关于印发《邵阳学院网络与信息安全
管理办法》的通知
校属各单位:
《邵阳学院网络与信息安全管理办法》已经学校党委会研究通过,现印发给你们,请结合本单位实际,认真贯彻实施。
2017年9月28日
第一章 总则
第一条 为了保障邵阳学院校园网络及信息系统的安全稳定,促进学校信息化健康发展,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国网络安全法》等国家相关法律法规并结合我校实际,特制定本办法。
第二条 网络与信息安全是指网络基础设施、网站、信息系统及数据内容等受到保护,保证网络、信息及内容的安全性、完整性、可用性、可控性。
第三条 网络与信息安全管理的基本原则是“谁主管、谁负责,谁运维、谁负责,谁使用,谁负责”,明确责任、突出重点、保障安全。
第四条 网络与信息安全管理的总体方针是以国家标准《信息系统安全等级保护基本要求》(GB/T 22239-2008)为指导,预防为主、综合防范。
第五条 网络与信息安全管理的目标是建立健全网络信息安全保障体系,提高安全防护能力,确保学校网络信息安全工作规范、有序开展,保障学校信息化可持续发展。
第六条 学校成立网络与信息安全工作领导小组,领导小组由学校党委书记和校长任组长,其他校领导任副组长。领导小组成员包括党政办公室、党委宣传部、学生工作部、保卫处、人事处、团委、研究生与学科建设处、网络信息中心和各二级学院的主要负责人。领导小组下设办公室,办公室设在党委宣传部,党委宣传部部长担任办公室主任,保卫处处长和网络信息中心主任担任副主任。
主要职责:
1.贯彻落实国家、省关于网络与信息安全的工作部署,组织研究制订学校网络与信息安全发展规划及规章制度;
2.统筹协调学校网络与信息安全重大问题及校内外网络与信息安全相关各项事务,组织实施学校网络与信息安全工作;
3.对学校网络与信息安全工作进行指导、监督、考核和检查。
第七条 党委宣传部是学校网络与信息安全工作职能部门,负责协调学校网络与信息安全工作,负责网络内容与意识形态工作。主要职责:
1.组织对学校网络发布的信息、意识形态、网络舆情等网络内容进行监督和处置;
2.负责学校主网站相关栏目的新闻、图片、资源的审核及上传工作;
3.协同网络信息中心、保卫处、学生工作部、研究生与学科建设处、团委等部门对师生进行网络安全教育和相关法制教育。
第八条 党政办公室牵头组织重大敏感时期、重要活动、重要会议期间发生的信息安全事件的协调处置,负责涉密级信息网络泄密类事件的处理,指导各单位做好网络涉密工作。
第九条 保卫处负责协助相关部门做好网络与信息安全稳定工作,协助政府有关部门查处利用校园网络进行的违纪违法行为。
第十条 网络信息中心负责校园网的建设维护、技术支撑与数据安全管理工作。主要职责:
1.负责学校网络与信息安全基础设施、公共平台的建设管理与运行维护;
2.负责落实安全保护技术措施,做好用户信息的管理,保障校园网的运行安全、信息安全、系统安全与数据安全;
3.负责对各部门、单位(以下统称单位)网络与信息安全技术工作进行指导、培训、督促、检查、考核、技术支持与服务;
4.其他网络运行安全、网络信息安全、网络系统安全的有关职责。
第十一条 学校各单位党政主要负责人是本单位网络与信息安全工作的第一责任人,各单位应明确一名负责人分管网络与信息安全工作,负责本单位网站、新媒体的信息系统安全和意识形态、网络舆情监管处置,负责审核和管理本单位上传的各类网络信息;各单位须设置相对稳定的网络信息安全管理员,负责本单位网络与信息安全具体工作,做好与党委宣传部、网络信息中心的联络工作;相关人员调整时应及时到网络与信息安全工作领导小组办公室办理变更手续;各单位的网络与信息安全工作纳入年度维稳综治安全工作目标管理责任书进行考核。
第十二条 学校实行网络安全等级保护制度。校园内各网络服务提供者与管理者均应按照安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
1.制订内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
2.采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
3.采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关网络日志不少于6个月;
