第一章 总则
第一条 为做好我院网络信息安全管理,提高网络信息安全防护能力和水平,根据《中华人民共和国网络安全法》、教育部《关于加强教育行业网络与信息安全工作的指导意见》(教技[2014]4号)等文件,结合学院实际,制定本办法。
第二条 本办法所称网络信息安全,是指由学院建设或管理,服务于我院教学、科研或管理的校园网络、网站、应用系统和数据,为防止发生网络攻击、信息破坏、有害程序入侵、设施与系统故障等发生而开展的预防和防御工作。
第二章 管理体制与责任
第三条 网络安全和信息化领导小组,负责统一领导、统一谋划、统一部署全院网络安全和信息化发展,统筹制定网络安全和信息化发展战略、宏观规划和政策,研究解决网络安全和信息化问题。
第四条 网络安全和信息化领导小组办公室负责网络信息安全管理与监督工作;网络信息中心是网络信息安全技术支撑单位,负责网络信息安全防护体系的建设与运行维护,负责为各单位网络信息安全工作提供基本技术指导与保障。
第五条 各二级单位是本单位网络安全和信息化工作的责任主体,各单位主要负责人是本单位网络安全和信息化工作第一责任人,负责按本办法落实网络信息安全工作,推进本单位信息化发展。
第六条 按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,各单位及全体师生应依照本办法及相关标准规范履行网络信息安全的义务和责任。
第三章 基础网络安全管理
第七条 校园基础网络设施,包括弱电井、弱电管网、基础网络及相关基本设备与系统,统一归口网络信息中心管理。各专用网络在统一管理的原则下,进行规划、建设和运行维护。
第八条 校园网接入互联网遵循“统一出口、统一管理”的规定,由网络信息中心负责,各单位和个人在校园内不得擅自通过社会网络资源接入互联网。
第九条 师生接入校园网,须实名注册、认证上网。
第十条 学院域名由网络信息中心统一申请、注册和管理,各单位和个人不得申请非学院域名解析到学院IP地址。
第四章 数据中心安全管理
第十一条 数据中心主要包括支撑各类应用系统运行的软硬件基础设施、基础数据库、统一数据交换平台及统一身份认证系统。
第十二条 网络信息中心负责数据中心的建设和运行维护管理,为数据中心的物理安全和网络安全提供基本安全保障;数据使用单位负责数据的日常管理与维护。
第十三条 网络信息中心负责学院基础数据库和统一数据交换平台的运行和管理;各单位负责维护本单位业务应用系统所配套的业务数据库。
第十四条 统一身份认证系统为校内信息系统提供统一的身份管理、安全认证机制及标准接口。校内各单位建设面向师生服务的应用系统时,为便于系统推广、用户使用及保障基础安全,应与统一身份认证系统进行认证集成,停用系统用户或加强系统用户安全管理。
第十五条 数据使用单位应定期进行数据备份。
第五章 应用系统安全管理
第十六条 应用系统应在网络信息中心登记备案。
第十七条 业务管理部门应指定专人负责系统的建设、运行维护和日常管理,组织软件提供商会同网络信息中心制定应用系统运维和安全管理方案。
第十八条 各系统应安装基本的安全防护软件,任何第三方软件、系统远程维护、外部数据或系统基本设置改动,必须经单位主要负责人审核同意。
第十九条 各单位负责本单位应用系统的账号管理、权限配置及安全。
第二十条 系统安装和配置文件数据运维单位应自行备份。
第二十一条 鼓励优先采购安全、成熟和售后服务优良的商业软件或优秀软件开发商参与应用系统建设。
第六章 网站安全管理
第二十二条 学院各单位设立互联网站,应遵守相关规章制度。
第二十三条 各单位设立互联网站,应按信息安全保护等级的相应规范落实信息安全防护,原则上基于学院网站群平台建设。
第二十四条 学院网站群平台由网络信息中心统一建设,其技术安全由网络信息中心负责、内容安全由网站主办者负责。
第二十五条 对于使用频度不大、阶段性使用的网站,可采取非工作时间或寒暑假、节假日关闭的方式运行。
第七章 监测与处置
第二十六条 我院各应用系统和互联网站,由网络安全和信息化领导小组办公室按照国家信息安全等级保护制度要求确定安全保护等级,按相关规定对信息安全等级状况开展等级评测。经评测,信息安全状况未达安全保护等级要求的,应用系统或互联网站的主办单位应制定整改方案并落实到位。
第二十七条 各单位定期对本单位应用系统、互联网站安全状况、安全保护制度及措施的落实情况进行自查,并配合有关部门的信息安全检查、信息内容检查、保密检查与审批等工作。
第二十八条 各单位应建立本单位信息安全值守制度,做到安全事件早发现、早报告、早控制、早解决,定期组织应急演练。
第二十九条 各单位应按照网络安全事件应急预案,做好事发紧急报告与处置。
第三十条 网络安全和信息化领导小组办公室负责网络安全工作的组织、协调和监督,制定相关制度和应急预案;根据网络安全事件程度提出相应级别预案的启动,组织协调成员单位落实应急预案,共同做好处置工作;负责及时收集、通报和上报网络安全事件处置的有关情况;对全校各单位贯彻执行预案以及在事件处置工作中履行职责情况进行检查督办。
第三十一条 党政办公室牵头组织重大敏感时期、重要活动、重要会议期间发生的信息安全事件的协调处置;负责涉密事件的处理。
第三十二条 宣传部负责学校舆情监测和信息内容安全类事件的处置,对于涉及师生政治思想方面的预警性、倾向性、苗头性的问题,要加强分析研判,妥善有效应对。
第三十三条 保卫处密切联系公安机关,负责涉及人为破坏类网络安全事件的处置,配合重大安全事件的处置。
第三十四条 网络信息中心负责校园基础网络及公共服务信息系统安全,保证校园网络信息服务不中断;负责网络攻击、设备故障类事件的处置;负责全校网络安全事件处置的技术支持工作。
第八章 保障措施
第三十五条 学院保障网络安全与信息化发展所需的人员编制,采取有效措施建立高水平的网络信息安全管理专职队伍和技术支撑队伍。
第三十六条 学院保障网络安全与信息化发展的经费投入和物理空间需求。
第三十七条 学院切实开展人员培训和安全教育工作。各单位制定网络与信息安全教育培训规划,开展面向全员的普及型培训和宣传教育,提高安全和防范意识,培养良好的媒介素养和规范的网络行为。
第三十八条 学院建立完善网络与信息安全工作检查考核、责任追究和倒查机制。网络与信息安全工作为各单位领导班子和领导干部目标管理、业绩考核、奖惩和干部选拔任用的重要内容和依据。
第九章 责任追究
第三十九条 严禁利用校园网开展危害网络与信息系统安全的行为;严禁通过校园网制作、阅读、复制或传播有害信息;严禁通过校园网络泄漏学院基础数据、师生员工个人信息或敏感信息相关数据;严禁利用校园网络从事其他法律法规禁止的相关内容。
第四十条 师生员工违反网络与信息安全相关管理规定,造成不良后果时,视情节轻重,由相关部门按规定给予批评教育或纪律处分;触犯法律时,由相关国家机关依法追究法律责任。
第十章 附则
第四十一条 对于涉及国家秘密的信息系统,按照国家保密工作部门的相关规定和标准进行保护。
第四十二条 紧急情况下,经学院网络安全和信息化领导小组领导批准,可以采取特别措施以维护学院网络与信息安全。
第四十三条 本办法由学院网络安全和信息化领导小组办公室负责解释。
第四十四条 本办法自发布之日起实施。
