第一条为深入贯彻落实习近平新时代中国特色社会主义思想,切实加强学校网络安全工作,全面落实网络安全责任,根据《中华人民共和国网络安全法》《河南省网络安全工作追责问责实施办法(试行)》《全省教育系统落实党委(党组)网络安全责任制的实施办法》,结合学校工作实际,制定本办法。
第二条网络安全事关学校安全稳定。按照“谁主管谁负责,谁运维谁负责”的原则,学校党委对网络安全工作负主体责任,建立“主要责任人负总责、直接负责人牵头抓”的网络安全领导责任制,签订《网络安全承诺书》;党委书记、校长是学校网络安全工作第一责任人,主管网络安全的党委副书记、副校长是直接负责人。
第三条加强党委对网络安全工作的领导。成立学校网络安全和信息化领导小组(以下简称领导小组),党委书记或校长为领导小组组长,下设办公室,与信息化办公室合署办公,负责日常事务工作。
第四条校党委网络安全责任:
(一)认真贯彻落实党中央和习近平总书记关于网络安全工作的重要指示精神和决策部署,落实省委、省政府、省
教育厅政策文件和工作要求,明确学校网络安全的主要目标、基本要求、工作任务、保护措施,审定学校网信工作年度计划及落实情况。
(二)将网络安全工作作为学校安全稳定工作的重要组成部分,纳入重要议事日程,党委每年至少召开一次专题会议研究工作部署,审议重大问题,落实网络安全责任制,明确网络安全职能部门,加大人力、物力、财力支撑,保障网络安全各项工作落实到位。
(三)统筹协调学校网络安全保护和重大事件处置工作,落实重要时期的网络安全保障措施。
(四)组织开展网络安全宣传教育,指导开展重要网络安全活动,采取多种方式培养网络安全人才,提高全校师生的网络安全素养。
第五条领导小组的职责:
(一)负责学校网信工作的顶层设计、总体布局、统筹协调、整体推进、督促落实。
(二)研究制定学校网信工作规划和年度工作要点,报校党委审定。
(三)负责向教育厅网信领导小组及时报告网络安全重大事项,出台的涉及网络安全的重要政策和制度措施等。
(四)落实网信工作“统筹、统建、统管”三统机制,
保障网络安全经费;负责网信工作专兼职队伍建设,外引内培,制定相关政策和激励机制。
第六条学校领导小组办公室(信息化办公室)主要承担以下工作:
(一)负责领导小组日常事务工作,归口管理、协调网络安全和信息化工作,向领导小组提出工作建议。
(二)指导、监督、检查网络安全和信息化各项重点工作落实,统筹管理学校网络安全和信息化项目。
(三)建立健全网络安全联系机制和信息通报机制,构建安全高效联络和通报渠道。
(四)及时向教育厅报告网络安全信息,包括:网络安全重点工作进度,网络安全重大事项,网络安全重要政策和制度措施,网络安全年度总结、专项工作总结。
(五)加强和规范网络安全信息汇集、分析和研判工作,充分发挥专家、专业机构等作用,建立网络安全专家咨询机制,分析、研判网络安全态势,服务网络安全决策。
(六)主管网络安全的直接责任人(CIO)至少每季度召开一次会议,听取网络安全相关工作汇报。
(七)建立学校信息系统资产台账,并纳入省教育信息安全检测平台管理,明确信息系统的管理责任人、使用责任人和运维责任人。
(八)及时处置各级相关单位通报的安全威胁;一旦发生网络安全事件,按照教育部《信息技术安全事件报告与处置流程》进行处置。
第七条各基层党委(党总支)、校属各单位履行本单位网络安全工作主体责任,其主要职责是:
(一)建立本单位网络安全责任制,签订《河南牧业经济学院校园网络与信息安全责任书》,统筹本单位网络安全工作,制定规章制度,确定工作目标、重点项目。
(二)建立本单位网络安全与信息化第一责任人制度:各单位主要负责人是本单位网络安全和信息化工作的第一责任人,同时要明确本单位的网络安全责任人和网络安全联络人,网络安全责任人对本单位的网络安全工作负直接责任。
(三)建立本单位信息系统资产台账,明确信息系统的管理负责人、使用负责人和运维负责人并上报学校领导小组办公室(信息化办公室)。
(四)负责及时处置本单位网络安全威胁和网络安全事件,做好证据收集并上报学校领导小组办公室(信息化办公室)。
第八条实施责任追究制度,按照职责明晰、分级负责的原则对未能履行职责的,逐级倒查,追究当事人、网络安全负责人直至主要负责人的责任。有下列行为之一的予以追责:
(一)信息系统(网站) 被攻击篡改,导致反动言论或者谣言等违法有害信息大面积扩散,且没有及时报告和处置的。
(二)门户网站及在用信息系统受到攻击后没有及时组织处置且瘫痪6小时以上的。
