陕西能源职业技术学院网络与信息安全
管理办法
第一章 总则
第一条 为加强学校网络与信息安全管理,规范网络使用行为,保障学校信息系统与数据安全,依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规及上级主管部门有关规定,结合学校实际,制定本办法。
第二条 本办法所称网络与信息安全,是指学校信息网络基础设施、信息系统、数据资源、用户终端及其相关信息的安全保障,包括网络运行安全、信息系统安全、数据安全和用户行为安全等方面。
第三条 本办法适用于陕西能源职业技术学院校园网络所有接入用户,包括各教学单位、职能部门、直属机构以及教职工、学生、外聘人员、临时人员等。
第四条 网络与信息安全工作坚持“统一规划、分级管理、责任到人”的原则,实行全员参与、全过程覆盖的管理制度。
第二章 管理职责
第五条 学校设立网络信息安全领导小组,统筹协调全校网络与信息安全工作,负责学校网络与信息安全建设的战略决策、实施监督及重大网络与信息安全事件处理的决策指导。
第六条 学校网络与信息安全日常管理工作由科研信息处负责,信息中心为其下属技术执行单位,承担学校信息系统与网络的技术运维、安全防护和用户支持等工作。科研信息处作为全校网络安全工作的职能主管部门,统筹指导各单位落实网络安全责任制,制定并实施安全管理规范和应急处置流程。
信息中心具体职责包括:学校信息网络基础设施的规划、建设、运行与安全保障;学校网络用户和IP资源的统一管理;信息系统等级保护备案和安全测评;网络安全制度、技术规范和应急预案的制定与实施;网络安全事件的统一处置和上报;网络与信息安全管理制度的起草与执行,以及其他与学校网络与信息安全相关事务的处理。
第七条 学校计算机信息网络安全保护管理实行工作责任制。按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,各单位、各部门是本单位网络与信息系统安全的责任主体,部门负责人为第一责任人,并明确一名专人作为信息管理员,负责本部门主管、运维、使用的各应用系统及内部网络的技术安全。信息管理员需保障本单位业务系统和设备安全运行,配合学校开展网络安全检查、数据安全治理等工作,及时报告、协助处置各类网络安全事件,并定期开展网络安全自查与整改。同时,各部门应根据自身信息化建设情况,建立本部门内部的网络与信息安全管理制度和应对措施,确保网络与信息安全的有效落实。
第八条 保卫处负责配合处理涉及网络违法行为的案件,依法履行网络空间秩序维护职责。
第九条 教职工、学生和第三方人员作为校园网的使用者、信息化建设的参与者,有责任和义务遵守学校网络与信息安全的相关规定,积极参与网络与信息安全的建设和管理。
第三章 校园网络安全管理
第十条 校园网及相关基础设施由信息中心统一规划、建设、管理,并提供统一网络出口,涉及光缆布线、网络机房、网络设备、网管系统、域名管理、安全防护、认证计费、网络接入与运维等方面。各部门及个人不得擅自建设、更改、损毁、挪用校园网设施,不得私接外网出口。学校所有基建、修缮工程应将工程范围内校园网络建设纳入工程设计、实施和竣工验收范畴。
第十一条 学校办公网络与学生网络实行分开管理,逻辑上独立规划与分配地址资源。办公网络专用于学校教学管理与科研工作,禁止学生或非教学用途接入办公网络。各单位不得擅自将办公网引至宿舍区、公共区域或用于非授权用途。
第十二条 所有用户必须合法、合规使用校园网络,不得利用学校网络从事以下行为:制作、复制、发布、传播法律法规禁止的信息;攻击、入侵、破坏计算机信息系统;窃取、泄露、买卖他人数据或个人信息;散布虚假信息、煽动扰乱社会秩序;传播病毒、木马、蠕虫等恶意代码;私自搭建无线AP、代理服务器、科学上网工具等;擅自转借、共享校园网账户;非办公、教学科研目的的大量下载、带宽滥用;其他违反法律法规、学校规定的行为。
第十三条 校园网用户IP地址未经许可不得对校园网以外提供互联网服务,如在教学、科研上确有特殊需求,需要用户IP地址对外开放服务,经信息中心审批后可开放,建设人员承担全部网络与信息安全责任。
第十四条 各类应用系统原则上应依托学校计算资源中心建设,使用学校域名并进行登记备案。对于特殊用途使用非学校域名或在非校园网环境中建设的各类应用系统,需经信息中心审核后单独备案。未经审批备案的应用系统不属于学校官方行为,不得使用校名、校徽等学校标识,一切责任由建设人员承担。
第十五条 学校信息化建设项目应采用安全规范、质量和售后服务优良的软、硬件产品或服务厂商承担信息化项目建设任务。
第十六条 各应用系统的用户认证必须使用学校统一身份认证体系,不得单独建立用户认证系统,不得单独采集用户个人信息。
