幼儿园网络及信息安全管理制度

幼儿园网络及信息安全管理制度网络设备采购须选择通过国家信息安全认证的产品，禁止采购、使用未经安全检测或来源不明的网络设备及软件。新设备部署前需由园所信息管理员进行安全检测，确认无恶意程序、漏洞后接入内网。核心网络设备（路由器、交换机、服务器等）须放置于独立机房，机房需安装门禁系统（采用指纹或IC卡认证，仅允许信息管理员及园长授权人员进入）、24小时视频监控（录像保存至少3个月）、消防设备（烟雾报警器、干粉灭火器）及温湿度监控装置（温度保持2028℃，湿度40%60%）。网络设备日常维护由专职信息管理员负责，每日检查设备运行状态并记录日志（包括设备状态、连接数、流量异常等），每月进行一次全面安全检测（含漏洞扫描、配置核查），检测报告存档保存至少2年。关键系统补丁更新需经测试环境验证后48小时内完成部署，非关键补丁每月集中更新一次。网络接入实行分级管理，内部网络分为教学网、管理网、监控网，三网物理隔离。教学网仅用于教师教学设备、幼儿互动终端接入，管理网用于办公电脑、财务系统等内部管理平台，监控网独立运行视频监控设备。教师账号按岗位分配权限：班主任可访问班级幼儿信息（含姓名、照片、家长联系方式）及教学资源；后勤人员仅可访问物资管理系统；园长拥有最高管理权限（可查看所有数据及设备状态）。幼儿信息查询账号由班主任统一管理，禁止转借他人。家长端通过“家园共育”APP接入，需通过手机号码+短信验证码实名认证，仅可查看本人子女的考勤、食谱、活动照片（照片需模糊处理背景中的其他幼儿信息），禁止访问其他幼儿数据。访客网络单独部署，采用MAC地址绑定或临时账号（有效期不超过24小时）认证，仅开放互联网访问权限，禁止访问内部网络资源，访客接入日志保存至少6个月。幼儿个人信息收集遵循“最小必要”原则，仅采集姓名、出生日期、监护人姓名及联系方式、过敏史、疫苗接种情况（需家长提供接种本复印件），禁止收集家庭住址、经济状况等无关信息。信息收集前需向家长出示《信息收集告知书》，明确用途及保存期限（自幼儿离园起保存3年），由监护人签字确认后存档。本地存储的幼儿信息须加密存储（采用AES256加密算法），数据库设置访问白名单（仅允许管理网内授权设备访问），重要字段（如身份证号、联系方式）进行脱敏处理（显示前3位和后4位）。每日23:00自动备份数据库至离线存储介质（专用移动硬盘，每周更换一次，存放于防火防水保险柜），备份数据每季度进行一次恢复测试并记录结果。通过互联网传输幼儿信息时须使用HTTPS协议（TLS1.2及以上版本），禁止通过微信、QQ等即时通讯工具传输敏感信息（如完整身份证号、诊断证明）。数据删除需使用专业擦除工具（如DBAN）覆盖存储区域3次以上，删除记录由信息管理员和部门负责人共同签字确认。信息安全责任实行园长负责制，园长为第一责任人，信息管理员为直接责任人，各班级教师为班级信息安全责任人。新入职教职工须在入职7日内完成信息安全培训（内容包括《个人信息保护法》相关条款、幼儿信息保护规范、常见网络攻击识别方法），培训后参加测试（满分100分，80分以上合格），未合格者暂停上岗直至补考通过。全体教职工每年12月参加复训（时长不少于4课时），培训记录及测试成绩存入个人档案。教职工需签订《信息安全保密协议》，明确禁止行为（包括但不限于：私自拷贝幼儿信息、在公共场合谈论幼儿隐私、将办公账号交于他人使用），违规者视情节轻重给予警告、扣罚绩效或解除劳动合同，造成严重后果的依法追究法律责任。外部人员（如设备维修人员）进入机房需填写《机房访问申请表》，经园长审批后由信息管理员全程陪同，维修过程中禁止操作服务器及存储设备，维修结束后由信息管理员检查设备状态并记录维修内容（包括更换部件、修改配置等）。网络安全监测由信息管理员每日9:00、15:00、17:30三次登录监控平台查看流量趋势、异常连接（如同一IP地址10分钟内尝试5次以上登录失败）、恶意代码检测结果。网络日志（包括设备登录、数据访问、外部连接）保存至少6个月，关键操作日志（如数据库修改、权限变更）保存至少1年。制定《网络与信息安全事件应急预案》，明确以下处置流程：发现网络攻击（如勒索软件、DDOS攻击）时，立即断开受影响设备网络连接，备份当前系统状态，20分钟内报告园长；发生数据泄露（如幼儿信息被非法获取）时，30分钟内锁定泄露范围（确定泄露数据内容及涉及幼儿数量），1小时内通知家长（通过电话+短信告知泄露情况及补救措施），2小时内向属地教育主管部门和公安网安部门报备；设备故障（如服务器宕机）时，10分钟内启用备用服务器（日常保持热备状态），4小时内完成故障设备修复，超过8小时未修复需向全体教职工及家长说明情况。应急演练每学期开展1次（包括模拟数据泄露、网络攻击场景），演练记录及改进措施存档保存3年。办公电脑禁止安装非授权软件（如游戏、直播工具），默认关闭USB接口（仅允许信息管理员授权的存储设备接入），屏幕保护设置为10分钟自动锁定（需输入密码解锁）。教职工账号密码须包含字母、数字、符号（长度至少8位），每3个月更换一次，禁止使用生日、手机号等弱密码。移动存储设备（U盘、移动硬盘）实行登记管理（记录设备编号、使用人、用途），仅用于内部数据拷贝，禁止连接私人电脑或外部网络。视频监控系统存储时间不少于30天，监控画面仅允许安保人员、园长调阅，调阅需填写《监控调阅申请表》（注明调阅时间、原因），调阅记录保存至少1年。禁止在互联网公共平台（如抖音、微信公众号）发布包含幼儿清晰面部特征的照片或视频，确需发布的须经家长书面同意并对幼儿面部进行模糊处理（模糊程度需覆盖80%以上面部特征）。第三方服务（如家园沟通APP、在线教学平台）须选择具备《信息系统安全等级保护备