鄂尔多斯市教育体育局关于开展全市教育网络安全与数据安全检查工作的通知

鄂教体信推办函〔2024〕21号

鄂尔多斯市教育体育局关于开展全市教育网络

安全与数据安全检查工作的通知

各旗区教育体育局、市直属各单位：

为落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》相关制度，规范全市教育体育系统网络数据处理活动，保护师生在网络空间的合法权益，切实加强全市教育网络安全与数据安全工作日常督查，按照《中共鄂尔多斯市委员会网络安全和信息化委员会办公室关于印发《2024年鄂尔多斯市网络安全检查工作方案》的通知》（鄂党网办发〔2024〕13号）文件精神，市教育体育局决定联合网信、公安等相关部门，开展全市教育网络安全与数据安全专项检查工作。

一、检查时间

2024年10月28日-11月22日。具体时间另行通知。

二、检查对象

各旗区教育体育局、市直属各单位。

三、检查内容

网络安全与数据安全检查，主要从教育网络安全与数据安全管理制度建设、日常运维模式、网络安全、数据安全、信息系统安全等方面开展，实地检查数据中心机房、安防视频监控、录播室、户外LED显示大屏等设施设备使用情况，各单位的公用电脑、教学一体机、打印机、无线等设备使用及责任人的落实情况，检查服务器与办公电脑杀毒软件的安装情况，对教育网络环境的安全性进行全面的检查和评估，全面了解各单位教育网络设施设备的使用管理现状。

