学校信息安全管理制度

学校信息安全管理制度第一章总则第一条为加强学校信息安全管理工作，确保校园网络与信息系统的安全、稳定、可靠运行，保护学校、教职工、学生及家长的合法权益，依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《中华人民共和国未成年人保护法》以及教育部、公安部关于信息安全管理的相关规定，结合本校信息化建设实际情况，特制定本制度。第二条本制度适用于学校所有部门、全体教职工（含聘用人员、临时工）、在校学生以及访问校园网或使用学校信息资源的第三方人员。所有涉及信息获取、处理、存储、传输和销毁的行为均须遵守本制度。第三条信息安全管理工作遵循“谁主管、谁负责，谁使用、谁负责，谁运行、谁负责”的原则，坚持“预防为主、综合治理、人员防范与技术防范相结合”的方针，确保信息安全工作有章可循、责任到人。第四条学校信息安全建设的目标是：建立健全信息安全防护体系，保障信息基础设施安全，保障数据全生命周期安全，保障业务应用连续性，提升全员信息安全意识，实现对信息安全风险的可知、可防、可控。第二章组织架构与职责第五条学校成立网络安全与信息化领导小组（以下简称“领导小组”），作为学校信息安全工作的最高决策机构。领导小组由校长任组长，分管信息化工作的副校长任副组长，成员包括各处室负责人、年级组长及信息技术中心负责人。第六条领导小组主要职责：（一）贯彻落实国家及上级部门关于信息安全的法律法规和政策文件；（二）审定学校信息安全发展规划、年度工作计划及重大预算投入；（三）决策学校重大信息安全突发事件，指挥应急处置工作；（四）监督、检查信息安全责任制的落实情况。第七条信息技术中心（或网络中心）作为学校信息安全工作的职能执行机构，下设信息安全专职岗位。其主要职责包括：（一）起草和落实学校信息安全管理制度、技术标准和操作规程；（二）负责校园网络、数据中心、服务器等基础设施的日常安全运维与监控；（三）负责防火墙、入侵检测、防病毒等安全设备的配置、更新与管理；（四）组织开展信息安全风险评估、漏洞扫描和渗透测试；（五）受理信息安全事件报告，组织实施技术处置和恢复工作；（六）定期向领导小组汇报信息安全状况及存在的问题。第八条各处室、年级组、教研组是本部门信息安全工作的责任主体，部门负责人为第一责任人。其主要职责包括：（一）组织本部门人员学习并遵守信息安全管理制度；（二）负责本部门管理的数据资产（如学生成绩、教学资源、人事档案等）的安全管理；（三）配合信息技术中心开展信息安全检查和事件调查；（四）及时报告本部门发现的信息安全隐患和事件。第三章网络环境安全管理第九条网络架构安全管理。校园网络应采用物理或逻辑隔离的方式，划分为内部办公区、教学区、对外服务区等不同安全域。关键业务系统和核心数据应部署在安全等级较高的区域，并严格限制访问控制策略。第十条网络设备安全管理。路由器、交换机、防火墙等网络设备必须由信息技术中心统一管理。任何未经授权的设备不得接入校园网络核心层和汇聚层。网络设备的配置文件应定期备份，配置更改必须经过审批并记录留痕。第十一条无线网络安全管理。校园无线网络（Wi-Fi）应采用安全的加密协议（如WPA2-Enterprise或WPA3），禁止使用WEP等弱加密算法。无线接入点（AP）的部署应经过统一规划，防止信号泄露和非法接入。建立无线网络实名认证机制，确保上网行为可追溯。第十二条IP地址与带宽管理。校园网实行IP地址统一规划、分配和管理。严禁私自更改IP地址、盗用他人IP地址或私接DHCP服务器。对于占用带宽过大影响正常教学办公秩序的行为，信息技术中心有权采取限速或断网措施。第十三条远程访问安全管理。严禁向互联网开放核心业务系统的远程管理端口（如RDP、SSH、Telnet等）。确因工作需要需远程接入校内网络的，必须通过VPN（虚拟专用网络）方式，并采用多因素认证（MFA）技术，确保访问来源的可信度。第四章信息资产与数据分类分级管理第十四条学校实行信息资产分类分级管理制度。根据信息资产的重要性、敏感性和保密性，将数据划分为“公开信息”、“内部信息”、“敏感信息”和“绝密信息”四个等级。