大学校园网与信息系统技术安全管理办法.docx

《大学校园网与信息系统技术安全管理办法.docx》由会员分享，可在线阅读，更多相关《大学校园网与信息系统技术安全管理办法.docx（12页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、大学校园网与信息系统技术安全管理办法第一章总则第一条为进一步加强学校校园网与信息系统技术安 全管理，推进学校网络安全保护工作，提高防护能力，根据 中华人民共和国网络安全法教育部关于加强教育行业 网络与信息安全工作的指导意见教育部办公厅关于组织 开展部属单位信息安全等级保护工作的通知等要求，结合 我校实际，特制定本办法。第二条 学校按照“谁主管谁负责、谁使用谁负责、谁 运维谁负责”的原则，建立健全安全责任体系。各单位、全 体师生员工应依照本办法及学校相关规定，履行相应的义务 和责任。第三条本办法所指校园网与信息系统技术安全管理， 是指为保护学校各类网络系统、信息系统以及信息资产的安 全性、完整性

2、，而采取的相应技术措施和管理办法。本办法所指二级单位包括机关部、处、室，学院、直附 属单位、有关科研机构以及企业单位等。第二章领导机构与工作职责第四条学校网络安全和信息化领导小组（以下简称领 导小组）是学校校园网与信息系统技术安全的领导决策机构, 按“同步规划、同步建设、同步运行”的原则统筹协调校园 网与信息系统技术安全各项工作。保存。第五十六条 二级单位应建立外部人员访问机房等重 要区域的审批制度，外部人员须经审批后方可进入，并安排 工作人员现场陪同，对访问活动进行记录和保存。第十二章外包服务安全管理第五十七条信息技术外包服务是指对信息系统开发 和运维的外包。第五十八条外包服务需求单位应与信

3、息技术外包服 务商签订服务合同和信息安全与保密协议，明确信息安全与 保密责任，不得将外包服务转包，不得泄露、扩散、转让服 务过程中获知的敏感信息，不得占有服务过程中产生的任何 信息资产，不得以服务为由强制要求委托方购买、使用指定 产品。信息技术外包服务合同和信息安全与保密协议按学校 合同管理办法执行，并报信息中心备案。第五十九条信息技术现场服务过程中，外包服务需求 单位应安排专人陪同，并详细记录服务过程。第六十条定制开发的系统、软件上线前，外包服务需 求单位应组织安全检查，要求外包服务商及时提供系统、软 件升级、漏洞查堵等服务。第十三章信息安全应急管理第六十一条领导小组负责信息安全事件及应急工

4、作 的统筹管理，负责制定学校信息技术安全事件报告与处置流 程。学校保卫部门具体负责网络与信息安全案件处置，党委 宣传部、网工部负责网络与信息安全的舆情监控与宣传引导, 信息中心负责制订学校公共平台的信息技术安全应急预案， 为二级单位信息安全应急处置提供必要的支支持。二级单位 应制订本单位信息系统技术安全应急预案，并定期组织演练。第六十二条学校定期组织信息技术安全应急演练，评 估并适时组织信应急预案的完善修订。学校各二级单位应组 织开展信息技术安全应急预案的宣传、教育和培训，确保相 关人员熟悉应急预案。第六十三条二级单位应按照学校信息技术安全事件 报告与处置流程，做好事发紧急报告与处置、事中情况

5、报告 与处置和事后整改报告与处置工作。做到安全事件早发现、 早报告、早控制、早解决。第六十四条二级单位或师生员工均有义务及时向学 校报告信息安全事件，不得在未授权情况下对外公布、尝试 或利用所发现的安全漏洞或安全问题。第十四章信息技术安全教育培训第六十五条学校建立健全信息技术安全教育培训制 度。第六十六条学校定期组织开展信息安全教育，提高师 生员工的安全和防范意识。定期开展针对信息安全管理人员 和技术人员的专业技能培训，提高信息技术安全工作能力和 水平。第十五章信息技术安全检查监督第六十七条学校对二级单位息技术安全落实情况进行定期检查或抽查，对发现的问题下发整改通知书，责成相 关单位制订整改方

