学校信息安全管理制度.docx
《学校信息安全管理制度.docx》由会员分享,可在线阅读,更多相关《学校信息安全管理制度.docx(12页珍藏版)》请在冰豆网上搜索。
学校信息安全管理制度
学校信息安全管理制度
一、用户权限管理制度
为了学校各类信息系统数据的安全管理,避免操作权限失控,并防止一些用户利用取得的权限进行不正确的操作,特制定学校用户权限管理制度,对各部门教职员工操作各类信息系统进行严格的管理,并按照各用户的身份对用户的访问权限进行严格的控制,保证我校各类信息系统的正常运转。
一、总则
1.1用户帐号:
登录信息系统需要有用户帐号,相当于身份标识。
用户帐号采用教职员工姓名的全拼。
1.2密码:
为保护信息安全而对用户帐号进行验证的唯一口令。
1.3权限:
指在信息系统中某一用户的访问级别和权利,包括所能够执行的操作及所能访问的数据。
二、职责与分工
2.1职能部门:
(1)权限所有部门:
负责某一个模块的权限管理和该模块的数据安全;
(2)负责指定一个部门权限负责人(条线主管),对涉及本部门负责权限的新增,变更,注销进行签字审批;
(3)本部门人员申请本部门负责权限,需要部门权限负责人签批,签批后由系统管理员设置;
2.2单位权限负责人
(1)负责签批部门间的权限的授予;
(2)负责对信息系统用户帐号及密码安全进行不定期抽查;
2.3系统管理员
(1)负责根据信息系统用户新增\异动\离职记录表在系统中设置用户权限;
(2)负责维护本单位用户和权限清单;
(3)遵守职业道德,接受部门权限负责人和单位权限负责人的抽查。
三、用户帐号及密码管理
3.1密码设置及更改:
(1)第一次登录信息系统时,用户必须更改信息系统密码;
(2)为避免帐号被盗用,密码长度不小于六位,建议数字与字母结合使用;
(3)建议每30天或更短时间内需要重新设定密码;
(4)对于用户忘记密码的情况,需要按照新用户申请流程处理。
3.2帐号与密码保管:
(1)密码不可告知他人,用户帐号不可转借他人使用;
(2)信息系统用户因离岗或转岗,所拥有的系统用户权限需相应变更时,需在将有本部门权限负责人签字确认并到信息老师处办理手续;系统管理员对离岗或异动的帐号进行注销并签字;人事部门在见到系统管理员签字后方可办理离岗或异动手续。
3.3责任承担:
帐号的注册所有者应对该帐号在系统中所做的操作及结果负全部责任。
四、用户申请\变更\注销流程
4.1用户新增\变更流程:
(1)由用户本人提出申请
(2)申请人所属部门权限负责人核准;
(3)如果涉及其他部门负责的权限,需要单位权限负责人及其他部门权限负责人签批;
(4)信息系统管理员根据申请单在系统中进行权限设置;维护用户及权限清单;并通知申请人及其部门权限负责人;
(5)申请人应在收到通知的当天修改初始口令。
4.2用户注销流程:
当用户由于工作变动、调动或离职等原因需要对用户的访问权限进行修改或注销时:
(1)用户将相关信息提交信息系统管理员处;
(2)信息系统管理员根据申请书单进行用户的注销,维护用户清单和权限列表,并记录;
(3)人事部门有系统管理员签字表明用户权限已经注销,才能办理离岗或转岗的手续。
二、信息发布审核制度
一、总则
1.1为了建立规范的信息采集、审核、发布、更新机制,保证发布信息的安全、准确、及时和有效,依据《中华人民共和国政府信息公开条例》、国务院《互联网信息服务管理办法》和《中华人民共和国保守国家秘密法》等有关规定,结合实际,制定本制度。
1.2本制度所称信息是指在门户网站、微信公众号等学校对外法币信息的平台上对外发布的文字、图片、数据、音频、视频、链接及其他形式的信息。
门户网站以公开学校信息为主。
