第一章 总则

第一条 为了提升共青科技职业学院网络安全水平，预防和减少网络安全事件的发生，特制定本制度。

第二条 本制度适用于学校所有网络系统、信息系统、数据库及相关信息化设备的安全风险评估。

第三条 网络安全风险评估由网络信息管理中心负责组织实施，各部门应积极配合，共同保障评估工作的顺利进行。

第二章 评估范围与对象

第四条 网络安全风险评估的范围包括但不限于以下内容：

(一) 校园网络架构及其安全性。

(二) 服务器、存储设备及其安全性。

(三) 各类信息系统和应用软件的安全性。

(四) 数据库及数据存储安全性。

(五) 网络安全设备（如防火墙、入侵监测系统等）的配置和运行状况。

(六) 终端设备（如计算机、移动设备等）的安全性。

(七) 信息系统管理和运维流程的安全性。

第五条 评估对象包括但不限于学校所有部门和使用网络系统、信息系统的教职工、学生及其他相关人员。

第三章 评估内容与方法

第六条 网络安全风险评估内容包括：

资产识别：识别需保护的关键资产，如数据、系统和服务。

威胁分析：分析可能对资产构成威胁的潜在风险源，如病毒、黑客攻击、内部人员违规操作等。

1. 漏洞评估：检查系统和网络中存在的安全漏洞和弱点。

2. 风险分析：综合资产价值、威胁概率和漏洞情况，评估风险等级。

3. 安全控制措施评估：评估现有安全措施的有效性，确定需要改进的方面。

第七条 网络安全风险评估方法包括：

1.访谈：与相关人员进行访谈，了解系统和网络的安全现状。

2.文档审查：审查相关安全政策、规章制度、操作规程等文档。

3.技术检测：利用安全扫描工具进行漏洞扫描、渗透测试等技术检测。

4.模拟攻击：模拟真实攻击场景，测试系统和网络的防护能力。

第四章 评估流程

第八条 风险评估流程如下：

1.准备阶段：

①　制定评估计划，明确评估目标、范围和方法。

②　组建评估团队，确定评估人员和分工。

③　收集相关资料，了解系统和网络的基本情况。

2.实施阶段：

①　进行资产识别、威胁分析和漏洞评估。

②　收集和分析评估数据，形成初步评估报告。

3.报告阶段：

①　编写评估报告，提出风险评估结果和改进建议。

②　组织相关部门和人员讨论评估报告，征求意见和反馈。

③　最终确定评估报告，并报学院领导审批。

4.改进阶段：

①　根据评估报告提出的改进建议，制定整改计划。

②　各部门和相关人员根据整改计划落实改进措施。

③　网络信息管理中心跟踪整改情况，确保改进措施落实到位。

第五章 安全管理与培训

第九条 网络信息管理中心应建立和完善网络安全管理制度，规范安全管理流程和操作规程，确保评估工作的有效性。

第十条 网络信息管理中心应定期组织网络安全培训，增强教职工和学生的安全意识和技能，增强全员的安全防范能力。

第十一条 各部门应积极配合网络信息管理中心的评估和整改工作，落实安全管理责任，确保本部门的信息系统和数据安全。

第六章 违纪处理

第十二条 对于在网络安全风险评估中发现的安全隐患和问题，相关部门和人员应积极整改，拒不整改或整改不力的，将视情节轻重给予相应处理。

第十三条 对于因违反本制度导致重大网络安全事件的，将追究相关责任人的责任，并依法依规处理。

第七章 附则

第十四条 本制度由网络信息管理中心负责解释和修订。

第十五条 本制度自 2023年4月3日起实施。