學校信息安全與網(wǎng)絡(luò)安全管理評估細則

1、附：學校信息安全與網(wǎng)絡(luò)安全管理評估細則評估指標評 估 要 素評 分 標 準得分小計組織機構(gòu)1學校成立信息化安全管理領(lǐng)導(dǎo)小組（2分）建網(wǎng)學校成立信息化安全管理領(lǐng)導(dǎo)小組（0.5分）信息化安全管理領(lǐng)導(dǎo)小組由學校主要領(lǐng)導(dǎo)任組長（0.5分）信息化安全管理領(lǐng)導(dǎo)小組有職能科室負責人和網(wǎng)絡(luò)管理人員共同參與（0.5分）信息化安全管理領(lǐng)導(dǎo)小組負責指導(dǎo)本校網(wǎng)絡(luò)安全與信息安全工作（0.5分）2學校成立校園網(wǎng)絡(luò)管理中心（2分）學校成立校園網(wǎng)絡(luò)管理中心（0.5分）校園網(wǎng)絡(luò)管理中心負責落實本校校園計算機網(wǎng)絡(luò)管理制度，制訂信息安全與網(wǎng)絡(luò)安全管理辦法的實施細則（0.5分）校園網(wǎng)絡(luò)管理中心執(zhí)行計算機信息系統(tǒng)安全管理技術(shù)規(guī)范（0.

2、5分）校園網(wǎng)絡(luò)管理中心實施對師生上網(wǎng)技能的培訓(xùn)（0.5分）3學校明確有網(wǎng)絡(luò)中心負責人、信息發(fā)布審核責任人、網(wǎng)站管理責任人、各欄目信息發(fā)布安全責任人、交互式欄目管理責任人（2分）學校有網(wǎng)絡(luò)中心負責人（0.5分）學校有信息發(fā)布審核責任人（0.5分）學校有網(wǎng)站管理責任人（0.5分）學校有各欄目信息發(fā)布安全責任人和交互式欄目管理責任人（0.5分）4學校配備有相應(yīng)的專（兼）職網(wǎng)絡(luò)管理人員，網(wǎng)絡(luò)管理人員持證上崗（2分）100信息點以下的校園網(wǎng)應(yīng)配備1名專（兼）職網(wǎng)絡(luò)管理人員，100-200信息點的校園網(wǎng)應(yīng)配備2名專（兼）職網(wǎng)絡(luò)管理人員，200信息點以上的校園網(wǎng)應(yīng)配備1名專職及2-3名兼職網(wǎng)絡(luò)管理人員。專（

3、兼）職校園網(wǎng)絡(luò)管理人員須具有計算機、電化教育（教育技術(shù)）、通信等專業(yè)或相近專業(yè)的大專以上（含大專）學歷，并具有網(wǎng)絡(luò)信息安全管理能力。（1分）校園網(wǎng)絡(luò)管理人員須取得湖南省教育網(wǎng)絡(luò)安全管理人員培訓(xùn)持證上崗證，專、兼職網(wǎng)絡(luò)管理人員應(yīng)參加公安部門組織的網(wǎng)絡(luò)安全培訓(xùn)。（1分）制度建設(shè)及履行情況5有計算機網(wǎng)絡(luò)建設(shè)發(fā)展規(guī)劃（2分）學校制訂有本校校園計算機網(wǎng)絡(luò)建設(shè)的規(guī)劃（2分）6有信息安全、網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急處置預(yù)案（2分）學校制訂有信息安全、網(wǎng)絡(luò)安全突發(fā)事件的應(yīng)急處置預(yù)案（0.5分）應(yīng)急處置預(yù)案能根據(jù)不同的事件類型（如病毒感染、網(wǎng)頁篡改、硬件故障、火災(zāi)等）和不同應(yīng)急響應(yīng)優(yōu)先級采取恰當?shù)难a救措施（1分）網(wǎng)絡(luò)

4、安全突發(fā)事件發(fā)生時及時通知受影響各方（0.5分）7有信息發(fā)布的內(nèi)容審查制度（2分）學校建立網(wǎng)絡(luò)信息發(fā)布內(nèi)容審查制度（2分）8有明確的網(wǎng)絡(luò)管理員工作職責，實行網(wǎng)絡(luò)管理員值班制度（2分）學校有明確的網(wǎng)絡(luò)管理員工作職責（1分）學校實行網(wǎng)絡(luò)中心管理員節(jié)假日值班制度（1分）9建立了師生上網(wǎng)賬號和IP地址的實名管理制度（2分）學校建立師生上網(wǎng)賬號實名管理制度（1分）學校建立IP地址實名管理制度（1分）10對公用計算機使用實行使用登記制度（2分）學校建立學生機房、教師備課室、教師辦公室、電子閱覽室等公用計算機使用登記制度（2分）11建立信息系統(tǒng)多人負責、有限任期制度（2分）每一項與安全有關(guān)的操作和管理活動，

