第一章总则
第一条为加强学校网络与信息安全管理,推进学校信息系统安全等级保护工作,提高网络与信息技术安全防护能力和水平,根据《教育部关于加强教育行业网络与信息安全工作的指导意见》(教技〔2014〕4号)、《教育部公安部关于全面推进教育行业信息安全等级保护工作的通知》(教技〔2015〕2 号)、《安徽省教育厅关于印发安徽省教育网络与信息安全工作实施方案的通知》(皖教信息〔2015〕1 号)等文件要求,结合我校实际,制定本办法。
第二条本办法所称的网络与信息安全工作,是指为保障学校各类信息资产的机密性、完整性、可用性等不被破坏而开展的相关管理和技术工作。
信息资产主要指由学校建设、运行、维护、管理的,支撑学校教学、科研和管理等各项事业的信息、设备及信息系统等。
第三条学校按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,建立健全信息安全责任体系。学校各部门、单位及全体师生医护员工应依照本办法要求及学校相关标准规范履行信息安全的责任和义务。
第二章组织机构与职责
第四条学校成立网络安全与信息化工作领导小组,全面负责学校网络安全与信息化工作。学校党政主要负责人作为学校网络与信息安全工作的第一责任人担任组长,其他校领导任副组长,办公室、监察处、宣传部、人事处、教务处、科研处、财务处、研究生学院主要负责人为成员。网络安全与信息化工作领导小组下设办公室,由学校办公室主要负责人任主任,办公室网络信息科主要负责人为秘书。
第五条学校办公室是学校网络与信息安全归口管理部门,负责统筹学校网络与信息安全工作。具体职责包括:
(一)制定网络与信息安全总体规划,并组织实施;
(二)拟定网络与信息安全管理规章制度,制定信息技术安全标准规范,负责学校层面的信息技术安全防护体系的建设、运行维护;
(三)组织开展学校的信息系统安全等级保护工作;
(四)负责网络与信息安全应急管理,协调处理与各级信息安全管理部门的关系;
(五)组织信息安全宣传和教育培训工作;
(六)负责信息安全监督检查工作;
(七)负责向各部门、单位的网络与信息安全工作提供技术指导和支持;
(八)负责学校网络与信息安全的其他工作。
第六条学校各部门、单位是本部门、单位网络与信息安全工作的责任主体,各部门、单位主要负责人是第一责任人,负责按本办法落实网络与信息安全工作责任。
第三章校园网络安全管理
第七条校园网络是指校园范围内连接各种信息系统及信息终端的计算机网络,包括校园有线网络、无线网络和各种虚拟专网。
第八条校园网络与互联网及其他公共信息网络实行逻辑隔离,由校办公室统一出口、统一管理和统一防护。未经批准,学校各部门、单位在校园内不得擅自通过其他渠道接入互联网及其他公共信息网络。涉密信息系统不得接入校园网络。
第九条学校可采取访问控制、安全审计、完整性检查、入侵防范、恶意代码防范等技术手段加强校园网络边界防护,并根据政府网络和信息安全管理部门的要求和学校实际情况及时更新防护技术手段。
第十条各部门、单位具体负责本单位业务专网及信息系统的规划与建设工作,并对其网络与信息安全工作负责。建设单位需将建设方案(含安全防护方案)报校办公室网络信息科进行技术审核及备案登记。对未通过审核的,学校将暂停项目建设,建设部门需根据审核意见进行整改,直至技术方案审核通过。
第四章信息系统及数据安全管理
第十一条学校各类信息系统应同步规划、建设、运行管理相应的信息安全措施,建立健全信息安全防护和管理体系,全面实施信息系统安全等级保护制度。
第十二条学校办公室负责统筹学校信息系统安全等级保护工作,组织各部门、单位开展信息系统定级备案、等级测评、建设整改工作。各部门、单位在信息系统立项规划阶段应确定安全保护等级,在建设阶段应同步落实安全保护措施。办公室根据各部门、单位申请统一进行安全等级第二级以上(含第二级)的信息系统的备案和等级测评工作。
第十三条学校办公室定期或不定期对各信息系统开展安全扫描,查找安全漏洞和隐患。对信息安全状况未达到安全保护等级要求的,信息系统的主办部门应制定整改方案并限期落实到位。各部门、单位应定期或不定期组织开展本单位信息系统安全检查,及时进行系统软件升级、漏洞修复等工作,发现安全问题及时上报并整改。