第十七条 各应用系统应按照学校信息化数据资源相关管理规定,采取必要的安全措施,确保数据安全。
第十八条 信息中心负责信息安全等级保护工作的组织协调,各部门负责本部门主管信息化项目的信息安全等级保护工作的具体落实,确保学校信息安全等级保护工作按照国家法律法规要求正常开展。
第四章 计算资源中心安全管理
第十九条 计算资源中心主要包括支撑各类应用系统运行的软硬件基础设施、数据中台、统一身份认证系统。信息中心负责计算资源中心的建设和运行维护管理。
第二十条 信息中心负责计算资源中心物理环境、软硬件设备设施和云计算平台的建设和安全管理;根据应用系统安全等级的不同,对计算资源中心进行分区、分域管理,采取必要的技术措施对不同等级分区进行防护、对不同安全域之间实施访问控制。计算资源中心的资源使用部门负责所使用的操作系统、业务数据库系统、应用系统和数据的安全。
第二十一条 信息中心负责学校数据中台的建设和安全管理,负责各部门业务数据与数据中台之间完成数据交换和共享。
第二十二条 各部门负责建设、维护本部门业务应用系统所配套的业务数据库;对本部门业务数据库的系统安全、数据安全及所申请的共享数据的安全负责。
第二十三条 统一身份认证系统为应用系统提供统一的身份管理、安全的认证机制、审计及标准接口。各部门建设面向师生服务的应用系统时,应与统一身份认证系统进行认证集成并向信息中心备案系统信息。信息中心负责统一身份认证系统的安全,各部门负责本部门应用系统的权限管理及安全。
第二十四条 各部门应依托学校计算资源中心实施本部门应用系统建设,需要使用校外计算资源的需报信息中心审批,严禁使用开设在境外的计算资源。涉及学校基础数据、师生个人信息或敏感信息的应用系统,严禁放置在校外计算资源中心(含云计算平台)。
第二十五条 对学校计算资源中心的使用实施准入管理。信息中心负责制定使用计算资源中心的技术规范和标准,在系统上线前进行安全检测。符合技术规范标准并检测通过的系统方可上线运行。使用计算资源中心的各业务部门应做好以下工作:
(一)遵循计算资源中心相关管理制度和技术标准,按需申请、有序使用。
(二)规范本部门计算资源中心资源的使用和管理,不得利用计算资源中心资源从事任何与申请项目无关或危害计算机应用系统安全的活动。
各单位的信息系统如果长时间占用计算资源,但资源使用率持续低于预定标准或明显不合理,信息中心有权根据实际情况进行资源调整。信息中心应与相关单位进行沟通协调,确保计算资源配置合理、高效使用。
第五章 应用系统安全管理
第二十六条 鼓励优先采购安全、成熟和售后服务优良的商业软件或优秀软件开发商用于应用系统建设。没有相应商业软件或商业软件不适应学校实际需求的,可以按照学校采购与招标相关制度委托资质和信誉良好的软件开发商进行定制开发。对于业务管理部门具有应用系统开发维护能力并能够保证其信息安全的,可在学校顶层设计和软硬件配置框架内自行组织开发。
第二十七条 应用系统建设部门应定期对终端计算机和承担网络与应用系统运行的关键设备(服务器、安全设备、网络设备)进行安全审计,通过记录、检查系统和用户活动信息,及时发现系统漏洞,进行异常访问和操作的处置等。对于上级部门及学校通报的系统漏洞应在规定时间内完成修复处理。
第二十八条 应用系统投入试运行后,由业务管理部门初步验收,出具初步验收报告,并向信息中心申请开展信息安全保护等级测评。对于安全等级第二级以上(含第二级)的应用系统,信息中心将定期组织开展等级测评,查找、发现并及时整改安全问题、漏洞和隐患。根据国家和教育行业有关标准规范,四级系统应每年进行两次测评,三级系统每年进行一次测评,二级系统每两年进行一次测评。
第六章 网站安全管理
第二十九条 各部门建设的网站,应使用学校分配的域名和外网IP地址,并遵守学校相关规章制度。
第三十条 宣传部统一建设学校网站群系统,信息中心负责系统的技术安全。未纳入学校网站站群系统的网站,其技术安全由网站建设部门自行负责。
第三十一条 各部门建设网站应优先选择学校站群系统,站群系统不能满足需求时可委托其他供应商建设。网站投入试运行后,通过信息中心组织的安全检查后方可正式上线。
第三十二条 网站所属部门应建立网站值守制度,制订应急处置流程,组织专人对网站进行监测,发现网站运行异常及时处置。
第三十三条 网站的内容安全由网站所属部门负责。各部门应建立完善的网站信息发布与审核制度,明确内容编辑、审核、发布的责任人,规范审核与发布程序,保存相关操作记录。
第三十四条 对于使用频率不高和阶段性使用的网站,网站所属部门可采取非工作时间或寒暑假、节假日关闭的方式运行维护。对于无专人管理、缺乏维护、长期未更新的网站,相关部门应关闭网站以降低安全风险。
第七章 终端计算机安全管理
