【校内规章制度】校行字〔2018〕54号益阳医学高等专科学校网络信息安全管理办法
第一章 总则
第一条 为了保障学校校园网络及信息系统的安全稳定、促进学校信息化健康发展,根据《中华人民共和国网络安全法》及相关法律法规,并结合学校实际情况,制定本办法。
第二条 网络信息安全是指网络基础设施、网站、新媒体、信息系统及数据内容等受到保护,保证网络、信息及内容的安全性、完整性、可用性、可控性。
第三条 网络信息安全管理的基本原则是“谁主管、谁负责,谁运营、谁负责”,明确责任、突出重点、保障安全。
第四条 网络信息安全管理的总体方针是以国家标准《信息系统安全等级保护基本要求》(GB/T 22239-2008)为指导,预防为主、综合防范。
第五条 网络信息安全管理的目标是建立健全网络信息安全保障体系,提高安全防护能力,确保学校网络信息安全工作规范、有序开展,保障学校信息化可持续发展。
第二章 组织架构
第六条 学校成立网络安全与信息化领导小组,党委书记和校长任组长,分管校领导任副组长,成员由网络信息中心、宣传统战部、组织人事处、计划财务处、学校办公室、保卫处、后勤处、教务处、学生工作处、校团委、继续教育部、图书馆等部门负责人组成。领导小组办公室设网络信息中心,网络信息中心主任兼任办公室主任。网络安全与信息化工作领导小组负责制定学校网络信息安全相关政策,研究处理重大网络信息安全事件,定期召开网络信息安全工作会议,统筹指导学校网络信息安全建设。
第七条 网络信息中心为学校网络与信息安全执行部门,负责学校信息化建设、信息化基础设施和业务系统的日常运行、技术支持与服务、保障学校网络技术和信息安全等工作。
第八条 学校各单位负责本单位网站及应用系统的管理及安全运维。各单位主要负责人是本单位网络信息安全工作的第一责任人,同时,各单位须设置网络信息管理员,负责本单位网络信息安全具体工作。
第三章 网络信息安全建设
第九条 设计安全
(一)网络信息系统的规划与设计必须满足安全运行和信息保密的需要。
(二)网络信息系统建设过程中,必须同步设计和实施网络与信息安全系统。
(三)网络信息中心负责数字化校园平台的建设,负责制订数字化校园整体建设设计规划及信息系统安全保障措施。
(四)学校各单位批准建设的网络信息系统应在设计阶段向网络信息中心出具设计安全书面说明,网络信息中心给出书面意见后再行建设。
第十条 系统安全
(一)网络信息中心对全校系统安全负总责,提供学校级别总体系统安全保障,并对全校信息系统定期进行安全检查,对学校网站进行全天24小时监控,发现问题、漏洞及时妥善处理。
(二)学校各单位对其建设、管理和应用的网络信息系统安全负责,提供相关安全保障措施,并定期自查。学校各单位系统上线前须经网络信息中心系统化安全检测后方可上线。
(三)网络信息系统所采用的网络和信息安全产品,应具备国家认可的测评认证,并履行相关的审批手续。
(四)网络信息系统相关的网络设备、服务器设备、网络操作系统、数据库管理系统在安装调试完毕后,必须有准确无误的系统安装、配置文档。学校各单位负责管理相关文档,并填写《信息系统备案登记表》(附件1)提交网络信息中心进行备案。
(五)学校各单位应对本单位网络信息系统的技术文档、资料、程序代码等进行集中管理,资料的内部借阅和使用需履行审批手续,并做好借阅和使用登记。
(六)学校各单位应定期修改本单位网络设备和系统的系统口令和管理口令,在修改和调整网络设备和系统的各类配置后,要及时、准确地做好操作记录,并妥善保管文档, 同时将更新文档提交网络信息中心进行备案。
(七)学校各单位应定期检查本单位设备和系统的漏洞,及时升级系统和安装补丁程序,消除系统和设备的潜在安全隐患。
第十一条 应用安全
(一)网络信息中心负责统一管理和分配学校网络资源,包括IP地址、域名、存储空间、虚拟服务器等。
(二)学校各单位使用网络资源应向网络信息中心提出申请并备案,未经授权不得私自占用相关资源。
(三)学校各单位应确保本单位系统的用户访问权限分配合理,用户账号和口令设置安全,并具有可管理性。
(四)全校师生员工不得进行任何干扰网络运行和使用的行为,包括但不限于:私自修改网络配置参数,非法访问和盗用网络系统的信息资源,利用黑客工具和其他专用工具软件对网络系统进行攻击,其他干扰网络运行的行为,国家法律、学校规章禁止的行为等。
(五)任何运营商、校内各单位或个人不得实施以下行为:
1.在校内接入各种电话、网络及通信设施;
2.在校内布设通信线路和地下通信网络管道;
3.出借或出租场地、空间用于非校内通信设施建设;
4.使用校内通信缆沟(管道)、线路及设备;
5.与通信运营商、服务提供商订立相关协议(或合同);
6.在校内进行与校园网络相冲突的商业行为;
7.其他影响学校信息化整体部署的行为。
(六)校园网络坚持“统一出口,统一管理”原则。任何通信运营商校内宽带出口必须接入学校机房管理设备进行出口管理。学校各单位或个人不得私自接入校园网络,不得擅自租用独立专线连网对外开放,不得私自设置代理或私接路由器等。
第十二条 数据安全
(一)本办法所涉及的数据是指各类信息系统所覆盖的相关业务数据,包括但不限于:学校官方网站、人事管理系统、OA办公系统、招生管理系统、就业管理系统、教务管理系统、财务管理系统以及其他各类信息系统产生的数据。