四、工作要求

（一）加强领导，明确责任，将网络安全与数据安全工作落到实处，提前开展自查与整改，切实保障自查工作顺利进行。

（二）各单位要高度重视此次检查工作，指定专人负责，并以此次检查自查为契机，进一步提高对网络安全与数据安全工作重要性的认识。

（三）请各单位就检查组要求整改的内容于检查结束后一周内进行反馈，将盖章后的扫描件发送至邮箱64427646@qq.com。

如在自查检查过程中遇到问题，请联系市电化教育馆网络部，联系人：王老师，联系电话：0477-8598868。

附件：2024年鄂尔多斯市教育网络安全检查事项

鄂尔多斯市教育体育局

2024年10月25日

附件

2024年教育网络安全检查事项

序号	检查事项分类		检查要素	检查内容
1	组织网络安全管理		网络安全主管领导	明确一名主管领导负责本部门网络安全工作（主管领导应为本部门正职或副职领导）。
2			网络安全管理机构	指定一个机构具体承担网络安全管理工作。
3			网络安全员	内设机构指定一名专职或兼职网络安全员。
4	网络安全日常管理	规章制度	制度完整性	建立网络安全管理制度体系，包括人员管理、资产管理、采购管理、外包管理、教育培训等方面。
5		规章制度	制度发布	网络安全管理制度以正式文件形式发布。
6		人员管理	重点岗位人员签订安全保密协议	重点岗位人员（系统管理员、网络管理员、网络安全员等）签订网络安全与保密协议。
7			人员离岗离职管理措施	人员离岗离职时，收回其相关权限，注销用户账号，签署安全保密承诺书。
8			外部人员访问管理措施	外部人员访问机房等重要区域时采取审批、人员陪同、进出记录等安全管理措施。
9		资产管理	责任落实	指定专人负责资产管理，并明确责任人职责。
10			建立台账	建立完整资产台账，统一编号、统一标识、统一发放。旗区或学校（市直属）信息系统建立统一台账。
11			账物符合度	资产台账与实际设备相一致。
12			设备维修维护和报废管理措施	完整记录设备维修维护和报废信息（时间、地点、内容、责任人等）.
13		外包管理	外包服务协议	与外包服务提供商签订网络安全与保密协议，或在服务合同中明确网络安全与保密责任。
14			现场服务管理	现场服务过程中安排专人管理，并记录服务过程。
15			外包开发管理	外包开发的系统、软件上线前通过信息安全测评。
16			运维服务方式	原则上不得采用远程在线方式，确需采用时采取书面审批、访问控制、在线监测、日志审计等安全防护措施。
17		经费保障	经费预算	将网络安全设施运维、日常管理、教育培训、检查评估等费用纳入年度预算。
18		网络内容管理	信息发布	官方网站、微信公众号、官方微博、官方移动 APP 等信息发布前采取内容核查、审批等安全管理措施。
19		电子信息管理	介质销毁和信息消除	配备必要的电子信息消除和销毁设备，消除变更用途的存储介质中信息，销毁废弃的存储介质。
序号	检查事项分类		检查要素	检查内容
20	信息安全防护管理	物理环境安全	机房安全	具备防盗窃、防破坏、防雷击、防火、防水、防潮、防静电、备用电力供应、温湿度控制、电磁防护等安全措施（含自有机房、托管机房、租用机房）
21		物理环境安全	物理访问控制	机房配备门禁系统或有专人值守。（含自有机房、托管机房、租用机房）
22		网络边界安全	访问控制	物理边界部署访问控制设备、能够阻断非授权访问。
23			入侵检测	物理边界部署入侵检测设备，定期更新检测规则库。
24			安全审计	物理边界部署安全审计设备，定期分析审计物理访问情况并记录审计情况。
25			违规外联	专用网络（非涉密网络）违规连接互联网监测或检测情况
26			互联网接入口数量	所有用户采用实名上网。单位同一办公区内互联网接入口不超过2个。
27		设备安全	恶意代码防护	部署防病毒网关或统一安装防病毒软件，并定期更新恶意代码库。
28			设备漏洞扫描	定期扫描服务器、网络设备、安全设备等安全漏洞。
29			服务器口令策略	配置口令策略保证服务器口令强度和更新频率。
30			服务器安全审计	启用安全审计功能并定期分析。
31			服务器补丁更新	及时更新服务器操作系统和数据库管理系统补丁。
32			网络设备和安全设备口令策略	配置口令策略保证网络设备和安全设备口令强度和更新频率。
33			终端计算机统一防护	采取集中统一管理方式对终端进行防护，统一软件下发、安装系统补丁。
34			终端计算机接入控制	采取技术措施（如部署集中管理系统、将 IP地址与MAC地址绑定等）对接入本单位网络的终端计算机进行控制。
35		应用系统安全	应用系统安全漏洞扫描	定期扫描服务器、网络设备、安全设备等安全漏洞。
36			门户网站和在线信息系统页面防篡改措施	门户网站和在线信息系统采取网页防篡改措施。
37			门户网站和在线信息系统抗拒绝服务攻击措施	门户网站和在线信息系统采取抗拒绝服务攻击措施。
38			电子邮件账号注册、审批或登记	建立电子邮件账号台账，登记用于存储、传输工作相关信息的电子邮箱账号。
39			电子邮箱账户口令策略	配置口令策略保证电子邮箱口令高强度和更新频率。
40			邮件清理	定期清理电子邮件。
序号	检查事项分类		检查要素	检查内容
41	应用系统安全	数据安全	数据存储保护	采取加密、分区存储等技术措施存储重要数据。
42			数据传输保护	采取加密技术措施传输重要数据。
43			数据和系统备份	采取技术措施定期备份重要数据和系统。
44			数据中心、灾备中心设立	数据中心、灾备中心设立在国内。
45	网络安全应急管理		应急预案	制定网络安全事件应急预案（为部门级预案，非单个信息系统的安全应急预案），相关人员熟悉应急预案。
46			应急演练	组织开展应急演练，并留存演练计划、方案、记录、总结等文档。
47			应急资源	建立应急技术支援队伍，配备必要的备机、备件等应急物资。
48			事件处置	发生网络安全事件后，及时向主管领导报告，按照预案开展处置工作；重大事件及时报告同级网络安全主管监管部门。
49	网络安全教育培训		意识教育	面向全体人员开展网络安全形势与警示教育、基本技能培训等活动。
50	网络安全教育培训		专业培训	定期开展网络安全管理人员和技术人员专业培训。
51	网络安全检查		工作部署	制定检查工作相关文件或者组织召开专题会议，部署年度检查工作。
52			工作机制	明确检查工作责任人、检查机构和检查人员。
53			技术检测	使用技术手段进行安全检测。
54			检查经费	安排并落实检查工作经费。
55	网络安全等级保护		等级保护定级	开展网络安全等级保护定级工作。
56			等级保护备案	运营、使用单位在确定等级后到所在地的市级及以上公安机关备案。
57			等级保护测评	运营、使用单位或者主管部门应当选择合规测评机构，定期对信息系统安全等级状况开展等级测评。
58			安全建设整改	对于测评结果未达到安全等级保护要求的，运营、使用单位应当进行整改。配备符合等级要求的信息安全设施，建立安全组织，制定并落实安全管理制度。
59	保密管理		信息公开保密审查	建立并严格执行信息公开保密审查制度。
60			非涉密网络工作秘密管理情况	不在未采取防护措施的情况下，直接在互联网及其他公共信息网络中存储、处理、传输工作秘密。
61			保密技术检查	定期开展保密技术检查。
62			互联网接入口保密监管	完成互联网接入缩减工作，统一接入自治区电子政务外网，接受保密部门监督管理。
63	商用密码使用情况		规范商用密码应用	采用经国家密码管理部门核准、认证的商用密码产品、技术和服务。
64			开展商用密码应用安全性评估测评	定期对网络安全等级保护三级及以上重要信息系统开展商用密码应用安全性评估测评。
65			经费预算	将商用密码应用安全性评估测评经费和密码应用升级改造经费纳入年度预算

鄂尔多斯市教育体育局办公室 2024年10月25日印发