5、由主管領(lǐng)導(dǎo)指派兩人或多人共同操作（0.5分）安全管理工作人員應(yīng)不定期地循環(huán)任職（1分）對以下工作實行職責分離（0.5分）：l 計算機操作與計算機編程；l 機密資料的接收與傳送；l 安全管理與系統(tǒng)管理；l 應(yīng)用程序與系統(tǒng)程序的編制；l 計算機操作與信息處理系統(tǒng)使用介質(zhì)的保管。12各項管理制度落實到人（2分）各項管理制度以相應(yīng)方式發(fā)布到有關(guān)人員手中（2分）13網(wǎng)站履行了互聯(lián)網(wǎng)信息服務(wù)備案手續(xù)（2分）網(wǎng)站履行了互聯(lián)網(wǎng)信息服務(wù)備案手續(xù)（1分）學校網(wǎng)站主頁底部的中央位置標明備案編號（1分）物理安全14對信息系統(tǒng)重點部位安裝防盜報警或監(jiān)控系統(tǒng)（2分）網(wǎng)絡(luò)中心、計算機教室、電子閱覽室、電子備課室設(shè)置防盜門窗

6、（1分）網(wǎng)絡(luò)系統(tǒng)關(guān)鍵部位安裝防盜報警或監(jiān)控系統(tǒng)（1分）15有與學校信息系統(tǒng)相適應(yīng)的供電系統(tǒng)（2分）網(wǎng)絡(luò)中心、計算機房使用專用可靠的供電線路，供配電系統(tǒng)應(yīng)考慮計算機系統(tǒng)擴展、升級的可能性，并預(yù)留備用容量（1分）網(wǎng)絡(luò)中心機房設(shè)備采用與本校信息系統(tǒng)相稱的不間斷電源系統(tǒng)供電（0.5分）供電電網(wǎng)質(zhì)量不能滿足計算機系統(tǒng)供電要求時，根據(jù)具體情況采用相應(yīng)的電源質(zhì)量改善措施和隔離防護措施（0.5分）16網(wǎng)絡(luò)中心、計算機教室配備空調(diào)系統(tǒng)，溫度、濕度符合要求（2分）網(wǎng)絡(luò)中心機房、計算機教室、電子閱覽室、電子備課室配備空調(diào)（0.5分）網(wǎng)絡(luò)中心溫度夏季為232，冬季202，溫度變化率5/h并不得結(jié)露（0.5分）計算機教

7、室、電子閱覽室、電子備課室溫度為15-30（0.5分）網(wǎng)絡(luò)中心機房相對濕度45-65%（0.5分）17主機房采用防靜電活動地板，導(dǎo)靜電地面、活動地板、機柜可靠接地（2分）主機房采用防靜電活動地板（1分）主機房內(nèi)的導(dǎo)靜電地面、活動地板、機柜均可靠接地（1分）18網(wǎng)絡(luò)中心、計算機房遠離水源和強磁場，網(wǎng)絡(luò)中心配備消防、防雷設(shè)施（2分）網(wǎng)絡(luò)中心機房、計算機房遠離水源，對穿過機房墻壁和樓板的水管增加必要的保護措施，防止雨水通過機房窗戶、屋頂和墻壁滲透（0.5分）網(wǎng)絡(luò)中心機房和計算機房遠離強磁場（0.5分）網(wǎng)絡(luò)中心機房和計算機房配備消防設(shè)施（0.5分）網(wǎng)絡(luò)中心機房和計算機房配備防雷設(shè)施（0.5分）19網(wǎng)絡(luò)

8、布線規(guī)范，鋪設(shè)電纜加裝金屬套管，校園網(wǎng)內(nèi)無私拉亂接行為（2分）校園網(wǎng)采用結(jié)構(gòu)化布線，網(wǎng)絡(luò)布線規(guī)范（1分）鋪設(shè)電纜加裝金屬套管（0.5分）校園網(wǎng)內(nèi)無私拉亂接行為（0.5分）技術(shù)防范20網(wǎng)絡(luò)設(shè)備及帶寬能滿足學校教育、教學、管理、教研需要（2分）關(guān)鍵網(wǎng)絡(luò)設(shè)備、接入網(wǎng)絡(luò)設(shè)備能滿足基本業(yè)務(wù)需要（1分）接入網(wǎng)絡(luò)帶寬、核心網(wǎng)絡(luò)帶寬能和接入互聯(lián)網(wǎng)帶寬能滿足學校教育、教學、管理、教研需要（1分）21繪制了校園網(wǎng)絡(luò)拓撲圖（2分）繪制了與當前校園網(wǎng)絡(luò)情況相符的網(wǎng)絡(luò)拓撲圖（2分）22網(wǎng)絡(luò)邊界設(shè)置防火墻，并正確配置安全策略（2分）校園網(wǎng)絡(luò)邊界設(shè)置防火墻（0.5分）防火墻性能滿足本單位內(nèi)外網(wǎng)通信的需要（0.5分）校園網(wǎng)絡(luò)

