学院网络信息安全工作管理办法.docx

学院网络信息安全工作管理办法一、总则为了建立行之有效的网络信息安全保障体系，健全网络 信息安全管理组织架构，落实网络信息系统安全保障责任， 保障网络信息系统的安全稳定运行，确保网络信息的机密性、 完整性和可用性，进而保障我学院业务的持续开展，特制定 本管理办法。二、适用范围本办法适用于学院的各类网络信息安全工作的管理。1、网络信息安全保障工作应遵循以下基本原则：(1)责任明确的原则：建立完善的网络信息安全治理 架构，明确各个层面的职责权限，落实网络信息安全管理责 任制；通过契约、协调等方式进行责任划分。(2)规范化原则：遵循国内、国际的网络信息安全标 准及行业规范，对网络信息系统实行等级保护。(3)全员参与的原则：网络信息安全不仅是信息技术 部门的责任。技术只是手段，管理才是保障，技术与管理缺 一不可，要求每一个部门，每一名师生把安全放在首位。(4)全面统筹原则：网络信息系统安全保障工作应贯 穿于网络信息化全过程，坚持统筹规划、突出重点，安全与 发展并进，管理与技术并重，应急防御与长效机制相结合。(5)基于安全需求主动预防、动态管理原则：根据二 级、三级网络信息系统担负的使命，积累的信息资产的重要 性，和可能受到的威胁和面临的风险分析安全需求，按照二 级、三级网络信息系统安全保护等级的要求加固信息系统; 安全风险是动态发展的，因此必须实行动态管理，预防先行, 以主动及时地应对各种新的安全风险。(6)快速响应原则：建立统一指挥、功能完善、反应 迅速的网络信息安全应急管理机制，确保信息安全事件发生 时能得到及时、高效、准确的响应。(7)持续改进原则：定期对网络信息安全管理工作进 行评价，持续改进网络信息安全保障制度和方案。(8)实用性原则：在确保网络信息系统性能和安全的 前提下，充分利用资源，讲究实效，避免重复和盲目投资, 积极采用国家法律法规允许的、成熟的先进技术和专业安全 服务，降低成本，保障安全运行。三、网络信息安全工作目标和安全策略网络信息安全工作的总体目标是确保网络信息和网络 信息系统的完整性、保密性、可用性、时效性、可审查性和 可控性，促进网络信息系统持续、稳定、健康地发展。1、网络信息安全工作的具体目标(1)保护网络信息系统的物理环境、设备设施和运行 环境，保证信息系统的环境安全；(2)确保网络信息内容的合法性，保护信息在采集、 传输、使用和存储过程中的保密性、完整性、可用性、时效 性、可审查性和可控性，保证信息的安全；(3)提高全员的网络信息安全意识、安全专业素质以 及安全管理与服务水平。(4)提高网络信息系统的可用性和灾难恢复能力，为 业务的可持续性运行提供保障。2、网络信息安全工作的安全策略框架依据学校二级网络信息系统的实际情况，将在网络信息 安全领导小组的领导下，依照国家政策法规和技术及管理标 准进行自主保护；并从物理安全、网络安全、数据安全、软 件安全、系统安全、灾难恢复和人为意识等方面建立较为完 善的安全管理策略；制定风险管理策略，业务连续性策略、 安全培训和教育策略，以保证网络信息系统的高安全性、高 可用性及高可恢复性。五、网络信息安全事件处置1、事件报告加强对其用户发布的信息、应用软件的管理，发现有害 信息、恶意程序立即停止传输或停止下载服务，采取消除等 处置措施，保存记录并向主管部门报告；禁止发布涉及实施 诈骗，制作或者销售违禁物品、管制物品以及其他违法犯罪 活动的信息；建立网络信息安全投诉、举报制度，公布投诉、 举报方式等信息，及时受理并处理有关网络信息安全的投诉 和举报；对网信部门和有关部门依法实施的监督检查，应当 予以配合；按照国家网信部门和有关部门的要求，对有害信 息停止传输，采取消除等处置措施，保存有关记录；网络信息安全事件发生后，最先获悉信息安全事件发生 信息的员工，应当在第一时间按规定报告网络信息安全工作 小组。网络信息安全工作小组应立即组织有关人员分析信息 安全事件的影响程度；影响重大或特别重大的，应按突发事 件应急处置程序和要求立即报告学院网络信息安全领导小 组。对于影响特别重大的，网络信息安全领导小组应向当地 国家信息安全应急管理机构报告。报告要迅速、准确、完整。事件报告内容：网络信息安全事件性质（包括计算机系 统故障、信息泄密等）。影响业务情况（包括事件发生的时 间和地点、系统运行的状态、对业务的影响等情况）。现场 处置情况（包括现场组织指挥，所采取的先期处置措施，系 统修复等情况）。