1.3明珠小学管理中心依据本制度对学校各类信息实施发布、维护、监督和管理。
1.4发布的信息应当遵循"公正、公平、便民"的原则,不得危及国家安全、公共安全、经济安全和社会稳定。
二、信息采集
2.1学校发布、转载新闻信息应当依据国家和市、区的有关规定执行。
2.2上网发布的信息应具有真实性、完整性、可靠性,准确性和安全性。
信息来源必须确保来自合法的、正规的渠道。
三、信息审核
3.1涉密信息不得上网发布。
各区域、条线上报的信息必须经条线主管级区域负责人审核、分管负责老师把关、主要领导审定后上报,确保内容准确、数据可靠。
凡是涉及国家安全和利益的国家秘密、商业秘密或可能危及国家安全、公共安全、经济安全和社会稳定的信息,严格按照《国家保密法》规定由专人负责报送。
3.2信息审核内容包括:
(一)是否涉及秘密;
(二)是否符合国家大政方针和法律法规的相关规定;
(三)是否符合保护知识产权的有关规定;
(四)是否会给其他单位、个人造成危害;
(五)是否有利于我校的宣传和发展;
(六)当前对外发布是否适宜;
(七)是否属敏感性问题;
(八)信息中的统计数据是否准确;
(九)其他一些需要根据情况把握的信息。
四、信息发布和管理
4.1发布信息要按照规范流程进行,杜绝政治错误、内容差错、技术故障。
4.2制订和完善信息发布的内容清单,明确日常发布、定期发布和随时发布的类别、时限和主体,根据信息不同内容性质分级分类处理,选择信息发布途径和方式,把握好信息发布的基调、倾向、角度,突出重点,放大亮点,掌握分寸。
4.3建立规范的信息发布审核登记表和信息管理文档,并指定专人管理,做好信息发布情况的登记、备案工作。
文档的登记、保管、借阅和销毁,按档案管理的有关规定执行。
4.4建立信息资源库,充分发挥信息的效用,为领导决策、公众办事提供及时、有效的信息服务。
4.5建立健全信息发布审核制度和工作机制,确保信息发布的及时、有效、安全,并要按照规定工作程序,及时认真办理网上投诉、举报、咨询、意见和建议。
五、系统安全
5.1信息管理维护人员应增强密码保护意识,做好网站维护终端计算机的安全防护工作,及时更新杀毒软件的病毒库,妥善保管分配的管理密码,要做到专人专用,不得在公共场所和互联网上泄露管理密码。
若密码忘记或需变更,应及时与主管部门联系。
5.2管理人员应按照安全保密制度的有关规定,加强网上信息的监控和检测,防止不良信息在网上传播。
六、附则
6.1对信息审核把关不严,造成失、泄密或不良信息传播的,按国家法律法规的有关规定予以处理。
三、信息公开保密审查制度
第一条为加强我校对外公开发布信息的保密审查(以下简称信息公开保密审查),规范信息公开行为,确保国家秘密信息安全,维护国家安全和利益,保障我校信息公开工作的顺利实施,根据《中华人民共和国保守国家秘密法》(以下简称《保密法》)、《中华人民共和国政府信息公开条例》、《宣城市信息公开保密审查制度》等法律、法规,制定本制度。
第二条本制度适用于具有信息公开权限的区域、条线及其工作人员。
第三条我校信息公开的保密审查工作贯彻“既保证政府信息及时有效公开,又确保受国家法律保护的秘密信息安全”的方针。
必须遵循“未经保密审查的信息不得公开、未经解密并准予公开的信息不得公开、公开与保密界限不清的信息不得公开”的原则。
第四条我校信息公开的保密审查工作由我校网络与信息安全工作领导小组领导,指定专门审查人员,实行党政主要领导总负责、分管领导组织协调、具体科室和专门审查人员具体实施、保密工作部门指导监督的管理体制。
第五条区域及条线工作人员负责对信息公开的日常保密审查和送审工作;根据授权依法界定国家秘密事项,决定相关信息能否公开;及时登录相关网站、网页检查本单位发布的相关信息,发现涉密信息应当及时采取补救措施。