6、案并及时整改。第六十八条二级单位应定期对本单位信息系统的安全状况、安全保护制度及措施的落实情况进行自查，并配合 有关部门的信息安全技术检查、内容检查、涉密检查等工作。第六十九条二级单位对学校或第三方机构检查中发 现的安全隐患、系统漏洞应及时整改，形成整改报告，并对 整改结果负责。第十六章信息安全责任追究第七十条 学校建立信息安全责任追究和倒查机制。第七十一条有关单位在收到网络与信息技术安全整 改通知书后，应及时整改。对整改不及时、不到位的，学校 将予通报；对玩忽职守、失职渎职造成严重后果的，按相关 法律法规处理。第七十二条二级单位应按照信息技术安全事件报告 与处置流程，对信息技术安全事件及时、

7、如实地报告，妥善 处置。对瞒报、缓报和处置整改不力等情况，学校将对相关 单位责任人进行约谈或通报。第七十三条 师生员工违反本办法规定的，由学校责令 整改。拒不改正或导致严重后果的，按学校有关规定处理。 触犯法律法规的，移交相关部门处理。第十七章附则第七十四条 涉及国家秘密的信息系统，执行国家保密 工作的相关规定和标准，由学校保密办公室监督指导。第七十五条二级单位可参照本办法制订本单位的实 施细则。第七十六条本办法自发布之日起实施，由信息中心负 责解释。第五条学校二级单位是本单位网络与信息系统技术 安全的责任主体，单位主要负责人是本单位网络与信息系统 技术安全的第一责任人。二级单位应成立本单位网

8、络安全和 信息化领导小组，组织实施本单位所使用、运维的网络和信 息系统技术安全的防护措施和管理办法。第六条 信息中心是学校网络与信息系统技术安全归 口管理部门和技术支撑单位，负责开展学校网络与信息系统 技术安全的规划、建设、管理和运维。具体职责为：（一）制定、实施信息技术安全总体方案；（二）拟定校园网与信息系统技术安全管理制度，制定 安全标准和规范；（三）组织开展技术安全防护体系的规划建设、运行维 护、技术指导和服务支持；（四）组织开展网络安全等级保护工作；（五）组织开展信息技术安全教育和培训工作；（六）负责信息技术安全监督检查工作；（七）其他相关工作。第三章校园网络基础安全管理第七条 校园网

9、是指在校园范围内连接各种信息系统 及信息终端的计算机网络，包括有线网、无线网和各种专网。第八条 学校按“统一管理、统一出口、统一认证”的 原则实行校园网与互联网及其他公共信息网络的连接。校园 网与互联网及其他公共信息网络实行逻辑隔离，采取访问控 制、完整性检查、入侵防范、恶意代码防范、安全审计等措 施进行校园网边界防护。未经批准，二级单位不得将信息系统和本单位局域网通 过其他渠道接入互联网及其他公共信息网络。第九条二级单位负责本单位所在区域内网络设备的 日常安防和消防管理工作。第十条涉密网络和信息系统接入网络时，严格按照涉 密系统管理办法执行。第四章数据中心管理第十一条数据中心是指支撑学校信息

10、化建设的物理 环境（包含机房）、云计算平台、中心数据库、数据共享交 换平台、统一身份认证平台及统一信息门户等软硬件设施设 备，是学校信息化建设的基础设施和平台。信息中心负责数据中心的安全建设、运行、维护和管理。第十二条学校按网络安全等级保护要求，对数据中心 进行分区分域管理，对不同等级分区采取相应的技术安全防 护措施，对不同安全域之间实施访问控制。第十三条 学校制定数据中心使用的技术规范和标准， 对数据中心的使用实施准入制。新建信息系统应符合学校信 息技术标准，在通过第三方安全评测机构检测后方可在数据 中心部署上线。第十四条 二级单位在建设面向师生服务的应用系统 时，应使用学校统一身份认证平台

