学校制度

当前位置: 首页 >> 制度建设 >> 学校制度 >> 正文

网络信息安全管理办法(党字〔2020〕64号)

发布日期:2020-11-20 15:27:47

中共唐山师范学院委员会

网络信息安全管理办法

第一章 总则

第一条 为加强对网络信息安全工作的组织管理,提高网络信息安全防护能力和水平,根据《中华人民共和国网络安全法》《中华人民共和国计算机信息系统安全保护条例》《信息安全等级保护管理办法》等国家有关法律、法规和省市有关网络信息安全文件的精神要求,结合学校实际,制定本办法。

第二条 网络信息安全是指校园网络与信息系统的安全。校园网络与信息系统,是指提供校园网络应用及信息化服务的软、硬件集成系统,包括由学校相关部门负责维护和管理的校园网络主、辅节点设备,配套的网络线缆设施及网络服务器、工作站、网站、各管理信息系统,以及学校各单位建设的网络、网站及应用系统等。本办法所称的各单位包括学校机关处室、教辅部门和各二级单位。

网络信息安全包括网络安全和信息安全两个方面。网络安全是指校园计算机网络的设施设备(包括路由交换、网络传输、服务器、终端、存储介质等)的安全;信息安全是指基于校园计算机网络的各类应用系统以及应用系统承载的数据和内容的安全。

第三条 我校校园网络与信息系统安全保护管理实行工作责任制和责任追究制,按照“谁建设、谁管理,谁使用、谁负责”的原则,建立健全网络信息安全责任体系。学校各单位对本单位的网络及信息系统进行安全保护管理,落实“分级审批、分工负责、责任到人”的管理办法。全校师生员工应依照本办法要求及学校相关标准规范履行网络信息安全的责任和义务。

第二章 组织机构与职责

第四条 学校严格落实党对网络信息安全工作的领导,发挥党委的政治核心作用,严格落实党委主体责任,切实形成党委统一领导、党政齐抓共管、有关部门各负其责的网络安全和信息化工作格局。

学校主要负责人是学校网络信息安全的第一责任人,分管网络与信息化工作的校领导是主要负责人,协助履行学校信息安全责任。

学校网络安全和信息化工作领导小组(简称网信工作领导小组)负责统筹指导学校网络信息安全工作,建立健全学校网络信息安全责任制、网络信息安全政策措施和规章制度,研究处理重大网络信息安全事件,定期召开网络信息安全工作会议,指导学校各单位落实相关各项重点工作,统筹管理学校网络安全和信息化项目。

第五条 学校网络安全和信息化工作领导小组办公室(简称校网信办)是学校网信工作领导小组日常工作机构,负责网信工作领导小组日常事务工作,归口管理、协调网络安全和信息化工作,向网信工作领导小组提出工作建议。实施学校网络安全政策措施和规章制度,督促、检查网络安全和信息化各项重点任务落实。

第六条 信息技术中心是学校网络信息安全技术支撑单位,负责网络信息安全防护体系的建设、运行维护、技术指导和服务支持。

第七条 学校各单位负责本单位网站、应用系统的建设、管理及运维,负责本单位网络信息安全工作。各单位主要负责人是本单位网络信息安全工作的第一责任人。

各单位设一名网络信息安全管理员,负责本单位网络信息安全保护措施的落实,对本单位上网人员进行网络信息安全教育和培训,在网信办的指导与协助下,做好本单位网络信息安全工作。

第三章 校园网络安全管理

第八条 校园计算机网络(简称校园网或校园网络)是指校园范围内连接各种信息系统及信息终端的通信网络,包括有线网络、无线网络和各种虚拟专网。

第九条 信息技术中心负责制定校园网络规划。校园各区域的各级主干网络及设备,包括光缆布线、网络机房、网络设备、网管系统、域名管理、安全防护、认证计费、网络接入等,由信息技术中心负责建设、运行、维护和管理。

学校地下管网的规划、建设和运行维护由网信办统一负责。学校所有基建、修缮工程应将工程范围内校园网络建设纳入工程设计、实施和竣工验收范围。

第十条 校园网络与互联网及其他公共信息网络实行逻辑隔离,由信息技术中心统一出口、统一管理和统一防护。

未经批准,学校各单位在校园内不得擅自通过其他渠道接入互联网及其他公共信息网络。

未经批准,任何单位或个人不得将校园网延伸至校外或将校外网络引入校园内。

未经批准,任何数据业务运营商、通信运营商和代理商不得擅自进入唐山师范学院校园内进行工程施工、开展互联网与信息业务。

第十一条 信息技术中心负责部署各类防火墙等安全设备,采取访问控制、安全审计、完整性检查、入侵防范、恶意代码防范等措施加强校园网络边界防护。

未经批准或授权,任何人不得以任何方式试图登录、修改、设置、破坏校园网内的交换机、路由器和服务器等设施设备。

第十二条 校园网用户通过统一上网账号接入校园网络,实行“实名注册、认证上网”制度。校园网用户对个人的上网账号安全负责,不得将上网账号转借他人或与他人共用,因账号保管不善造成的信息安全事故由账号注册者本人负责;不得窃取或盗用他人账户。

第十三条 学校非涉密信息系统接入校园网络,实行接入审批和备案登记制度。涉密信息系统不得接入校园网络。

第十四条 校园网络接入单位负责提供本单位所需的网络设备间和电源保障,协助解决网络布线和设备安装所需空间,协助安防和消防安全管理。

第十五条 接入校园网的机房、电子阅览室等一律不准对社会开放,上网人员必须持有校园“一卡通”或凭学生证、工作证等有效证件登记后,方可上网。机房必须安装管理软件,自动记录上网人员身份和上下网时间、机号、IP 地址等,网络使用记录保存时间不得少于6 个月。

