关于印发《宁波市教育局直属学校(单位)电子政务外网终端安全管理规范(试行)》的通知

2022-11-02

直属学校(单位):

现印发《宁波市教育局直属学校(单位)电子政务外网终端安全管理规范(试行)》,请各学校(单位)依规执行。

                                                                                            宁波市教育局

                                                                                         2022年10月26日

                    宁波市教育局直属学校(单位)电子政务外网终端安全管理规范(试行)

第一章 总则

第一条 为加强宁波市教育局电子政务外网的管理,根据《中华人民共和国网络安全法》《宁波市电子政务外网网络及信息安全管理办法》,结合教育系统实际情况,制定本规范。

第二条 本规范所称的电子政务外网终端是指各直属学校(单位)因开展财务、人事、固定资产管理等业务工作需要,向宁波市大数据局申请获得宁波市电子政务外网接入许可,并通过专用线缆连接,取得合法电子政务外网IP地址的计算机终端设备。

第三条 各直属学校(单位)作为宁波市电子政务外网的接入单位,是开展电子政务外网业务活动和履行安全职责的主体,需严格按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,分级管理、责任到人,同时承担相应的行为责任与安全责任。

第二章 安全管理

第四条 各直属学校(单位)在接受宁波市电子政务外网提供的服务时,应履行相应的安全管理义务,接受宁波市大数据局的统一管理和指导。

第五条 宁波市电子政务外网是省政务外网的组成部分,是我市电子政务的重要基础设施。各直属学校(单位)通过专线接入电子政务外网的多个终端设备是宁波市电子政务外网的重要组成部分,应按照政务外网的规定进行管理,不得与其他网络(含校园网、教科网)互联互通,不得自建出口,必须做到终端可信、可控、安全接入市电子政务外网。

为避免违规外联,各直属学校(单位)接入政务外网不得存在以下情况:

(一)随意更改政务外网的连接线路和网络接入设备的配置;

(二)安装双网卡,包括运行虚拟机设置虚拟网卡;

(三)安装与使用无线网卡,或将有线连接分享为无线信号的热点设备;

(四)连接手机、平板电脑、4G(5G)接入装置、带WIFI功能的移动存储介质等具有互联网连接能力的移动设备;

(五)连接其他具备接入校园网、教科网、互联网能力的设备。

第六条 政务外网终端须遵循专人使用、专线连接的原则,终端的网络地址应使用全市统一规划的市政务外网地址,开展固定业务,并在终端、网络设备、外部设备上做好醒目的安全警示标识。

第七条 政务外网终端上的软件安装与权限管理须遵循“最小化”原则,根据不同的业务需求安装指定的正版操作系统、办公软件、杀毒软件、业务应用软件等,且软件安装执行“白名单”制,不得使用政务外网终端进行非业务活动。

第八条 政务外网终端须使用符合安全管理要求的高强度开机口令、屏幕保护口令、熄屏唤醒口令、应用系统账户登录口令等,并应做到定期修改、妥善保管,形成暂时离开终端时锁定屏幕的规范习惯。

第九条 原则上不得多人共用一个账号,确因实际情况需要,只能多人共用一个账号的,必须明确具体使用的人员,并做好登记备案工作,做到有迹可循。

第十条 使用政务外网终端所开展的业务活动是政务活动,必须在具有相应权限的操作人员的直接操控下开机、运行。政务外网终端的运行不得出现以下情况:

(一)操作人员长时间脱岗,导致终端设备运行时无人值守;

(二)设置远程开机、远程唤醒、定时开机等功能;

(三)安装、运行远程控制软件,如通过远程桌面、向日葵、PC Anywhere、Todesk等软件委托运维人员远程操控、维护;

(四)安装、运行虚拟机。

第十一条 各直属学校(单位)应切实履行政务外网安全职责,在确保设备、技术投入的基础上,须做好日常的管理与维护工作:

(一)建立政务外网终端、网络设备、安全设备的技术资料台账,有条件的情况下,应制作电子文档,以做灾备之用;

(二)政务外网终端及外设的使用人员应做好日常的系统升级、维护、杀毒工作;

(三)指定专人对政务外网终端、网络设备、安全设备、外部设备定期开展检查、管理、维护工作,及时纠正使用人员的各种违规行为,并做好工作台账;

(四)学校(单位)网络安全管理责任部门应采用定期检查与不定期抽查相结合的方式,确保维护工作正常、有效开展;

(五)政务外网终端设备的故障维修工作,原则上应在学校(单位)内完成,确实需要送修的,应拆卸硬盘等外部存储设备,并做好安全、保密要求的“技术交底”工作,避免发生泄密、外联等安全事件;

(六)学校(单位)应定期对政务外网终端的使用人员以及维护人员进行安全意识教育与安全技术培训,提高相关人员的安全防范能力;

(七)学校(单位)应与政务外网终端使用人员、维护人员以及第三方运维人员签订安全保密协议,并做好相关安全审查工作,确保安全。

第十二条 各直属学校(单位)在接到宁波市大数据局发布的政务外网安全预警通知或安全事件通报后,应按“技术+管理”双同步的原则,按照网络与信息安全应急预案开展工作:

(一)第一时间采取措施切断与市政务外网的连接;

(二)第一时间完成风险与损失的初步研判,形成初步的处置意见,上报市教育局网安办;

(三)第一时间完成归因、溯源、定损、整改、定责、追责的处置闭环;

(四)整改工作原则上应在接报当日起2日内完成,确实无法在规定时间内完成的,必须在消除对外威胁的前提下,向宁波市大数据局和市教育局网安办提交书面申请,主动说明情况,承诺整改完成时间;

(五)整改工作须编制整改报告,整改报告必须由学校(单位)的网络安全第一责任人签字确认并加盖公章,分别报市大数据局和市教育局网安办。

第三章 附则

第十三条 网络安全要求随着技术发展与应用扩展不断变化,若本规范的要求与宁波市大数据局对电子政务外网的相关管理规定相冲突,或本规范未做要求而宁波市大数据局另有要求的,均以宁波市大数据局的相关规定与要求为准,原则上不再另行告知。

第十四条 各直属学校(单位)须参照本规范,制定本校的电子政务外网计算机终端设备的日常管理与安全管理制度,进一步细化要求,落实相应规范,保障实施经费、人员,对相关人员进行业务培训与安全教育,确保终端设备、软件、数据等的安全,履行保障政务外网安全的职责。

第十五条 本规范自公布之日起执行。