11、进行身份认证。二级单位 负责本单位业务系统的用户角色管理、权限分配和资源管理, 负责本单位业务数据库的建设和管理，负责本单位业务数据 库及所申请的共享数据的安全管理。第十五条 数据中心使用单位应遵守数据中心的管理 制度和技术标准，按需申请、有效使用。不得利用数据中心 从事与申请项目无关，或危害数据中心安全的活动。第十六条 二级单位应依托学校数据中心开展应用系 统建设，不得将涉及学校基础数据、师生员工个人信息或敏 感信息的信息系统部署在校外数据中心。确需使用校外数据 中心的，须经领导小组审批。严禁使用境外数据中心。第五章信息系统的建设、运行和维护管理第十七条 学校按照“同步规划、同步建设、同步运

12、行” 的原则开展系统建设与安全建设，建立健全信息技术安全防 护体系。第十八条学校实施网络安全等级保护制度，建立信息 系统台账，组织开展信息系统安全等级定级、系统备案、安 全建设、等级测评、安全整改和监督检查等工作。二级以上（含第二级）信息系统，需按要求进行备案。第十九条信息系统建设、使用单位是该系统安全等级 保护的责任主体，按照“自主定级、自主保护”的原则开展 等级保护工作，并接受安全监管部门的监督检查。第二十条二级单位或相关工作领导小组办公室挂靠 （或所在）单位应根据业务需要，在上年的下半年提交来年 网络与信息系统建设申请、安全责任书和成熟的建设方案。 信息中心组织专家论证，拟定来年建设清单

13、和建议，报送领 导小组审批。学校鼓励建设单位优先采购安全可靠、技术成熟和服务 良好的成品软件用于信息系统建设。没有相应成品软件或成 品软件不适应实际需求的，按照采购与招标规定，委托资质 和信誉良好的软件开发商进行定制开发。第二十一条信息系统建设完成在出具第三方安全测 试报告后，方可组织验收。在上线测试或试运行前建设单位 （或使用单位）、开发商应签订信息系统试运行或上线测 试安全责任书，审核同意后方可进行上线测试或试运行。第二十二条 信息系统建设、使用单位应制定信息系统 使用与维护的管理制度，规范系统使用者和运维人员的操作 行为。建设、使用单位应定期对终端计算机和关键设备（服 务器、操作系统、数

14、据库、安全设备、网络设备等）进行安 全审计，通过查看记录、检查系统和用户活动信息及时发现 系统漏洞，处置异常访问和操作。第二十三条信息系统建设、使用单位应定期组织二级 以上（含第二级）信息系统的等级测评，查找安全漏洞和安 全隐患，并及时整改。二级系统每两年应至少进行一次测评，三级系统每年应 至少进行一次测评，四级系统每年应至少进行两次测评。第二十四条信息系统的开发环境、测试环境和运行环 境应严格隔离，学校负责面对全校服务的信息系统所需上述 环境的建设、运行、维护和管理。第六章信息系统数据安全管理第二十五条 信息系统数据是指信息系统收集、存储、 传输、处理和产生的各种电子数据，包括但不限于网站内

15、容、 业务数据、网络课程、图书资源、日志记录等。第二十六条信息系统建设、使用单位是其数据安全的 责任主体，应落实管理和技术措施，规范数据的收集、存储、 传输和使用，确保数据安全。第二十七条 信息系统数据收集应遵循“最少够用”原 则，不得收集与该系统业务无关的个人信息。按照“谁收集， 谁负责”的原则，收集个人信息的单位是个人信息保护的责 任主体，应建立实施个人信息保护制度，防止信息泄露。第二十八条信息中心负责学校核心信息系统的运维 管理、备份与恢复，制订备份与恢复计划，定期测试备份与 恢复计划，确保备份数据和备用资源的有效性。第七章互联网网站安全管理第二十九条二级单位开办互联网网站时，应使用学校

16、 域名和IP地址，遵守学校相关规章制度。第三十条 学校统一建设网站集群管理平台（CMS）, 负责该平台的技术安全。第三十一条新建网站上线前，应聘请第三方安全测评 机构进行安全测试。未来通过安全测评的，不予上线。未进 入学校CMS的网站，其技术安全由开办单位负责。第三十二条 网站建设、使用单位应建立网站值守制度, 制订应急处置流程，组织专人对网站进行监测，发现网站异 常情况及时处置。第三十三条 互联网网站的内容安全由网站开办单位 负责。互联网网站开办单位应建立完善的网站信息发布与审 核制度，确定内容编辑、内容审核、内容发布的责任人，明 确审核与发布程序，保存相关操作日志。第三十四条二级单位网站不

