第一章 總則
第一條 為加強學(xué)校網(wǎng)絡(luò)與信息安全工作,提高網(wǎng)絡(luò)與信息安全防護能力和水平,保障學(xué)校各項事業(yè)健康有序發(fā)展,根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國計算機信息系統(tǒng)安全保護條例》《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》《教育部關(guān)于加強教育行業(yè)網(wǎng)絡(luò)與信息安全工作的指導(dǎo)意見》等有關(guān)法律法規(guī),結(jié)合學(xué)校實際,制定本辦法。
第二條 學(xué)校所有的校園網(wǎng)絡(luò)、信息系統(tǒng)以及互聯(lián)網(wǎng)網(wǎng)站安全管理工作,適用本辦法。
第三條 學(xué)校按照“誰主管誰負責(zé)、誰運維誰負責(zé)、誰使用誰負責(zé)”的原則,建立健全網(wǎng)絡(luò)與信息安全責(zé)任體系,各部門依照本辦法要求履行網(wǎng)絡(luò)與信息安全的義務(wù)和責(zé)任。
第二章 組織機構(gòu)與職責(zé)
第四條 學(xué)校主要負責(zé)人是學(xué)校信息網(wǎng)絡(luò)安全的第一責(zé)任人,分管信息化工作與安全穩(wěn)定工作的校領(lǐng)導(dǎo)協(xié)助主要負責(zé)人履行學(xué)校網(wǎng)絡(luò)與信息安全責(zé)任。
第五條 學(xué)校網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組負責(zé)協(xié)調(diào)全校網(wǎng)絡(luò)與信息安全保障體系建設(shè)。各部門黨政負責(zé)人是本部門網(wǎng)絡(luò)與信息安全工作第一責(zé)任人,負責(zé)按本辦法落實網(wǎng)絡(luò)與信息安全工作。具體使用人員是網(wǎng)絡(luò)與信息安全工作的直接責(zé)任人。
第六條 學(xué)校辦公室是學(xué)校網(wǎng)絡(luò)與信息安全歸口管理部門,負責(zé)統(tǒng)籌學(xué)校網(wǎng)絡(luò)與信息安全工作,日常工作由信息化中心落實。具體職責(zé)包括:
(一)制定網(wǎng)絡(luò)與信息安全總體規(guī)劃,并組織實施;
(二)擬定網(wǎng)絡(luò)與信息安全管理規(guī)章制度,制定網(wǎng)絡(luò)與信息安全標準規(guī)范;
(三)組織開展網(wǎng)絡(luò)與信息安全等級保護工作;
(四)網(wǎng)絡(luò)與信息安全應(yīng)急管理,協(xié)調(diào)處理政府網(wǎng)絡(luò)與信息安全管理部門的關(guān)系;
(五)網(wǎng)絡(luò)與信息安全監(jiān)督檢查工作;
(六)學(xué)校網(wǎng)絡(luò)與信息安全管理的其他工作。
第七條 宣傳統(tǒng)戰(zhàn)部負責(zé)網(wǎng)絡(luò)信息內(nèi)容的安全監(jiān)管,負責(zé)校園網(wǎng)絡(luò)輿情信息的監(jiān)控和管理,開展網(wǎng)上疏導(dǎo)和正面宣傳,做好對外宣傳工作。
第八條 學(xué)校辦公室協(xié)調(diào)保衛(wèi)處等相關(guān)部門對網(wǎng)絡(luò)違規(guī)行為進行調(diào)查、取證、處理,根據(jù)相關(guān)證據(jù)、事態(tài)影響或破壞程度,對違規(guī)者按照有關(guān)規(guī)定進行處理。
第九條 網(wǎng)絡(luò)與信息系統(tǒng)的主辦部門承擔(dān)安全監(jiān)管責(zé)任,包括內(nèi)容安全監(jiān)管、技術(shù)安全保障和監(jiān)督檢查等職責(zé)。網(wǎng)絡(luò)與信息系統(tǒng)的使用部門黨政負責(zé)人和使用人對系統(tǒng)操作與信息內(nèi)容的安全監(jiān)管分別承擔(dān)第一責(zé)任和直接責(zé)任。網(wǎng)絡(luò)與信息系統(tǒng)通過外包服務(wù)方式進行維護的,主辦部門負責(zé)督促外包服務(wù)單位做好安全運維工作。
第三章 校園網(wǎng)絡(luò)安全管理
第十條 校園網(wǎng)絡(luò)是指校園范圍內(nèi)連接各種信息系統(tǒng)及信息終端的計算機網(wǎng)絡(luò),包括校園有線網(wǎng)絡(luò)、無線網(wǎng)絡(luò)和各種虛擬專網(wǎng)。
