第一章 总则
第一条 为加强学校信息技术安全管理,开展学校信息系统安全等保测评工作,提高信息技术安全防护能力,保护学校信息数据的机密性、完整性以及可用性,预防数据丢失、窃取、损坏,保障学校信息化建设有序发展,根据《中华人民共和国网络安全法》、《教育部关于加强教育行业网络与信息安全工作的指导意见》及《教育部公安部关于全面推进教育行业信息安全等级保护工作的通知》等法规、文件要求,并结合我校实际,制定本办法。
第二条 本办法适用范围为:由学校各部门、二级学院、直属部门以及有关科研机构负责建设、运行或管理,服务于我校教学、科研或管理的校园网络、数据中心、互联网站和业务应用系统。
第三条 各信息系统的安全管理责任按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则进行划分。学校各部门应加强安全防范技术,提高管理水平,严格依照本办法履行网络与信息安全的义务和责任。
第二章 组织机构与职责
第四条 学校“网络安全与信息化工作领导小组”是学校网络安全工作的领导机构,负责统筹学校网络安全与信息化建设工作。
第五条 网络与信息中心是信息安全技术支撑部门,负责学校信息技术安全防护体系的建设、运行维护、技术指导和服务支持。
第六条 学校各部门是本部门网络安全和信息化工作的责任主体,各部门主要负责人是本部门网络安全和信息化工作第一责任人,负责按本办法落实信息技术安全工作,各部门同时需指定本部门网络信息维护管理运维责任人,并报备网络与信息中心,本部门管理运维责任人员变动时应及时进行报备调整。
第三章 校园网络安全管理
第七条 校园网络是指校园范围内连接各种信息系统及信息终端的计算机网络,包括校园有线网络、无线网络和各种局域网及虚拟专网。
第八条 涉及校园网主干网络(接入交换机及以上网络部分)的光缆布线、网络机房、网络设备、网管系统、域名管理、安全防护、认证计费、网络接入与运维等方面,由网络与信息中心负责建设、运行、维护和管理。网络接入部门负责提供本部门所需的网络设备间和电源保障,负责本部门所属区域室内的网络布线、设备安装、安防和消防安全管理。
第九条 校园网络与互联网及其他公共信息网络实行逻辑隔离,由网络与信息中心统一出口、统一管理和统一防护。未经批准,学校各部门在校园内不得擅自通过其他渠道接入互联网及其他公共信息网络。
第十条 网络与信息中心应采取访问控制、安全审计、完整性检查、入侵防范、恶意代码防范等措施加强校园网络边界防护。
第十一条 师生员工接入校园网络,实行“实名注册、认证上网”制度;学校非涉密信息系统接入校园网络,实行接入审批和备案登记制度。网络接入的实名管理制度由网络与信息中心负责实施。涉密信息系统不得接入校园网络。
第十二条 学校所有基建、修缮工程应将工程范围内校园网络建设纳入工程设计、实施和竣工验收范畴。
第十三条 严禁任何部门和个人利用校园网络及设施开展未经学校允许的经营性活动。
第四章 数据中心安全管理
第十四条 学校“数据中心”主要包括支撑学校信息系统的物理环境(其中包含机房)、软硬件设备设施、学校中心数据库(其中包含基础数据库)、数据交换平台、统一身份认证平台及统一信息门户等信息化基础设施和平台。
第十五条 网络与信息中心负责数据中心的建设和运行维护管理,负责数据中心的物理安全、网络安全和主机安全,负责学校基础数据库和统一数据交换平台的建设和安全管理,负责各部门业务数据库与基础数据库之间完成数据交换和共享;各部门负责建设、维护本部门业务应用系统所配套的业务数据库,对本部门业务数据库的系统安全、数据安全负责。
第十六条 网络与信息中心根据信息系统安全等级的不同,对数据中心进行分区、分域管理,采取必要的技术措施对不同等级分区进行防护、对不同安全域之间实施访问控制。
第十七条 统一身份认证平台为学校信息系统提供统一的身份管理、安全的认证机制、审计及标准接口。学校各部门建设面向师生服务的应用系统时,应使用统一身份认证平台进行身份认证。网络与信息中心负责统一身份认证平台的安全,学校各部门负责本部门应用系统的权限管理及安全。
