小学网络与信息保密管理制度

小学网络与信息保密管理制度为规范本校网络与信息处理活动，筑牢校园信息安全防线，保障国家秘密、工作秘密、师生个人隐私及校园公共信息安全，根据《中华人民共和国网络安全法》《中华人民共和国保守国家秘密法》《中华人民共和国个人信息保护法》《教育信息化2.0行动计划》以及教育部、省市教育行政部门关于中小学网络安全与信息管理的相关规定，结合本校办学实际，制定本制度。适用范围与管理职责本制度适用于本校全体教职员工、在校学生、进入本校网络系统的外单位协作人员、外包服务机构人员，覆盖所有涉及本校网络使用、信息采集、存储、传输、处理、发布的活动。本校网络与信息保密工作实行“谁主管谁负责、谁使用谁负责、谁审批谁负责”的分级管理责任制，明确各级主体责任：1.学校成立网络与信息保密工作领导小组，由校长担任组长，是全校网络与信息保密工作的第一责任人，对全校保密工作负总责；分管信息化工作和安全工作的副校长担任副组长，具体统筹保密工作的部署、推进与考核；成员包括办公室主任、信息中心主任、德育处主任、教务处主任、总务处主任、工会主席及各年级组长，负责落实分管领域的保密管理要求。领导小组主要职责为：制定修订学校网络与信息保密管理制度，研究解决保密工作重大问题，组织开展保密检查与应急演练，协调处置各类信息保密事件，对接上级保密部门与教育行政部门，组织开展保密宣传教育。2.学校信息中心是网络与信息保密工作的具体执行部门，负责校园网络基础设施的安全运维、保密技术防护、信息系统权限管理、日常安全巡检、保密技术工具部署，配合领导小组开展保密检查与事件处置，组织开展保密技术培训。3.学校办公室负责涉密文件、学校工作秘密的流转、归档与日常管理，牵头梳理学校工作秘密清单并定期更新公示，对接上级保密部门开展保密检查。4.教务处负责招生考试、教学管理、学业评价等领域敏感信息的保密管理，明确教学活动中的保密要求，督促教师落实学生成绩、敏感信息的保密管理规定。5.德育处负责学生信息、学生敏感隐私信息的保密管理，规范家委会信息收集与使用行为，指导班主任落实学生个人信息保密要求。6.总务处负责财务、基建、后勤服务等领域敏感信息的保密管理，规范采购、招投标、财务数据等信息的保密管理。7.各部门负责人是本部门网络与信息保密工作的第一责任人，负责督促本部门工作人员遵守保密制度，定期开展部门内部保密自查，及时整改发现的问题；各岗位工作人员是本岗位信息保密工作的直接责任人，对本人经手处理的所有信息安全负直接责任。网络基础设施与设备保密管理本校校园网络按照用途和保密要求分为涉密设备网络、政务内网、校园内部办公网、校园教学网、公共访客无线网五个层级，实行分级隔离管理，严格落实接入审批制度：1.处理涉及国家秘密信息的涉密计算机设备，必须物理隔离于互联网、政务外网和校园内部网络，严禁接入任何公共信息网络；涉密计算机严禁安装使用无线网卡、无线键盘、无线鼠标、蓝牙设备等无线互联装置，严禁使用非涉密移动存储介质交叉拷贝信息，严禁将涉密设备转借他人使用。涉密计算机必须设置长度不低于8位的高强度开机密码，每三个月定期更换密码，由办公室专人负责管理，定期进行安全检查。2.涉密移动存储介质必须由学校办公室统一编号、登记造册、专人保管，严禁带出学校，确因工作需要携带外出的，必须经保密工作领导小组组长审批，登记备案后方可带出，使用后及时交回封存。严禁将私人移动存储介质用于存储涉密信息。3.对接上级教育行政部门的政务内网，仅用于处理内部办公信息和工作秘密，严禁存储处理任何国家秘密信息，严禁违规跳转接入互联网，所有接入政务内网的设备必须备案，严禁私接设备。4.校园内部办公网用于处理学校日常办公敏感信息，仅对教职员工开放，所有接入设备必须向信息中心备案，由信息中心统一分配IP地址，严禁私接路由器、私设无线热点绕过身份认证，严禁校外人员未经审批接入内部办公网。5.校园公共访客无线网仅提供互联网访问服务，严禁接入校园内部业务系统和办公网络，所有访客接入必须进行身份登记，留存身份信息与访问日志，日志留存期限不少于6个月。6.所有学校采购的网络设备、信息存储设备必须从具备资质的正规渠道采购，严禁使用来历不明、存在已知安全漏洞的设备；涉及敏感信息存储的报废设备，必须由信息中心进行专业消磁或者物理粉碎处理，严禁随意丢弃、转让或者流入二手市场，防止信息被窃取。7.