9、管理人員操作熟練，正確配置了安全策略能根據(jù)校園網(wǎng)絡(luò)的需要及時變更防火墻設(shè)置（0.5分）網(wǎng)絡(luò)邊界設(shè)備可根據(jù)訪問控制列表等方法對源地址、目的地址、源端口、目的端口和協(xié)議等進行檢查，以允許或拒絕數(shù)據(jù)包出入（0.5分）23根據(jù)學校各部門信息的敏感程度將相應(yīng)計算機劃分為不同的子網(wǎng)，對涉密系統(tǒng)或信息應(yīng)采取必要的隔離措施（2分）根據(jù)學校各部門信息的敏感程度將相應(yīng)計算機劃分為不同的子網(wǎng)（1分）對涉密系統(tǒng)（如人事信息系統(tǒng)、財務(wù)管理系統(tǒng)、學籍管理系統(tǒng)等）或信息應(yīng)采取必要的隔離措施（1分）24操作系統(tǒng)遵循最小化安裝原則（2分）操作系統(tǒng)遵循最小化安裝原則，安裝需要的組件和應(yīng)用程序（1分）操作系統(tǒng)僅開放必要的端口（1分

10、）25所有計算機及時更新操作系統(tǒng)補?。?分）網(wǎng)絡(luò)管理員及時更新服務(wù)器操作系統(tǒng)補?。?分）公用計算機管理人員及時更新學生機房、公用計算機操作系統(tǒng)補?。?.5分）教職工及時更新專用計算機操作系統(tǒng)補丁（0.5分）26計算機均安裝防病毒、防火墻軟件并及時更新（2分）所有計算機均安裝防病毒軟件(1分)個人計算機安裝防火墻軟件(0.5分)防病毒軟件、防火墻軟件及時更新(0.5分)27校園網(wǎng)對網(wǎng)上有害信息進行過濾（2分）校園網(wǎng)對網(wǎng)上有害信息進行過濾(2分)28對上網(wǎng)日志進行記錄（2分）對上網(wǎng)日志進行記錄(1分)上網(wǎng)日志記錄保存不少于60天(1分)29學校計算機均使用正版軟件，提倡使用國產(chǎn)軟件，無侵犯知識產(chǎn)權(quán)

11、行為（2分）學校計算機均使用正版軟件，提倡使用國產(chǎn)軟件，無侵犯知識產(chǎn)權(quán)行為(2分)30對數(shù)據(jù)定期備份，重要數(shù)據(jù)異地備份（2分）對數(shù)據(jù)定期進行備份(1分)重要數(shù)據(jù)異地備份(1分)31電子公告服務(wù)系統(tǒng)內(nèi)容的發(fā)布均經(jīng)過管理員審查（2分）電子公告服務(wù)內(nèi)容需經(jīng)過管理員審查后方可發(fā)布(2分)32操作系統(tǒng)、應(yīng)用系統(tǒng)軟件的使用均采取身份認證，對資源訪問的日志進行記錄（2分）操作系統(tǒng)的使用均采取身份認證(1分)應(yīng)用系統(tǒng)軟件的使用采取身份認證(0.5分)對資源訪問的日志進行記錄(0.5分)33限制默認賬戶的訪問權(quán)限，重命名系統(tǒng)默認賬戶，修改賬戶的默認口令，口令應(yīng)符合一定的復(fù)雜性要求并定期更換，通過安全策略限制非法

12、登錄次數(shù)（2分）限制默認賬戶的訪問權(quán)限，重命名系統(tǒng)默認賬戶，修改賬戶的默認口令（1分）口令應(yīng)符合一定的復(fù)雜性要求并定期更換（0.5分）通過安全策略限制非法登錄次數(shù)（0.5分）34對網(wǎng)絡(luò)設(shè)備及應(yīng)用平臺進行遠程管理維護時采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽（2分）對網(wǎng)絡(luò)設(shè)備及應(yīng)用平臺進行遠程管理維護時采取必要措施（加密或隧道等），防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽（2分）35無線網(wǎng)絡(luò)采用認證加密措施（2分）無線網(wǎng)絡(luò)采用認證加密措施(2分)安全管理臺賬36校園網(wǎng)絡(luò)工程技術(shù)文檔完備（2分）校園網(wǎng)絡(luò)工程技術(shù)文檔完備（2.5分）37計算機房和公用辦公計算機使用記錄齊全（2分）計算機房和公用辦公

