黄淮学院网络与信息安全管理办法
第一章 总则
第一条 为做好我校网络与信息安全工作,提高网络与信息安全防护能力和水平,保障我校教育事业健康有序发展,根据《中华人民共和国网络安全法》、《教育部关于加强教育行业网络与信息安全工作的指导意见》(教技〔2014〕4号)、《教育部关于进一步加强直属高校直属单位信息技术安全工作的通知》(教技〔2015〕1号)等文件,结合学校实际,制定本办法。
第二条 学校网络与信息安全,包括校园计算机网络(以下简称校园网络)与信息系统(含网站,下同)的运行安全和信息内容的安全。本办法所称网络与信息安全工作,是指对于由校内单位建设或管理,服务于我校教学、科研或管理的校园信息网络、数据中心、互联网站和应用系统,为防止发生信息化设备设施故障、网络攻击、有害程序入侵、信息破坏和窃取等发生而开展的预防和整治工作。
第三条 学校按照国家有关网络安全和信息化政策法规,制定网络与信息安全总体规划,加强安全管理与技术研究,建立完善相关规章制度,并在实际工作中予以落实。
第二章 管理体制与职责
第四条 学校成立由学校主要领导任组长的网络安全和信息化领导小组,负责统一领导、统一谋划、统一部署全校网络安全和信息化发展,统筹制定网络安全和信息化发展战略、宏观规划和重大政策,研究解决网络安全和信息化重要问题。
第五条 网络安全与信息化领导小组办公室(以下简称信息化办公室)是网络安全与信息化领导小组常设办事机构,负责学校网络与信息系统的日常管理和维护,负责学校网络与信息安全管理和监督工作,负责网络与信息安全防护体系的建设和运行维护,负责为全校各单位网络与信息技术安全工作提供技术指导和服务支持;负责保存网络运行日志,配合调查取证;负责入网单位办理入网登记手续,签署相应的安全责任书。
第六条 各学院、部门、单位(以下统称各单位)是本单位网络安全和信息化工作的责任主体,应在本单位内部相应成立网络与信息安全工作小组,其主要负责人是本单位网络安全和信息化工作第一责任人,负责按本办法落实网络与信息技术安全工作,推进本单位信息化发展。各单位要明确指定专人担任网络与信息安全员作为本单位信息网络、互联网站和应用系统的运行维护责任人,负责本单位及下属机构的网络与信息安全工作,并将信息安全员名单报备信息化办公室,人员变动时应及时调整并报备。
第七条 党委宣传部负责网络信息内容的安全监管,负责校园网络舆情信息的监控和管理,开展网上疏导和正面宣传,做好对外宣传工作。
第八条 学校保卫处和网络信息管理中心负责对网络违规行为进行调查、取证、处理,根据相关证据及事态影响或破坏程度,对违规者按照有关规定进行处理。
第九条 按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,网络与信息系统的主办单位承担安全监管责任,包括内容安全监管、技术安全保障和监督检查等职责;网络与信息系统的使用单位和个人对系统操作与信息内容的安全监管承担直接责任。网络与信息系统通过外包服务方式进行维护的,主办单位负责督促外包服务单位做好安全运维工作,网络与信息系统的安全监管责任主体仍为主办单位。全校各单位及全体师生员工应依照本办法及其相关标准规范履行网络与信息技术安全的责任和义务。
第三章 校园信息网络建设管理
第十条 校园信息网络包括校园计算机网络、公用通信网络和专用通信网络,统一归口网络信息管理中心管理。
第十一条 校园信息网络管道由网络信息管理中心负责需求制定和使用管理;校园规划、建设和管理部门负责在学校地下管网统一管理的原则下,进行规划、建设和运行维护。
第十二条 校园计算机网络包括校园有线网络和无线网络,涉及光缆、网络机房、网络设备、域名管理、IP地址管理、认证计费、安全防护、网络接入与运维等,由网络信息管理中心负责建设和运行维护管理。网络接入单位负责提供本单位所需的网络设备间和电源保障,协助解决网络布线和设备安装所需空间,负责安防和消防安全管理。
第十三条 校园计算机网络接入互联网遵循“统一出口、统一管理”的规定,由网络信息管理中心负责实施。学校各单位在校园内不得擅自通过社会网络资源接入互联网。
