长江师范学院网络安全管理办法
第一章 总 则
第一条为规范学校网络安全管理,提高网络安全防护能力和水平,保障学校信息化建设健康有序开展,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《教育部关于加强教育行业网络与信息安全工作的指导意见》《教育部公安部关于全面推进教育行业信息安全等级保护工作的通知》等文件要求,结合学校实际,特制定本办法。
第二条本办法适用于学校计算机网络(以下简称校园网)、校园信息化基础设施、教学、科研、管理和服务相关网站与信息系统、数字资源系统等所涉及的硬件、软件、信息和数据的安全。
第三条学校网络安全工作遵循“谁主管谁负责、谁建设谁负责、谁使用谁负责”的原则,明确责任主体,强化安全意识,逐级落实单位与个人安全责任制。
第二章 组织机构与职责
第四条学校网络安全和信息化领导小组是学校网络安全管理工作的领导机构,负责学校网络安全工作的顶层设计、战略决策、实施监督及重大网络安全事件处理的决策指导。
第五条 信息化办公室(智慧校园建设办公室)是学校网络安全工作的日常管理和执行机构,负责学校网络安全防护体系的建设、管理和维护,执行日常网络安全监督检查,组织开展学校网络安全宣传、教育和培训工作,落实网络安全等级保护的定级、备案和测评,制定并完善学校网络安全事件应急预案,处置网络安全事件。
第六条 党政办公室负责学校机要网络信息安全;党委宣传部负责学校新闻媒体内容采集、编辑、审核、发布等管理,开展网络意识形态及舆情监督;党委保卫部负责协助重大网络安全事件的调查、取证等工作。
第七条各二级单位是本单位网络安全工作的责任主体,负责本单位网络安全工作,加强本单位网站与信息系统的安全管理。开展本单位网络安全宣传、教育和培训工作。通过外包服务方式进行服务运维的网络设施设备、信息系统等,建设单位与外包服务单位需签订网络安全责任书。
第八条 学校教职工和学生作为校园网络的使用者,均有遵守学校网络安全相关规定的责任和义务。
第三章 校园网络安全管理
第九条 校园网络是指校园范围内连接各种信息系统及信息终端的计算机网络,包括校园有线网络、无线网络、物联网和安防、财务、一卡通等专用网络。
第十条校园网由学校统一规划建设,禁止私拉乱接及私自接入网络设备、服务器等设施设备。
第十一条校园网实行出口统一管理。未经批准,不得在校园网内建设互联网出口。禁止将校园网接入延伸至校外。
第十二条校园网实行用户统一管理,用户实行实名认证制,必须通过学校统一身份认证接入校园网。校园网用户IP地址未经许可不得对校园网以外提供互联网服务。
第四章 基础设施安全管理
第十三条 基础设施主要包括支撑学校信息系统运行的物理环境、硬件设备、计算资源、存储资源等信息化设施。
第十四条 基础设施由学校统一规划、建设和管理,校内各二级单位和个人不得擅自建设、更改、损毁、挪用。
第十五条建立机房、弱电井等物理环境的安全管理制度,明确物理环境消防、空调、温湿度控制、视频监控、供配电、门禁、出入人员、机房物理访问、物品进出和机房环境安全等方面的规定,加强物理环境的安全管理。
第十六条为提高计算资源、存储资源的安全性和利用率,服务器、存储系统等由学校统一规划,实行集中管理和维护。服务器、存储网络与校园网之间须采取安全隔离措施。
第五章 校园网站安全管理
第十七条 学校使用统一的校园网域名(yznu.edu.cn),各二级单位开办校园网站,应使用学校互联网IP 地址,并遵守学校域名管理规定。
第十八条学校统一建设网站集群平台,各二级单位开办的网站须基于学校网站集群平台建设,网站开办前需由党委宣传部审核确认。未纳入学校网站集群平台的网站,报党委宣传部、信息化办公室备案,网络安全由开办单位自主负责。
第十九条校园网站开办单位应按照相关要求建立完善的网站信息发布与审核制度,确定负责内容编辑、内容审核、内容发布的人员名单,明确审核与发布程序,保存相关操作记录。
