规章制度
您当前位置: 网站首页 >> 规章制度 >> 网络信息管理规章制度 >> 正文

佳木斯大学网络安全管理办法

发布时间:2017-07-01 09:45    浏览次数:    来源:

第一章 总则

第一条 为加强学校网络安全管理,推进学校网络安全等级保护工作,提高网络安全防护能力和水平,保障学校各项事业健康有序发展,以《中华人民共和国网络安全法》为依据,并根据《教育部关于加强教育行业网络与信息安全工作的指导意见》(教技[2014]4号)、《教育部公安部关于全面推进教育行业信息安全等级保护工作的通知》(教技[2015]2号)等文件要求,结合我校实际,特制定本办法。

第二条 本办法所称网络安全,是指由学校建设、运行、维护或管理并支撑学校教学、科研和管理等各项事业的信息资产(硬件、信息、信息系统)的机密性、完整性、可用性等得到保持、不被破坏所开展的相关网络运行安全、网络信息安全保护和监督管理工作。

本办法所指学校各单位包括机关各部、处、学院,直属单位。

第三条 学校按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,建立健全网络安全责任体系,学校各单位、全体师生员工应依照本办法要求及学校相关标准规范履行网络安全的义务和责任。

第二章 组织机构与职责

第四条 学校主要负责人是学校网络安全的第一责任人,分管教育信息化工作的校领导协助主要负责人履行学校网络安全责任。

第五条 学校教育信息化工作领导小组负责统筹协调网络安全的制度制定。

第六条 各单位主要负责人是本单位网络安全工作第一责任人,负责按本办法落实网络安全工作。

第七条 现代教育技术中心依照本办法和有关法律、行政法规的规定,负责网络安全保护和监督管理工作。

(一)参与制定网络安全相关管理规定和制度,并组织实施;

(二)组织开展网络安全相关服务与应用系统安全等级保护工作;

(三)负责网络安全监督检查工作;

(四)负责学校网络安全防护体系建设、运维、技术指导和服务支持。

(五)学校网络安全的其他工作。

第三章 校园网络管理

第八条 校园网络是指校园范围内连接各种信息系统及信息终端的计算机网络,包括校园有线网络、无线网络和各种虚拟专网。

第九条 涉及网络机房、网络设备、安全防护、网络接入与运维等方面,由现代教育技术中心负责配合投资方进行运行、维护和管理。

第十条 现代教育技术中心应采取访问控制、安全审计、完整性检查、入侵防范、恶意代码防范等措施加强校园网络防护,同时做好学校所有域名管理。

第十一条 要切实抓好校园网站的登记、备案工作,落实用户实名登记制度,加强校内网站与网络用户的归口管理。建立IP地址使用信息数据库和IP地址分配使用逐级责任制。有关管理与服务系统的自备服务器设在学校核心机房,由现代教育技术中心负责审批;在学校核心机房以外设立服务器的管理与服务系统,采取谁主办、谁管理、谁负责的原则。设立情况报学校教育信息化工作领导小组办公室和现代教育技术中心备案。

第十二条 严禁任何单位和个人利用校园网络及设施开展经营性活动。

第四章 数据中心管理

第十三条 数据中心主要包括支撑学校信息系统的物理环境(包含机房)、软硬件设备设施、云计算平台、学校中心数据库、数据共享交换平台、统一身份认证平台及统一信息门户等信息化基础设施和平台。现代教育技术中心负责建设、运行维护和安全管理。

第十四条 统一身份认证平台为学校信息系统提供统一的身份管理、安全的认证机制、审计及标准接口。学校各单位建设面向师生服务的应用系统时,应使用统一身份认证平台进行身份认证。现代教育技术中心负责统一身份认证平台的安全,学校各单位负责本单位应用系统的权限管理及安全。

第十五条 现代教育技术中心对学校数据中心的使用实施准入管理,负责制定使用数据中心的技术规范和标准,在系统上线前进行安全检测。符合技术规范标准并检测通过的系统方可上线运行。

第五章 信息系统建设、运行和维护管理

第十六条 学校按照同步规划、同步建设、同步运行的原则,规划、设计、建设、运行、管理信息安全设施,建立健全网络安全防护体系,全面实施安全等级保护制度。

第十七条 学校教育信息化工作领导小组负责学校教育信息化顶层设计和规划。学校各单位根据本单位业务需求,提出信息系统建设申请。纳入学校规划的核心系统建设需求将获学校教育信息化建设经费的优先支持。

第十八条 现代教育技术中心负责统筹学校网络安全等级保护工作,组织学校各单位开展网络安全定级、建设整改、系统备案、监督检查工作;各单位信息系统建设按上级要求进行系统和安全等级评定“双验收”。