(二)网络信息中心负责制订全校数据安全的标准和规范。负责学校网站、数字化校园平台等网络信息系统的数据安全,与建设方签订保密协议,按照学校要求进行系统建设,并规范数据服务流程,确保数据流向清晰,实现数据可控、可管、可查。
(三)学校各单位负责本单位网络信息系统的数据安全,具体包括数据的存储安全和使用安全,保证数据的完整性、机密性和可用性。
(四)学校各单位要对本单位网络信息系统建立一套完善的数据备份和数据恢复整体方案。重要数据至少采用两种以上不同的数据备份方法和技术手段,对数据进行妥善备份。
(五)学校各单位要根据自身数据的保密规定和用途,确定使用人员的存取权限、存取方式和审批手续。使用重要数据时,应严格按国家保密规定控制转借或复制。
(六)未经批准,任何单位或个人不得擅自提供信息系统产生的内部数据。对于非法泄露或擅自提供数据的单位或个人,依照相关法律法规追究责任。
第十三条 内容安全
(一)涉密信息系统计算机禁止与互联网或其他公共信息网络连接。
(二)禁止使用互联网(包括但不限于邮箱、即时通信工具、社交网络工具等)处理、传递、转发涉密或敏感信息。
(三)学校各单位通过网络信息系统向网络发布信息时,应确保信息的真实有效,并采取身份鉴别、访问控制等防护技术措施。
(四) 学校办公室负责学校网站信息发布内容的审核审查,建立审核审查记录档案,确保信息内容的准确性、真实性和严肃性,确保信息内容不涉及国家秘密和内部敏感信息。学校各单位主要负责人负责本单位网站信息发布内容的安全。
(五)全校师生员工应当遵守各种相关法律法规,不得制作、复制、发布和传播含有下列内容的信息:
1.煽动抗拒、破坏宪法和法律、法规实施的;
2.煽动颠覆国家政权,推翻社会主义制度的;
3.煽动分裂国家、破坏国家统一的;
4.煽动民族仇恨、民族歧视,破坏民族团结的;
5.煽动非法集会、结社、游行、示威、聚众扰乱社会秩序的;
6.捏造或者歪曲事实,散布谣言,扰乱社会秩序的;
7.宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;
8.公然侮辱他人或者捏造事实诽谤他人的;
9.损害国家荣誉和利益的;
10.以非法民间组织名义组织活动的;
11.其他违反宪法和法律、行政法规的。
第十四条 防病毒安全
(一)网络信息中心负责提供全校层面的病毒防范措施。
(二)学校各单位所属网络信息系统应具备防病毒能力,保证网络杀毒软件的及时自动更新,及时检查和跟踪网络杀毒软件的运行效果。
第十五条 安全培训
(一)网络信息中心定期开展网络安全培训,通过普及网络信息系统安全知识,提高安全防范意识。
(二)全校各单位要积极参加网络安全培训,并对本单位教职工和学生进行网络安全知识宣传,提高网络安全防护水平。
第十六条 责任追究
(一)对存在网络安全隐患和安全漏洞的网络信息系统,网络信息中心要及时关停,并责令其限期整改。
(二)对于违反本管理办法的学校各单位和个人,学校纪检监察部门将会同网络信息中心共同查处,依法追责。
第四章 队伍建设及经费保障
第十七条 组织人事处负责网络信息安全机构及人员岗位设置等保障工作。
第十八条 计划财务处负责网络信息安全的经费保障。依据上级有关规定,建立稳定的网络与信息安全经费投入机制,重点用于学校信息安全等级保护、安全防护能力建设、信息安全服务、人员培训等工作。
第十九条 宣传统战部负责学校范围内的网络信息安全宣传、教育及网络舆情监控等工作。
第五章 附则
第二十条 因网络信息安全导致的事故,由网站或信息系统所属单位和责任人承担相应的经济处罚、民事责任、治安管理处罚或刑事责任。
第二十一条 涉密网络信息系统的运行安全保护工作不适用本管理办法。
第二十二条 本管理办法自印发之日起施行。
附件:信息系统备案登记表
一、基本信息(备案号: ) | |||||
网站/信息系统名称 | |||||
类型 | ○网站 ○应用系统 ○其他_______ | ||||
IP地址 | 域名 | ||||
操作系统 | |||||
数据库 | ○ Oracle ○ SQL-Server ○ Sybase ○ Foxpro ○ DB2 ○ ACCESS ○ 其他 | ||||
服务器硬件 | ○IBM ○Lenovo ○浪潮 ○虚拟化平台 ○其他________ | ||||
部署地点 | |||||
二、安全策略及自查结果 | |||||
安全策略 | [描述网站或信息系统所做的安全策略,分为操作系统层面、应用系统层面、数据层面、内容层面等] | ||||
是否允许 校外访问 | ○ 是 ○否 | ||||
[如允许,请阐述原因,并明确开放端口] | |||||
自查结果 | [对网站或信息系统的安全状况进行自检自查,描述自查结果] | ||||
三、系统管理员信息(必须为学校在职人员) | |||||
姓名 | QQ号 | ||||
手机 | 邮箱 | ||||
所属单位 | |||||
四、单位网络信息管理员确认意见 | |||||
签字: 年 月 日 | |||||
五、网络信息中心审核意见 | |||||
签字(盖章): 年 月 日 |
账号+密码登录
手机+密码登录
还没有账号?
立即注册