第二十条对于使用频度低、阶段性使用的网站,开办单位可采取非工作时间或寒暑假、节假日关闭的方式运行。对于无人管理、无力维护、长期不更新的网站,开办单位应关闭网站以降低安全风险。
第六章 信息系统安全管理
第二十一条信息系统建设应按照同步规划、同步建设、同步运行的原则,建立健全网络安全防护体系,全面实施网络安全等级保护制度。
第二十二条信息系统在立项阶段应确定网络安全保护等级。鼓励优先采购安全可靠、技术成熟和服务优质的成品软件用于信息系统建设,建设方案需进行安全论证。
第二十三条信息系统在建设阶段应按已确定安全保护等级,同步落实安全保护措施。信息系统上线使用前应进行备案登记。对于安全等级第二级以上(含第二级)的信息系统,由学校统一办理系统备案。
第二十四条信息系统投入试运行后,由建设单位初步验收,出具初步验收报告。信息系统通过初步验收和网络安全保护等级测评后,由学校组织竣工验收。
第二十五条信息系统建设单位是信息系统安全等级保护的责任主体,具体负责系统定级、建设整改、安全自查,协助系统备案、等级测评并接受有关部门监督检查。信息化办公室是信息系统安全等级保护工作的技术支撑保障部门,负责网络安全防护体系建设和等级测评组织工作,参与监督检查工作,并协助学校各单位进行系统定级、建设整改。
第七章 数据安全管理
第二十六条 数据是指校内各类信息系统所产生、保存和利用的相关数据,包括但不限于信息化公共基础服务、跨部门信息系统、业务部门管理信息系统、各类网站、教学资源等数据和信息。
第二十七条 各二级单位应落实管理和技术措施,规范本单位网站和信息系统数据的收集、存储、传输和使用,确保数据安全。
第二十八条信息化建设中涉及的个人信息,按照国家相关法律法规及学校相关规定进行严格保护,各二级单位应当采取技术措施和其他必要措施,做好个人信息保护,防止信息泄露、毁损、丢失。任何单位和个人不得违法违规采集、存储、使用和处理校内各类个人信息。确需收集个人信息的,应公开收集、使用规则,明确收集、使用信息的目的、方式和范围,并征得被收集者的同意。
第二十九条 各二级单位应做好本单位信息系统数据的备份和恢复管理,制定系统备份及恢复方案,明确备份策略、备份介质及数据恢复流程等,定期测试备份数据的有效性、预演数据恢复流程。
第八章 校园用户安全管理
第三十条校园用户应规范网络行为,文明上网,自觉遵守网络安全的各项法律法规,自觉维护校园网的安全运行,严禁利用校园网从事违法犯罪活动,禁止使用连接互联网的计算机处理涉密信息。
第三十一条校园网用户接入校园网络,实行“实名注册、认证上网”制度,通过实名登记后方可使用校园网。
第三十二条 校园网用户应做好终端的安全防护工作,应设置系统登录账号和复杂度高的密码,安装正版操作系统、应用软件和防病毒软件,及时更新系统补丁,修补漏洞。
第三十三条各信息系统建设单位应加强账户安全管理,禁止匿名账号,及时收回离校人员管理的账号和密码。
第三十四条 校园用户帐号严禁盗用、转借、转让,对违反规定的用户,学校可提出警告或停止其使用。
第九章 监测预警与应急处理
第三十五条 建立健全网络安全通报机制和应急处理机制,全力维护学校网络空间安全稳定。各二级单位发现网络与信息安全事件应第一时间报告信息化办公室,采取措施处理安全漏洞、安全威胁,保存相关日志记录。
第三十六条 学校制定网络安全事件应急预案,定期组织网络安全突发事件应急演练,各二级单位做好网络安全应急响应工作。
第三十七条 信息化办公室按照相关规定或上级部门要求发布网络安全监测预警信息,按照学校网络安全事件应急预案流程对校内网络安全事件进行处理。
第十章 责任追究
第三十八条 二级单位存在网络安全隐患,整改不力的,给予通报批评并责令改正;瞒报、缓报网络安全事件的,对相关单位责任人进行约谈并通报批评;玩忽职守、失职渎职造成严重后果的,严肃追究相关人员的责任。
第三十九条违反法律、法规,造成国家、学校和个人损失的,学校将依法配合公安机关部门进行处理。
第十一章 附 则
第四十条本办法由网络安全和信息化领导小组负责解释。
第四十一条 本办法自发布之日起实施。
