Loading……
 
您当前所在的位置: 首页 >> 嘉定区基础教育机构信息公开 >> 政策法规
关于印发上海市嘉定区教育系统信息安全管理制度》的通知

 

 
各中小学、幼儿园、成人学校及直属单位:
现将《上海市嘉定区教育系统信息安全管理制度》印发给你们,请认真按照执行。
 
附件:上海市嘉定区教育系统信息安全管理制度
 
上海市嘉定区教育局
一六年八月三十日
 

 

附件1:
 
为保障本区教育系统公务网、政务网、教育城域网稳定、可靠运行,确保信息安全,根据有关管理制度,结合本区实际,制定本制度。
一、指导思想
根据国家信息安全保障工作“积极防御、综合防范”的指导方针,改进信息安全防御技术,加强信息安全检测和响应能力,规范安全制度,严格操作执行,加强专业培训,全面提高本区教育系统教职员工信息安全素养和信息系统安全防御能力。
二、组织领导
区教育信息化领导小组(以下简称“领导小组”)全面负责管理本区教育系统信息安全工作。区教育局分管信息化工作的副局长负责教育系统信息安全管理,教育信息中心教育技术部负责具体工作落实和推进,对领导小组负责,开展信息安全工作和应急处置工作。
各中小学、幼儿园、成人学校及直属单位(以下简称“各校”)行政主要负责人为信息安全管理第一责任人,信息安全管理员为直接责任人,贯彻落实领导小组工作部署,负责本单位信息安全工作。
三、维护管理
(一)数据信息管理
1.各校信息安全管理员负责数据信息的安全管理,包括数据的使用、传播与销毁等。
2.建立重要数据信息管理登记档案,详细记录数据信息的分类、名称、用途、借阅等情况。
3.对数据信息应设有明确的访问权限,具有相应权限的人员才能访问该类数据信息。
4.根据数据信息的重要等级规定相应的传播方式。严禁涉密数据信息在网络上传播。
5.已确认作废的数据信息应妥善处理,避免数据外泄。
(二)计算机管理
1.需新增计算机设备应事先向教育资产管理中心申报,根据各校实际情况需要予以审批。
2.各校需对本校所有计算机的硬件配置、操作系统、责任人等信息进行登记。所有计算机均应设置至少6位的口令,口令应妥善保存,不得随意张贴及泄漏。
3.按照专人负责的原则,各校需为每台计算机指定使用责任人,定期检查所使用的计算机,并对其负直接管理责任。计算机原则上由使用责任人维护,如出现本人不能处理的故障时,应及时通知信息安全管理员,由信息安全管理员视具体情况进行设备报修。
4.非涉密计算机严禁存放、浏览涉密信息。
5.计算机设备的报废工作由各校按国资管理相关规定执行。
(三)软件管理
1.软件分为操作系统、应用软件、数据库、安全软件、工具软件等。
2.信息系统所使用的软件必须是正式版本,不得使用测试版和盗版软件。
3.各校要设立专人负责重要软件的安全管理,重要软件要集中统一保管,由信息安全管理员负责安装。要建立管理登记档案,详细记录软件的分类、名称、用途、借阅等情况,对其运行日志进行记录,并定期对日志进行检查、分析和清理维护。
4.各校要组织常用软件操作培训,确保软件正确使用。
(四)机房安全管理
1.计算机信息系统网络设备及主机设备等应放置于专用机房或
机柜中。机房和机柜必须由专人管理,并采取一定的物理安全措施,以保障设备的安全性。
2.非机房工作人员,未经批准,不得随意进入机房或操作机房设备,进入机房应进行相关登记。如有条件,机房应设置门禁系统,密码不得外泄给其他人员。
3.机房工作人员要保持机房清洁,遵守操作规程,安全操作,定期检查保养,确保设备处于良好状态。每天下班之前,应检查设备及电源情况。
4.机房工作人员要做好机房设备,包括硬件、软件、网络、媒体和介质使用登记工作。对日常维护、管理做好记录,并定期归档。
5.外来设备维修人员进入机房,必须在机房工作人员的监督下进行维修维护工作,同时做好登记记录工作。