17、得提供电子公告、论坛、 聊天室、留言板等服务。确有需要的，须经领导小组批准, 信息中心备案。提供该服务的网站开办单位承担内容管理的 主体责任，须按有关规定落实内容安全的管理和技术措施。第三十五条对于使用频度不高、阶段性应用的网站, 开办单位可采取非工作时间或寒暑假、节假日关闭的方式运 行。对于无人管理、维护不力、长期不更新的网站，开办单 位应及时关闭以降低安全风险。第八章电子邮件安全管理第三十六条 学校为师生员工提供电子邮件服务。用户 在使用学校电子邮件时，应遵守相应管理规定。第三十七条学校负责电子邮件系统的安全管理，具体 由信息中心负责实施。信息中心应积极采取必要的技术和管 理措施，加强邮件

18、系统的安全防护，减少垃圾邮件、病毒邮 件的侵袭。第三十八条 师生员工对其电子邮箱的所有活动和内 容负责。电子邮件用户应妥善保管本人邮箱账号和密码，设 置邮箱强密码并定期更换。若发现他人冒用、盗用本人电子 邮箱，及时通报信息中心。第九章终端计算机安全管理第三十九条 终端计算机是指由学校师生员工用于教 学、科研、管理等活动的各类计算机及附属设备，包括台式 电脑、笔记本电脑及其他移动终端。第四十条 按“谁使用，谁负责”的原则，终端计算机 使用人对其终端计算机负有保管和安全使用的责任。学校对 终端计算机的安全管理提供技术支持和指导。第四十一条 学校提供软件正版化服务，提供常用工具 软件、防病毒软件的正

19、版下载。第四十二条终端计算机设备上安装、运行的软件应为 正版软件。使用盗版软件带来的安全和法律责任由终端计算 机使用人负责。第四十三条 终端计算机应当设置系统登录账号和密 码，禁止自动登录，登录密码应具有一定强度并定期更改。第四十四条 终端计算机使用人应做好数据日常管理 和保护，定期进行数据备份和系统升级。非涉密终端计算机 不得存储和处理涉密信息。第四十五条 终端计算机使用者应做好终端计算机的 安全防范，如发现终端计算机出现可能由病毒或攻击导致的 异常行为或其他问题，应先断网后处理。第四十六条 终端计算机使用人应对终端计算机妥善 保管。若发生损坏丢失，按学校仪器设备相关管理规定处理。第十章存储

20、介质安全管理第四十七条 存储介质是指存储数据的载体，包括但不 限于硬盘、存储阵列、磁带库等不可移动介质，以及移动硬 盘、U盘等可移动介质。第四十八条 存储阵列、磁带库等大容量介质原则上应 托管在学校数据中心，由学校统一运行、维护和管理。数据 中心应采取必要技术措施防止数据泄漏，确保数据安全。第四十九条 二级单位应建立移动介质管理制度，记录 非个人移动介质的领用、交回、维修、报废、损毁等情况。介质使用人按照“谁使用，谁负责”的原则，对其移动 介质负有保管和安全使用的责任。第五十条 介质使用人应注意移动存储介质的内容管 理，对送出维修或销毁的介质应事先清除敏感信息。第五十一条移动存储介质在接入终端

21、计算机和信息 系统前，应当查杀病毒、木马等恶意代码。第五十二条 非涉密移动存储介质不得存储涉密信息, 不得在涉密计算机上使用。第十一章人员安全管理第五十三条二级单位应建立健全本单位信息技术安 全责任制，明确信息安全岗位及人员的职责。关键岗位的计 算机使用和管理人员应签订信息安全与保密协议，明确信息 安全与保密责任。第五十四条 二级单位应加强人员离岗、离职管理，严 格规范离岗、离职过程，及时终止相关人员的所有访问权限, 收回各种身份证件、钥匙、徽章以及学校提供的软硬件设备, 并签署离岗、离职安全保密承诺书。第五十五条二级单位应定期对信息技术安全岗位的 人员进行安全知识和技能的考核，并对考核结果进行记录和