为认真贯彻落实《网络安全法》和教育部启动的教育行业网络安全综合治理行动,有效解决教育行业网络安全工作中存在的各种问题,营造健康的网络安全环境,学校决定,自2017年6月至8月,在全校范围内“治乱、堵漏、补短、规范”为目标的网络安全综合治理行动。具体实施方案如下:
一、工作目标
各单位,坚持问题导向、突出重点、完善机制、狠抓落实、重点加强对网站乱象治理、堵塞网络漏洞、补齐等保短板、规范安全管理。兼顾近期与长远、综合治理与源头治理相结合,全面提升学校网络安全水平,增强信息系统防护能力,有效防范和抵御安全风险隐患,切实保障信息系统(网站)稳定运行和数据安全。
二、工作内容
(一)治理网站乱象,强化主体责任。
1、进一步落实网络统一标识工作。网络信息中心应按照《党政机关网站开办审核、资格复审和网络安全标识办法》和各地要求,尽快到各地机构编制部门完成网络开办审核、资格复审和挂标工作。(2017年6月底前完成)
2、加强学校网站信息发布管理。各单位要对主管网站发布的情况进行全面检查,对于发布信息中存在的法律和行政法规禁止发布和传输的信息、涉及个人隐私和单位秘密的信息、应及时采取删除或更正等措施立即整改。同时,加强电子邮箱管理,对使用简单的密码应采取有效的措施进行更换,建立定期更换密码制度,并对非在职人员的电子邮箱账号予以注销。(2017年6月底前完成)
3、开展教育机构网络域名、网站与系统清理工作。学校根据实际情况对非教育机构的网站使用教育机构网络域名的进行清理。学校加强网上名称的管理,规范机构域名,提升学校网站的公信力和权威性。对自建立之日起更新频率几乎为零、访问量几乎为零的网站与系统进行清除;未迁入学校网站群系统的自建部门网站,存在容易受到网络攻击的安全隐患,需进行全面自查和整改,要切实履行主体责任,逐步完成迁入学校网站群系统的工作。(2017年8月底前完成)
(二)堵塞网络漏洞,增强防护能力。
4、全面检测网络安全威胁。各单位应对本单位主管的信息系统(网站)开展常态化监测,条件尚不成熟的,可联合其他网络机构或安全企业,对本单位的信息系统(网站)进行安全监测。对发现存在漏洞、后门、暗链、弱口令等安全威胁的信息系统(网站),应及时通报、限时修复、跟踪核查整改结果,尽快消除安全隐患。(持续推进)
5、升级修复应用软件安全问题。各单位要依据教育行政部门和公安机关对本级重要业务管理、教育教学活动中使用范围较广的应用软件产品的安全性问题检查报告,对软件存在的安全缺陷、漏洞等风险隐患,及时采取补救措施,完成对软件的升级和修复。(持续推进)
(三)补齐等保短板,履行安全保护义务。
6、加快完成定级备案。相关单位要根据《教育部、公安部关于全面推进教育行业信息安全等级保护工作的通知》要求,逐步完成信息系统(网站)等级保护定级工作,并到当地公安机关进行备案。新建系统要在正式上线前完成信息系统定级备案和测评整改。(2017年6月底前完成)
7、有序推进测评整改。各单位要对主管信息系统(网站)开展网络安全等级测评整改工作,重点加强对主管的关键信息基础设施的保护,明确责任人,制定专门应急预案,完成年度测评工作,深入查找薄弱环节并迅速整改。(2017年6月底前完成)
(四)规范安全管理,提升治理水平。
8、加强和规范数据管理。各单位要参照《安徽省教育厅关于印发安徽省教育数据管理办法(暂行)的通知》(皖教办[2016]1号),理清数据关系,规范数据采集、管理应用、维护、安全和开放共享,推进对重要数据的加密存储和传输,及容灾备份。(2017年8月底前完成)
9、加强关键信息基础设施规范管理。各单位要开展关键信息基础设施管理和防护规范,明确产品和服务采购要求,保障关键信息基础设施的运行安全。(2017年年底前完成)
10、健全网络安全事件应急响应机制。有关单位应研究制定信息技术安全应急预案,建立安全事件分级响应,跨部门协同处理的工作机制。建设应急处置队伍,落实24小时值守,并定期开展安全演练,提高应急处置水平。(2017年底前完成)
三、工作要求
(一)提高思想认识,加强组织领导。学校统筹推进本次综合治理行动。各单位应充分认识开展综合治理行动的重要性和紧迫性,将工作纳入重要议事日程予以部署,明确主管领导和责任人,提供必要的工作保障,确保各项工作落到实处。
(二)加强协调配合,形成工作合力。各单位要加强与网络信息中心的沟通配合,在打击网络违法行为、处置网络安全事件等方面形成合力。探索与安全专业机构、安全企业建立长期安全有效的合作机制,或通过购买第三方服务,在信息共享,技术支持,教育培训等方面开展多方位合作。
(三)加强监督检查,完善通报机制。相关单位要建立网络安全长效机制。各单位须高度重视网络信息安全工作,严格执行相关法律法规、标准规范等,遵循“谁主管谁负责、谁建立谁负责、谁使用谁负责”,落实“分工负责、责任到人”。各单位要在8月底前如实填写《淮南师范学院网络安全综合治理行动进展统计表》(见附件),加盖单位公章后报送给网络信息中心。
(四)开展宣传教育,提升安全意识。各单位应开展网络安全宣传教育。学校将面向网络安全管理人员和技术人员开展专题培训或学习交流活动,切实提高网络安全意识、管理水平和防护能力。利用新生入学教育、网络安全宣传周等契机,采取多种形式面向广大师生开展网络安全宣传教育,提高网络安全意识和素养。