网络安全和信息化办公室

第一条 根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》，按照中共中央办公厅印发的《党委（党组）网络安全工作责任制实施办法》要求，为加强网络安全管理，落实网络安全主体责任，结合学校实际情况，制定本实施办法。

第二条 考核评价对象为天津财经大学所辖所有二级单位，包括党群、行政单位、直属单位、学院、中心、研究院等。

第三条 考核评价以网络安全工作基本要求为底线指标，以日常工作为评价依据，充分发挥考核评价在促进学校网络安全工作责任制落实中的导向作用。

第四条 考核评价每年一次，考核事项时间范围为每年的 1月至 12 月。

第五条 考核评价由学校网络安全（数据安全）和信息化领导小组（以下简称“网信领导小组”）统一领导，由网络安全和信息化办公室（以下简称“网信办”）负责组织实施。

第六条 考核评价内容

（一）领导责任制建设

1.落实网络安全责任主体，确定本单位网络安全第一责任人、网络安全分管领导和网络安全联络员并报学校网络安全和信息化领导小组。单位主要负责人是本单位网络安全第一责任人，分管网络安全的领导班子成员是直接责任人；

2.本单位网络安全第一责任人应每年签订《天津财经大学网络安全承诺书》，如发生人员变更，应重新签订《天津财经大学网络安全承诺书》并提交网信办。

（二）工作研究部署

1.本单位严格落实学校关于网络安全的各项工作部署；

2.本单位主要负责人应参加学校每年组织的网络安全专题工作会议或培训。

（三）信息化系统管理

1.准确掌握本单位信息系统的基本信息和相关信息资产信息，建立信息系统名录，并报网信办备案，如有变更应及时向网信办更新备案信息；

2.按照学校相关要求开展本单位信息化项目建设，并将相关建设资料报网信办归档；

（四）网络安全日常检查

1.每年至少组织开展一次信息系统网络安全自查，对各类问题隐患及时整改，自查报告及时报网信办；

2.积极配合学校、天津市教委或其他有关单位开展网络安全现场检查及安全漏洞扫描，发现问题及时处置和整改，形成整改报告报网信办；

3.严格执行补丁升级、及时修复漏洞、升级杀毒软件；

4.及时维护本单位信息系统，优化安全策略，杜绝漏洞、后门、暗链、弱口令等。设置账户登录次数限制，防止暴力破解。杜绝弱口令、默认口令、通用口令、长期不变口令，防止高危漏洞不修复、非必要端口长期开启、陈旧版本基础软件和通用软件不更新、僵尸主机和系统不整改；

5.本单位网站应通过学校网站群系统统一对外提供服务，集中管理，因特殊原因无法迁入站群系统的，每年应向网信办提交情况说明；

6.严格落实信息发布三级审核制度，对本单位网站发布内容进行严格审核，杜绝任何错误现象，并定期开展本单位网站的内容维护工作；

7.加强本单位信息化系统供应商管理，杜绝因供应商管理不严出现的各类信息泄露问题；

8.保障个人隐私数据和重要业务数据安全，对重要数据及时备份；

9.加强公共区域 LED 显示屏和网络打印机等物联终端及其控制系统的管理，明确专人负责，避免使用远程或无线方式管理，防范内容被篡改；

10.加强访问日志记录和日常审计，日志保存 6 个月以上。

（五）网络安全等级保护工作

依据网络安全等级保护相关规定，对本单位信息化系统开展网络安全等级保护备案、测评及整改工作。

（六）网络安全事件处置

1.发生网络安全事件时，做到及时报告、快速响应、科学处置，无条件配合网信领导小组开展网络安全事件应急处置工作；

2.配合学校开展网络安全应急演练。

（七）网络安全相关宣传教育培训

积极组织本单位在职人员参加学校各类网络安全教育培训。

第七条 年度内发生下列情况的，当年网络安全考核评价实行一票否决，并按有关规定追责问责。

（一）年度内发生网络安全事件或网络数据安全事件并造成严重影响的；

（二）收到市教育两委或其他上级单位及学校相关单位发布的漏洞整改通知后未按时完成整改或拒不整改的；

（三）在学校组织的渗透测试、攻防演练等活动中本单位业务系统、个人计算机等因陈旧性漏洞被攻破的；

（四）未按要求履行网络安全等级保护备案及测评义务的。

第八条 网信办于每年 12 月形成年度初评结果并送学校各部门确认；初评结果根据各部门反馈情况进行完善后，形成年度评价结果建议；经学校党委审定后，形成年度评价结果；年度评价结果反馈给学校各部门。

第九条 本办法自发布之日起实施，由网信领导小组负责解释。