学院网络信息安全管理办法.docx

学院网络信息安全管理办法第一章总则第一条为保障校园网络及信息系统的安全稳定、确保网络信息安全工作规范有序开展、促进信息化健康可持续发展，根据网络安全法等相关法律法规要求，结合学校实际情况，特制定本管理办法。第二条本办法所称网络信息安全工作，是指为使由学校建设、运行、维护或管理并支撑学校教学、科研和管理等各项事业的信息资产（信息及信息系统）的机密性、完整性、可用性等得到保持、不被破坏所开展的相关管理和技术工作。本办法所指学校各单位包括各职能部门、教学机构、党群组织、教辅单位等相关机构。第三条依据“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，建立健全信息安全责任体系，逐级落实网络与信息安全责任，实现明确责任、突出重点、自主防护、保障安全的目标。学校各单位、全体师生员工应依照本办法要求及学校相关标准规范履行信息技术安全的义务和责任。第二章组织架构与职责第四条网络安全与信息化领导小组是学校网络安全和信息化工作的领导机构，负责贯彻落实上级有关部门关于网络安全与信息化工作的决策部署，统筹学校网络安全与信息化重大问题，统筹协调学校智慧生态校园建设工作，研究制定学校网络安全与信息化工作的发展规划、规章制度、工作方案和工作标准，审定校内信息化建设项目，督促各单位落实网络安全与信息化工作的政策规定。领导小组下设办公室，负责学校网络信息安全的管理和协调工作，纵向衔接、横向协调。第五条信息技术中心为学校网络安全与信息化领导小组的办事机构，负责学校网络信息安全工作的统筹规划、建设、管理，以及技术支持、保障与培训等日常工作。第六条学校各单位负责本单位（含本单位的组织及个人）网站及应用系统的安全建设、运维以及内容的安全管理。各单位党政负责人为网络信息安全工作的第一责任人，同时，设置网络信息安全管理员，与信息技术中心对接，负责本单位网络信息安全具体工作。人员发生变动时，须及时报送中心备案。第三章校园网络管理第七条校园网络是指校园范围内连接各种信息系统及信息终端的计算机网络，包括校园有线网络、无线网络和各种虚拟专网。第八条校园网络规划由信息技术中心制定。涉及光缆布线、网络机房、网络设备、网管系统、域名管理、安全防护、认证计费、网络接入与运维等方面，由信息技术中心负责建设、运行、维护和管理。第九条校园网络与互联网及其他公共信息网络实行逻辑隔离，由信息技术中心统一出口、统一管理和统一防护。未经批准，学校各单位在校园内不得擅自通过其他渠道接入互联网及其他公共信息网络。第十条信息技术中心应采取访问控制、安全审计、完整性检查、入侵防范、恶意代码防范等措施加强校园网络边界防护。第十一条师生员工接入校园网络，实行“实名注册、认证上网”；学校非涉密信息系统接入校园网络，实行接入审批和备案登记制度。网络接入实名管理制度由信息技术中心负责实施。涉密信息系统不得接入校园网络。第十二条信息技术中心统一管理校园内弱电设备间的空间分配、弱电桥架、弱电线缆管道、弱电管井；强电、弱电一体的设备间由信息技术中心与后勤部门协调使用。涉及到弱电设备间、弱电桥架使用的各部门，请向信息技术中心申请备案，批准后方可使用。第十三条严禁任何单位和个人利用校园网络及设施开展经营性活动。第四章数据中心管理第十四条数据中心主要包括支撑学校信息系统的物理环境（其中包含机房）、软硬件设备设施、学校中心数据库（其中包含基础数据库）、数据共享交换平台、统一身份认证平台及融合门户等信息化基础设施和平台。信息技术中心负责基础设施建设、运行、维护和管理。第十五条信息技术中心负责数据中心；根据信息系统安全等级的不同，对数据中心进行分区、分域管理，采取必要的技术措施对不同等级分区进行防护、对不同安全域之间实施访问控制。第十六条信息技术中心负责学校中心数据库、数据共享交换平台的建设和安全管理。各单位负责建设、维护本单位业务应用系统所配套的业务数据库，并对本单位业务数据库及所申请的共享数据的安全负责。第十七条统一身份认证平台为学校信息系统提供统一的身份管理、安全的认证机制、审计及标准接口。学校各单位建设面向师生服务的信息系统时，应使用统一身份认证平台进行身份认证。信息技术中心负责统一身份认证平台的安全，学校各单位负责本单位信息系统的权限管理及安全。第十八条原则上，学校各单位应依托学校数据中心开展信息系统建设。数据中心的使用单位应遵循数据中心相关管理制度和技术标准，按需申请、有序使用，不得利用数据中心资源从事任何与申请项目无关或危害信息技术安全的活动。第五章信息系统建设、运行和维护管理第十九条信息技术中心负责制定学校智慧校园建设的总体规划。