4.采取数据分类、数据备份和加密等措施;
5.法律、行政法规规定的其他义务。
第十三条 各单位网站或信息系统原则上要求建在校园网服务器上。有特殊原因需要使用独立服务器的须报网络信息中心审批、备案,要求取得原始代码,掌握最高管理权限,并实行有效控制。以学校或学校内设机构的名义在校外创建的网站和新媒体平台,须报党委宣传部和网络信息中心审批、备案,并接受常规检查和年审。
第十四条 学校各网站在上线前,网站主办单位须开展安全自查工作,提供安全自查报告,并填写《网站及信息系统情况记录表》(附件1),由单位主要负责人签字确认后,提交网络信息中心备案。各网站主办单位应加强对网站的建设与管理,并对网站的形式、内容、运行安全与信息安全负责。
第十五条 学校各单位网站原则上使用学校统一的域名。未经批准,任何单位不得在校园网上申请校外域名用于对外提供域名解析服务。已获批准的,需到工信部门进行备案。
第十六条 各单位网站未经党委宣传部批准不得开设聊天室、论坛等栏目;需要开设留言板功能模块的必须设置审核功能。
第十七条 网络信息中心采用专业技术手段对网站或信息系统进行安全检测。检测未通过的须进行安全整改,直至通过检测,网站或信息系统方可上线运行。
第十八条 各单位须定期对本单位的网站及信息系统开展安全巡检,并做好巡检记录,填写《网站及信息系统巡检记录表》(附件2)。对校外开放的网站或信息系统,要求每周巡检一次,对校内开放的网站或信息系统,要求每月巡检一次。
第十九条 各单位须定期对网站及信息系统进行漏洞修补,包括主机系统漏洞、WEB应用漏洞、中间件漏洞、数据库漏洞等。
第二十条 学校将定期对全校的网站及信息系统开展安全检查,检查不合格的网站或信息系统,视其漏洞级别暂停其外网访问,同时通知责任单位限期整改,要求提供整改报告并提交网络信息中心。经安全复查合格后,方可恢复该网站或信息系统的正常访问。
第二十一条 特殊时期,各单位须加强网站及信息系统的安全监管工作,安排专人值守,加强安全巡检,做好安全整改。
第二十二条 校园网上网采用实名制。用户在办理网络接入、域名注册等手续时应当按要求提供真实身份信息。对于不提供真实身份信息的用户,不得为其提供相关服务。网络信息中心定期对上网账号信息进行审核。
第二十三条 校外人员如因工作需要须接入学校网络,由相关单位向网络信息中心提出网络接入申请,并对其承担监督责任。
第二十四条 计算机设备及系统在接入学校网络前须接受网络信息中心的检查,检查通过后方可接入;接入互联网的计算机必须与各单位的涉密计算机系统实行物理隔离。涉密信息不得在上网设备上操作或存储。
第二十五条 所有接入网络的用户必须自觉遵守国家的法律法规,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。
第二十六条 网络信息中心负责学校关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作,应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设和同步使用。
第二十七条 网络信息中心应当定期对关键信息基础设施运营的工作人员进行网络安全教育、技术培训和技能考核,对重要系统和数据库进行容灾备份。
第二十八条 对于学校关键信息基础设施,网络信息中心应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关部门。
第五章 信息系统安全
第二十九条 各单位负责本单位信息系统的运行维护、信息审核和信息安全管理。
第三十条 各信息系统原则上应使用学校二级域名和IP地址。未经学校批准,任何单位和个人不得以学校名义注册互联网域名及通过校外服务器发布信息系统。
第三十一条 网络信息中心不定期对各单位信息系统进行监督检查,不符合网络与信息安全要求的,视其情况限期整改或终止网络接入。
第三十二条 学校根据教育部颁发的《教育信息系统安全等级保护定级指南》等文件要求,对学校所有信息系统进行等级评定和安全保护。网络信息中心负责信息系统安全等级保护工作的技术指导,各单位负责做好本单位信息安全等级保护工作。
第三十三条 各单位信息系统必须严格执行国家安全和保密法规,杜绝发布涉密信息。涉密信息系统应严格执行有关涉密计算机及信息系统保密管理规定。各单位信息系统的管理账号和密码要严格保密,发现任何非法使用或存在其他风险,应立即上报网络信息中心并及时处理解决。