第十四条学校办公室负责学校中心数据库及数据交换平台、统一身份认证平台的安全管理工作,支持各部门、单位业务系统数据库与中心数据库的数据交换和共享、统一身份认证工作。各部门、单位对本单位信息系统的业务数据库及所申请的共享数据的安全负责。
第十五条学校办公室负责学校数据中心的物理环境、软硬件设施的安全管理与运维保障。原则上,各部门、单位应依托学校数据中心开展各自业务信息系统建设。确需使用校外数据中心的,须报校办公室审批。涉及学校基础数据、师生医护员工个人信息或敏感信息的信息系统需部署在校外的,须与对方签订《数据使用及保密协议》。未经批准,严禁使用境外数据中心。
第十六条使用学校数据中心开展信息系统运行的各部门、单位应遵循相关管理制度和技术标准,按需申请,有序使用,不得利用数据中心资源从事任何与申请项目无关或危害网络信息安全的活动。
第十七条各部门、单位应根据业务实际需要对主办的信息系统制定数据与信息系统的备份与恢复计划,并确保备份数据和备用资源的有效性。
第五章网站安全管理
第十八条学校各部门、单位开办网站,应使用学校互联网域名和学校申请的互联网IP地址或校内IP地址,并遵守相关规章制度。
第十九条学校各部门、单位开办网站应优先选择学校网站集群平台进行制作并纳入统一管理。如集群平台不能满足工作需求时可委托其他供应商提供,并通过校办公室网络信息科组织的安全检查及备案后方可正式上线。
第二十条学校办公室统一建设学校网站集群平台并负责纳入该平台网站的技术安全。未纳入学校网站集群平台的网站,其技术安全由网站开办部门、单位负责。
第二十一条网站运行维护部门应建立网站值守制度,制定应急处置流程,组织网站监测,发现网站运行异常及时处置。
第二十二条网站的内容安全由网站开办部门、单位负责,应建立完善的网站信息发布与审核规范,确定负责内容编辑、审核、发布的人员名单,明确审核与发布程序,保存相关操作记录。在管理网站过程中做好信息安全防范及密钥管理。
第二十三条原则上,学校各网站不得提供电子公告服务(BBS)。确有需要,经备案批准后方可提供。提供电子公告服务的网站开办部门、单位承担电子公告服务内容管理的主体责任,并按国家有关规定落实专项安全管理和技术措施。
第二十四条对于使用频度不大、阶段性使用的网站,网站开办部门、单位可采取非工作时间或寒暑假、节假日关闭的方式运行。对于无人管理、无力维护、长期不更新的网站,应关闭网站以降低安全风险。
第六章电子邮件安全管理
第二十五条学校办公室为各部门、单位和师生医护员工提供校园电子邮箱,并负责学校电子邮件系统的安全管理。各部门、单位和师生医护员工使用学校电子邮箱应遵守国家相关法律法规及学校电子邮箱管理等相关规章制度。
第二十六条学校办公室应采取必要的技术和管理措施,加强电子邮件系统安全防护,减少垃圾邮件、病毒邮件侵袭。
第二十七条校园电子邮箱帐号所有人应对其电子邮箱帐号开展的所有活动负责。校园电子邮箱帐号所有人应妥善保管电子邮箱账号和密码,确保密码具有一定强度并定期更换。
第二十八条在邮箱系统安全管理工作中被发现存在安全隐患的邮箱账号,学校办公室有权先封存、限制账号使用,并及时通知邮箱账号所有人进行处理。
第七章终端计算机及存储介质安全管理
第二十九条终端计算机是指由学校师生医护员工使用并从事学校教学、科研、管理等活动的各类计算机及附属设备,包括台式电脑、笔记本电脑等其他移动终端。以下简称终端。
第三十条终端使用人按照“谁使用,谁负责”的原则,对其终端负有保管和安全使用的责任。公共终端如教室多媒体计算机、教学实验机房计算机等由其管理部门具体负责。
第三十一条终端使用人应对所使用终端上的各类软件的安全风险和法律风险承担相应责任。
第三十二条终端使用人应做好个人终端数据日常管理和保护,不得使用非涉密终端存储和处理涉密信息。
第三十三条终端使用人应做好终端的安全防范,如发现终端出现可能由病毒或攻击导致的异常系统或其他安全问题,应立即断网后进行处置。
第三十四条存储介质是指存储数据的载体,主要包括硬盘、存储阵列、磁带库等不可移动存储介质,以及移动硬盘、U 盘等可移动存储介质。
第三十五条除专用业务网络外,原则上,存储阵列、磁带库等大容量介质应托管在学校数据中心,并由学校办公室统一运行、维护和管理。