第十八条 全校各部门应依托校内数据中心实施本部门信息化建设,需要使用校外数据中心的须报学校网络安全与信息化工作领导小组审批,严禁使用部署在境外的数据中心。涉及学校基础数据、师生个人信息或敏感信息的应用系统和网站,严禁部署在校外数据中心,否则不得使用学校网络域名或通过校园网站链接后对外发布信息,也不得使用学校名义对外宣传。如有违反则相关部门和人员必须承担相关责任。
第十九条 网络与信息中心对学校数据中心的使用实施准入管理,负责制定使用数据中心的技术规范和标准,在系统上线前进行安全检测。符合技术规范标准并检测通过的系统方可上线运行。
第二十条 数据中心的使用部门应遵循数据中心相关管理制度和技术标准,按需申请、有序使用,不得利用数据中心资源从事任何与申请项目无关或危害信息技术安全的活动。非学校网络与信息中心工作人员因业务需要,须办理相关审批手续并填写《网络与信息中心机房外来人员出入登记表》方可进入数据中心机房。
第五章 信息系统的安全管理
第二十一条 学校网站群平台由网络与信息中心统一建设管理,其技术安全由信息中心负责;运行在学校网站群平台上的部门网站(二级网站)建设和内容安全由网站主办部门负责,未运行在学校网站群平台上的网站的技术安全和内容安全由网站主办者负责。
第二十二条 各信息系统网站(含二级网站)的主管部门应指定网站管理人员(信息管理员),建立网站应急值守制度,规范应急处置流程,对网站进行监测,发现网站运行异常及时按照《陕西学前师范学院校园网信息安全事件应急处置预案》的相关规定进行处置。
第二十三条 网络与信息中心负责统筹安排学校信息系统安全等级保护工作,组织学校各部门开展信息系统定级、系统备案、等级测评、建设整改。按照“自主定级、自主保护”的原则,信息系统建设部门是信息系统安全等级保护的责任主体,具体负责系统定级、建设整改、安全自查,协助系统备案、等级测评并接受有关部门监督检查。网络与信息中心是信息系统安全等级保护工作的技术支撑保障部门,负责信息技术安全防护体系建设和等级测评组织工作,参与监督检查工作,并协助学校各部门进行系统定级、建设整改。
第二十四条 各部门在信息系统建设立项阶段应确定安全保护等级,对于安全等级第二级以上(含第二级)的信息系统,由网络与信息中心统一办理系统备案。
第二十五条 在新建信息系统时,建设部门应和承建方签订信息安全及保密协议。信息系统在建设阶段应按已确定安全保护等级,同步落实安全保护措施。信息系统投入试运行后,由建设部门初步验收,出具初步验收报告。对于安全等级第二级以上(含第二级)的信息系统,需会同网络与信息技术中心组织等级测评。信息系统建设完成并通过初步验收信息安全测评后,方可组织竣工验收。
第二十六条 信息系统建设部门应制定信息系统使用与维护的管理制度,规范信息系统使用者和维护者的操作行为:应定期对本部门承担网络与信息系统运行的关键设备(服务器、安全设备、网络设备)进行安全检查,通过相关记录检查系统和用户活动信息,及时发现系统漏洞,处置异常访问和操作。
第六章 信息系统数据安全管理
第二十七条 信息系统数据是指信息系统收集、存储、传输、处理和产生的各种电子数据,包括但不限于网站内容、业务数据、网络课程、图书资源、日志记录、邮件等。
第二十八条 网络与信息技术中心负责为学校提供公共服务的核心信息系统及平台、虚拟服务器的备份与恢复管理,各部门负责其主管使用的业务信息系统及业务数据的备份与恢复管理,具体任务包括:制订备份与恢复计划,根据业务实际需要对重要数据和信息系统进行备份,定期测试备份与恢复计划,并确保备份数据和备用资源的有效性。
第二十九条 学校各信息系统由网络与信息中心按照国家信息安全等级保护制度要求确定安全保护等级,按相关规定对信息安全等级状况开展等级评测。经评测,信息安全状况未达到安全保护等级要求的,应用该信息系统的主管部门制定整改方案并落实到位。未能按期整改并经复测通过的系统,必须下线停止运行,相关责任由该信息系统的主管部门负责。
第三十条 各部门定期对本部门应用系统和部门网站安全状况、安全保护制度及措施的落实情况进行自查,并配合有关部门的信息安全检查、信息内容检查、保密检查与审批等工作。