第三十四条 各单位信息系统涉及的程序编码应符合安全规范,并按照网络与信息安全要求部署安全防范措施。发现漏洞、病毒、木马程序的,应及时处理解决并报告网络信息中心。
第三十五条 各单位信息系统必须建立数据备份制度、信息安全突发事件应急预案和有效的监控与防范机制,定期对数据进行备份,遭遇突发情况应及时恢复服务。
第三十六条 学校建立网络安全监测预警和信息通报制度,各单位须制定本单位的网站及信息系统安全风险评估与应急预案,并定期进行安全应急演练。党委宣传部、网络信息中心统筹协调各单位加强网络安全信息收集、分析和通报工作,按照规定统一发布网络与信息安全监测预警信息。
第三十七条 网络与信息安全事件应急预案应当按照事件发生后的危害程度、影响范围等因素对网络与信息安全事件进行分级,并规定相应的应急处置措施。
第三十八条 当网络与信息安全事件发生的风险增大时,应当按照规定的权限和程序并根据网络与信息安全风险的特点和可能造成的危害,校网络与信息安全工作领导小组办公室 采取下列措施:
1.要求有关单位和人员及时收集、报告有关信息,加强对网络与信息安全风险的监测;
2.组织有关单位和专业人员,对网络与信息安全风险信息进行分析评估,预测事件发生的可能性、影响范围和危害程度;
3.报告和发布网络与信息安全风险预警,发布避免、减轻危害的措施。
第三十九条 发生网络安全事件时,涉事单位应立即向党政办、党委宣传部、网络信息中心、保卫处报告,并根据学校统一安排启动网络与信息安全应急预案,采取相应的技术措施与方法,消除安全隐患,防止危害扩大。
第四十条 学校有关单位在履行网络安全监督管理职能时,发现网络或信息系统存在较大安全风险或者发生安全事件的,可以按照规定的权限和程序对有关部门提出要求,相关单位应当采取措施进行整改和消除隐患。
第四十一条 因违规违法或管理不力导致的网络与信息安全事件,给学校造成严重损害或产生严重后果的,学校将按照有关规定追究直接责任人和相关领导责任。
第四十二条 本管理办法由党委宣传部和网络信息中心负责解释。
第四十三条 本管理办法自颁布之日起施行。
附件:1. 网站及信息系统情况记录表
2.网站及信息系统巡检记录表
3.二级单位网络与信息安全责任书
4.网络与信息安全员承诺书
附件1 网站及信息系统情况记录表
|
一、基本信息 |
|||
|
名称 |
|
||
|
类型 |
○网站 ○应用系统 ○其他_______ |
||
|
IP地址 |
|
域名信息 |
|
|
操作系统 |
|
||
|
数据库 |
○ Oracle ○ SQL-Server ○ Sybase ○ Foxpro ○ DB2 ○ ACCESS ○ 其他 |
||
|
服务器硬件 |
○IBM ○Lenovo ○浪潮 ○虚拟化平台 ○其他________ |
||
|
部署地点 |
|
||
|
二、安全策略 |
|||
|
对外开放端口 |
|
||
|
是否允许 校外访问 |
○ 是 ○否 |
||
|
[如允许,请阐述原因] |
|||
|
三、管理人员信息(必须为学校在职人员) |
|||
|
责任人 |
|
QQ号 |
|
|
手机 |
|
邮箱 |
|
|
所属单位 |
|
||
|
四、单位审核意见 |
|||
|
单位意见 |
签字(盖章)___________ _______年_____月____日
|
||
附件2 网站及信息系统巡检记录表
|
单位名称 |
|
||
|
巡检人员 |
|
检查时间 |
|
|
名称 |
|
||
|
部署地点 |
|
||
|
检查类别 |
检查内容 |
检查结果 |
备注 |
|
系统巡查 |
服务器设备状况 |
□正常 □异常 |
|
|
硬盘运行状况 |
□正常 □异常 |
|
|
|
操作系统状况 |
□正常 □异常 |
|
|
|
系统防火墙状况 |
□正常 □异常 |
|
|
|
业务巡查 |
中间件运行状况 |
□正常 □异常 |
|
|
数据库运行状况 |
□正常 □异常 |
|
|
|
服务运行状况 |
□正常 □异常 |
|
|
|
业务运行状况 |
□正常 □异常 |
|
|
附件3 二级单位网络与信息安全责任书
