z大学网络及信息系统安全管理办法
近年来,国内信息安全形势严峻,各类信息安全事件频发。为此,教育部办公厅发布了《关于加强网络安全检查的通知》(教技厅函[2014]51号)、《教育行业信息系统安全等级保护定级工作指南(试行)》(教技厅函[2014]74号)和《教育部办公厅关于开展国家级重要信息系统和重点网站安全检查工作的通知》(教技厅函[2015]45号)要求高校加强网络及信息系统安全管理;《z市教育委员会关于进一步加强和规范网络与信息安全管理的通知》(渝教科〔2014〕32号)进一步明确高校需加强网络、信息系统和网站安全管理;z市重要信息系统安全等级保护工作协调小组办公室发布的《z市重要信息系统安全等级保护工作协调小组办公室关于加强重点网站安全防范工作的紧急通知》(渝等保办〔2015〕9号)要求高校加强信息系统和网站安全,落实信息系统等级保护定级管理工作。
第一章 总则
第一条 为贯彻落实国家及教育主管部门相关文件精神,进一步加强我校网络及信息安全工作,特制定本办法。
第二条 本办法所指网络(以下简称校园网)包括z大学教学办公区、学生宿舍区和部分由学校建设管理的教师住宅区网络,不包括由电信运营商自主建设运营的住宅区网络。
第三条 本办法所指信息系统指由学校及各二级单位建设管理各类业务系统和网站。
第四条 涉密网络和涉密系统根据国家及学校的相关管理规定单独管理,不适用本管理办法。
第二章 管理机构及职责
第五条 为进一步加强网络及信息安全组织领导,学校将原“z大学计算机网络及信息安全领导小组”、“z大学数字化校园建设领导小组”整合调整为“z大学网络信息安全及信息化工作领导小组”(以下简称领导小组)。领导小组负责制定全校网络及信息安全工作的总体方针和安全策略,审定全校网络及信息安全管理制度,指导并监督网络及信息安全管理。领导小组办公室设在党委办公室。
第六条 网络信息安全及信息化工作领导小组办公室负责网络及信息安全总体事务,主要职责包括:
(一) 统筹协调全校网络及信息安全工作;
(二) 网络及信息安全总体规划;
(三) 制定网络及信息安全管理制度;
(四) 组织信息网络安全工作检查和考评;
(五) 网络及信息安全事件查处。
第七条 宣传部主要职责包括:
(一) 学校主页内容审核、发布及安全管理;
(二) 学校新闻网内容审核、发布及安全管理;
(三) 民主湖论坛内容审核、发布及安全管理;
(四) 全校舆情监控及内容管理。
第八条 保卫处主要职责包括:
(一) 全校信息安全监控管理;
(二) 网络及信息安全违法违纪事件的调查;
(三) 网络及信息安全事件处理中的对外联络与接洽。
第九条 信息化办公室负责网络及信息安全技术支撑,主要职责包括:
(一) 校园网出口安全基础设施的建设和管理;
(二) 学校数据中心安全基础设施建设和管理;
(三) 校园无线网络接入安全管理;
(四) 校园网安全监控管理;
(五) 定期实施校内服务器安全漏洞扫描及安全预警;
(六) 定期组织实施信息系统安全等级测评;
(七) 落实专职人员负责网络及信息安全管理工作;
(八) 组织信息网络安全培训和教育。
第十条 虎溪校区管委会具体负责虎溪校区网络及信息安全管理,主要职责包括:
(一) 虎溪校区校园网出口安全基础设施建设和管理;
(二) 虎溪校区校园网内容审计系统监测管理;
(三) 虎溪校区网络信息中心机房的网络及信息安全管理;
(四) 虎溪校区门户及各业务系统内容及系统安全管理。
第十一条 图书馆主要职责:
(一) 民主湖论坛的系统安全管理;
(二) 图书馆网络(有线部分)接入安全管理;
(三) 图书馆业务系统及网站的安全管理。
第十二条 学工部、研工部主要职责:
(一) 学工、研工业务系统及网站安全管理;
(二) “易班”系统接入安全管理;
(三) 协助进行舆情监控及内容管理。
第十三条 其它二级单位主要职责包括:
(一) 本单位局域网和校园网接入安全管理;
(二) 本单位联网计算机审核(有线部分);
(三) 本单位上网信息审核;
(四) 本单位业务系统及网站的安全管理。
第三章 校园网安全管理
第十四条 信息化办公室总体负责校园网安全管理工作,虎溪校区管委会具体负责虎溪校区校园网安全管理工作。