第三十一条 各部门应建立本部门信息安全值守制度,做到安全事件早发现、早报告、早控制、早解决。各部门应参照《陕西学前师范学院校园网信息安全事件应急处置预案》建立健全本部门安全事件应急处置机制,制定安全事件应急预案,定期组织应急演练。
第三十二条 网络与信息中心联合相关部门对全校各部门网络与信息技术安全工作落实情况进行定期检查,对发现的问题下达限期整改通知书,对网络与信息技术安全事件进行调查处理。
第三十三条 对于无人管理、无力维护、长期不更新、不使用的业务系统或网站,其原始建设或主管使用部门应关闭业务系统或网站,以降低安全风险。
第三十四条 各部门在信息系统管理使用过程中必须定期更改口令,清理不必要的管理账号、杜绝空口令、弱口令和默认口令。
第七章 校园网邮箱安全管理
第三十五条 网络与信息技术中心为学校各部门和教工提供电子邮箱,并负责学校电子邮件的安全运维。学校各部门和教工使用校园网邮箱应遵守本安全管理办法。
第三十六条 网络与信息技术中心应采取必要的技术和管理措施,加强电子邮件系统安全防护,减少垃圾邮件、病毒邮件侵袭。
第三十七条 教工须对使用其电子邮箱帐号开展的所有活动负责,应妥善保管本人使用的电子邮箱账号和密码。如发现他人未经许可使用其电子邮箱或者自己无法正常访问,应立即通知网络与信息技术中心处理。不得通过校园网邮箱发送、接受、存储涉密和违法信息。
第三十八条 对长期不使用邮箱的部门、教工账号,以及对邮件系统造成损害或威胁的部门、教工账号,网络与信息中心有权停止其使用权并删除该账号。
第八章 人员安全管理
第三十九条 学校各部门应建立健全本部门的岗位信息安全责任制度,明确岗位及人员的信息安全责任。对于涉及关键数据和信息的管理人员应与学校签订信息安全与保密协议,明确信息安全与保密要求和责任。
第四十条 学校各部门应加强信息系统管理人员离岗、离职管理,严格规范人员离岗、离职过程,及时终止离岗人员的相关系统访问权限。如有需要,须签署安全保密承诺书。
第四十一条 网络与信息中心应定期对学校信息技术安全岗位的人员进行安全知识和技能的培训。
第四十二条 网络与信息中心应建立外部人员访问主控机房等重要区域的审批许可制度,外部人员须经审批后方可进入,并对携带物品进行必要检查,安排工作人员现场陪同,对访问活动进行记录和保存。
第四十三条 学校应切实开展人员培训和安全教育工作。各部门制定网络与信息安全教育培训规划,开展面向全员的普及型培训和宣传教育,提高安全和防范意识,培养良好的安全习惯,形成规范的网络行为。
第九章 信息安全应急管理
第四十四条 网络与信息技术中心负责制订《陕西学前师范学院校园网信息安全事件应急处置预案》。若该信息技术安全应急预案不能满足需求,相关部门可制订本部门信息技术安全应急预案。信息技术安全应急预案制修订后应及时报网络与信息中心备案。
第四十五条 网络与信息中心应定期组织信息技术安全应急演练,评估并根据需要及时修订信息技术安全应急预案。各部门应组织开展信息技术安全应急预案的宣传、教育和培训,确保相关人员熟悉应急预案。
第四十六条 学校各部门应按照学校信息技术安全事件报告与处置流程,做好事发紧急报告与处置、事中情况报告与处置和事后整改报告与处置工作。做到安全事件早发现、早报告、早控制、早解决。
第十章 信息安全监督和责任
第四十七条 学校建立完善的网络与信息技术安全工作检查考核、责任追究和倒查机制。网络与信息安全工作作为各部门领导班子和领导干部目标管理、业绩评定、年度考核、奖励惩处和干部选拔任用的重要内容和依据。
第四十八条 各部门应按照信息技术安全事件报告与处置流程及时、如实地报告和妥善处置信息技术安全事件。工作不力的,学校给予通报批评;玩忽职守、失职渎职造成严重后果的,依纪依法追究相关人员的责任。
第四十九条 师生员工违反网络与信息安全相关管理规定,造成不良后果时,视情节轻重,由学校相关部门按规定给予批评教育或纪律处分;触犯法律时,由相关国家机关依法追究其法律责任。
第十一章 附则
第五十条 凡涉及国家秘密的信息系统,严格执行国家保密工作的相关规定和标准,由学校保密办公室监督指导。
第五十一条 学校各部门可参照本办法制订本部门的实施细则。
第五十二条 本办法由网络与信息中心负责解释,自印发之日起施行。
