各系、各部门:
《山东服装职业学院网络安全责任制检查考核办法》已经学院党委会研究通过,现予以印发,请遵照执行。
中共山东服装职业学院委员会
2024年9月10日
山东服装职业学院
网络安全责任制检查考核办法
为进一步加强学院网络安全工作,落实网络安全主体责任,明确党委领导班子、领导干部网络安全责任,根据《中国共产党问责条例》《中央网络安全和信息化委员会工作规则》《中共山东省委教育工委关于印发〈山东省教育系统党委(党组)网络安全工作责任制实施办法〉和〈山东省教育系统党委(党组)网络安全工作责任制考核评价操作指南(试行)〉的通知》(鲁教工委字〔2021〕40 号)等有关规定,结合工作实际,制定本办法。
第一章 总则
第一条网络安全工作事关国家安全、政权安全和经济社会发展,学院党委在上级主管部门指导下,按照“谁主管谁负责,谁使用谁负责”的原则,落实党委网络安全工作责任制。
第二条坚持党委对学院网络安全工作的领导,形成党委统一领导、党政齐抓共管、各级党组织与有关部门各负其责的网络安全工作格局,严格落实主体责任,做到责任明确,措施到位。
第三条网络安全工作责任制检查考核坚持“贵在真实,重在整改”的工作原则。
第四条本办法适用山东服装职业学院各系、各部门。
第二章 主体责任
第五条学院党委对学院网络安全工作负主体责任,党委书记、院长是学院网络安全工作的主要负责人。
第六条 分管网络安全和信息化工作的院领导是学院网络安全工作的直接责任人。其他分管院领导对其分管部门和分管工作的网络安全负有领导责任。
第七条各系、各部门主要负责人为本单位网络安全工作第一责任人,主管网络安全工作的分工负责人为直接责任人。
第八条学院网络安全和信息化领导小组是网络安全工作的领导机构,办公室设在图书馆(信息中心),负责领导、统筹、决策学院在网络安全和信息化领域的重大工作事项,督查网络安全和信息化发展规划与项目实施,研究制定网络安全和信息化管理相关制度及相应标准,制定网络安全事件和舆情热点的应对策略、突发事件预案,主要承担的网络安全责任如下:
(一)贯彻落实党中央、省委、市委关于网络安全工作的法律法规、决策部署,确立学院网络安全的主要目标、基本要求、工作任务、保护措施;
(二)建立健全网络安全工作责任制,将网络安全工作纳入重要议事日程、发展规划等,确保人力、财力、物力的支持和保障力度;
(三)建立健全网络安全工作责任制检查考核机制;
(四)统一组织领导学院的网络安全保护和重大事件处置工作,研究解决重要问题;
(五)为公安机关、安全机构依法维护国家安全、侦查犯罪以及防范提供支持和保障;
(六)定期开展网络安全宣传教育,不断提升全体师生的网络安全素养和网络安全意识。
第九条图书馆(信息中心)是学院网络安全工作的职能部门,主要承担的网络安全责任如下:
(一)贯彻落实国家、省委、市委和学院党委关于网络安全工作的法律法规、决策部署、工作要求等,部署学院网络安全工作;
(二)推动落实学院网络安全工作责任制,监督指导、检查考核网络安全工作责任制落实,开展网络安全工作检查;
(三)谋划学院网络安全工作的顶层设计、总体布局,审定网络安全建设发展规划、规章制度、应急预案、建设方案等;
(四)组织实施网络安全等级保护、测评评估,对学院网络安全进行分等级保护、分等级监管,提升防护能力;
(五)综合协调、整体推进、督促落实网络安全工作,健全监测预警、信息通报、分析研判、事件处置、宣传教育、安全培训、专家咨询机制;
(六)建立跨部门协调和处置机制,统筹协调学院网络安全保护和事件处置工作。
第十条建立协同联动机制落实网络安全工作责任制,图书馆(信息中心)为牵头单位,统筹协调网络安全工作责任制日常工作。协同成员单位及其主要承担的网络安全责任如下:
(一)党委(院长)办公室负责各部门工作信息沟通,统筹管理保密相关工作;
(二)组织人事处负责为网络安全工作配备适量的专兼职专业技术人才提供支持和保障;将网络安全工作列入部门及领导干部年度考核、评价的重要内容;
(三)宣传处(统战部)负责网络舆情信息的监控和管理,组织开展网上疏导和正面宣传;
(四)纪委办公室负责对未正确履行职责或因工作疏忽等原因而发生的安全事件进行责任追究;
(五)财务处负责为网络安全加固建设、安全运维、等级检测、宣传培训、应急处置等提供适应的经费支持和保障;
(六)总务处(后勤服务中心)负责为网络安全工作提供运行环境、运行条件等支持和保障;
(七)学生工作处(团委)、组织人事处分别组织对在校生、教师等开展网络安全宣传教育;配合调查、取证、处理网络安全事件;
(八)按照“谁主管谁负责,谁使用谁负责”的原则,各系、各部门对本单位网络安全工作负主体责任。
第三章 检查方式和周期
第十一条网络与信息安全检查采取自查、抽查和专项检查相结合的方式。
(一)自查是各系、各部门基于本办法的要求,周期性开展的网络与信息安全检查。检查工作由各单位信息安全人员承担。