(三)发生国家秘密泄露,大面积个人信息泄露或大量基础数据泄露的。
(四)关键信息基础设施遭受网络攻击,没有及时处置导致大面积影响师生工作、生活,或者造成重大经济损失,或者造成严重不良社会影响的。
(五)封锁、瞒报网络安全事件情况,拒不配合有关单位依法开展调查、处置工作,或者对有关单位通报的问题和风险隐患不及时整改并造成严重后果的。
(六)阻碍公安机关、国家安全机关依法维护国家安全、侦查犯罪以及防范、调查恐怖活动,或者拒不提供支持和保障的。
(七)对涉及本单位网络舆情监管不力,不及时处置,危害网络安全,造成恶劣影响的。
(八)未履行《中华人民共和国网络安全法》等法律法规的义务,违法运行,并导致发生重大网络安全事件。
(九)发生其他严重危害网络安全行为的。
第九条校党委建立网络安全责任制的检查考核制度,对
校属各单位进行考核。考核细则见附件,考核结果分为优秀、良好、合格、不合格四个等级,大于或等于90分的为优秀、80分(含)—90分的为良好、60分(含)—80分的为合格、小于60分的为不合格。考核工作由学校领导小组办公室(信息化办公室)负责检查落实情况,考核结果纳入单位年度目标管理考评。
第十条网络意识形态工作责任制、涉密网络的网络安全工作责任制按照有关规定执行。
第十一条本办法由学校领导小组办公室(信息化办公室)负责解释。
第十二条本办法自印发之日起施行。原《河南牧业经济学院网络安全责任制实施办法(〔2019〕130号附件2)》《河南牧业经济学院网络安全责任制考核评价办法(〔2019〕130号附件3)》同时废止。
附件:河南牧业经济学院网络安全与信息化考核评价细则
附件
河南牧业经济学院网络安全与信息化考核
评价细则
一级 指标 |
二级指标 |
考核内容 |
评分规则 |
分值 |
A.网络安全组织领导及责任制 |
领导责任制建设(A1) |
落实网络安全责任主体,确定本单位网络安全负责人(第一责任人),网络安全分管领导。基层党委(总支)、机关和直属部门处部长是本单位网络安全第一责任人,分管网络安全的领导班子成员是直接责任人。 |
按要求报送人员信息并及时报送变更信息,得满分;未按要求报送或报送不及时或未及时报送变更信息,不得分。 |
5 |
本单位网络安全第一责任人签订《河南牧业经济学院校园网络与信息安全责任书》,第一责任人如发生变更,应重新签订。 |
签订责任书,得满分;未签订或人员变更未重新签订,不得分。 |
3 |
网络安全联络员(A2) |
确定本单位信息化专员(网络安全联络员),明确信息系统的负责人和运维责任人,明确公共区域LED显示屏和网络打印机等物联终端及其控制系统的责任人。 |
按要求全面、准确报送人员信息,得满分;未按要求报送,不得分;报送不完整不准确,每项扣1分 |
3 |
一级 指标 |
二级指标 |
考核内容 |
评分规则 |
分值 |
A.网络安全组织领导及责任制 |
工作部署(A3) |
本单位每学期召开一次专题会议研究部署网络安全工作,会议纪要报信息办。 |
按要求召开专题会议,得满分;未按要求召开或未及时报送会议纪要,不得分。 |
5 |
制度建设(A4) |
制定本单位网络和信息安全管理制度。 |
制定有本单位网络安全、信息数据安全等制度,报送信息办,制度修订后重新报送,得满分。 |
4 |
B.网络安全日常管理 |
信息资产管理(B1) |
建立本单位的信息系统的资产台帐(包括公众号和APP),准确掌握信息系统的基本信息。加强信息系统技术资料的归档与管理,新购系统应及时报信息办。 |
按要求全面、准确报送信息,得满分;未按要求报送,不得分;报送不完整不准确,每个系统扣1分。 |
6 |
网络安全日常检查(B2) |
每半年开展一次信息系统网络安全自查,对各类问题隐患及时整改。 |
按要求开展自查并及时报送自查报告,得满分;否则不得分。 |
4 |
一级 指标 |
二级指标 |
考核内容 |
评分规则 |
分值 |
B.网络安全日常管理 |
网络安全日常检查(B2) |
及时维护本单位信息系统,杜绝漏洞,定期进行病毒查杀,杜绝弱口令、默认口令、长期不变口令。设置账户登录次数限制,防止高危漏洞不修复、非必要端口长期开启。 |
按要求严格执行安全措施,得满分;未严格执行安全措施,每个系统扣2分。 |
6 |
全面清理问题信息系统(僵尸信息系统、“双非”信息系统等)。 |