第十九条 信息系统在建设阶段应按已确定安全保护等级,同步落实安全保护措施。信息系统投入试运行后,由建设单位初步验收,出具初步验收报告。对于安全等级第二级以上(含第二级)的信息系统,由现代教育技术中心组织等级测评。信息系统通过初步验收和信息安全保护等级测评后,由现代教育技术中心组织竣工验收。并将结果报学校教育信息化工作领导小组办公室备案。

第二十条 信息系统开发环境、测试环境和运行环境应严格隔离。

第二十一条 信息系统建设单位应定期对终端计算机和承担网络与信息系统运行的关键设备(服务器、安全设备、网络设备)进行安全审计,通过记录、检查系统和用户活动信息,及时发现系统漏洞,处置异常访问和操作。

第二十二条 信息系统建设单位应制定信息系统使用与维护的管理制度,规范信息系统使用者和维护者的操作行为。

第二十三条 对于安全等级第二级以上(含第二级)的信息系统,现代教育技术中心应定期组织开展等级测评,查找、发现并及时整改安全问题、漏洞和隐患。

第六章 信息系统数据安全管理

第二十四条 信息系统数据是指信息系统收集、存储、传输、处理和产生的各种电子数据,包括但不限于网站内容、业务数据、网络课程、图书资源、日志记录等。

第二十五条 信息系统数据的所有者是数据安全管理的责任主体,应当落实管理和技术措施,规范数据的收集、存储、传输和使用,确保数据安全。

第二十六条 信息系统数据收集应遵循“最少够用”原则,不得收集与信息系统业务服务无关的个人信息。按照“谁收集,谁负责”的原则,收集个人信息的单位是个人信息保护的责任主体,应当对其收集的个人信息严格保密,并建立健全相关保护制度。

第二十七条 现代教育技术中心负责学校核心信息系统的备份与恢复管理,制订备份与恢复计划,根据业务实际需要对重要数据和信息系统进行备份,定期测试备份与恢复计划,并确保备份数据和备用资源的有效性。

第七章 网站安全管理

第二十八条 学校各单位设立的网站,应使用学校域名和互联网IP地址,并遵守《佳木斯大学网站管理制度》及相关规章制度。

第二十九条 现代教育技术中心统一建设学校网站集群平台并负责该平台网站的技术安全。未纳入学校网站集群平台的网站,其网络安全由网站设立单位负责并接受学校的监管、指导。

第三十条 网站运行维护单位应建立网站值守制度,制订应急处置流程,组织专人对网站进行监测,发现网站运行异常及时处置。

第八章 信息安全管理

第三十一条 学校各单位和个人严禁发布涉及国家和学校机密的信息。

第三十二条 实行网络信息发布责任制,按照“谁发布,谁监管,谁负责”的原则,学校各单位要认真做好校园新闻信息的搜集和发布工作。学校网站信息发布要经分管校领导审批。拟在学校新闻网发布的电子稿报送党委宣传统战部新闻网站后台审核。

实施网络不良信息举报制度,由党委宣传统战部受理举报,并及时核实和处理举报信息。

实施网络信息巡查制度,加强实施校园网络信息即时更新制度,保证信息的实效性和快捷性。

建立校园网信息安全报告制度,对发生在校园网上的安全事件和违法犯罪案件,要及时报告相关部门处理。

第三十三条 全校师生必须遵守知识产权的有关法律法规。

第三十四条 学校协同办公系统的使用严格按《佳木斯大学协同办公系统使用管理制度》执行。

第三十五条 学校电子邮件系统由现代教育技术中心负责按相关规定进行管理。

第九章 终端计算机管理

第三十六条 终端计算机是指由学校师生员工使用并从事学校教学、科研、管理等活动的各类计算机及附属设备,包括台式电脑、笔记本电脑及其他移动终端。

第三十七条 终端计算机使用人按照“谁使用,谁负责”的原则,对其终端计算机负有保管和安全使用的责任。

第三十八条 终端计算机设备上安装、运行的软件须为正版软件。在终端计算机上使用盗版软件带来的安全和法律责任由终端计算机使用人承担。

第三十九条 终端计算机应设置系统登录账号和密码,禁止自动登录,登录密码应具有一定强度并定期更改。

第四十条 终端计算机使用人应做好数据日常管理和保护,定期进行数据备份。非涉密计算机不得存储和处理涉密信息。

第四十一条 终端计算机使用人应做好终端计算机的安全防范,如发现终端计算机出现可能由病毒或攻击导致的异常系统行为或其他安全问题,应立即断网后进行处置。

第十章 存储介质安全管理

第四十二条 存储介质是指存储数据的载体,主要包括硬盘、存储阵列、磁带库等不可移动存储介质,以及移动硬盘、U盘等可移动存储介质。

第四十三条 原则上,存储阵列、磁带库等大容量介质应托管在学校数据中心,并由现代教育技术中心统一运行、维护和管理并采取必要技术措施防范数据泄漏风险,确保存储数据安全。