教职员工私人计算机严禁存储处理涉密信息、批量师生个人信息和学校工作秘密，确因工作需要临时使用私人电脑处理工作信息的，必须向信息中心备案，安装合格的杀毒软件与防火墙，处理完成后及时彻底删除敏感信息，不得留存。涉密与工作信息保密管理严格区分国家秘密、工作秘密和公开信息，明确不同类型信息的管理要求：1.上级部门下发的标注密级的涉密文件、材料，必须由办公室专人负责签收、登记、传阅，全程跟踪流转，阅办完成后及时收回存档，严禁私自复印、拍摄、摘抄、转发涉密文件内容，严禁将涉密文件带出学校，确因工作需要带出的，必须经领导小组审批。所有涉密信息的处理必须在符合保密要求的涉密设备上完成，严禁通过微信、QQ、钉钉等互联网即时通讯工具传输涉密信息，严禁将涉密信息存储在非涉密设备和公共云平台。2.学校工作秘密包括：未公开的学校发展规划、人事调整方案、重大改革方案、基建项目招投标信息、招生录取预案、财务预决算信息、教职工人事档案信息、工资待遇信息、职称评审未公开结果等，工作秘密清单由学校办公室每年更新公示，所有工作人员不得擅自对外泄露工作秘密，不得在公开场合讨论未公开的工作秘密，不得擅自转发工作秘密相关材料。工作秘密信息原则上通过政务内网传输，确需通过外部网络传输的，必须使用加密工具加密。3.招生考试与学业评价信息严格执行保密管理：上级统一组织的学业监测、升学考试的试题、评分标准、参考答案在开考前属于涉密信息，由专人负责密封保管，考后统一回收销毁，严禁工作人员提前泄露、拍摄外传试题内容；小学招生过程中收集的适龄儿童信息、审核材料属于敏感信息，仅用于招生录取工作，不得对外泄露；考生和学生的考试成绩、学业排名属于个人敏感信息，班主任仅可单独告知学生本人和家长，严禁在班级群、家长会、校园公告栏等公开场合公布全班学生的成绩、排名，严禁将学生成绩排名转发到校外社交平台，不得利用成绩排名公开羞辱学生。4.涉及学校敏感内容的内部会议，严禁参会人员私自录音、录像，严禁擅自整理会议纪要外传，不得泄露会议讨论的未公开内容。学校档案室的涉密档案、敏感档案，仅对授权工作人员开放，严禁无关人员查阅复制。师生个人信息保密管理严格遵守《个人信息保护法》要求，落实个人信息全流程保密管理：1.信息采集遵循最小必要原则，仅采集开展工作必须的个人信息，不得过度采集：不得要求师生、家长提供与工作学习无关的隐私信息，不得强制采集学生家长的收入、职务、房产等非必要信息，采集个人信息必须明确告知采集用途、存储期限、使用范围，征得师生本人和未成年学生监护人的同意。2.学生敏感隐私信息严格控制知悉范围：学生的特殊体质信息、心理健康疾病信息、残障信息、单亲家庭信息、低保家庭信息、违法犯罪记录信息等极度敏感信息，仅可由班主任、德育处相关负责老师、校医知悉，严禁向任何无关人员泄露，不得在班级内公开、讨论这类信息，切实保护学生的人格尊严与隐私权。3.所有师生个人信息必须加密存储在学校内部符合安全要求的信息系统中，严禁存储在个人微信、QQ云盘、百度网盘等公共互联网存储服务中，教职员工岗位调整或者离职退休时，必须及时向部门移交所有存储师生信息的设备与介质，彻底删除个人设备上存储的所有敏感信息，注销相关系统账号，不得留存任何学校信息。4.任何部门和个人不得擅自向第三方机构出售、泄露、提供师生个人信息，不得篡改、滥用师生个人信息；因工作需要确需向第三方提供师生信息的，必须经过学校保密工作领导小组审批，签订正式的信息保密协议，明确第三方的保密责任，限定信息使用范围，禁止第三方将信息用于约定之外的用途，使用完成后要求第三方彻底删除所有信息。5.规范教职员工社交媒体使用行为：全体教职员工不得在朋友圈、微博、抖音、小红书等公共社交平台发布带有学生可识别信息的内容，不得未经同意发布学生的清晰正面照片、姓名、班级、家庭住址、联系方式，不得将完整的学生信息表转发到非工作群组，不得在公共群聊中公开讨论学生的敏感隐私信息；家委会收集学生信息必须经过德育处和班主任审批，仅可采集开展工作必要的信息，不得过度收集，不得泄露学生信息给第三方，家委会成员必须遵守本制度的保密要求。6.严格落实权限管理，仅负责相关工作的教职员工可以按照授权查询师生个人信息，严禁越权查询，严禁将查询到的信息用于非工作用途。信息系统与公开信息发布保密管理规范学校信息系统和公开平台的信息保密管理：1.