启动突发事件应急预案（报告单位应根据 事件情况，提出启动突发事件应急预案的请求）。2、事件等级划分根据信息安全事件的等级划分细则，将网络信息安 全事件划分为四个级别：特别重大事件、重大事件、较大事 件和一般事件。特别重大事件（I级）：特别重大事件是指能够导致特 别严重影响或破坏的网络信息安全事件，包括以下情况：a） 会使特别重要网络信息系统遭受特别严重的系统损失；b） 产生特别重大的社会影响。重大事件（II级）：重大事件是指能够导致严重影响或 破坏的网络信息安全事件，包括以下情况：a）会使特别重 要网络信息系统遭受严重的系统损失、或使重要网络信息系 统遭受特别严重的系统损失；b）产生的重大的社会影响。较大事件（III级）：较大事件是指能够导致较严重影响 或破坏的网络信息安全事件，包括以下情况：a）会使特别 重要网络信息系统遭受较大的系统损失、或使重要网络信息 系统遭受严重的系统损失、一般网络信息信息系统遭受特别 严重的系统损失；b）产生较大的社会影响。一般事件（W级）：一般事件是指不满足以上条件的网 络信息安全事件，包括以下情况：a）会使特别重要网络信 息系统遭受较小的系统损失、或使重要网络信息系统遭受较 大的系统损失，一般网络信息系统遭受严重或严重以下级别 的系统损失；b）产生一般的社会影响。3、报告程序（1）出现特别重大网络信息安全事件（I级）时，当事 人或单位应马上报告事件主管部门（主管部门领导立即报告 学院网络信息安全领导小组）。学院网络信息安全领导小组 在两小时内报告国家应急管理机构。（2）出现重大网络信息安全事件（H级）时，当事人 或单位应报告事件主管部门。主管部门领导在1小时内立即 报告学院网络信息安全领导小组。网络信息安全领导小组在 两小时内报告国家应急管理机构。（3）出现较大网络信息安全事件（HI级）时，当事人 或单位应马上报告事件主管部门。事件处理后，主管部门领 导视情况将处理结果报告学院网络信息安全领导小组。网络 信息安全领导小组视情况报告国家应急管理机构。（4）出现一般网络信息安全事件（IV级）时，当事人 或单位应马上报告事件主管部门。主管部门领导立即报告学 院网络信息安全工作小组。工作小组前往解决，在事件处理 后，向学院网络信息安全领导小组报告事件详情。网络信息 安全领导小组视情况报告国家应急管理机构。为公安机关、国家安全机关依法维护国家安全和侦察犯 罪的活动提供技术支持和协助。4、恢复管理安全事件发生后可能到时部分数据的丢失或损坏，应根 据安全事件对系统造成的影响，对系统进行恢复。并有工作 小组对系统实施恢复。注意事项：任何情况下用户不应尝试验证安全弱点和可疑事件。在安全事件出之后应对安全事件发生的原因进行分析,采取必要的措施避免再次发生安全事件。针对本次安全事件 进行事后教育及培训。采用加密或其他保护措施实现重要信息的存储保密性;在境外收集和产生的个人信息和重要数据在境内存储、 向境外提供应当进行安全评估。六、制度的制定和发布1、由网络信息安全工作小组负责网络信息安全管理策 略和网络信息安全管理制度的制定。2、网络信息安全领导小组负责安全管理制度的审批， 对制度的合理性和适用性进行论证和审定。3、经网络信息安全领导小组审核通过后签发，并由网 络信息安全工作小组按照学院文件发布管理规定进行文件 的发布。4、网络信息安全管理制度的发布范围由制度本身涉及 的范围决定。5、网络信息安全管理制度的版本和格式根据制度文 件格式说明实施。6、网络信息安全领导小组应定期对制度的合理性和适 用性进行检查和审定，每年根据制度的执行情况对管理制度 进行修订。七、问责机制1、学院网络信息安全领导小组为网络信息系统安全保 障第一责任人，按“谁主管谁负责，谁运行谁负责”的原则， 层层落实网络信息安全责任制。2、将网络信息系统安全保障责任分解细化，逐项落实 到具体部门、具体责任人，强化网络信息安全管理执行力。3、对于以下情况，学院将根据具体情况追究有关人员 的责任。对于网络信息安全管理失职并造成严重后果的，将 对其通报批评；对情节特别严重的，将按有关规定追究其责 任。(1)因网络信息安全工作管理不到位或失职，导致发 生重大网络信息安全事件。(2)迟报、漏报、瞒报信息安全事件，或对网络信息 安全事件处理不到位。(3)不遵守网络信息安全管理制度，不执行上级部门 及监管部门的网络信息安全管理要求。八、附则1、本规定由学院负责制定、修改和解释。2、本规定自印发之日起实施。