第一章 总 则
第一条 为提高学校网络与信息安全防护水平,保障信息化建设工作顺利开展,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等国家相关法律法规,结合学校实际,制定本办法。
第二条 本办法所称网络与信息安全管理,是指对于校园网络及IT基础设施、网站与信息系统、数据与密码密钥以及校园网络接入终端开展的相关安全管理工作。
第三条 本办法适用于学校校园范围,校属各单位(部门)(以下简称“各部门”)和各类人员都必须遵守。
第二章 管理机构与职责分工
第四条 99905银河官网网络安全和信息化领导小组是学校网络与信息安全工作的领导机构,网络安全和信息化领导小组下设办公室,办公室设在图书与信息中心。
第五条 网络安全和信息化领导小组主要职责:统筹学校网络安全和信息化建设工作,贯彻落实国家《网络安全法》和信息化建设方针政策,为网络安全和信息化工作的推进提供组织保障;审定学校网络安全与信息化建设的总体规划方案与经费预算,以及有关信息化建设和校园网络安全管理的重大问题,审查批准各部门提出的网络安全与信息化建设项目。
第六条 网络安全和信息化办公室(以下简称“网信办”)主要职责:贯彻执行网络安全和信息化领导小组形成的各项决议,督促检查各部门网络安全与信息化工作落实情况,对违反网络与信息安全管理规定的行为、事件,以及网络与信息安全事故的责任人和相关负责人提出责任追究和处理意见。
第七条 图书与信息中心是学校网络与信息安全的归口管理部门,负责网络与信息安全总体技术保障和运维管理工作;组织制定安全管理制度和运行管理规范;组织开展信息系统定级、备案、测评和整改工作;负责对校园网络、数据中心机房服务器和存储等基础设施进行安全维护管理和运行监测,进行系统安全升级和数据统一备份;指导各部门信息安全工作等。
第八条 各部门负责本部门的业务管理信息系统、网站、小程序、公众号、工作群等(以下简称“信息系统”)的安全管理,做好数据维护、备份和归档工作。各部门主要负责人是本部门网络与信息安全工作的第一责任人,负责本部门网络与信息安全管理工作。各部门均须设置1-2名兼职网络安全和信息联络员,负责本部门信息系统的运行维护和网络信息安全工作的具体实施。
第三章 规划建设
第九条 学校信息系统必须符合国家和学校信息安全管理的相关要求。学校应建设安全可靠的信息化机房环境,配备符合标准的配电、防雷、灭火、照明、温度、湿度、门禁等设施与系统。服务器严禁部署在境外或使用境外机构提供的物理服务器和虚拟主机。
第十条 各部门新建网站,应使用学校互联网域名ynczy.edu.cn及IP地址,并纳入站群系统统一管理。各部门应按照国家网络安全等级保护的相关法律法规、标准规范以及《教育行业信息系统安全等级保护定级工作指南》要求,落实网络安全等级保护制度。信息系统正式部署上线之前,必须向图书与信息中心备案,对于未经备案上线的信息系统,图书与信息中心有权进行断网处理并责令整改。为了防范潜在的网络安全风险,各部门信息系统平台需为图书与信息中心配置一个监督账号。各部门信息系统平台应向学校数据中心免费开放接口提供数据,图书与信息中心有权监督、管理、使用各信息系统平台产生的数据。
第十一条 学校应部署防火墙、入侵防御、安全审计、防病毒等安全设备与系统;购置正版操作系统、应用软件、数据库系统及软件升级服务;完善数据与系统备份容灾体系建设,采取服务器管控、统一认证传输加密、终端防护等措施,建立安全运维管理平台等加强技术防护监管建设。
第十二条 学校统一管理互联网出口和校园互联网运营。各部门通过统一出口接入互联网;在校园内提供访问互联网服务的校外单位经营的网络,其建设、改造、运营等方案须报图书与信息中心审核,通过学校审批和安全测评后方可投入使用。任何部门和个人不得私自提供网络接入和互联网服务。
第四章 运维管理
第十三条 建立健全机房安全管理,完善供配电、通信、空调、消防、监控等配套环境设施和巡查制度,加强门禁建设和人员进出管理。
第十四条 严格资产管理,建立完备的设备和系统管理制度,明确设备和系统使用者或管理者。
第十五条 加强网络设备与信息系统授权管理,按照“最小权限和分级控制”原则设置权限。各部门重要信息系统必须设置分级控制权限,重要密码必须分段设置并由主管业务的主要负责人和系统管理员分别妥善保管。各信息系统管理员在合法用户调离学校或身份变更时应及时注销和调整权限。所有设备和系统须设置符合安全规定的严密复杂登录账号和密码,并定期更换。
第十六条 加强网络信息发布管理,各部门指定专人负责网上信息发布和审核。加强数据和资料管理,各部门安排专人负责对学校内部数据、个人信息、技术文档、资料和程序代码进行保管和保护,规范使用,防止泄露。涉密信息根据涉密级别按照《国家保密法》相关规定执行。
第十七条 图书与信息中心定期对各部门开展网络安全检测工作,并对存在网络安全问题的部门进行通报,被通报部门应及时进行网络安全自查和问题修复,避免网络安全事件发生。对于使用频率低、长期未更新、无专人运维的“僵尸”信息系统,图书与信息中心有权进行下线处理。
第十八条 因建筑施工、楼宇维护、线路铺设等原因导致信息化设施、设备变动时,必须事先向图书与信息中心提交相关材料,按图书与信息中心反馈意见进行处理。
第五章 网络接入和用户管理
第十九条 各部门提供公共上网服务的机房、实训室、电子阅览室等公共网络使用场所,须有专人对每台上网计算机进行管理,建立严格的实名上网登记制度。
第二十条 校园网所有用户账号均以部门或个人实名开设,用户必须提供真实的资料。校园网账户仅供本部门或本人使用,禁止提供给他人使用。
第二十一条 校园网用户对个人各类账号负有管理责任,要加强个人的统一身份认证账号、上网账号、邮箱账号及密码管理,防止他人盗用后在网上进行违规和非法活动。
第二十二条 校园网用户有维护校园网信息安全的责任和义务,一旦在校园网上发现不良信息,应及时向所在部门及学校报告。校园网用户必须遵守国家有关法律法规,不得在网上进行违规和非法活动,不得制作、复制、发布和传播包括但不限于以下内容的信息:
(一)违反国家宪法所规定的信息;
(二)危害国家安全、泄露国家秘密、颠覆国家政权、破坏国家统一的信息;
(三)损害国家荣誉和利益的信息,煽动民族仇恨、民族歧视,破坏民族团结的信息;
(四)散布淫秽、色情、赌博、暴力、凶杀、恐怖或教唆犯罪的信息,欺辱或诽谤他人、侵害他人合法权益的信息;
(五)含有法律、行政法规禁止的其他内容的信息。
第六章 应急处置及违规处理
第二十三条 学校制定网络安全事件应急预案,发生安全事件后,根据事件性质和程度,并按照应急预案开展处置工作。
第二十四条 信息系统管理人员与使用人员须自律,因工作玩忽职守导致不良后果的,视情节轻重按照学校有关规定处理。
第二十五条 任何部门或个人违反本管理办法,视情节轻重按照以下顺序进行处理:
(一)停止使用网络服务;
(二)公开通报;
(三)构成违反国家有关法律法规的,报公安机关依法处理。
第七章 附 则
第二十六条 本管理办法由网信办负责解释。
第二十七条 本管理办法自公布之日起执行。