13、計算機使用記錄齊全（2分）38網(wǎng)絡(luò)中心有完善的設(shè)備維護和值班記錄（2分）網(wǎng)絡(luò)中心有完善的設(shè)備維護記錄（1分）網(wǎng)絡(luò)中心有完善的值班記錄（1分）39學校信息發(fā)布審核記錄完整（2分）學校信息發(fā)布審核記錄完整（2分）人員培訓(xùn)40網(wǎng)絡(luò)管理人員每年參加網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理相關(guān)的繼續(xù)教育（2分）除正常校本培訓(xùn)外，建網(wǎng)學校每年選送專（兼）職網(wǎng)絡(luò)管理人員參加與網(wǎng)絡(luò)安全及網(wǎng)絡(luò)管理相關(guān)的繼續(xù)教育活動（2分）41對教職工進行計算機操作技能培訓(xùn)，教職工掌握網(wǎng)絡(luò)安全與信息安全的基本常識，大部分教師能運用校園網(wǎng)絡(luò)進行教學（2分）學校對教職工進行計算機操作技能培訓(xùn)（1分）學校教職工掌握網(wǎng)絡(luò)安全與信息安全的基本常識（0.5分）大

14、部分教師能運用校園網(wǎng)絡(luò)進行教育、教學、教研和管理（0.5分）42引導(dǎo)未成年學生健康上網(wǎng)，不進營業(yè)性網(wǎng)吧（2分）學校通過各種活動引導(dǎo)未成年學生健康上網(wǎng)（1分）本學年度學生無進營業(yè)性網(wǎng)吧的行為（1分）安全管理成效43校園網(wǎng)在教育、教學、教研和管理中發(fā)揮積極作用（2分）校園網(wǎng)絡(luò)用于教育教學學科覆蓋率達到50%以上，學校網(wǎng)站或?qū)ｎ}網(wǎng)站獲得省二等獎以上獎勵，校園網(wǎng)在教研和管理中發(fā)揮了積極作用（2分）；校園網(wǎng)絡(luò)用于教育教學學科覆蓋率達到40%以上，學校網(wǎng)站或?qū)ｎ}網(wǎng)站獲得市二等獎或縣（市）一等獎以上獎勵，校園網(wǎng)在教研和管理中發(fā)揮了一定作用（1.5分）；校園網(wǎng)絡(luò)用于教育教學學科覆蓋率達到30%以上，學校網(wǎng)站或

15、專題網(wǎng)站獲得縣（市、區(qū)）二等獎以上獎勵，校園網(wǎng)在教研和管理中發(fā)揮了作用（1分）。44網(wǎng)站服務(wù)器和信息發(fā)布系統(tǒng)無嚴重安全漏洞（2分）使用網(wǎng)絡(luò)隱患掃描系統(tǒng)和其他工具軟件對校園網(wǎng)內(nèi)所有服務(wù)器進行掃描所有服務(wù)器操作系統(tǒng)和信息發(fā)布系統(tǒng)無緊急風險漏洞或高風險漏洞（2分）；系統(tǒng)有1個高風險漏洞或3個以內(nèi)中風險漏洞未采取補救措施（1.5分）；系統(tǒng)有2個高風險漏洞或3-5個中風險漏洞且未采取補救措施（0.5分）；系統(tǒng)有3個以上高風險漏洞或6個以上中風險漏洞（0分）。45 對各級教育行政主管部門配發(fā)或指定的平臺使用情況良好（2分）對各級教育行政主管部門配發(fā)或指定的平臺使用情況良好（2分）46網(wǎng)站發(fā)布的內(nèi)容無不良信息，校園網(wǎng)絡(luò)無大面積計算機病毒疫情發(fā)生（2分）網(wǎng)站發(fā)布的內(nèi)容無不良信息（1分）本學年度校園網(wǎng)內(nèi)無大面積計算機病毒疫情發(fā)生（1分）47沒有將教育系統(tǒng)涉及國家安全、社會秩序和公共利益的重要信息提供給無關(guān)人員與組織的行為（2分）學校沒有將教育系統(tǒng)涉及國家安全、社會秩序和公共利益的重要信息提供給無關(guān)人員與組織的行為(1分)計算機信息系統(tǒng)存儲、處理、傳遞、輸出的涉密信息有相應(yīng)的密級標識(1分)48網(wǎng)絡(luò)設(shè)備完好，經(jīng)費保障到位（2分）所有網(wǎng)絡(luò)設(shè)備運行正常（1分）經(jīng)費保障到位，學校安排有網(wǎng)絡(luò)維護專項經(jīng)費（1分）49無私自出租服務(wù)器空間的行為，校園網(wǎng)絡(luò)未出現(xiàn)其他安全責任事故（2分）無私自出租