为贯彻落实《网络安全法》、《数据安全法》、《个人信息保护费》、《关键信息基础设施安全保护条例》规定,按照教育部和自治区网信办工作要求,落实2022年内蒙古自治区教育系统网络安全专项检查工作,进一步完善我院网络安全保障体系,提高防护能力和水平,使网络更好的为学院教育教学和全体师生服务,切实做好2022年的网络信息安全保障工作,从6月至9月全面开展网络安全专项检查工作。工作方案如下:
一、总体要求
以习近平总书记关于网络强国重要思想为指导,按照《党委(党组)网络安全工作责任制实施细则》要求,全面加强网络安全检查,重点围绕教育系统关键信息基础设施、重要信息系统和网络数据以及数字基础设施,精心谋划部署、全面实施排查、找出隐患漏洞、加强风险通报、及时督导整改。通过开展网络安全检查,宣传贯彻网络安全法律法规,推进网络安全工作责任制落实;通过检查摸清信息化资产底数,系统评估安全状况;通过检查健全网络安全管理制度,完善技术防护措施。实现以查“促建、促管、促改、促防”目标,全面提高网络和信息系统安全稳定运行的保障能力,为党的二十大胜利召开提供坚实有力的网络安全保障。二、检查内容
(一)网络安全管理工作情况
按照《网络安全法》和网络安全工作责任制要求,建立健全网络安全管理制度。重点检查各系(部)、处(室、所)网络安全主管领导、管理机构和专职网络安全工作人员履职情况,落实网络安全工作责任制,人员、资产、采购、外包服务等日常管理情况,网络安全经费保障等情况。
(二)网络数据安全工作情况
按照《数据安全法》、《教育部等七部门关于加强教育系统数据安全工作的通知》等要求,建立健全教育系统数据安全责任体系和数据分类分级制度。重点检查各系(部)、处(室、所)数据安全领导责任制、数据安全责任体系、数据分类分级制度的落实执行情况,检查数据采集、保存、传输、使用、开放共享,数据安全经费保障等情况。
(三)个人信息保护工作情况
按照《个人信息保护法》等要求,健全个人信息保护制度。重点检查各系(部)、处(室、所)个人信息保护制度的落实执行情况;个人信息的收集、处理、存储、传输、公开情况;大规模个人信息、特殊保护儿童信息、敏感个人信息的保护、在线教学平台、教育App违法违规收集使用个人信息等情况。
(四)网络技术防护工作情况
按照网络安全政策和规范标准要求,建立健全技术防护体系。重点检查防攻击、防病毒、防篡改、防瘫痪、防泄露措施,个人信息和重要数据在采集、存储、传输、使用、共享、销毁等环节的安全防护措施,网络边界防护措施,重要网络安全漏洞修复,互联网安全接入措施,无线网络安全防护措施,服务器、网络安全设备、运行环境安全设备等安全策略配置情况,终端计算机和移动存储介质安全防护措施,应用系统安全功能及其有效性,托管政务信息系统的云计算中心安全评估等情况。
(五)网络安全事件应急工作情况
按照《网络安全法》和《内蒙古教育系统网络安全与信息化安全突发事件应急预案》要求,建立健全网络安全应急工作体系。重点检查网络安全事件预案制定,开展网络安全应急演练,网络安全应急支撑队伍建设,容灾备份措施、恢复效果、应急恢复演练等,较大或重大网络安全事件处置等情况。
(六)宣传教育培训工作情况
重点检查网络安全日常教育宣传,学习习近平总书记关于国家网络安全工作“四个坚持”重要指示精神、《网络安全法》、网络安全工作责任制等网络安全培训,组织参与国家网络安全宣传周等活动,网络安全人员专业技术培训等情况。
(七)网络安全等级保护制度落实情况
按照网络安全等级保护制度要求,重点检查重要信息系统定级、备案、等保测评、安全整改等情况。
(八)保密管理情况
重点检查保密技术防护情况和信息安全保密管理制度落实情况。
(九)商用密码使用情况
按照《密码法》关于商用密码有关规定,重点检查重要网络和信息系统中采用经国家密码管理部门核准、认证的商用密码产品、技术和服务,开展商用密码应用安全性评估测评,将商用密码应用安全性评估测评经费和密码应用升级改造经费纳入年度预算等情况。
(十)软件正版化推进使用情况
进一步加强软件正版化工作,明确软件正版化工作职责,落实各系(部)、处(室、所)软件正版化工作主体责任,推进责任落实到人。
(十一)继续开展排查自查,坚决堵塞安全漏洞
1) 全面开展网络信息资产设备排查梳理和登记备案