(二)抽查是指学院网络安全和信息化领导小组办公室组织的网络与信息安全检查。网络安全和信息化领导小组办公室制定并实施学院的年度信息安全检查计划,检查工作由领导小组办公室组织相关信息安全人员承担。
(三)专项检查是由上级部门具有特定目的的网络与信息安全检查。检查工作由检查组织单位委托具有相关安全认证资质的机构或邀请专家承担。
第十二条检查周期
(一)每季度至少开展一次自查工作。原则上可选在如“两会”与国庆节前等关键或敏感的重点时间节点之前进行,检查重点为上次自查、抽查或者专项检查问题的整改情况和发生变化的系统。
(二)抽查工作是与阶段性的重点工作、重大活动和节假日工作相结合而开展的,结合工作需要,每年至少开展一次。
(三)专项检查工作根据国家和省阶段性重点工作或者有针对性的网络与信息安全事件开展。
第四章 检查内容和方法
第十三条检查内容分为管理和技术两个方面。
管理方面是检查安全管理要求和流程的执行情况;技术方面是检查各软、硬件系统是否符合安全技术要求、安全配置要求以及其它安全技术规范。
第十四条检查方法应采取人工与技术手段相结合的方式进行,包括但不限于对系统进行基线检查、漏洞扫描、渗透测试、日志审查、人员访谈、现场观察、资料查阅等,确保检查的有效性和完整性。
第五章 检查流程和要求
第十五条检查流程包括:制定计划、准备、实施、改进等四个阶段。
第十六条计划阶段
检查前,组织者制订具体的检查计划,确定本次检查范围、重点内容、检查方法、时间安排、人员安排、主要风险及防范措施等。
第十七条准备阶段
(一)细化检查内容。如:检查的系统范围,检查的重点项,各个系统中增、删、改等重点操作的指令与关键词等。
(二)填写《网络与信息安全检查表》(附件1)。检查表应包含检查内容、检查要点、检查方式、检查结果、存在问题描述、检查人和被检查人员签字等内容。
(三)培训。重点培训检查人员,说明检查内容和方法、主要风险及防范措施、表格填写要求、问题处理方法等。
第十八条实施阶段
(一)按照《网络与信息安全检查表》(附件1)进行检查并如实记录。
(二)检查人员、配合人员共同签字确认检查结果。
第十九条整改阶段
(一)被检查部门认真分析发现的问题,在7日内制订相应的整改计划及实施方案,做到“项目、措施、责任、时间和资金”五落实;
(二)整改完成后,向学院网络安全和信息化领导小组办公室提交《网络与信息安全检查整改情况报告》(附件2),并提请复核。
第二十条《网络与信息安全检查报告》《网络与信息安全检查整改情况报告》等相关文档,经过审批后由图书馆(信息中心)存档。
第二十一条对于国家主管部门组织的各种网络与信息安全检查,被查部门要及时上报至学院网络安全和信息化领导小组。被检查部门应按照本办法相关要求进行改进,妥善保留有关检查结果和报告并存档。
第二十二条各种形式的检查都应获得相应授权,不得违反学院相关信息安全管理规定要求,应遵循对应用系统影响最小化的原则,严格控制可能带来高风险的检查方法;对于在线业务系统的评估检查时间必须避开业务高峰时期。
第六章 评价与考核
第二十三条网络安全和信息化领导小组办公室按照《山东服装职业学院落实网络安全责任制考核评价实施办法》,对网络安全工作责任制落实情况进行评价考核。
第二十四条网络安全工作纳入学院目标考核,作为各系、各部门领导干部考核评价的主要内容。在网络与信息安全检查与整改工作中弄虚作假的,一经查实,将按照学院有关管理制度进行处罚。
第二十五条各系、各部门应认真履行网络安全职责,凡未正确履行职责或因工作疏忽等原因而发生不安全、不稳定事件,有下列情形之一的,应逐级倒查,追究相关责任人责任。
(一)对网络安全工作不重视、严重落实不到位、不遵守学院相关规章制度或工作要求的;
(二)网络、网站、应用平台等被攻击篡改,导致反动言论或谣言等违法有害信息大面积扩散,且没有及时报告和组织处置的;
(三)发生秘密泄露、大面积师生个人信息泄露或者大量教学、科研、管理等基础数据泄露的;
(四)负责的应用系统、物联设施存在安全风险隐患不及时、不积极整改的;
(五)瞒报、谎报、不报或拖延报告网络安全事件,拒不配合调查、处置,或者对通报的问题和风险隐患不及时整改并造成严重后果的;
(六)阻碍、干涉公安机关、国家安全机关依法维护国家安全、侦查犯罪以及防范、调查恐怖活动,或者拒不提供支持和保障的;
(七)发生其他严重危害网络安全行为的。
第七章 附则
第二十六条本办法由学院网络安全和信息化领导小组办公室负责解释。
第二十七条本办法自印发之日起施行。
附件:
1..《网络与信息安全检查表》
2..《网络与信息安全检查整改情况报告》
附件1
网络与信息化安全检查表
序号 | 检查 内容 | 检查 要点 | 检查 方式 | 记录 结果 | 存在问题描述 | 部门人 员签字 | 检查人 员签字 |
附件2
网络与信息安全检查整改情况报告
(参考模板)
一、检查发现的主要问题
二、改进措施要点
三、改进措施实施情况
四、遗留的问题及改进计划
五、总结