第十一條 信息化中心負責(zé)校內(nèi)所有互聯(lián)網(wǎng)接入服務(wù),根據(jù)相關(guān)規(guī)定履行審批程序開展工作,包括光纖接入、帶寬申請、IP申請等。校園網(wǎng)絡(luò)與互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)進行邏輯隔離,實行統(tǒng)一出口、統(tǒng)一管理和統(tǒng)一防護。
第十二條 未經(jīng)批準,各部門在校園內(nèi)不得擅自通過其他渠道接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)。
第十三條 信息化中心負責(zé)制定校園網(wǎng)絡(luò)建設(shè)規(guī)劃,統(tǒng)籌管理校園建筑物內(nèi)、地下管井及空中路由的光纜布施,統(tǒng)籌落實機房、網(wǎng)絡(luò)管理系統(tǒng)、網(wǎng)絡(luò)防護系統(tǒng)等軟硬件設(shè)施的運維工作。
第十四條 學(xué)校所有基建、修繕工程應(yīng)當將工程范圍內(nèi)的網(wǎng)絡(luò)建設(shè)內(nèi)容按照校園網(wǎng)絡(luò)規(guī)劃的標準納入工程設(shè)計、實施和竣工驗收范疇。
第十五條 信息化中心統(tǒng)一部署校園網(wǎng)絡(luò)安全策略,采取訪問控制、安全審計、完整性檢查、入侵防范、惡意代碼防范等措施加強校園網(wǎng)絡(luò)邊界防護。
第十六條 校園網(wǎng)絡(luò)接入實行實名管理制度。師生員工接入校園網(wǎng)絡(luò),實行“實名注冊、認證上網(wǎng)”制度。學(xué)校非涉密信息系統(tǒng)接入校園網(wǎng)絡(luò),實行接入審批和備案登記制度。
第十七條 涉及國家秘密的信息系統(tǒng)不得接入校園網(wǎng)絡(luò)。
第十八條 校園網(wǎng)絡(luò)接入部門負責(zé)提供本部門所需的網(wǎng)絡(luò)設(shè)備間和電源保障,協(xié)助解決網(wǎng)絡(luò)布線和設(shè)備安裝所需空間,負責(zé)設(shè)備設(shè)施安全和消防安全管理。
第十九條 任何部門和個人未經(jīng)允許不得利用校園網(wǎng)絡(luò)及設(shè)施開展經(jīng)營性活動。
第四章 信息系統(tǒng)安全管理
第二十條 學(xué)校按照統(tǒng)一規(guī)劃、分步建設(shè)、同步運行的原則,規(guī)劃、建設(shè)、運行、管理信息系統(tǒng)安全設(shè)施,建立健全信息系統(tǒng)安全防護體系,全面實施信息系統(tǒng)安全等級保護制度。
第二十一條 信息化中心負責(zé)統(tǒng)籌學(xué)校信息系統(tǒng)安全等級保護工作,定期開展各部門信息系統(tǒng)等級評審、系統(tǒng)備案、等級測評與監(jiān)督檢查工作。
第二十二條 信息系統(tǒng)建設(shè)部門是信息系統(tǒng)安全等級保護的責(zé)任主體,具體負責(zé)系統(tǒng)定級、建設(shè)整改、安全自查,協(xié)助系統(tǒng)備案、等級測評并接受有關(guān)部門監(jiān)督檢查。
第二十三條 信息系統(tǒng)建設(shè)部門在信息系統(tǒng)建設(shè)的立項階段應(yīng)當確定安全保護等級,由信息化中心組織對建設(shè)方案進行安全論證和等級評審。對于安全等級第二級以上(含第二級)的信息系統(tǒng),由學(xué)校統(tǒng)一辦理系統(tǒng)備案。
第二十四條 學(xué)校鼓勵建設(shè)部門優(yōu)先采購安全可靠、技術(shù)成熟和服務(wù)優(yōu)質(zhì)的成品軟件用于信息系統(tǒng)建設(shè)。沒有相應(yīng)成品軟件或者成品軟件不適應(yīng)實際需求的,應(yīng)當按照學(xué)校采購與招標工作的相關(guān)管理辦法,委托資質(zhì)和信譽良好的軟件開發(fā)商進行開發(fā)。
第二十五條 信息系統(tǒng)建設(shè)部門在信息系統(tǒng)建設(shè)階段應(yīng)當按照已經(jīng)確定的安全保護等級,同步落實安全保護措施。信息系統(tǒng)在正式上線前,由信息化中心對于系統(tǒng)的安全性進行等級測評,測評通過后方可投入試運行。
第二十六條 信息系統(tǒng)建設(shè)部門應(yīng)當嚴格按照網(wǎng)絡(luò)安全等級保護制度要求,履行下列安全保護義務(wù):