第十四条 师生员工接入校园计算机网络,实行“实名注册、认证上网”的制度。
第十五条 学校所有基建、修缮工程应将工程范围内校园计算机网络建设纳入工程设计、实施和竣工验收范畴。
第十六条 严禁任何单位和个人利用校园计算机网络及其网络设施开展经营活动。
第四章 互联网站建设管理
第十七条 学校各单位设立互联网站,应使用学校互联网IP地址和学校互联网络域名,并遵守学校相关规章制度。
第十八条 各单位设立互联网站,可基于学校网站群平台建设,也可委托软件开发商建设;各单位应按信息安全保护等级的相应规范落实信息安全防护。学校网站群平台由网络信息管理中心统一建设,其技术安全由网络信息管理中心负责;运行在网站群平台上的网站的内容安全由网站主办者负责,未运行在学校网站群平台上的网站的技术安全和内容安全由网站主办者负责。
第十九条 各互联网站的主管单位应建立网站应急值守制度,规范应急处置流程,由专人对网站进行监测,发现网站运行异常及时处置。对于使用频度不大、阶段性使用的网站,可采取非工作时间或寒暑假、节假日关闭的方式运行。
第五章 应用系统建设管理
第二十条 鼓励优先采购安全、成熟和售后服务优良的商业软件。没有相应商业软件,或商业软件不适应我校实际需求的,可以按照学校采购与招标相关规定委托资质和信誉良好的软件开发商进行开发。对于业务管理部门具有应用系统开发维护能力并能够保证其信息安全的,可在学校顶层设计和软硬件配置框架内自行组织开发。
第二十一条 业务管理部门根据本部门业务需要撰写需求分析报告,明确详细的功能和性能需求。网络信息管理中心负责软件所需的数据中心资源,包括硬件、运行平台软件和基础数据等,协助制定技术方案。网络信息管理中心组织对技术方案进行论证和审批,并确定拟建应用系统信息安全保护等级;应用系统按照相应等级的规范要求进行建设。
第二十二条 对于购买商业软件或委托软件开发的,业务管理部门根据论证和审批通过后的方案,按照学校采购与招标相关规定进行采购。
第二十三条 业务管理部门为应用系统的主管部门,应指定专门人员负责系统的建设、运行维护和安全管理,组织软件提供商并会同网络信息管理中心制定应用系统运维和安全管理方案。应用系统原则上由业务管理部门运维,特殊情况可委托网络信息管理中心运维。
第二十四条 应用系统投入试运行后,由业务管理部门初步验收,出具初步验收报告,并向网络信息管理中心申请开展信息安全保护等级测评。网络信息管理中心组织开展信息安全保护等级测评,形成测评报告,该报告为应用系统竣工验收的重要依据。应用系统由网络信息管理中心组织竣工验收。
第六章 安全秩序
第二十五条 校园网络和信息系统接入互联网必须采取防火墙、身份认证、MAC地址绑定、安全审计、病毒防护及入侵检测等安全技术手段。校内互联网接入由网络信息管理中心统一管理,包括IP地址、域名及网络帐号等。
第二十六条 学校域名为huanghuai.edu.cn,各主办单位按信息系统名称的拼音或英文缩写简写设置域名并提出申请,经网络信息管理中心批准后使用。任何单位和个人均须落实实名登记网络帐号信息,并对网络帐号安全使用负责。
第二十七条 任何单位和个人不得私自与校外单位联网,不得私自发展校外用户。
第二十八条 校园网络实行信息系统(网站)报批备案制。需要在校园网上建立网站或开办信息系统的单位,应到网络信息管理中心办理登记注册手续并签署安全责任书,其中建立网站、BBS、论坛、聊天室、博客、微博等公众信息服务系统,以及在微信、QQ等互联网社交平台上开办公众服务号,应到党委宣传部报备批准。未经许可,任何入网单位或个人不得私自建立网站或以冠有“黄淮学院”中外文字样的任何名义开通信息发布、BBS、论坛、聊天室、博客、微博、微信等公众信息服务系统。
第二十九条 各单位原则上应依托校园网开展信息系统建设。涉及学校基础数据、师生员工个人信息或敏感信息的信息系统,不得部署在校外。需要在校外开办信息系统的单位,应到网络信息管理中心办理备案手续。部署在校外的网络和信息系统,安全监管责任主体仍为主办单位。
第三十条 经批准建立的公众信息服务系统应明确专门的管理员和制订相应管理制度,包括安全保护技术措施、信息发布审核登记制度、信息监视保存清除备份制度、不良信息报告和协助查处制度、管理人员岗位责任制。