学校各单位根据本单位业务需求，提出信息系统建设申请。经信息技术中心审核认定，纳入学校智慧校园总体框架内的信息系统建设需求将获学校信息化建设经费的优先支持。第二十条信息技术中心负责统筹学校信息系统安全等级保护工作，组织学校各单位开展信息系统定级、系统备案、等级测评、建设整改，具体负责信息系统台账管理、等级评审、系统备案、监督检查工作。按照“自主定级、自主保护”的原则，信息系统建设单位是信息系统安全等级保护的责任主体，具体负责系统定级、建设整改、安全自查，协助系统备案、等级测评并接受有关部门监督检查。信息技术中心是信息系统安全等级保护工作的技术支撑保障部门，负责学校信息技术安全防护体系建设和等级测评组织工作以及监督检查工作，并协助学校各单位进行系统定级、建设整改。第二十一条已确定安全保护等级的信息系统，应由建设单位按照等级标准定期进行等级评测。第二十二条信息系统建设单位应定期对信息系统的运行状况，进行安全检查，通过记录、检查系统和用户活动信息，及时发现系统漏洞，处置异常访问和操作。第二十三条信息系统数据是指校内各类信息系统所产生、保存和利用的相关数据，包括但不限于：信息化公共基础服务（含统一身份认证平台、实名上网认证系统、校园一卡通系统等）、跨部门信息系统、业务部门管理信息系统、各类网站、教学资源（含多媒体视频、图片、课件等）等数据和信息。第二十四条信息系统数据收集应遵循“最少够用”原则，不得收集与信息系统业务服务无关的个人信息。按照“谁收集，谁负责”的原则，收集个人信息的单位是个人信息保护的责任主体，应当对其收集的个人信息严格保密。第二十五条信息技术中心负责学校核心信息系统的备份与恢复管理，制订备份与恢复计划，根据业务实际需要对重要数据和信息系统进行备份，定期测试备份与恢复计划，并确保备份数据和备用资源的有效性。第六章互联网网站安全管理第二十六条学校各单位开办互联网网站，应使用学校互联网域名和互联IP地址，报党委宣传部审批同意后，向信息技术中心提出二级域名的使用申请。第二十七条信息技术中心统一建设学校网站站群平台并负责纳入该平台网站的技术安全。所有网站开办前需要经党委宣传部审核确认。未纳入学校网站站群平台的网站，其技术安全由网站开办单位自主负责。第二十八条学校各单位开办互联网网站应优先选择学校网站站群平台。如果站群平台不能满足需求时可委托其他供应商管理，并按信息技术中心的要求签署网站安全责任书。互联网网站运行维护单位和使用单位应建立网站值守制度，制订应急处置流程，组织专人对网站进行监测，发现网站运行异常及时上报信息技术中心，相关网站建站规范可依据学校网站群建设的管理办法。第二十九条互联网网站的内容安全由网站开办单位负责。互联网网站开办单位应按照党委宣传部要求建立完善的网站信息发布与审核制度，确定负责内容编辑、内容审核、内容发布的人员，明确审核与发布程序，保存相关操作记录。第三十条原则上，学校各单位不得提供电子公告服务。确有需要，经批准备案后方能提供电子公告服务。提供电子公告服务的互联网网站开办单位承担电子公告服务内容管理的主体责任，并按国家有关规定落实专项安全管理和技术措施。第三十一条对于使用频度不大、阶段性使用的网站，互联网网站开办单位可采取非工作时间或寒暑假、节假日关闭的方式运行。对于无人管理、无力维护、长期不更新的网站，互联网网站开办单位应关闭网站以降低安全风险，党委宣传部负责监督管理，信息技术中心负责技术支持。第七章电子邮件安全管理第三十二条信息技术中心为学校各单位和师生员工提供电子邮箱，并负责学校电子邮件的安全管理。学校各单位和师生员工使用学校电子邮箱应遵守学校电子邮箱管理等相关规章制度。第三十三条信息技术中心应采取必要的技术和管理措施，加强电子邮件系统安全防护，减少垃圾邮件、病毒邮件侵袭。第三十四条师生员工须对使用其电子邮箱账号开展的所有活动负责，应妥善保管本人使用的电子邮箱账号和密码，确保密码具有一定强度并定期更换。师生员工如发现他人未经许可使用其电子邮箱，应立即通知信息技术中心处理。第八章终端计算机安全管理第三十五条终端计算机是指由学校师生员工使用并从事学校教学、科研、管理等活动的各类计算机及附属设备，包括台式电脑、笔记本电脑及其他移动终端，管理办法依据本章实施。第三十六条终端计算机使用人按照“谁使用，谁负责”的原则，对其终端计算机负有保管和安全使用的责任。信息技术中心对终端计算机的安全管理提供技术支持和指导。第三十七条终端计算机应当设置系统登录账号和密码，禁止自动登录，登录密码应具有一定强度并定期更改。第三十八条终端计算机使用人应做好数据日常管理和保护，定期进行数据备份。