決。（5分）八、監督與考核（一）教育行政部門監督1.教育行政部門定期對學校信息安全與網絡安全管理工作進行監督檢查。（5分）2.對發現的問題及時下達整改通知書，督促學校整改。（3分）（二）考核評價1.教育行政部門將學校信息安全與網絡安全管理工作納入年度考核內容。（5分）2.根據評估細則對學校進行量化考核，考核結果與學校評優評先等掛鉤。（5分）九、附則（一）本細則由南通市教育局負責解釋。（二）本