6.为防止磁记录的破坏,机房内不准使用磁化杯、收音机等产生磁场的物体。机房温度应保持在22~24摄氏度,相对湿度保持在50~60%,电压220 ±5%,电流≤40A。
7.发现异常情况要及时上报,处理完毕需做好相关记录。
(五)网络设备管理
1.各校选购的网络设备,应尽可能选择可管理的网络设备,方便统一管理和集中控制。
2.网络设备必须做好防火、防热、防潮、防尘、防雷、防磁、防盗各方面的物理安全防护,应放置在机房或机柜中。
3.网络设备应由信息安全管理员尽可能通过与网络设备直接相连的专用计算机进行管理。网络设备的远程管理,必须使用严格的用户认证手段,任何情况下都不允许通过其他网络对网络设备实施远程访问。网络设备的远程连接必须使用加密技术,以防窃听。
4.对于各种网络设备,信息安全管理员应根据设备功能配置相关安全策略,并定期检查。配置如需更改,应由信息安全管理员向信息安全分管领导提交申请,经批准后方可实施。
5.网络设备如遇故障,应立即向本单位信息安全分管领导汇报,同时通知有关单位进行维修。重要网络设备发生故障时,还应及时报告教育信息中心教育技术部。
(六)安全系统管理
1.安全系统管理包括防火墙、入侵检测、审计系统等安全设备管理,及安全软件的采购、安装、使用、更新和维护等。
2.各校选择的安全系统必须获得国家相关资质,优先选择国产安全产品。
3.各校接入网络的边界处建议部署防火墙,并做好安全策略配
置,防止其他网段的非授权访问,当系统变化时,安全策略都应据其进行更改。
4.具有内部服务器和业务应用系统的单位建议部署网络入侵检
测系统,实现对网络中的入侵行为的监测。分析入侵的警报,采取相应的预防措施。
5.各校还可以根据具体需要采用其他安全防御技术系统。
6.安全系统由信息安全管理员尽可能通过与安全系统直接连接
的专用计算机进行管理。针对防火墙及入侵检测等安全系统的远程访问,必须使用严格的用户认证手段,任何情况下都不允许通过其他网络对安全系统实施远程访问。另外,安全系统的远程连接中必须使用加密技术,以防窃听。
7.对于各种安全系统,信息安全管理员应该根据有关要求配置
安全系统的安全策略,使安全系统发挥最佳作用,并定期检查其配置。如需更改,应由信息安全管理员向本单位信息安全主管领导提交申请,经批准后方可实施。
8.安全系统如遇故障,应立即向本单位信息安全主管领导汇报,同时通知有关单位进行维修。重要安全系统发生故障时,还应及时通报教育信息中心教育技术部。
(七)防病毒管理
1.防病毒工作由计算机使用人负责。
2.计算机上均须安装具有国家相关资质的防病毒系统,计算机防病毒系统必须有相关技术措施及规定,确保病毒定义码和计算机操作系统补丁及时更新。
(八)信息系统备份和恢复管理
1.各校重要系统或重要数据的备份工作由信息安全管理员负责。
2.各校要对重要服务器、网络设备和安全系统等进行定期备份,
保证信息系统中的数据安全,备份需填写备份日志。
3.重要服务器、网络设备等建议采取硬件冗余措施。备份数据需定期进行数据恢复测试,确保备份数据的有效性和可靠性。
(九)计算机存储介质管理
1.计算机存储介质包括光盘、移动磁盘等各类光、磁介质。2.所有存储介质由各校统一购买,领用、发放、维修、销
毁等应履行相应的手续,包括申请、审批、登记、归档等必要环节,并明确各环节当事人的责任和义务。
3.如有需要,存储介质应标明密级,发放和领用时应进行登记。存储介质必须经过病毒查杀后,方可进入计算机信息系统运行。 4.内有数据存储的介质损坏后不得自行销毁或丢弃,需交还至本单位信息安全管理员处集中,进行统一销毁。
(十)文档管理
1.各校信息系统需建立完善文档,有调整时,文档需及时更新,确保文档的有效性。