数据等级定义示例保护要求公开信息可向公众披露，无保密要求学校简介、招生简章、校园新闻基础防护，确保网页防篡改内部信息仅限校内使用，不对外公开内部通知、会议纪要、通用教学资源身份认证，访问控制，禁止外传敏感信息涉及个人隐私或学校权益，泄露会造成危害学生身份证号、家庭住址、成绩、教职工薪资强加密，严格权限控制，操作审计绝密信息核心机密，泄露将造成严重损害考试题库、未公开的科研机密、财务核心数据物理隔离，最高级加密，专人专管第十五条数据采集安全管理。采集个人信息（特别是未成年人信息）必须遵循“最小必要”原则，明示收集、使用信息的目的、方式和范围，并取得监护人或本人的同意。严禁非法采集、过度采集与教育教学无关的个人信息。第十六条数据存储安全管理。敏感数据和绝密数据必须以加密形式存储。数据库系统应设置复杂的口令，并定期更换。重要数据应建立异地容灾备份机制，定期进行数据恢复演练，确保数据的可用性和完整性。第十七条数据传输安全管理。敏感数据在校园网内部传输时，应采取必要的加密措施；通过互联网传输敏感数据时，必须使用SSL/TLS等安全协议加密传输，禁止明文传输。第十八条数据销毁安全管理。对于不再需要的纸质敏感资料，应通过碎纸机物理销毁；对于存储在硬盘、U盘、磁带等介质中的敏感数据，在废弃或转借前，必须通过低级格式化、数据覆写或物理消磁等方式进行不可恢复性清除，防止数据泄露。第五章应用系统与网站安全管理第十九条应用系统开发安全管理。学校自行开发或采购的应用系统，必须符合国家信息安全标准。在系统上线前，必须经过代码安全审计和漏洞扫描，严禁存在高危漏洞（如SQL注入、跨站脚本攻击XSS、未授权访问等）的系统上线运行。第二十条网站内容安全管理。学校官方网站及各部门子网站实行“谁发布、谁负责”的内容审核机制。建立信息发布三级审核制度（编辑初审、部门负责人复审、主管领导终审），确保发布内容的真实性、准确性和合法性。严禁发布涉密信息、有害信息、虚假信息和商业广告。第二十一条网站安全防护。所有对外发布的网站必须部署Web应用防火墙（WAF），并开启防篡改功能。网站后台管理地址应进行隐藏或重命名，管理后台必须限制登录尝试次数，防止暴力破解。第二十二条账号与口令管理。应用系统管理员账号必须专人专用，严禁共用账号。系统管理员、数据库管理员等特权账号的口令长度不得少于14位，且必须包含大小写字母、数字及特殊符号，每90天强制更换一次。普通用户账号在连续输错密码5次后应锁定账户。第二十三条软件更新与补丁管理。信息技术中心应密切关注操作系统、数据库、中间件及应用软件的安全公告，及时获取并安装安全补丁。在安装补丁前，应在测试环境中进行充分验证，确保不影响业务系统的正常运行。第六章终端设备与移动存储介质管理第二十四条办公计算机安全管理。所有办公计算机（含台式机、笔记本）必须安装学校统一规定的正版杀毒软件和终端安全管理软件，并确保病毒库版本实时更新。严禁私自关闭杀毒软件或卸载终端管理代理。第二十五条操作系统安全管理。办公计算机应使用经过授权的正版操作系统，并开启系统自动更新功能，及时安装系统补丁。严禁关闭操作系统自带的防火墙功能。第二十六条软件安装管理。办公计算机严禁安装与工作无关的游戏、娱乐、股票等软件。严禁安装来源不明、可能存在恶意代码的盗版软件。各部门如需安装专业教学或办公软件，应向信息技术中心提出申请，由专业人员协助安装或进行安全评估后自行安装。第二十七条移动存储介质管理。严禁使用私人U盘、移动硬盘等移动存储介质处理涉密或敏感信息。工作用U盘应进行加密分区处理，并开启“只读”开关或写保护功能，防止交叉感染木马病毒。第二十八条移动智能终端管理。教职工如需将个人智能手机、平板电脑接入学校办公系统处理邮件或公文，必须遵守移动设备管理（MDM）策略，包括但不限于设置屏幕锁密码、开启设备定位功能、允许学校远程擦除丢失数据等。严禁将个人移动终端连接涉密计算机充电。第七章物理环境安全管理第二十九条机房安全管理。网络中心机房是学校的重点要害部位，实行24小时值班制或通过电子门禁系统进行出入控制。严禁非机房管理人员进入机房，确因工作需要进入的，须经信息技术中心负责人批准，并由专人陪同，进出需登记时间及事由。第三十条机房环境安全。机房内应配备精密空调、恒温恒湿系统、消防报警系统（气体灭火）、不间断电源（UPS）及防雷接地系统。严禁在机房内吸烟、喝水、存放易燃易爆物品和食品。