第三十五条 终端计算机是指由学校师生及第三方人员使用并从事教学、科研和管理等活动的各类计算机及附属设备,包括台式电脑、笔记本电脑及其他移动终端。
第三十六条 终端计算机使用人按照“谁使用,谁负责”的原则,对终端计算机负有保管和安全使用的责任。信息中心对终端计算机的安全管理提供技术支持和指导。
第三十七条 终端计算机设备上安装、运行的软件须为正版软件。在终端计算机上使用盗版软件带来的安全和法律责任由终端计算机使用人承担。
第三十八条 终端计算机应当设置系统登录账号和密码,禁止自动登录,登录密码应具有一定复杂性并定期更改。
第三十九条 终端计算机使用人应做好数据日常管理和保护,定期进行数据备份。非涉密计算机不得存储和处理涉密信息。
第四十条 终端计算机使用人应做好终端计算机的安全防范,如发现终端计算机出现可能由病毒或攻击导致的异常行为或其他安全问题,应立即断网并进行处置。终端计算机发生网络安全问题时使用人应积极配合信息中心进行处理。
第四十一条 终端计算机使用人应对终端计算机妥善保管。若发生损坏丢失,按学校仪器设备相关管理规定处理。
第八章 存储介质安全管理
第四十二条 存储介质是指存储数据的载体,主要包括硬盘、存储阵列等不可移动存储介质,以及移动硬盘、U盘等可移动存储介质。
第四十三条 存储阵列等大容量介质应托管在学校计算资源中心,并由信息中心统一运行、维护和管理。信息中心应采取必要技术措施防范数据泄漏风险,确保存储数据安全。
第四十四条 学校各部门应建立移动介质管理制度,记录介质领用、交回、维修、报废、损毁等情况。介质使用人按照“谁使用,谁负责”原则,对移动介质负有保管和安全使用的责任。
第四十五条 非涉密移动存储介质不得用于存储涉密信息,不得在涉密计算机上使用。移动存储介质在接入终端计算机和应用系统前,应当完成病毒、木马等恶意代码查杀。
第四十六条 介质使用人应注意移动存储介质的内容管理,对送出维修或销毁的介质应事先清除敏感信息。
第九章 人员安全管理
第四十七条 各部门应建立健全本部门的岗位信息安全责任制度,明确岗位及人员的信息安全责任。关键岗位的计算机使用和管理人员应签订信息安全与保密协议,明确信息安全与保密要求和责任。
第四十八条 各部门应加强人员离岗、离职管理,严格规范人员离岗、离职过程,及时终止相关人员的所有访问权限,收回各种身份证件、钥匙、徽章以及学校提供的软硬件设备,并签署安全保密承诺书。
第四十九条 各部门应定期对信息技术安全岗位的人员进行安全知识和技能的考核,并对考核结果进行记录和保存。
第五十条 应建立外部人员访问机房等重要区域的审批制度,外部人员须经审批后方可进入,并安排工作人员现场陪同,对访问活动进行记录和保存。
第十章 网络安全事件应急处理
第五十一条 网络与信息技术安全事件的处理由信息中心负责,按照学校网络与信息技术安全事件处理流程进行分级、分类处理。为避免安全事件不良影响扩大,信息中心有权直接对相关的网络或应用系统进行断网、停服等应急处理。
第五十二条 信息中心负责组建网络与信息技术安全应急响应组织,制定相应的应急响应流程、规范,并按照学校网络与信息技术安全事件处理流程处理相关网络与信息技术安全事件。
第五十三条 各部门应根据实际情况制定相应的监控与值守制度,发现网络与信息技术安全问题应及时进行处理,并及时向信息中心报告。
第十一章 信息安全检查监督
第五十四条 各部门应定期对本部门应用系统的安全状况、安全保护制度及措施的落实情况进行自查,并配合有关部门做好信息安全检查、信息内容检查和保密检查等工作。
第五十五条 信息中心对各部门的信息技术安全工作落实情况进行检查,对发现的问题下达限期整改通知书,责成相关部门制订整改方案并落实到位。
第五十六条 信息中心对年度安全检查情况进行全面总结,按照要求完成检查报告并报有关信息安全主管部门。
第十二章 责任追究
第五十七条 学校建立完善的网络与信息安全工作检查考核、责任追究和倒查机制。
第五十八条 教职员工、学生和第三方人员因疏于职守、账号密码泄露或违规共享账号等情形,导致发生网络与信息安全事件或不良后果的,将追究相关责任人的责任;盗用管理员账号的,追究盗用人员的法律责任,情节严重的,将依法移送司法部门处置。
第五十九条 对于违反本办法及相关网络信息安全制度的部门及个人,根据安全事件的影响程度报送相关部门或网络信息安全领导小组研究处理。
第六十条 对于违反法律、法规和学校相关规定,造成国家、学校和个人损失的,将依法依规追究相关部门及个人的责任。
第十三章 附 则
第六十一条 涉及国家秘密的应用系统,执行国家保密工作的相关规定和标准,由学校办公室监督指导。
第六十二条 本办法由科研信息处负责解释。
第六十三条 本办法自发布之日起施行,原有相关制度同时废止。
