关于加强信息与网络安全工作责任的通知
校属各单位:
为落实省教育厅相关文件精神,做好我校信息与网络安全工作,确保我校信息系统(含网站、移动应用、校园网等)(以下简称信息系统)安全稳定,现就加强信息与网络安全工作责任通知如下:
一、工作目的
1.充分认识信息与网络安全工作责任的重要意义
各单位要高度重视信息网络安全工作,根据自身的实际情况,将网络安全与信息化建设紧密结合,提前谋划、提前部署、统一推进、统一实施,统一评估。积极组织开展形式多样的《网络安全法》学习宣传活动,将网络信息安全意识与责任意识、保密意识结合起来,全面提高信息网络安全防范意识。
2.全面落实信息与网络安全工作责任制
各单位应加强组织领导,主要领导亲自抓,分管领导具体抓,指派专人负责落实,不断提升管理水平和防护能力。落实信息网络安全工作责任追究制度,对因管理不善、工作不力导致责任事故的要严肃处理,按规定追究相关领导和直接责任人的责任,杜绝瞒报、包庇。
二、工作内容
1.进一步加强网站管理
(1)新建网站。各单位因管理、教学、科研需要新建网站,必须符合《网络安全法》的要求,并向网络安全与信息化领导小组申请,经批准后实施。新建网站必须基于学校网站群平台统一部署和管理,网站后台必须采用强密码并定期更换,网站应关闭匿名发帖功能,并保留相关的系统日志。
(2)明确责任人和管理员。各单位网站必须明确责任人和系统管理员,责任人原则上为单位主要负责人或二级学院党总支部书记,信息与网络安全管理员为系统管理员。各单位每年1月务必将责任人和系统管理员的电话(手机)报领导小组办公室备案,人员发生变化时,需及时更新备案。
(3)网站开发管理。校内各子网站开发必须符合国家等级保护2.0测评要求。采用相关软件聘请第三方进行开发,在正式启用后必须由本单位网络管理员接管。
(4)网站信息更新。网站的信息内容及时更新,如果网站长期不更新或无人管理,主办单位应及时注销该网站。
2.进一步加强微信公众号、微信、QQ工作群等信息发布管理
信息与网络安全管理员必须经常浏览、监测微信公众号、微信工作群、QQ工作群及网站、版面信息发布情况,发现版面内有不良内容或问题链接时必须立即删除或屏蔽,并及时向信息与现代教育技术中心报告,保证网络信息发布健康运行。
3.定期开展信息网络安全防护检查
对于服务器和信息系统运行相关的软硬件系统设备,有计划地开展安全防护检查。强化口令控制、病毒扫描、漏洞补丁等基础安全,确保各类硬件设备安全可控。对信息系统的操作行为进行身份标识、口令限制、访问控制和管理。规范数据库管理操作,加强数据操作记录审计和追溯,避免数据信息泄露。
4.制订信息与网络安全事件应急处置预案
明确应急响应工作流程并定期组织演练,确保一旦发生信息网络安全事件时能及时有效处置。对于发生的事件要及时做好记录,根据严重程度和影响范围等,按照相关的制度进行报告。
三、工作要求
(一)加强学习与排查
1.校属各单位网络安全第一责任人(主要负责人)及网络安全相关人员应加强网络安全意识,搞好教职工和学生尤其是新生入学期间的网络安全教育,做好防不当言论、防诈骗、防网络贷款等相关工作,确保工作要求落在实处。
2.全面排查和整改信息与网络安全工作薄弱环节。各单位要加强对所管理和使用的信息系统开展网络安全问题排查:
(1)重点排查非本单位IP地址、非本单位域名的信息系统和使用频率低、长期未更新、无专人运维的“僵尸”信息系统。对于僵尸网站和系统采取关停措施,清理闲置账号。对外部合作单位冒用我校(或二级单位)名义的要进行清理整改。
(2)及时修补网站、应用系统、操作系统、数据库系统等的漏洞补丁,确保使用强密码并定期变更,提高系统安全设置等级,全面排查弱口令、默认口令、通用口令、长期不变口令,高危漏洞不修复、非必要端口及服务长期开启、陈旧版本基础软件和通用软件不更新、僵尸主机和系统不整改等问题。
(3)全面排查所管理的各类网站,重点检查各类不良信息、过期信息,以及外部地址链接,排查异常链接和内容,对非法外链或过期外链立即删除。对无业务加载、无专人运维、无防护策略,或存在网络安全漏洞或隐患且暂时不具备整改条件的信息系统,应采取访问控制措施,或予以关停处理。
(4)加强微信公众号、微信工作群、QQ工作群等信息发布管理。信息与网络安全管理员必须经常浏览、监测微信公众号、微信工作群、QQ工作群及网站、版面信息发布情况,发现版面内有不良内容或问题链接时必须立即删除或屏蔽,保证网络信息发布健康运行。
3. 加强新建信息系统的审批管理和等保测评备案。新建信息系统(含网站)必须按照《湖南文理学院信息系统建设与管理办法》(校政字[2020]9号)进行审批和过程管理,并按照《网络安全法》规定进行信息系统等保定级、测评、公安备案。
4. 全面落实网络安全防护和应急响应。各单位要认真落实重要时期信息系统专人值守制度,严防出现重大网络安全事件,要高度重视网络安全预警监测工作,做到早发现、早预防、早处置,发现网络安全漏洞或隐患及时整改处置。发生网络安全事件,须及时处置并报告信息与现代教育技术中心。
(二)信息与网络安全防范
1.信息安全防范
加强对个人隐私的保护。网络上严禁发布涉及身份证、身份证件号码、家庭住址、电话号码、出生日期等个人敏感信息。对违反信息系统及网站安全管理规定、造成信息安全事故的直接责任人和有关单位的第一责任人进行责任追究。
2.网络安全防范
(1)学校校级系统原则上由信息与现代教育技术中心统一规划实施。各部门服务器和信息系统原则上都要托管在信息与现代教育技术中心管理的学校服务器机房,严禁私自搭建服务器,有特殊情况需向信息中心报备。
(2)各单位信息系统原则上一律只允许校内访问,若需要校外访问,需要单位主要负责人签署信息安全承诺书并提交信息与现代教育技术中心。
(3)托管在信息与现代教育技术中心的服务器及信息系统的信息与网络安全由各单位负责;新的信息系统须经过国家信息安全2.0等级保护测试,通过后方可上线运行。
(三) 上报资料
1.请各单位务必在9月1日前组织一次信息与网络安全专题会议,做好会议记录,将会议记录扫描后交至信息与现代教育技术中心。联系人:刘国;地址:逸夫楼B403;联系电话:18890743162。
2.请各单位务必在9月1日前将信息与网络安全管理员确认表交至信息与现代教育技术中心。联系人:刘国;地址:逸夫楼B403;联系电话:18890743162。
特此通知。
信息与现代教育技术中心
2021年8月26日
(二审:李进平 终审:王翀)