机房内严禁使用大功率电器，定期检查线路安全。第三十一条设备物理安全。服务器、网络设备等关键设备应固定在机柜内，并粘贴资产标签。废弃的涉密信息设备（如硬盘、服务器）在报废前，必须拆除存储介质并进行彻底的物理销毁，严禁直接作为废品出售。第八章恶意代码防范与应急响应第三十二条病毒防范管理。学校建立多层次病毒防范体系，在网关、服务器、终端三个层面部署防病毒系统。一旦发现计算机感染病毒，应立即断开网络连接，进行查杀处理，如无法清除应及时上报信息技术中心。第三十三条安全事件分类分级。根据信息安全事件的性质、影响范围和危害程度，将事件分为特别重大（I级）、重大（II级）、较大（III级）和一般（IV级）四个等级。事件等级描述响应时限I级（特别重大）核心数据大规模泄露，全校网络瘫痪，造成严重社会影响立即响应，15分钟内上报II级（重大）重要业务系统中断超过24小时，大量敏感数据泄露30分钟内响应，1小时内上报III级（较大）局部网络中断，个别系统瘫痪，病毒在局部爆发1小时内响应，4小时内上报IV级（一般）单机病毒感染，非核心系统短暂故障，账号锁定8小时内响应，24小时内上报第三十四条应急预案与演练。学校制定《网络安全事件应急预案》，明确应急组织架构、响应流程、处置措施和恢复步骤。每年至少组织一次全校性的信息安全应急演练，检验预案的有效性，并根据演练结果修订预案。第三十五条事件报告与处置。发生信息安全事件后，发现人应第一时间保护现场，并报告部门负责人和信息技术中心。严禁隐瞒、迟报或谎报。信息技术中心接到报告后，应立即组织技术人员进行排查、取证和隔离，采取有效措施控制事态发展，并配合公安机关进行调查。第九章第三方服务安全管理第三十六条供应商安全管理。采购涉及网络信息安全的产品或服务（如软件开发、系统集成、设备维护），应选择具有相应资质且信誉良好的供应商。在合同中必须明确双方的安全责任，要求供应商承诺不留存、不泄露学校数据。第三十七条外包人员安全管理。确需外部人员（如开发商、运维商）进入校内网络或系统进行操作的，必须签订保密协议。操作过程必须在授权范围内进行，并实行全过程监控或专人旁站。操作结束后，应立即注销临时账号，回收权限。第三十八条云服务安全管理。确因业务需要使用公有云服务的，必须进行安全评估，确保数据出境符合国家法律法规。云平台上的数据必须加密存储，密钥由学校自行掌管。定期对云服务配置进行审计，防止因配置错误导致的数据泄露。第十章信息安全教育与培训第三十九条教职工安全教育。将信息安全教育纳入教职工继续教育体系。新入职教职工必须接受信息安全岗前培训并考核合格后方可开通网络账号。每年至少组织一次全员信息安全意识培训，内容包括最新网络安全形势、法律法规、防范网络诈骗、个人信息保护等。第四十条学生安全教育。将网络安全与信息素养教育纳入学生德育和信息技术课程。通过主题班会、宣传栏、校园广播、知识竞赛等形式，教育学生文明上网，防范网络沉迷，保护个人隐私，抵制网络谣言和不良信息。第四十一条安全意识宣传。利用国家网络安全宣传周等契机，通过多种渠道开展信息安全宣传活动，提高全员对信息安全重要性的认识，营造“网络安全人人有责、人人参与”的良好氛围。第十一章监督检查与责任追究第四十二条日常检查与审计。信息技术中心定期（每季度至少一次）对全校网络设备、服务器、终端及应用系统进行安全检查和日志审计。检查内容包括账号使用情况、权限设置情况、补丁更新情况、病毒库版本等。第四十三条年度考核。将信息安全工作纳入各部门和教职工的年度绩效考核体系。对于在信息安全工作中做出突出贡献的部门和个人，给予表彰和奖励。第四十四条违规处理。对于违反本制度规定，造成信息安全事件或存在重大安全隐患的行为，学校将视情节轻重给予批评教育、通报批评、扣发绩效工资、行政处分等处理；情节严重，构成犯罪的，依法移交司法机关追究刑事责任。具体违规行为包括但不限于：（一）故意泄露、窃取、篡改、破坏学校数据或信息系统；（二）利用校园网络从事违法违纪活动，传播有害信息；（三）私自搭建无线热点、私接路由器扰乱网络秩序；（四）无视安全警告，拒不整改重大安全隐患；（五）将涉密计算机接入互联网或在互联网计算机上处理涉密信息；（六）因管理不善导致账号密码泄露，被不法分子利用造成损失。第十二章附则第四十五条