第三十一条 各单位应建立健全信息发布、信息审查、应急处置机制,指定人员负责审查上网信息和信息系统保密管理,负责涉及学校或本单位舆情的处置引导,以及监管本单位师生开设的博客、微博、微信等自媒体平台。
第三十二条 在校园网络上严禁制作、查阅、复制或传播下列信息:
(一)煽动抗拒、破坏宪法和国家法律、行政法规实施;
(二)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一;
(三)损害国家荣誉和利益;
(四)煽动民族仇恨、民族歧视,破坏民族团结,或者侵害民族风俗习惯;
(五)宣扬恐怖主义、邪教、封建迷信,违反国家宗教政策;
(六)捏造或者歪曲事实,散布谣言,扰乱社会秩序,破坏社会稳定;
(七)侮辱他人或者捏造事实诽谤他人;
(八)含有淫秽、色情、赌博、暴力、欺诈等内容;
(九)含有法律、法规禁止的其他内容。
第三十三条 在校园网络上严禁下列行为:
(一)破坏、盗用、篡改计算机网络中的信息资源;
(二)故意泄露、窃取、篡改个人电子信息,擅自利用网络收集、使用个人电子信息,出售或者非法向他人提供个人电子信息;
(三)违背他人意愿、冒用他人名义发布信息;
(四)攻击、入侵、破坏计算机网络、信息系统及设备设施;
(五)故意阻塞、中断校园网络,恶意占用网络资源;
(六)故意制作、传播、使用计算机病毒、木马、恶意软件等破坏性程序;
(七)故意大量发送垃圾电子邮件、垃圾短信等,干扰正常网络秩序;
(八)盗用他人帐号、盗用他人IP地址;
(九)私自转借、转让用户帐号造成危害;
(十)私自开设二级代理和路由接纳网络用户;
(十一)上网信息审查不严,造成严重后果;
(十二)以端口扫描和私搭DHCP服务器等方式,破坏网络正常运行;
(十三)私自将外网串接到校园网络。
(十四)其它违反法律法规或危害网络与信息安全的行为。
第七章 安全防护
第三十四条 各单位作为安全等级保护的责任主体,应当按照国家信息安全等级保护的管理规范、技术标准确定信息系统的安全保护等级,并报学校有关部门审核。学校按相关规定选择具有相关技术资质和安全资质的测评单位,对二级及以上的信息系统进行等级测评。经测评,信息安全状况未达到安全保护等级要求的,信息系统的主办单位应制定整改方案并落实到位。
第三十五条 各单位对于新建、改建、扩建的信息系统,应当在规划、设计阶段同步建设网络信息安全保障措施。新开发的信息系统必须经过第三方安全检测机构出具检测报告、签订《黄淮学院网络与信息安全责任书》后方可上线运行。
第三十六条 各单位对于主办的信息系统,应当采取必要的安全措施,严防入侵、篡改、泄露等事件发生。信息系统的主办方和运维方要各司其职,各负其责。
第三十七条 各单位应建立检查巡查机制,定期或不定期组织开展信息系统安全演练,查找安全漏洞和隐患;对机房、网络设备、服务器等设施定期开展安全检查;更新和升级必要的服务器软件,及时安装补丁,包括操作系统、web服务器、应用中间件、数据库等,加强服务器应用的安全性。对上述检查中发现安全漏洞和隐患的,检查单位应及时填发《隐患告知书》,逾期未采取措施和提交处理报告的,检查单位应及时填发《隐患整改通知书》。对于一时难以修复或整改落实的,应当立即采取措施进行隔离,直至修复完成。
第三十八条 各单位应建立本单位信息安全值守制度,做到安全事件早发现、早报告、早控制、早解决。
第三十九条 各单位对于主办的信息系统,每月至少进行1次安全检查,填写检查台账。检查内容包括:
(一)查杀病毒,清除木马、后门等恶意程序,升级系统补丁;
(二)检查网页和重要数据的备份情况;
(三)检查网页内容,及时清除无关网页和暗链;
(四)定期更改口令,清理不必要的管理帐号;杜绝空口令、弱口令和默认口令;
(五)检查SQL注入和跨站脚本等安全漏洞;
(六)检查服务器安全策略,关闭不必要的端口和服务;
(七)检查系统日志留存情况,留存相关日志不少于六个月。
第四十条 各单位对于主办的重点信息系统,应当采取措施重点防护,保障系统和重要数据的安全。每月至少进行1次安全检查,填写检查台账。重点信息系统包括:
(一)学校WWW门户网站;
(二)学校重要办公网站和办公信息系统;
(三)统一身份认证、校园卡等校级重要公共服务平台;
(四)教学、科研、人事、财务、设备、房产等学校重要业务信息系统及相关重要数据库。
第四十一条 建立网络安全监测预警和信息通报制度。网络信息管理中心负责信息收集、分析和通报工作,按照规定向全校统一发布网络安全监测预警信息。各单位应做好网络与信息安全事件的风险评估和隐患排查工作,制订完善相关应急预案,及时采取有效措施,避免和减少网络与信息安全事件的发生及其危害。
第四十二条 建立健全学校网络与信息安全类突发公共事件应急工作机制,提高应对网络与信息安全类突发公共事件的能力,预防和减少由此造成的损失和危害,维护学校的安全和稳定。
第八章 监测与处置
第四十三条 我校各应用系统和互联网站,由网络信息管理中心按照国家信息安全等级保护制度要求确定安全保护等级,按相关规定对信息安全等级状况开展等级评测。经评测,信息安全状况未达到安全保护等级要求的,应用系统或互联网站的主管单位应制定整改方案并落实到位。
第四十四条 各单位定期对本单位应用系统和互联网站安全状况、安全保护制度及措施的落实情况进行自查,并配合有关部门的信息安全检查、信息内容检查、保密检查与审批等工作。
第四十五条 各单位应按照我校信息技术安全事件报告与处置流程,做好事发紧急报告与处置、事中情况报告与处置和事后整改报告与处置工作。
第四十六条 各单位应建立本单位信息安全值守制度,做到安全事件早发现、早报告、早控制、早解决。各单位应建立健全本单位安全事件应急处置机制,制定安全事件应急预案,定期组织应急演练。
第四十七条 网络信息管理中心联合相关单位对全校各单位网络与信息技术安全工作落实情况进行检查,对发现的问题下达限期整改通知书,对网络与信息技术安全事件进行调查处理。
第九章 保障措施
第四十八条 学校保障网络安全与信息化发展所需的人员编制,采取有效措施建立高水平的网络与信息技术安全管理专职队伍和技术保障专业队伍。学校保障网络安全与信息化发展的经费投入和物理空间需求。
第四十九条 学校切实开展人员培训和安全教育工作。各单位制定网络与信息安全教育培训规划,开展面向全员的普及型培训和宣传教育,提高安全和防范意识,培养良好的媒介素养和规范的网络行为。网络信息管理中心组织开展信息化管理和技术人员专业培训,逐步实行信息化管理和技术人员持证上岗。
第五十条 学校建立完善的网络与信息技术安全工作检查考核、责任追究和倒查机制。网络与信息安全工作作为各单位领导班子和领导干部目标管理、业绩评定、年度考核、奖励惩处和干部选拔任用的重要内容和依据。
第十章 责任追究
第五十一条 各单位应按照信息技术安全事件报告与处置流程及时、如实地报告和妥善处置信息技术安全事件。工作不力的,学校给予通报批评;玩忽职守、失职渎职造成严重后果的,依纪依法追究相关人员的责任。
第五十二条 对于违反本办法第三十二条、第三十三条规定的,将依法依规提请学校相关部门或组织认定,除停止其校园网络的使用外,视情节轻重,分别由组织、人事管理或学生管理部门按相关规定给予批评教育或纪律处分;触犯法律时,由相关国家机关依法追究法律责任。
第五十三条 对于私自占用网络资源,破坏网络和信息系统,违反网络用户行为规范的行为,由网络信息管理中心根据事件的涉及范围、严重程度与校内有关部门进行查处,并根据国家和学校相关规定作出处理决定。
第五十四条 各单位和个人应当履行安全职责。如因未尽职责或管理不善而造成严重后果的,将依法依规追究其相应责任,具体措施为:
(一)中断网络连接;
(二)关闭信息系统;
(三)警告并勒令改正;
(四)通报批评;
(五)情节严重的,给予相应处分;
(六)触犯国家有关法律法规的,移交公安、司法部门处理。
第十一章 附则
第五十五条 对于涉及国家秘密的信息系统,按照国家保密工作部门的相关规定和标准进行保护,接受党委办公室监督指导。
第五十六条 本办法由黄淮学院信息化办公室负责解释。
第五十七条 本办法自发布之日起施行。
黄淮学院
2018年5月20日