为进一步加强学校网络与信息安全管理,防范各种网络攻击和破坏行为,保障网络与信息系统持续稳定可靠运行,根据《中华人民共和国网络安全法》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《教育部关于加强教育行业网络与信息安全工作的指导意见》、《教育行业信息系统安全等级保护定级工作指南》、《普通高等学校学生管理规定》(中华人民共和国教育部令第41号)等有关法律法规,结合学校实际,制定本办法。
第一章 总则
本办法中的网络与信息安全是指网络系统的硬件设施、信息系统及其系统中的数据信息受到保护,不受偶然或恶意原因而遭到破坏、更改和泄露,系统连续可靠正常运行,网络服务不中断。其中硬件设施指的是光纤通信线路、网络设备、视频监控设备、服务器等硬件设施;信息系统是指运行于网络服务器上的各种软件系统;数据信息指的是通过应用系统发布和存储的数据信息。
学校成立网络与信息安全工作组,在学校网络安全和信息化领导小组的领导下开展工作,负责制定网络与信息安全管理规章制度,检查落实网络与信息安全工作,协调处置重大网络与信息安全事件,工作组办公室设在网络与现代教育技术中心(以下简称网络中心)。
学校按照“谁主管谁负责,谁运维谁负责,谁使用谁负责”的原则,建立健全网络与信息安全责任体系,做好学校网络与信息安全工作。
(一)网络中心是校园网络基础设施管理和技术支持部门,负责学校公共信息资源的安全管理,对学校各单位的联网信息系统开展审核、监督,提供技术支持和服务。本办法中的各单位是指学校所有机关部处、二级学院及有关科研机构。
(二)学校办公室负责学校涉密系统的信息安全与管理及信息公开网站的建设和管理;宣传部是学校网络信息安全的审查和管理部门,负责学校新闻宣传、思想政治教育、校园文化建设等上网信息内容的审查和监督,以及校园网舆情监督、引导等信息安全工作;保卫处负责处理校外安全机构涉及网络与信息安全的有关事务。
(三)学校各单位是本单位网络与信息安全工作的责任主体,承担本单位信息系统的安全管理和监督责任,以及系统操作与信息内容的直接安全责任。各单位主要负责人是本单位网络与信息安全工作的第一责任人,负责本办法宣传及有关工作的检查和落实。
第二章 网络设施安全
校园网络由网络中心统一出口、统一管理和统一防护。未经学校批准,任何单位或个人不得将校园网延伸至校外或将校外网络接入至校园内,任何单位或个人不得擅自进入校园内进行网络工程施工、开展互联网业务。
网络中心应采取访问控制、安全审计、完整性检查、入侵防范、恶意代码防范等措施加强校园网络边界防护。
学校所有基建、修缮工程应将工程范围内校园网络建设纳入工程设计、实施和竣工验收范畴。
校园网络接入单位负责提供本单位所需的网络设备间和电源保障,协助解决网络布线和设备安装所需空间,负责安防和消防安全管理。
设有公共或自建机房的二级单位,如需要接入校园网,须指定机房网络安全责任人,建立用户上网登记备案制度,发现信息安全问题,按照工作程序及时上报学校,并负责信息追溯和用户定位等工作。
任何单位或个人不得在校园网上从事攻击、嗅探、修改、盗用、破坏校园网设备以及影响网络正常运转的行为。
第三章 信息系统安全
建立信息系统审核准入制度。涉密信息系统不得接入校园网络。网络中心对新申请上线的信息系统的规范性和安全性进行严格审核和检测,上线单位均须根据有关要求签署信息系统安全责任书。
各单位应按照国家信息系统安全等级保护制度的相关法律法规、标准规范和要求,全面落实信息系统安全等级保护制度。
涉及学校基础数据、师生员工个人信息或敏感信息的信息系统,不得部署在校外数据中心。未经批准,严禁使用境外数据中心。
各单位可供外网访问的网站(除特殊需要并保证信息安全外)须全部纳入学校网站群,宣传部负责学校二级网站的审批。
建立信息系统安全隐患发现、通报及处置机制。网络中心负责对各单位信息系统进行定期审核,对管理缺失、存在安全隐患的信息系统,予以限时整改,整改不达标者,予以清理或关闭。
信息系统建设单位应制定相应的管理规章制度,以规范用户和维护者的操作行为。应定期对关键设备(如服务器、安全设备、网络设备等)进行安全审计,发现问题,及时处理。
第四章 数据信息安全
学校所有信息系统及数据作为学校的无形资产和战略资源,纳入学校统一管理,实现信息系统数据的统一管控,为学校教学、科研、管理等提供信息服务和支撑。
信息系统责任部门,应安排专人负责数据信息安全,明确工作职责,定期进行安全检测,定期更换应用系统或入网口令,严禁使用弱口令和明文口令,严防账号和密码泄露。发现可能由病毒等导致的异常行为或安全问题,应立即断网处置。
校园网实行“实名注册、认证上网”制度,所有用户须妥善管好自己的上网信息(如账号、密码等),并对自己的上网信息安全和上网行为负责。
校园网用户必须遵守国家有关法律法规和学校的有关管理规定,严格执行信息安全保密制度,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。自觉配合国家和学校有关部门依法进行的监督、检查。发现违法有害信息,有义务向学校有关部门报告。
关键岗位的计算机使用和管理人员应签订信息安全与保密协议,明确信息安全与保密要求和责任。未经学校批准,任何单位和个人不得擅自对他人或校外单位提供信息系统数据。
第五章 保障体系
不断完善学校网络与信息安全技术防护方案。网络中心要统筹规划校园网信息系统向外网开放的范围,按需配置网络与信息安全防护设备和软件,构建可查、可管、可控的校园网络与信息安全技术支撑环境。
建立应急预案处理机制。发生网络与信息安全突发事件时,按照《太阳成集团网络与信息安全事件专项应急预案》采取相应处置措施,采取一切必要手段,组织各方面力量全面进行安全事件处理工作,把不良影响与损失降到最低点。网络中心建立应急演练制度,积极开展实战演练,不断提高应急处理能力和水平。
着力建立高水平网络与信息安全管理专兼职技术队伍。各单位应选拔责任心强、有管理经验和专业技能的专职或兼职人员从事网络与信息安全管理工作,支持技术人员参加专业培训,确保本单位信息系统的安全。
加强网络与信息安全的宣传与教育。各单位都应重视和加强网络法规教育,教育和督促师生员工文明上网和守法上网。网络中心应联合相关单位组织开展形式多样、针对性强的网络与信息安全教育活动,提高管理人员、技术人员、开发运维人员和师生员工的信息安全和防范意识。
第六章 安全责任与处罚
学校建立网络和信息系统安全责任追究和倒查机制。
有下列行为之一的,学校将视其情节轻重,依据有关规定追究相关单位主要负责人及当事人的责任,直至给予纪律处分,触犯刑律的,移交国家司法机关处理:
未及时报告和处置安全事件,存在处置不力和瞒报、缓报、整改不力等情况的;
玩忽职守、失职渎职造成严重后果的;
违反网络与信息安全相关管理规定,造成不良后果的。
第七章 附则
学校各单位可参照本办法制订本单位的实施细则。
本办法自发布之日起试行,网络中心负责解释。学校原有相关规定与本办法不一致的,按本办法执行。
太阳成集团校长办公室
2017年9月6日