第六条各区域、条线要依据相关文件规定比对信息公开保密审查工作。
第七条各区域、条线对信息公开的保密审查实行“自审”和“送审”相结合的逐级审查制。
提供信息的科室应当对所提供的信息是否涉密和能否公开进行初步审查,再交由本单位专门审查人员进行最终审查,分管领导签发确认。
对拟公开的信息本单位不能确定其能否公开时,应当依照相关法律、法规和国家有关规定,报送有关主管领导进行审查和确定。
保密审查的过程和结论应当有文字记载。
第八条送审信息或其载体,按照国家秘密载体的相关管理规定进行传递送审。
第九条各区域、条线对信息公开保密审查把关不严造成泄密的,或者应当送审而不送审造成泄密的,由承担保密审查的人员负责;经承担审查任务的主管领导确认可以公开而造成泄密的,由分管领导负责。
第十一条学校制定信息公开保密审查制度,明确本单位信息公开保密审查的依据、程序、岗位责任和奖惩措施。
第十二条我网络与信息安全工作领导小组将及时通报信息公开保密审查工作情况和存在的问题;适时组织开展对上网公开信息的保密检查,通报网上泄密事件,提出整改意见。
第十三条我局校对信息公开的保密审查工作情况,纳入单位落实保密工作领导责任制的考核内容。
第十四条我校对信息公开保密审查把关严格、未发生网上泄密问题的条线及其相关人员定期给予表扬或者奖励。
在信息公开工作中发生泄密事件的,对负有直接责任或者领导责任的人员应当依照相关法律、法规追究其相应的泄密责任。
第十五条本制度所称“上网”,是指各区域、条线在国际互联网等公共网站以及在相关的局域网等非涉密网站上公开发布信息。
本制度所称的“保密审查”,是指各区域、条线在以不同方式或渠道向社会公众公开发布信息之前,对拟公开的信息是否涉密以及能否公开发布所进行的一项内容甄别、确认和许可工作。
四、电子屏、宣传栏、宣传物管理制度
第一条为了营造整洁优美、文明和谐的校园环境和文化育人、环境育人的良好氛围,进一步加强校园电子屏、宣传栏、宣传物的管理,制定本规定。
第二条本规定所指电子屏包括学校所有室内外LCD、LED电子屏;宣传栏是校园内固定设置在户外及建筑物外墙上的宣传橱窗和张贴栏;宣传物是以悬挂、张贴、摆放等方式设置在校园公共场所以及建筑物上的宣传横幅、海报、活动展板等各种形式的临时性宣传载体。
第三条党支部作为学校宣传思想文化阵地建设的职能部门,会同教辅部门等全面负责全校电子屏、宣传栏、宣传物的日常巡查监督和服务。
各区域信息部门为信息发布系统后台软件的运行与相关人员的培训提供技术支持。
第四条校园所有室外电子屏、宣传栏,由学校统一设置;宣传物由学校审批,申请单位设置。
各区域可以根据需要在区内设置电子屏、宣传栏、宣传物。
第五条电子屏、宣传栏、宣传物是校园文化的重要载体,是宣传教育的重要阵地。
要以宣传党的路线、方针、政策和教育引导学生成长成才为主要原则,坚持正确的舆论导向,坚持正面宣传,弘扬主旋律,传播正能量。
发布学校和各单位重要活动、重大事件、重大节日的通知公告、庆祝和宣传标语,涉及师生工作、学习、生活等方面的服务信息等,宣传学校各方面工作成绩,宣传积极健康的主流校园文化,展示学校和师生员工的风貌。
第六条严禁利用电子屏、宣传栏、宣传物,发布、张贴、悬挂违反国家法律法规、校纪校规,危害国家安全,破坏社会稳定及其他不健康、不文明、不道德的内容。
不得提供给商家作广告宣传。
第七条按照“谁使用、谁管理”原则,所有室外电子屏、宣传栏由各区域使用和管理,或根据工作需要分配给有关条线使用和管理。
第八条电子屏、宣传栏的内容发布以及宣传物的设置实行审批制。
1.室外电子屏内容发布和室外悬挂横幅审批流程:
由相关条线提出申请,经区域负责人审核、审批,由教辅部门落实。
2.校园公共场所(室外)设置除横幅外的其他宣传物审批流程:
由相关条线提出申请,经区域负责人审核、审批,由教辅部门落实。
3.室内电子屏、宣传栏使用,宣传物设置审批流程由相关条线提出申请,经区域负责人审核、审批,由教辅部门落实。
4.各区域、各条线要对宣传内容进行严格审核,并留存宣传内容的文字照片等材料,以备待查。
第九条电子屏、宣传栏、宣传物管理区域的主要领导是第一责任人。
另再确定一名行政人员为分管领导,确定一名教师为管理员。
第十条电子屏、宣传栏、宣传物要做到内容详实,版面整洁,图片清晰,用语准确,文字工整,美观大方。
第十一条电子屏、宣传栏、宣传物要定期保洁,做到整洁、完好、无损,如有损坏应及时进行修复。
第十二条严禁在建筑物、灯柱、树木、绿地,或校园围栏、水系景观平台的护栏等位置,悬挂、张贴、摆放宣传物。
第十三条各单位要严格按照规定执行,对违反规定、情节严重、造成不良后果的区域,视责任情况,将追究管理单位、审批单位相关责任人责任。
五、电子信息(数据)安全管理
第一条存放备份数据的介质必须具有明确的标识。
备份数据必须异地存放,并明确落实异地备份数据的管理职责;
第二条注意计算机重要信息资料和数据存储介质的存放、运输安全和保密管理,保证存储介质的物理安全。
第三条任何非应用性数据的使用及存放数据的设备或介质的调拨、转让、废弃或销毁必须严格按照程序进行逐级审批,以保证备份数据安全完整。
第四条数据恢复前,必须对原环境的数据进行备份,防止有用数据的丢失。
数据恢复过程中要严格按照数据恢复手册执行,出现问题时由信息部门进行现场技术支持。
数据恢复后,必须进行验证、确认,确保数据恢复的完整性和可用性。
第五条数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。
历次清理前的备份数据要根据备份策略进行定期保存或永久保存,并确保可以随时使用。
数据清理的实施应避开业务高峰期,避免对联机业务运行造成影响。
第六条需要长期保存的数据,数据管理部门需与相关部门制定转存方案,根据转存方案和查询使用方法要在介质有效期内进行转存,防止存储介质过期失效,通过有效的查询、使用方法保证数据的完整性和可用性。
转存的数据必须有详细的文档记录。
第七条非本校技术人员对本公司的设备、系统等进行维修、维护时,必须由本校相关信息老师现场全程监督。
计算机设备送外维修,须经设备管理机构负责人批准。
送修前,需将设备存储介质内应用软件和数据等涉经营管理的信息备份后删除,并进行登记。
对修复的设备,设备维修人员应对设备进行验收、病毒检测和登记。
第八条教辅部门应对报废设备中存有的程序、数据资料进行备份后清除,并妥善处理废弃无用的资料和介质,防止泄密。
第九条运行维护部门需指定专人负责计算机病毒的防范工作,建立本单位的计算机病毒防治管理制度,经常进行计算机病毒检查,发现病毒及时清除。
第十条各类计算机未经有关部门允许不准安装其它软件、不准使用来历不明的载体(包括软盘、光盘、移动硬盘等)。
六、计算机病毒防治管理制度
第一条为了加强对计算机病毒的预防和治理,保护计算机信息系统安全,保障计算机的应用与发展,根据《中华人民共和国计算机信息系统安全保护条例》的规定,制定本制度。
第二条本制度所称的计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
第三条任何部门和人不得制作计算机病毒。
第四条任何部门和个人不得有下列传播计算机病毒的行为:
(一)故意输入计算机病毒,危害计算机信息系统安全;
