銀川職業技術學院網絡安全
管理辦法(征求意見稿)
第一章 總 則
第一條 为深入贯彻中央关于网络安全工作的總体部署,保障学校网络安全与信息化建设工作规范有序,确保校园网络环境安全稳定,維護學院正常的教學、科研、管理和工作秩序,根據《中華人民共和國網絡安全法》等相關法律法規和文件要求,結合學院工作實際,特制訂《銀川職業技術學院網絡安全管理办法》,以下简称本办法。
第二條 本辦法所稱的網絡安全,包括信息化基礎設施、信息系統和信息數據等安全。
第三條 按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原則,全校各處室、各專業部及全體師生員工應依照本辦法及其相關標准規範履行網絡安全的責任和義務。
第二章 管理機構與職責
第四條 學院網絡安全和信息化領導小組,组长为學院党委书记和院长担任,副组长由分管信息工作的副院长担任,學院網絡安全和信息化領導小組領導學校網絡安全的全面工作。
下設網絡安全和信息化辦公室,網絡安全和信息化辦公室设在學院信息中心,網絡安全和信息化辦公室負責統籌協調各處室、各專業部按照本辦法履行網絡安全的責任與義務。
第五條 行政辦公室負責學校網絡宣傳方面相關安全工作,包括各類網站和新媒體建設備案審核,網絡信息內容的安全監管、合規處置及網絡安全宣傳工作。
第六條 學院信息中心負責網絡安全防護體系的建設與運行維護,保存網絡運行日志,爲各處室、各專業部網絡安全工作提供技術指導與服務,組織開展網絡安全等級保護測評工作。
第七條 各處室、各專業部是本處室、本專業部網絡安全工作的責任主體,主要負責人是本處室、本專業部網絡安全工作第一責任人,負責按本辦法落實網絡安全工作;各處室、各專業部應明確指定本處室、本專業部網絡、網站和信息系統的運行維護責任人,並將責任人名單報備學院信息中心,人員變動時應及時調整並報備。
第三章 信息化基礎設施安全
第八條 學院信息化基礎設施主要包括校園網絡、服務器、存儲和設備運行環境等。
第九條 校園網絡接入互聯網和其他公共信息網絡遵循“統一出口、統一管理”的規定,未經學院信息中心批准,各處室、各專業部不得擅自通過其他渠道接入互聯網和其他公共信息網絡。
第十條 學院信息中心應采取訪問控制、安全審計、完整性檢查、入侵防範、惡意代碼防範等措施加強校園網絡邊界防護;凡申請校園網絡接入的處室或專業部負責提供本處室、本專業部所需的網絡設備間和電源保障,協助解決網絡布線和設備安裝所需空間,並做好相應安防管理工作。
第十一條 師生員工接入校園網,實行“實名認證上網”制度,並對上網帳號安全使用負責。校園網用戶應文明上網,規範網絡行爲,並做好個人網絡信息安全維護。校園網用戶的上網行爲不得危害到學校整體網絡信息安全,嚴禁利用校園網從事任何無授權的探測、破壞、信息竊取等互聯網攻擊活動。
第十二條 接入校園網絡的處室、專業部和個人不得進行二次運營,不得發展本處室、本專業部以外的任何用戶,不得以任何形式爲未經授權人員提供上網條件。未經許可不得擅自關閉、挪用網絡設備、更改網絡設施位置。
第十三條 校園網的IP地址和域名由學院信息中心統一規劃、分配和管理,並定期審查其使用情況,有權禁用涉嫌違法違規的IP和域名。對IP地址使用有特殊需求的處室、專業部或個人可向學院信息中心提出申請,辦理相關手續後使用。
第十四條 電信運營商進入校園開展通信業務必須報學院信息中心初審,審核通過後報主管信息化工作的校領導審批。未獲學院批准的通信業務,一律不准接入和開展相關業務辦理。
第十五條 校園網弱電間及通信線路由學院信息中心統一規劃、建設、運維和安全管理。未經學院信息中心允許,任何處室、專業部或個人不得擅自對弱電間設備設施和通信線路進行操作。
第十六條 學院信息中心負責學院中心機房環境、公共服務器存儲硬件和虛擬化平台進行維護和管理,制定相關安全管理制度,爲各類應用提供安全可靠的承載平台。
第十七條 各處室、各專業部自建的機房和服務主機由本處室、本專業部指派專人負責安全維護和管理,服務主機接入校園需要到學院信息中心處報備,並簽訂《銀川職業技術學院網絡安全责任书》。
第四章 信息系統安全
第十八條 學院非涉密信息系統(含移動應用)接入校園網絡,必須向學院信息中心提供第三方安全檢測機構出具的檢測報告,進行網絡接入審批和備案登記,並簽訂《銀川職業技術學院網絡安全责任书》,指定专人负责对其运维管理,涉密信息系统不得接入校园网络。