非涉密计算机不得存储和处理涉密信息。第三十九条终端计算机使用人应做好终端计算机的安全防范，如发现终端计算机出现可能由病毒或攻击导致的异常系统行为或其他安全问题，应立即断网后进行处置。第九章人员安全管理第四十条学校各单位应建立健全本单位的岗位信息安全责任制度，明确岗位及人员的信息安全责任。关键岗位的计算机使用和管理人员应签订信息安全与保密协议，明确信息安全与保密要求和责任。第四十一条学校各单位应加强人员离岗、离职管理，严格规范人员离岗、离职过程，及时终止相关人员的所有访问权限，收回学校提供的软硬件设备。第四十二条学校各单位应遵循信息技术中心（建立）外部人员访问数据中心机房等重要区域的审批制度，外部人员须经审批后方可进入，并安排该单位工作人员现场陪同，对访问活动进行记录和保存。第四十三条在校园网络上严禁下列行为：L破坏、盗用、篡改计算机网络中的信息资源；2 .故意泄露、窃取、篡改个人电子信息，擅自利用网络收集、使用个人电子信息，出售或者非法向他人提供个人电子信息；3 .违背他人意愿、冒用他人名义发布信息；4 .攻击、入侵、破坏计算机网络、信息系统及设备设施;5 .故意阻塞、中断校园网络，恶意占用网络资源；6 .故意制作、传播、使用计算机病毒、木马、恶意软件等破坏性程序；7 .故意大量发送垃圾电子邮件、垃圾短信等，干扰正常网络秩序；8 .盗用他人帐号、盗用他人IP地址；9 ,私自转借、转让用户帐号造成危害；10 .私自开设二级代理和路由接纳网络用户；11 .以端口扫描和私搭DHCP服务器等方式，破坏网络正常运行；12 .私自将其他网络串接到校园网络。13 .其它违反法律法规或危害网络与信息安全的行为。第十章信息安全应急管理第四十四条信息技术中心负责学校信息安全应急工作的统筹管理以及技术支撑和保障，相关单位制定相关应急预案可依据信息安全事件应急预案。第四十五条信息技术中心负责组织信息技术安全应急演练，评估并适时组织信息技术安全应急预案修订。学校各单位应组织开展信息技术安全应急预案的宣传、教育和培训，确保相关人员熟悉应急预案，信息技术安全应急预案制度修订后应及时报信息技术中心备案。第四十六条信息技术中心负责组建学校信息安全应急技术支援队伍，完善24小时应急值守制度，提高信息安全事件的预防、预警和应对能力，预防和减轻信息安全事件造成的损失和危害。第四十七条学校各单位应按照学校信息技术安全事件报告与处置流程，做好事发紧急报告与处置、事中情况报告与处置和事后整改报告与处置工作。做到安全事件早发现、早报告、早控制、早解决。第四十八条学校各单位和师生员工均有义务及时向信息技术中心报告信息安全隐患及事件，不得在未授权情况下对外公布、尝试或利用所发现的安全漏洞或安全问题。第十一章信息安全教育培训第四十九条信息技术中心负责组织学校信息安全宣传和教育培训工作，建立健全相关制度。第五十条信息技术中心定期组织开展针对师生员工的信息安全教育，提高师生员工的安全和防范意识。第五十一条信息技术中心定期开展针对信息安全管理人员和技术人员的专业技能培训，提高信息安全工作能力和水平。第十二章信息安全检查监督第五十二条学校各单位定期对本单位信息系统的安全状况、安全保护制度及措施的落实情况进行自查，并配合有关部门的信息安全检查、信息内容检查、保密检查与审批等工作。第五十三条信息技术中心联合学校有关部门对学校各单位的信息技术安全工作落实情况进行检查，对发现的问题下达限期整改通知书，责成相关单位制订整改方案并落实到位。第五十四条信息技术中心对年度安全检查情况进行全面总结，按照要求完成检查报告并报有关信息安全主管部门。第十三章信息安全责任追究第五十五条学校建立信息安全责任追究和倒查机制。第五十六条学校各单位应按照信息技术安全事件报告与处置流程，及时、如实地报告和妥善处置信息技术安全事件。如有瞒报、缓报、处置和整改不力等情况，学校将对相关单位责任人进行约谈或通报。第五十七条学校有关单位在收到网络与信息技术安全限期整改通知书后，整改不力的，学校给予通报批评；玩忽职守、失职渎职造成严重后果的，依纪依法追究相关人员的责任。第五十八条师生员工违反本办法规定的，由其所在单位责令改正，并通报批评；拒不改正或者导致危害信息技术安全等严重后果的，根据学校有关规定给予以纪律处分。触犯刑律的，移交司法机关处理。第十四章附则第五十九条涉及国家秘密的信息系统，执行国家保密工作的相关规定和标准，由学校保密办公室监督指导。第六十条学校各单位可参照本办法制订本单位的实施细则。第六十一条本办法自印发之日起执行，由学校网络与信息安全小组办公室负责解释。