按要求全面清理问题信息系统,得满分;未严格执行,每个系统扣2分。 |
4 |
加强公共区域LED显示屏和网络打印机等物联终端及其控制系统的管理,防范内容被篡改。 |
按要求加强物联网终端管理或无此终端,得满分;未按要求加强管理,每个终端扣1分。 |
2 |
保障个人隐私数据和重要业务数据安全。严格控制数据采集范围、数据访问授权、及时发现处置非授权访问、大流量数据异常外传等情况。 |
发生数据安全问题(隐私信息泄露、过量采集、数据管控漏洞等),每次扣2分。 |
4 |
一级 指标 |
二级指标 |
考核内容 |
评分规则 |
分值 |
B.网络安全日常管理 |
网络安全日常检查(B2) |
门户网站、公众号、微信群、QQ群等信息发布内容扫描监控。 |
按要求进行发布内容扫描。未被省网信办、省网中心、公安机关扫描通报安全威胁,得满分;被通报,处置、报告及时,每次扣1分。 |
2 |
各单位网站应通过学校站群系统集中管理统一对外提供服务。 |
所有网站纳入学校站群统一管理,得满分;未纳入学校站群,一个扣2分 |
4 |
网络安全宣传教育培训(B3) |
开展网络安全宣传培训活动;本单位在职人员年度人均接受网络安全培训时间不少于4 个学时;信息化专员和技术人员培训时间不少于8个学时。 |
提交国家网络安全周宣传活动资料,得2分;本单位在职人员网络安全传培训人均科室低于4个学时,按达到4学时人数占总人数的比例计分。 |
8 |
重要时期网路安全保障(B4) |
重要敏感时期应按照统一部署,强化网络和信息安全保障措施。确保网络核心设备安全,信息系统采取限制互联网访问措施,保障上线信息系统安全隐患清零,设置专人专岗24小时值守,执行零报告制度。 |
提交相关支撑材料。采取限制互联网访问措施,得满分;未保证安全隐患清零,扣2 分/系统;未设置专人专岗24小时值守,扣2 分/系统;未执行零报告制度,扣2分/系统。 |
10 |
一级 指标 |
二级指标 |
考核内容 |
评分规则 |
分值 |
C.网络信息安全事件 |
应急预案(C1) |
制定本单位安全事件处置流程,并报送信息办。 |
按规定制定、报送,的满分;否则,不得分。 |
2 |
安全事件处置(C2) |
一旦发生网络安全事件后,应按照《河南牧业经济学院网络信息安全事件应急预案》,依据本单位安全事件处置流程及时处置并报信息办。(安全事件等级参照《河南牧业经济学院网络与信息安全事件应急预案》)。 |
未发生网络路安全事件,得满分;发生网络安全事件,报告及时、处置得当,未造成负面影响,一次扣2分;发生网络安全事件,瞒报、漏报、处置不及时,造成社会负面影响的,一次扣4分;发生重大事件且处置不及时,造成社会负面影响的,不得分并追责问责。 |
10 |
D.信息化工作 |
出台年度网络安全和信息化工作要点(D1) |
每年专项制定网络安全及信息化工作要点或纳入本单位工作计划。 |
提交网络安全及信息化工作计划要点,得满分。否则不得分。 |
2 |
提升师生信息素养情况(D2) |
开展或参加提升师生信息素养的讲座、培训、会议等活动。完成校级以上信息化专题项目,积极参加信息化交流竞赛活动。 |
提交相应支撑材料,每项的2分。 |
6 |
一级 指标 |
二级指标 |
考核内容 |
评分规则 |
分值 |
D.信息化工作 |
数字化转型推 进(D3) |
OA及在线微应用使用情况 |
由信息办信息系统后台获取,不需要提交支撑材料。 |
4 |
软件正版化 推进(D4) |
统计学校统一采配的办公和教学终端安装正版软件情况,并定期更新同步至信息化办公室。 |
由信息办信息系统后台获取,不需要提交支撑材料。 |
4 |
提交网络安全和信息化工作年度总结(D5) |
每年按要求总结网络安全工作进展和信息化项目总结,形成总结报告。 |
提交网络安全和信息化工作年度总结,得满分。否则不得分。 |
2 |
备注:1.信息系统:是指学校建设、运行、维护或管理,并支撑学校教学、科研和管理等各项业务的所有信息系统和网站,包括但不限于业务系统、网站、移动应用(APP)。其中移动应用(APP)是指教育行政部门和学校引入的,用于支撑学校教学、科研、管理、服务的校园移动互联网应用程序,是学校信息系统的重要组成部分,包括但不限于基于移动设备操作系统的原生应用、微信企业号、QQ校园号、具有业务交互功能的微信小程序、微信公众号、QQ小程序、钉钉企业应用。2.各项考核内容的扣分上限为该项的分值。