各系(部)、处(室、所)对本部门的网络信息资产设备实施台账式管理,对互联网开放的业务系统(建设单位、开发和运维人员、主要功能、服务对象等)、专用系统(实验设备、一卡通、视频监控等)、基础软件(操作系统、中间件、数据库等软件的类型版本和补丁修复情况等)、服务器(IP地址、开放端口等)、安全设备(防火墙、VPN、防病毒软件等的规则库更新和策略开启情况)等信息,进行全面梳理排查登记。
2) 全面排查弱口令、默认口令、通用口令、长期不变口令。
各系(部)、处(室、所)须对所负责和使用的信息系统及网站,涉及到密码口令的都要进行排查,尤其是系统后台管理员密码,要严防弱口令、默认口令、通用口令,一经发现必须立即更改;口令长期未变更的及时变更。同时,要加强对师生网络信息安全意识的宣传,特别防范将账号密码随意转借等问题。口令相关设置规则请参看附件1。
3) 排查非在职人员系统账号
各系(部)、处(室、所)须对所负责和使用的信息系统及网站,排查非在职人员账号的使用情况,及时对非在职人员的账号进行回收、改密及注销。重点排查对象为开放在互联网上的网站及系统,如办公系统、门户网站、教务系统、顶岗实习系统等。
4) 排查本部门的“僵尸”系统
“僵尸”系统是指使用频率低、长期未更新、无专人运维的信息系统(网站)。排查对外发布信息的网站,信息三个月以上未更新的,请指派专人进行运维更新,如确定不再使用的,请联系网络信息中心进行关闭。若发现无人负责、长期未更新的系统(网站),学院将暂停该系统网络服务。
5) 排查关键业务数据及公民个人信息等敏感数据的储存传输
排查关键业务数据及公民个人信息等敏感数据是否发布在公共网站或者公开的信息系统中,如有此现象应及时删除。非必要不通过或互联网通信工具的形式传递敏感数据,如必须通过互联网方式传递,做好点对点(如电子邮箱、办公私人邮箱)传递,如使用QQ、微信等通讯工具传递,可使用压缩包加密或者文档加密的方式进行传递。接收后及时销毁敏感数据(定期清理个人邮件及聊天记录中的敏感数据)。
6) 排查本单位的双非信息系统(网站)
双非信息系统(网站)是指以学院的名义(或使用了学院名称、学院logo等),但没有部署在校内,而是通过第三方机构,在校外提供对外信息服务的系统。有符合以上情况的系统(网站),系统所属单位须及时上报学院。
7) 加强公共区域LED屏幕管理
做好校内公共区域LED屏幕安全管理工作,屏幕管理须明确专人负责,避免使用远程和无线方式管理。在公共区域有LED屏幕的部门及单位,须备案。
8) 排查互联网出入口和无线接入点
各系(部)、处(室、所)须对所负责办公教学场地的互联网专线以及无线路由器进行排查。坚决不允许学生在教室使用无线路由器,办公室使用的无线路由器要使用密码登录,并且按照附件一设置复杂密码。各部门要将所使用的互联网专线以及无线路由器进行登记备案。
9) 排查办公教学计算机终端安全
各系(部)、处(室、所)须对所负责办公教学场地的办公计算机、教学计算机及云桌面终端进行排查。确保所有办公教学计算机及云桌面都安装了安恒主机防护软件,并按要求进行了名称修改,定期进行病毒查杀及漏洞修复。各部门还需对所使用的办公教学计算机及云桌面进行备案,没有备案的办公教学计算机及云桌面、无线路由器将不允许接入到互联网。
三、检查方式
(一)自查
各系(部)、处(室、所)须严格按照工作安排执行自查工作,撰写自查报告,电子版通过网络信息安全联络员群提交至马骥老师,纸质版签字盖章送交至教学楼B楼2楼网络信息中心办公室。学院将进行专项督查,对排查工作进展情况进行通报。
(二)现场检查
学院网信办与相关部门组成联合检查组,于7月初通过随机抽查,了解被抽查部门网络安全工作整体情况,发现网络安全风险。
四、时间安排
(一)自查阶段(6月)
各系(部)、处(室、所)于2022年6月24日上报自查报告。
(二)现场检查阶段(7月)
具体事宜另行通知
(三)问题整改和总结阶段(7月)
各系(部)、处(室、所)要坚持即查即改,整改彻底,同时要梳理工作情况,及时总结经验教训,完善相关制度预案,确保不发生网络安全事件,于2022年7月15日上报自查报告。
网络信息中心联系人:马骥,18686097306。
乌兰察布职业学院
网络安全与信息化领导小组办公室
2022年6月14日