2.借阅、复制、销毁重要文档要履行相应的手续,包括申请、审批、登记、归档等必要环节,并明确各环节当事人的责任和义务。
3.对重要技术文档应考虑双份以上的备份,并存放于异地。
四、检查制度
(一)信息安全检查分为年终信息安全检查和各校日常自检。年终信息安全检查由教育信息中心教育技术部会同有关单位每年一次对各校信息系统安全状况进行综合检查。日常自检由各校信息安全管理员定期对本单位信息系统进行信息安全检查。
(二)各校信息安全自检主要内容
1.机房状况自检:拥有机房的单位应检查网络设备及主机设备等是否存放于机房或专用机柜中,机房物理环境是否符合相关安全要求,机房物理安全设施(机房门禁、安防监控、火警烟警等)是否完好,机房进出登记是否完整等。
2.网络设备自检:检查网络设备是否正常运行,日常维护是否有记录,网络设备配置是否符合有关要求等。
3.安全系统自检:拥有安全系统(防火墙系统、入侵检测系统、病毒防杀系统、安全审计系统等)的单位应检查安全系统是否正常运行,日常维护是否有记录,并分析安全系统日志,形成本校的信息安全月度报告。
4.服务器自检:应检查服务器日常维护是否有记录,防病毒软件病毒库是否为最新,操作系统和应用系统是否安装最新补丁,是否定期(至少每月一次)进行系统安全扫描,是否对扫描过程中发现的安全问题采取相应的补救措施等。
5.终端安全自检:检查每台计算机是否安装防病毒软件,病毒库是否为最新版本,终端操作系统是否安装最新补丁,是否设置6位以上口令等。
6.软件管理自检:检查本单位所有软件是否为正版软件,关于软件管理的各项记录是否完整等。
7.数据备份/还原自检:检查是否定期(每月一次)对系统重要数据进行备份,关于备份的各项记录是否完整,是否定期对备份进行恢复测试等。
8.存储介质安全自检:检查存有重要数据的存储介质是否符合存储介质管理的有关规定。
9.文档管理自检:检查文档管理是否符合文档管理的有关规定。10.应急预案演习自检:检查应急预案是否及时更新,是否定期
(每年一次)进行应急预案演练等。
五、培训考核
(一)各校要制定本单位的信息安全培训年度计划。
(二)各校信息安全管理员应接受系统安全防护、安全分析方法、
安全策略制定等方面的系统培训,每年累计不少于五天。
(三)每年至少一次为本单位全体人员举办信息安全基础培训,
培训内容要与本单位信息系统的操作、维护相关,使教职员工了解计算机和信息安全的基本常识,提高安全防护意识,减少内部安全隐患。
(四)教育信息中心教育技术部每年对各校信息安全管理情况进
行考核,考核成绩纳入该单位信息化考核。
(五)教育信息中心教育技术部每年组织各校信息安全管理员培训和考试,考试合格者方能担任信息安全管理员职务,考核不合格者需参加补考,补考仍不合格者将免除信息安全管理员职务。
六、应急处理
(一)各校要建立信息安全应急组织机构,负责应急预案的制定、更新、测试、演练及执行。
(二)各校在编制应急预案时,要充分考虑抗毁性与灾难恢复,应包括事件处理流程及事件处理措施。应急事件处理流程主要包括事件的判断、评估、上报等相关操作。对可用资源(包括备用设备、应急响应人员等)要有详细说明。应急预案要充分借助专业安全服务机构的技术服务,以提高信息安全应急响应能力。
(三)应急预案必须经过相应的测试,主要测试内容包括替换设备是否有效、恢复流程是否有效、通知程序是否顺畅、应急预案是否能有效执行。
(四)应急预案必须进行定期的复审及更新,全面复审至少每年一次。
(五)至少每年一次进行应急预案的演练,确保预案有效可靠。
(六)应急处理的关键信息应包括火警电话、报警电话、应急负
责人电话等,要张贴在显著位置。
(七)重大信息安全事故发生时,相关单位应在一小时内将情况汇报至教育信息中心教育技术部。应急响应事件处理完毕后一个工作日内,事故单位应将事故处理情况报教育信息中心教育技术部存档备案。