第十五条 校园网(有线部分)由信息化办公室负责在校园网出口处实施实名上网认证,各二级单位负责接入端安全管理;校园网(无线部分)由信息化办公室负责实施实名接入上网认证。
第十六条 信息化办公室负责学校数据中心网络安全设施建设和管理。
第十七条 接入校园网的各单位和用户必须严格遵守执行《中华人民共和国计算机信息网络国际联网管理暂行规定》和国家有关法律法规,严格执行信息安全及保密相关制度。
第十八条 二级单位根据国家有关规定对上网信息进行审查,凡涉及国家秘密的信息严禁上网。使用校园网的相关单位和用户必须对所提供的信息负责。不得利用校园网从事危害国家安全、泄露国家秘密等犯罪活动,不得制作、查阅、复制和传播有碍社会治安、社会稳定的信息。
第十九条 在校园网上不允许进行任何干扰网络用户、破坏网络服务和网络设备的活动,不得在网络上散布计算机病毒,未经授权不得使用校园网。
第二十条 接入校园网的各二级单位需指定一名主管领导负责本单位的网络及信息安全工作,设立网络管理员具体负责相应的网络安全和信息安全技术工作。
第二十一条 校园网上所有单位和用户有义务向学校网络信息安全相关部门报告网络违法犯罪行为和网上有害信息情况。
第二十二条 与校园网相关的所有单位和用户必须接受并配合国家有关部门依法进行的监督检查。
第四章 信息系统安全管理
第二十三条 各二级单位是信息系统安全管理的责任主体,对本单位信息系统安全负责。
第二十四条 信息系统安全遵循“同步规划、同步建设、同步运行”的原则,信息系统的立项采购、测试验收、交付使用、升级改造必须符合国家对信息系统安全等级保护的相关要求。
第二十五条 二级单位负责制定信息系统安全管理策略,加强人员安全能力与安全意识培训,落实学校安全要求;确定信息系统数据安全要求,明确数据访问权限,制定数据备份机制,接入学校统一灾备体系。
第二十六条 二级单位负责信息系统的安全运行维护工作,按照《信息系统安全等级保护基本要求》(GB/T 22239-2008)基本技术要求规定,做好系统安全、角色权限、口令增强等系统管理工作,定期进行安全检查、漏洞修补、系统升级、数据备份等安全管理工作;信息系统一旦出现信息安全事件,二级单位应及时查处整改,对多次出现安全事件的信息系统由信息化办公室暂停其网络连接及服务。
第五章 信息系统安全等级保护定级
第二十七条 根据“自主定级、自主保护”的原则,由学校“网络信息安全及信息化工作领导小组”确定我校信息系统安全等级保护定级方案。
第二十八条 学校现有信息系统的定级由“网络信息安全及信息化工作领导小组”根据教育部办公厅《教育行业信息系统安全等级保护定级工作指南(试行)》(教技厅函[2014]74号)并结合我校实际情况确定,定级确定后按要求报公安机关审核备案并定期开展等级测评。
第二十九条 信息系统安全等级保护定级、变更由学校“网络信息安全及信息化工作领导小组”审定,各二级单位负责准备相关备案材料,信息化办公室负责组织等级测评、报公安机关审核备案。
第三十条 信息化办公室定期组织对重要信息系统进行安全检测。
第六章 安全事件查处
第三十一条 网络及信息安全事件(以下简称安全事件)包括有害程序、网络攻击、信息破坏、信息内容安全、信息设施故障、灾害性事件及其它危害网络及信息安全的事件。
第三十二条 校园网上所有单位和用户有义务向学校网络信息安全相关部门报告安全事件。
第三十三条 二级单位发现安全事件或接到安全事件报告后应在第一时间将相关情况报学校保卫处和信息化办公室。
第三十四条 学校保卫处负责安全事件的调查取证,信息化办公室负责技术支撑,二级单位负责配合举证。
第三十五条 发生安全事件后应首先留存相关证据,中断网络连接以减小安全事件扩散影响,在调查取证结束以前不执行数据删除、系统恢复等操作,避免影响调查取证。
第三十六条 二级单位应建立安全事件应急处理机制,制定应急预案,定期实施应急测试、演练和培训。
第三十七条 网络信息安全及信息化工作领导小组办公室负责对一般安全事件责任人和责任单位进行处理,对造成重大影响和重大损失的安全事件报请网络信息安全及信息化工作领导小组处理。
第七章 附则
第三十八条 本管理办法由学校授权网络信息安全及信息化工作领导小组办公室负责解释。
第三十九条 本管理办法自公布之日起执行。
z大学
88位用户关注