(二)向他人提供含有计算机病毒的文件、软件、媒体;
(三)销售、出租、附赠含有计算机病毒的媒体;
(四)其他传播计算机病毒的行为。
第五条任何单部门和个人不得向社会发布虚假的计算机病毒疫情。
第六条学校在计算机病毒防治工作中的职责:
(一)建立本校的计算机病毒防治管理制度;
(二)采取计算机病毒安全技术防治措施;
(三)对本校计算机信息系统使用人员进行计算机病毒防治教育和培训;
(四)及时检测、清除计算机信息系统中的计算机病毒,并备有检测、清除的记录;
(五)使用具有计算机信息系统安全专用产品销售许可证的计算机病毒防治产品;
(六)对因计算机病毒引起的计算机信息系统瘫痪、程序和数据严重破坏等重大事故及时向公安机关报告,并保护现场。
第七条任何部门和个人在从计算机信息网络上下载程序、数据或者购置、维修、借入计算机设备时,应当进行计算机病毒检测。
第八条违反本制度相关规定的,由学校处以警告,并责令其限期改正;逾期不改正的,将在学期考核中进行相应处理,行为严重的,将移交公安部门处理。
七、上网行为管理制度
第一条所有用户不得通过网络制作、复制、查阅和传播下列信息:
(1)、煽动抗拒、破坏宪法和法律、行政法规实施的;
(2)、煽动颠覆国家政权、推翻社会主义制度的;
(3)、煽动分裂国家,破坏国家统一的;
(4)、煽动民族仇恨,民族歧视、破坏民族团结的;
(5)、捏造或歪曲事实,散布谣言,扰乱社会秩序的;
(6)、宣传封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪的;
(7)、公然侮辱他人或者捏造事实诽谤他人的;
(8)、损害国家机关或本公司信誉的;
(9)、其他违反宪法和法律、行政法规的。
第二条严禁通过网络共享和泄露学校或政府的机密,如:
内部资料、保密文件等;
第三条上网行为规定:
(1)、不得在上班时间浏览与工作无关的网站,如:
新闻娱乐类网站、购物类网站、视频网站、BBS、博客等,如确有工作需要查阅相关信息,必须提前以书面申请形式,告知各区域行政部门做好记录及监督;
(2)、不得在上班时间利用QQ、微信等即时通讯工具进行与工作无关的网络聊天;
(3)、不得安装一切与工作无关的软件,不得在上班期间利用电脑进行涉及私人事务的活动,如:
炒股、网上购物等,除工作原因的网上购物除外;
(4)、禁止在公司办公电脑上安装、运行各类游戏软件,在公司任何时间禁止进行各种形式的电脑游戏、看电影或者听音乐等活动;
(5)、除教学需要外,一切流媒体网站如:
土豆网、博客网、优酷网等一律禁止访问;
(6)、严禁利用迅雷、BT、电驴等基于P2P协议的下载工具下载与工作无关的资料,员工私自下载安装软件将视为违反公司规章制度,公司将根据造成的后果不同做出相应处罚。
若确需下载大型软件或其它文件,必须提前以书面申请形式,告知各区域行政部门做好记录及监督;
(7)、严禁在网络上制作和传播不健康和有伤风化的信息,严禁浏览色情、赌博等非法网站;
八、网络安全教育与培训制度
第一条定期组织教职员工认真学习《计算机信息网络国际互联网安全保护管理办法》、《网络安全管理制度》及《信息审核管理制度》等,提高教职员工的维护网络安全的警惕性和自觉性。
第二条定期开展教职员工的网络与信息安全教育和培训,使教职员工自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》,使他们具备基本的网络安全知识。
第三条定期开展学生的网络安全教育,通过网络、广播、微信等平台进行各类宣教活动,提高学生的网络安全意识与能力。
第四条结合国家安全宣传周及相关通知的要求,开展学生的网络安全宣教活动,提高学生的网络安全行为。