学校新建信息化项目和信息系统，必须同步设计部署保密防护措施，上线前必须完成信息安全等级保护测评和保密风险评估，不符合安全保密要求的不得上线运行；信息系统权限管理遵循最小授权原则，根据岗位需求分配对应的访问权限，每年定期复核调整权限，工作人员离职后立即注销系统账号与访问权限。2.开展线上教学活动，必须选择符合国家网络安全与信息保密要求的正规平台，严禁使用不知名、存在安全隐患、违规收集用户信息的第三方平台；线上直播教学仅对本班师生开放，严禁随意将直播间链接分享到公共平台，严禁无关人员进入直播间，防止泄露学生信息和教学内容。3.学校官方网站、微信公众号、视频号、微博等公开平台的信息发布实行三级审核制度：撰稿人进行初审，确认内容不涉及国家秘密、工作秘密，不泄露个人隐私；部门负责人进行二审，确认内容准确合规，符合宣传要求；分管领导进行终审，确认可以发布；所有审核必须留下书面或者电子记录，存档备查，实行“谁撰稿谁负责、谁审核谁负责”的责任机制，未经审核的信息一律不得发布。4.公开平台发布信息，必须隐去不必要的个人可识别信息，公示相关名单仅需公布姓名与项目，不得公布身份证号、家庭住址、联系方式、银行卡号等敏感信息；发布师生活动宣传内容，未经学生和监护人书面同意，不得公开学生的清晰正面照片与完整个人信息。5.学校内部工作信息共享必须使用学校统一提供的内部云存储服务，严禁使用个人云盘共享敏感信息，共享链接必须设置访问密码与有效期，定期清理过期共享链接，防止信息泄露。对外合作与外包服务保密管理规范对外合作过程中的信息保密管理：1.学校与外单位开展合作项目、邀请外单位来校开展活动，涉及本校师生信息或者工作信息的，必须签订正式的保密协议，明确外单位的保密责任，要求外单位工作人员遵守本校保密制度；外单位人员需要接入校园网、访问学校内部信息的，必须经过保密工作领导小组审批，由信息中心临时开通权限，活动结束后立即注销权限，收回访问资格。2.学校网络运维、信息系统开发、智慧校园建设等外包服务项目，必须选择具备相应资质、信誉良好的服务机构，签订保密协议，明确要求服务商所有工作人员不得擅自复制、存储、泄露本校任何敏感信息，工作过程中产生的所有本校信息，工作结束后必须全部归还，彻底删除本地存储的所有信息；服务商每年必须接受学校的保密审查，更换工作人员时必须做好交接，要求离职工作人员删除所有本校信息。3.外单位来校调研、交流需要获取学校相关数据信息的，必须经过领导小组审批，仅可提供可以公开的非敏感信息，严禁提供涉密信息、工作秘密和师生个人敏感信息。保密教育与日常监督建立常态化的保密教育与监督检查机制：1.学校每学期至少组织两次全体教职员工参加网络与信息保密培训，邀请保密部门、网络安全部门的专业人员开展专题讲座，解读保密法律法规，分析校园信息安全典型案例，提升全体工作人员的保密意识和风险防范能力；新入职教职员工必须完成保密培训，考核合格后方可上岗，开通校园网访问权限；每学期组织一次全体教职员工保密知识测试，测试成绩计入个人年度业务档案，纳入绩效考核。2.将信息安全与保密教育纳入学生信息技术课、安全教育课的必修内容，每学期至少开展一次专题教育，引导学生养成保护个人信息、不随意泄露个人和他人信息的习惯，掌握识别网络诈骗、信息窃取的基本方法，提升学生的信息安全防护意识。3.信息中心每月对校园网络进行一次安全巡检，排查安全漏洞、查杀恶意软件，更新防火墙规则；每季度对所有存储敏感信息的设备进行一次保密抽查，排查是否存在违规存储涉密信息、违规上传敏感信息到公共平台等问题；学校保密工作领导小组每学期组织一次全校范围的保密工作大检查，检查结果纳入部门年度绩效考核。4.建立保密问题整改台账，对检查发现的问题明确整改责任人与整改期限，跟踪落实整改，形成闭环管理，对整改不到位的部门和个人暂停相关权限，督促整改。应急处置与责任追究建立完善的应急处置和责任追究机制：1.学校制定网络与信息保密事件应急预案，明确不同等级事件的处置流程：一旦发生信息泄露、网络入侵、涉密信息违规传播等保密事件，当事人必须第一时间向信息中心和保密工作领导小组报告，不得隐瞒拖延；领导小组立即启动应急预案，第一时间采取技术措施阻断泄露渠道，防止危害扩大，备份相关证据，及时上报上级教育行政部门和保密、公安部门，配合调查处置；对受到信息泄露影响的师生和家长，及时履行告知义务，提醒做好防范措施，降低后续危害。2.凡违反本制度规定，有下