第十九條 各處室、各專業部建設信息系統(含移動應用),必須按網絡安全等級保護的要求進行建設並落實網絡安全防護措施。信息系統(含移動應用)必須使用學校IP地址和域名。凡未經學院登記審核備案的信息系統,學院將關停並注銷相應IP地址和域名。
第二十條 學院網站群平台由學院信息中心統一建設,其技術安全由學院信息中心負責,各處室、各專業部原則上应依托學院網站群平台建設網站,並對網站的內容安全負責;因具有特別技術要求、網站群平台無法滿足功能需求等原因,需脫離網站群平台建設獨立網站的,需經學院信息中心審批同意,並對網站的技術和內容安全負責。
第二十一條 學院信息中心對部署在數據中心的信息系統進行不定期的安全漏洞巡檢,安全等級在二級以上(含二級)的定期組織開展等級保護測評,系統維護管理人員有義務配合完成相關工作。
第二十二條 學院信息中心在发现信息系統安全漏洞后及时通知系统所属處室或專業部,系統管理員在規定時間內完成安全修複整改,並將修複整改情況書面報送學院信息中心留存備案。如未能在規定時間內修複漏洞,學院信息中心有權將其存在安全漏洞的信息系統作下線處理,因未及時修複漏洞而造成安全事件的相關責任由該信息系統所屬處室或專業部承擔。
第二十三條 學院信息中心負責远程在线运维管理设备和日志审计设备的统一部署和管理,对信息系统进行运维安全审计和日志审计,并按照《中华人民共和国网络安全法》规定留存相关日志不少于6個月。
第五章信息數據安全
第二十四條 各處室、各專業部在校園網上播發信息必須堅持歸口管理和“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原則,对上网信息进行审查,严禁涉密信息、个人隐私信息和其他敏感信息上网。
第二十五條 各處室、各專業部需要在學校門戶網站發布的新聞類信息和通知公告類信息,播發前必須由本處室、本專業部的負責人對所發信息進行審核,審查合格後簽署同意意見,將信息報送行政辦公室,由行政辦公室負責人簽署同意意見後發布信息並存檔備案;需要在各處室、各專業部網站和各類系统平台发布的各類信息,必须由本處室、本專業部的負責人對所發信息進行審核,審查合格後發布信息並存檔備案。
第二十六條 學院信息中心負責各類公共服务平台的数据建设、运维和安全管理,并为其他處室或專業部的數據安全管理提供技術支持;各處室、各專業部負責本處室、本專業部業務系統的數據建設、運維和安全管理。
第二十七條 各處室、各專業部應建立健全本處室、本專業部的崗位信息安全責任制度,明確崗位及人員的信息安全責任。關鍵崗位的計算機使用和管理人員應簽訂信息安全與保密協議,明確信息安全與保密要求和責任。
第二十八條 學院信息技術外包服務需求處室或專業部應與外包服務提供商簽訂信息安全與保密協議,明確信息安全與保密責任,要求服務提供商不得將服務轉包,不得泄露、擴散、轉讓服務過程中獲知的敏感信息,不得占有服務過程中産生的任何信息資産。
第六章 監測預警與應急處置
第二十九條 各處室、各專業部应加强对所属網站和信息系统的日常监管,做到安全事件早发现、早报告、早控制、早解决。对发现的网络安全问题及时整改并报告學院信息中心。
第三十條 學院信息中心負責对学校网络信息安全情况进行监测与检查,对于检查不合格的網站和信息系统,视其安全问题级别进行关停、限制校内外访问处理。
第三十一條 學院信息中心負責制定网络安全事件应急预案,定期组织网络安全突发事件应急演练。各處室、各專業部做好網絡安全應急響應工作。
第七章 責任追究
第三十二條 違反本辦法的處室、專業部或個人,學校將予以警告、禁止播發信息、停止網絡連接、責令限期改正;情節嚴重的,追究主管領導及相關責任人的責任,由學院有關部門依照校規、校紀及相關法律、法規進行處理。
第三十三條 違反本辦法的處室、專業部或個人,如觸犯國家有關法律、法規,構成犯罪的,依法追究其刑事責任;尚不構成犯罪的,由公安機關或者國家安全機關依照有關法律、行政法規的規定給予行政處罰。
第三十四條 違反本辦法規定,給國家、集體或者他人財産造成損失的應當依法承擔民事責任。
第八章 附則
第三十五條 本办法如与国家有关政策法規相悖,按照国家有关政策法規执行。
第三十六條 本辦法由學院網絡安全和信息化辦公室負責解釋。
第三十七條 本辦法自發布之日起生效。