第四十四条 学校各单位应建立移动介质管理制度,记录介质领用、交回、维修、报废、损毁等情况。介质使用人按照“谁使用,谁负责”的原则,对其移动介质负有保管和安全使用的责任。

第四十五条 非涉密移动存储介质不得用于存储涉密信息,不得在涉密计算机上使用。

第四十六条 移动存储介质在接入终端计算机和信息系统前,应当查杀病毒、木马等恶意代码。

第四十七条 介质使用人应注意移动存储介质的内容管理,对送出维修或销毁的介质应事先清除敏感信息。

第十一章 人员安全管理

第四十八条 学校各单位应建立健全本单位的网络安全岗位责任制度。关键岗位的计算机使用和管理人员应签订网络安全与保密协议,明确网络安全与保密要求和责任。

第四十九条 学校各单位应加强人员离岗、离职管理,严格规范人员离岗、离职过程,及时终止相关人员的所有访问权限。

第五十条 学校各单位应定期对网络安全岗位的人员进行安全知识和技能的考核,并对考核结果进行记录和保存。

第五十一条 严格管理校园网重要区域。未经允许,不得私自进入校园网核心机房。建立外部人员访问校园网重要区域审批制度,并安排工作人员现场陪同,对访问活动进行记录和保存。

第十二章 外包服务安全管理

第五十二条 网络安全等技术外包服务是指信息系统的开发、运维及网络运行等的外包。

第五十三条 与外包服务提供商签订服务合同和网络安全与保密协议,明确网络安全与保密责任。

第五十四条 现场服务过程中,应安排专人陪同,并详细记录服务过程。

第五十五条 外包开发的系统、软件上线应用前,应组织安全检查,要求开发方及时提供系统、软件的升级、漏洞等信息和相应服务。

第十三章 信息安全应急管理

第五十六条 现代教育技术中心负责网络安全事件的处置,并负责制定学校网络安全应急预案;若学校网络安全应急预案不能满足需求,相关单位可制订本单位网络安全应急预案。

第五十七条 现代教育技术中心定期评估并适时修订网络安全应急预案。学校各单位应组织开展网络安全应急预案的宣传、教育和培训,确保相关人员熟悉应急预案。

第五十八条 学校负责组建网络安全应急技术队伍,完善24小时应急值守制度,提高网络安全事件的预防、预警和应对能力,预防和减轻网络安全事件造成的损失和危害。

第五十九条 现代教育技术中心是处理网络安全事件的技术部门。学校各单位和师生员工不得在未授权情况下对外公布、或利用所发现的安全漏洞或安全问题。

第六十条 学校各单位遇有网络运行安全事件应速报现代教育技术中心。遇有网络不良信息发布和传播事件速报党委宣传统战部。同时做好事发、事中、事后整改报告与处置工作。做到安全事件早发现、早报告、早控制、早解决。

第十四章 信息安全教育培训

第六十一条 现代教育技术中心定期组织开展针对师生员工的网络安全教育,提高师生员工的安全和防范意识。

第六十二条 现代教育技术中心定期开展针对网络安全管理人员和技术人员的专业技能培训,提高网络安全工作能力和水平。

第十五章 信息安全检查监督

第六十三条 学校各单位定期对本单位网络安全状况、安全保护制度及措施的落实情况进行自查,并配合有关部门的网络安全检查、信息内容检查、保密检查与审批等工作。

第六十四条 现代教育技术中心代表学校对各单位的网络安全工作落实情况进行检查,对发现的问题下达限期整改通知书,责成相关单位制订整改方案并落实到位。

第六十五条 现代教育技术中心代表学校对年度网络安全检查情况进行全面总结,按照要求完成检查报告并报学校教育信息化工作领导小组办公室备案。

第十六章 网络安全责任追究

第六十六条 学校将对网络安全管理责任不到位和网络安全事故处置不到位的问题进行严肃问责。如有管理疏忽、安全事故瞒报、缓报、处置不力等情况,学校将视情节给予约谈、通报、诫勉谈话以及纪律处分。

对于违反本办法规定的师生员工,将依照《中华人民共和国网络安全法》和《中华人民共和国保密法》等相关法律法规依法进行处理。

第十七章 附则

第六十七条 学校各单位可参照本办法建立相应工作制度。

第六十八条 本办法自201771日起实施,未尽事宜由学校教育信息化工作领导小组办公室负责解释。

版权所有:佳木斯大学现代教育技术中心
地址:黑龙江省佳木斯市学府街258号
电话:0454-8618618 邮政编码: 154007

手机版