为进一步落实网络与信息安全管理责任,确保学校网络安全和信息安全,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国网络安全法》,结合学校实际,特制订本责任书。
一、本单位党政一把手为网络与信息安全第一责任人,负责建立和完善本单位网络与信息安全组织,建立健全相关管理制度,明确兼职网络与信息安全管理员,具体负责本单位网络与信息安全工作。
二、坚持“归属管理”原则,实行24小时网络监控制度,切实做到“看好自己的门,管好自己的人,做好自己的事”。负责教育本部门所属人员(教工及学生)不利用网络制作、传播、查阅和复制下列信息内容:损害国家及学校荣誉、利益、形象的;散布谣言,扰乱社会秩序,破坏社会稳定的;散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;含有法律、法规禁止的其他内容的。
三、坚持“谁主管,谁负责;谁使用,谁负责”的原则,负责加强对本单位上网信息及内容的审查,确保上网信息的安全和保密信息不泄漏。
四、对本单位人员利用网络平台建立的内部交流QQ群、和,微信群等实时监控;教学单位要摸清学生群体建立的内部交流群,学生管理人员应参与学生交流群加强监控与引导,对交流群中出现的不当言论及时制止、教育,对可能引发严重后果的情况及时上报学校网络与信息安全工作领导小组办公室。
五、严格实行网络与信息安全责任追究制度。如因管理不善致使本单位内发生重、特大信息安全事故或严重违纪违法事件的,按有关规定对涉事单位和有关责任人进行处理,情节特别严重的依法追究相关责任人的法律责任。
六、在责任期内,责任书各条款不因负责人变化而变更或解除,接任负责人应相应履行职责 。
七、本责任书一式两份,自签字之日起生效,分别存于学校网络与信息安全工作领导小组办公室和各责任书签订单位。
学校网络与信息安全工作领导小组(盖章) 二级单位党政主要负责人(签字):
2017年 月 日 2017年 月 日
附件4 网络与信息安全员承诺书
邵阳学院网络与信息安全工作领导小组:
一、本人承诺遵守《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国网络安全法》及有关法律、法规和行政规章制度、文件规定。
二、本人保证不利用网络危害国家安全、泄露国家秘密,不侵犯国家的、社会的、集体的利益和第三方的合法权益,不从事违法犯罪活动。
三、本人承诺严格按照国家相关法律法规做好本人网站的信息安全管理工作、健全各项网络与信息安全管理制度和落实各项安全保护技术措施。
四、本人承诺积极配合学校网络与信息安全工作领导小组办公室和公安机关的监督和检查,如实主动提供有关安全保护的信息、资料及数据文件,积极协助查处通过国际联网的计算机信息网络违法犯罪行为。
五、本人承诺不通过互联网制作、复制、查阅和传播下列信息:
1、反对宪法所确定的基本原则的。
2、危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的。
3、损害国家荣誉和利益的。
4、煽动民族仇恨、民族歧视,破坏民族团结的。
5、破坏国家宗教政策,宣扬邪教和封建迷信的。
6、散布谣言,扰乱社会秩序,破坏社会稳定的。
7、散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的。
8、侮辱或者诽谤他人,侵害他人合法权益的。
9、含有法律法规禁止的其他内容的。
六、本人承诺不从事任何危害网络与信息安全的活动,包括但不限于:
1、未经允许,进入网络或者使用网络资源的。
2、未经允许,对网络功能进行删除、修改或者增加的。
3、未经允许,对网络中存储或者传输的数据和应用程序进行删除、修改或者增加的。
4、故意制作、传播计算机病毒等破坏性程序的。
5、其他危害网络与信息安全的。
七、本人承诺,当计算机信息系统发生重大安全事故时,立即向学校网络与信息安全工作领导小组办公室报告。
八、本人承诺,在岗期间妥善保管密钥,离岗前按规定移交密钥,严格遵守保密规定,及时到学校网络与信息安全工作领导小组办公室办理相关手续。
九、若违反本承诺书有关条款和国家相关法律法规的,本人(单位)直接承担由此带来的一切民事、行政和刑事责任。造成财产损失的,由本人直接赔偿。同时,学校有权暂停提供服务器网络服务并终止合同。
十、本承诺书自签署之日起生效并遵行。
单位: 网络与信息安全员:
中共邵阳学院委员会办公室 2017年9月28日印发