第三十六条各部门、单位根据各自实际情况应建立移动介质管理制度,记录介质领用、交回、维修、报废、损毁等情况。介质使用人按照“谁使用,谁负责”的原则,对其移动介质负有保管和安全使用的责任。
第三十七条非涉密移动存储介质不得用于存储涉密信息。
第三十八条介质使用人应注意移动存储介质的内容管理,对送出维修或销毁的介质应事先清除敏感信息。
第三十九条涉密终端及涉密介质的使用和管理由校保密委参照国家有关法律法规执行。
第八章用户及相关人员安全管理
第四十条师生医护员工接入校园网络,实行“实名注册、认证上网”,“一人一号”制度。校园网用户须妥善保管上网账号的口令密码,校园网账号所有人对账号所有的网络活动行为负责。
第四十一条校园网用户不得利用校园网制作、复制、查阅和传播有害信息,不得从事危害网络与信息安全的活动。
第四十二条外来人员原则上不允许接入校园网络,确因工作需要接入的,须经申请后开通专用账号,其账号的使用安全由申请部门负责。
第四十三条各部门、单位应根据各自实际情况明确本部门、单位网络与信息安全管理人员,建立健全本单位的岗位网络与信息安全责任制。关键岗位的计算机使用和管理人员应签订信息安全保护协议,明确信息安全保护的要求和责任。
第四十四条各部门、单位应加强网络与信息安全相关人员的离岗、离职管理,严格规范人员离岗、离职过程,及时终止相关人员的所有访问权限,注销或暂停各类系统账户,收回学校提供的软硬件设备,并签署安全保护承诺书。
第四十五条各部门、单位确需外来人员访问机房等重要区域和参与系统管理的,需与对方明确网络与信息安全责任,完善审批与登记制度,并安排本部门工作人员现场陪同,对访问活动进行记录和保存。
第四十六条学校建立网络与信息安全责任制,校园网用户和相关人员行为不当造成学校网络与信息安全事件的,学校将视情节给予处分和处罚;构成违反国家法律法规的,交由国家有关机关处理。
第九章网络与信息安全应急管理
第四十七条校安全工作领导小组负责学校信息安全应急工作的统筹管理,学校办公室负责信息安全应急工作的技术支撑和保障。
第四十八条学校办公室负责制定学校网络与信息安全事件报告与处置流程,负责制定学校网络与信息安全应急预案并组织实施;
第四十九条学校办公室定期组织网络与信息安全应急演练,并适时组织网络与信息应急预案修订。各部门、单位应组织开展本部门网络与信息安全应急预案的宣传、教育和培训,确保相关人员熟悉应急预案。
第五十条学校办公室负责组建学校信息安全应急技术支援队伍,完善应急值守制度,提高信息安全事件的预防、预警和应对能力,预防和减轻信息安全事件造成的损失和危害。
第五十一条各部门、单位应按照学校网络与信息安全事件报告与处置流程,做好事发紧急报告与处置、事中情况报告与处置和事后整改报告与处置工作。做到安全事件早发现、早报告、早控制、早解决。如有瞒报、缓报、处置和整改不力等情况,学校将对相关单位责任人进行问责。
第五十二条各部门、单位及师生医护员工均有义务及时向学校相关部门报告网络与信息安全事件,不得在未授权情况下对外公布、尝试或利用所发现的安全漏洞或安全问题。
第十章网络与信息安全教育培训
第五十三条学校办公室负责组织学校网络与信息安全宣传和教育培训工作,建立健全相关制度。
第五十四条学校办公室定期组织开展针对师生医护员工的网络与信息安全教育,提高师生医护员工的安全和防范意识。
第五十五条校办公室定期开展针对网络与信息安全管理人员和技术人员的专业技能培训与考核工作,提高网络与信息安全工作能力和水平。
第十一章网络与信息安全检查监督
第五十六条学校各部门、单位定期对本单位信息系统的安全状况、安全保护制度及措施的落实情况进行自查,并配合有关部门的信息安全检查、信息内容检查、保密检查与审批等工作。
第五十七条学校办公室负责组织对学校各部门、单位的网络与信息安全工作落实情况进行检查,对发现的问题下达限期整改通知书,监督相关单位制定整改方案并落实到位。
第五十八条学校办公室对年度安全检查情况进行全面总结,按照要求完成检查报告并报有关信息安全主管部门。
第十二章附则
第五十九条涉及国家秘密的信息系统,执行国家保密工作的相关规定和标准,由学校保密委监督指导。
第六十条本办法自下发之日起施行,由学校办公室负责解释。《皖南医学院校园网络系统安全管理制度(修订)》(校政﹝2010﹞193号文件)同时废止。