(一)制定信息系統(tǒng)使用與維護的管理制度,規(guī)范信息系統(tǒng)使用者和維護者的操作行為;
(二)定期對于終端計算機和承擔(dān)網(wǎng)絡(luò)與信息系統(tǒng)運行的關(guān)鍵設(shè)備(服務(wù)器、安全設(shè)備、網(wǎng)絡(luò)設(shè)備)進行安全審計,通過記錄、檢查系統(tǒng)和用戶活動信息,及時發(fā)現(xiàn)系統(tǒng)漏洞,處置異常訪問和操作;
(三)定期對重要數(shù)據(jù)和信息系統(tǒng)進行備份,定期測試備份與恢復(fù)計劃,確保備份數(shù)據(jù)和備用資源的有效性。
第二十七條 信息系統(tǒng)通過互聯(lián)網(wǎng)提供的服務(wù)應(yīng)當向?qū)W校辦公室提出申請,嚴格按照學(xué)校相關(guān)的網(wǎng)絡(luò)安全管理制度執(zhí)行。
第五章 信息網(wǎng)絡(luò)安全應(yīng)急管理
第三十五條 學(xué)校辦公室負責(zé)學(xué)校信息系統(tǒng)安全應(yīng)急工作的統(tǒng)籌管理,制定學(xué)校網(wǎng)絡(luò)安全事件報告與處置流程,制訂學(xué)校網(wǎng)絡(luò)安全應(yīng)急預(yù)案。
第三十六條 學(xué)校信息系統(tǒng)建設(shè)部門應(yīng)當制訂本部門的網(wǎng)絡(luò)安全應(yīng)急預(yù)案,組織開展網(wǎng)絡(luò)安全應(yīng)急預(yù)案的宣傳、教育和培訓(xùn),確保相關(guān)人員熟悉應(yīng)急預(yù)案。
第三十七條 信息化中心定期組織網(wǎng)絡(luò)安全應(yīng)急演練,評估并適時組織各部門的網(wǎng)絡(luò)安全應(yīng)急預(yù)案的修訂。各部門的網(wǎng)絡(luò)安全應(yīng)急預(yù)案出現(xiàn)修訂等變化情況的,應(yīng)當及時報信息化中心備案。
第三十八條 信息化中心負責(zé)組建學(xué)校網(wǎng)絡(luò)安全應(yīng)急技術(shù)支援隊伍,完善24小時應(yīng)急值守制度,提高網(wǎng)絡(luò)安全事件的預(yù)防、預(yù)警和應(yīng)對能力,預(yù)防和減輕網(wǎng)絡(luò)安全事件造成的損失和危害。
第三十九條 各部門應(yīng)當按照網(wǎng)絡(luò)安全事件“早發(fā)現(xiàn)、早報告、早控制、早解決”的原則,做好事發(fā)緊急報告與處置、事中情況報告與處置、事后整改報告與處置工作。
第四十條 各部門和師生員工均有義務(wù)及時向?qū)W校辦公室報告信息網(wǎng)絡(luò)安全事件。任何部門和個人不得在未經(jīng)批準或者授權(quán)情況下對外公布所發(fā)現(xiàn)的安全漏洞或安全問題,禁止利用所發(fā)現(xiàn)的安全漏洞或安全問題進行相關(guān)有目的的操作。
第六章 信息網(wǎng)絡(luò)安全檢查監(jiān)督
第四十一條 各部門應(yīng)當定期對于本部門信息系統(tǒng)、互聯(lián)網(wǎng)網(wǎng)站的安全狀況、安全保護制度與措施的落實情況進行自查,配合有關(guān)部門的信息網(wǎng)絡(luò)安全檢查、保密檢查與審批等工作。
第四十二條 信息化中心對各部門的網(wǎng)絡(luò)安全工作落實情況進行檢查,對于發(fā)現(xiàn)的問題下達、整改通知書,限期整改。信息化中心定期對全校的信息系統(tǒng)、互聯(lián)網(wǎng)網(wǎng)站進行漏洞掃描,發(fā)現(xiàn)存在漏洞時,關(guān)停互聯(lián)網(wǎng)服務(wù),通知建設(shè)管理部門及時進行整改。
第四十三條 有關(guān)部門在收到限期整改通知書后,應(yīng)立即整改。整改不力的,學(xué)校給予通報批評;玩忽職守、失職瀆職造成嚴重后果的,依紀依法追究相關(guān)人員的責(zé)任。
第四十四條 各部門應(yīng)當及時、如實地報告和妥善處置網(wǎng)絡(luò)安全事件。瞞報、緩報、漏報網(wǎng)絡(luò)安全事件,或者對于網(wǎng)絡(luò)安全事件處置和整改不力的,對于相關(guān)部門責(zé)任人進行約談或通報。
第七章 附則
第四十五條 學(xué)校互聯(lián)網(wǎng)網(wǎng)站安全管理按照《黑龍江職業(yè)學(xué)院互聯(lián)網(wǎng)網(wǎng)站管理辦法》執(zhí)行。
第四十六條 本辦法自公布之日起實施,由學(xué)校辦公室信息化中心負責(zé)解釋。