第十六条 严禁任何单位和个人利用校园网络及设施开展经营性活动。

第十七条 校园网用户必须遵守国家有关法律法规,任何单位及个人不得利用校园网危害国家安全、泄露国家秘密,不得侵犯国家、社会、集体利益和个人的合法权益,不得从事违法犯罪活动。

第四章 互联网网站安全管理

第十八条 学校各单位开办互联网网站前均须经党委宣传部审核确认。所有开办的互联网网站均应使用学校互联网域名和互联网IP地址,并遵守校园网域名管理办法及相关规章制度。

第十九条 信息技术中心统一建设学校网站集群平台并负责纳入该平台网站的技术安全。学校网站集群平台应有完善的信息发布与审核流程。

第二十条 所有部门(单位)开办互联网网站应优先选择学校网站集群平台。如果集群平台不能满足需要可委托其他供应商建设、管理,并按网信办的要求签署网站安全责任书,网站开办单位自行负责其网站安全。相关网站建设规范可参照学校网站群建设管理规范。

第二十一条 互联网网站运行维护单位和使用单位应建立网站值守制度,制订应急处置流程,组织专人对网站进行监测,发现网站运行异常及时处置。

第二十二条 互联网网站的内容安全由网站开办单位负责。互联网网站开办单位应建立完善的网站信息发布与审核制度,确定负责内容编辑、内容审核、内容发布的人员名单,明确审核与发布程序,保存相关操作记录。

第二十三条 学校各单位不得提供电子公告服务。确有需要,经学校网信工作领导小组批准、网信办备案后方能提供电子公告服务。提供电子公告服务的互联网网站开办单位承担电子公告服务内容管理的主体责任,并按国家有关规定落实专项安全管理和技术措施。

第二十四条 对于使用频率较低或阶段性使用的网站,互联网网站开办单位可采取非工作时间或寒暑假、节假日关闭的方式运行。对于无人管理、无力维护、长期不更新的网站,互联网网站开办单位应关闭网站以降低安全风险。

第五章 信息系统及其数据安全管理

第二十五条 学校按照国家信息系统等级保护制度的相关法律法规、标准规范以及《教育行业信息系统安全等级保护定级工作指南》要求,落实信息系统安全等级保护制度。

第二十六条 网信办负责管理学校信息系统安全等级保护工作。

信息系统建设单位是信息系统安全等级保护的责任主体,具体负责系统定级、建设整改、安全自查,协助系统备案、等级测评并接受监督检查。

信息技术中心是信息系统安全等级保护工作的技术支撑保障部门,负责信息技术安全防护体系建设和等级测评工作,参与监督检查,并协助学校各单位进行系统定级、建设整改。

对于安全等级第二级及以上的信息系统,由网信办统一办理系统备案,信息技术中心提供技术支持。

第二十七条 任何单位和个人,不得私自设立互联网服务器或自建联网的应用系统。

确实需要开设联网信息服务的单位,须向网信办提出书面申请,经信息技术中心技术评估、备案后方可对外提供服务;服务器必须具有保存日志记录功能,历史记录保存时间不得低于6个月。

接入互联网的服务器及应用系统,应该采取必要的网络安全防护措施、安装防护软件,并将防护措施报信息技术中心备案。

第二十八条 各单位应准确掌握本单位信息系统建设情况,建立信息系统名录,做到底数清、情况明;严格执行信息安全管理措施,切实落实责任,规范建设、运维、使用等各个环节。

第二十九条 各单位应指定专人负责本单位信息系统运行的日常工作,做好用户授权管理,妥善保管好账号和密码。定期对重要数据和信息系统进行备份,定期测试备份与恢复计划,确保备份数据和备用资源的有效性。

第三十条 信息系统建设单位应定期对终端计算机和承担网络与信息系统运行的关键设备(服务器、安全设备、网络设备)进行安全审计,通过记录、检查系统和用户活动信息,及时发现系统漏洞,处置异常访问和操作。

信息系统建设单位应制定信息系统使用与维护的管理制度,规范信息系统使用者和维护者的操作行为。

第三十一条 对于安全等级第二级及以上的信息系统,由网信办定期组织开展等级测评,查找、发现并及时整改安全问题、漏洞和隐患。根据国家和教育行业有关标准规范,三级系统每年进行一次测评。

第三十二条 信息系统数据是指信息系统收集、存储、传输、处理和产生的各种电子数据,包括但不限于信息化公共基础服务(含校园移动平台、上网验证系统、校园一卡通系统等)、跨部门信息系统、业务部门管理信息系统、各类网站、教学资源(含多媒体视频、图片、课件等)等数据和信息。

第三十三条 信息系统数据收集应遵循“最少够用”原则,不得收集与信息系统业务服务无关的个人信息。按照“谁收集,谁负责”的原则,收集个人信息的单位是个人信息保护的责任主体,应当对其收集的个人信息严格保密,并建立健全相关保护制度。

第三十四条 信息系统数据的所有者是数据安全管理的责任主体,应当落实管理和技术措施,规范数据的收集、存储、传输和使用,确保数据安全。

第三十五条 网信办负责定期组织对全校的网站及信息系统开展安全检查,对不合格的网站或信息系统,视其漏洞级别暂停其外网访问,同时通知责任单位限期整改,要求提供整改报告并提交网信办。经信息技术中心复查安全合格后,方可恢复该网站或信息系统的正常访问。

第三十六条 信息技术中心负责学校核心信息系统的备份与恢复管理,制订备份与恢复计划,定期测试备份与恢复计划,确保备份数据和备用资源的有效性。

第六章 数据中心安全管理

第三十七条 数据中心主要包括支撑学校信息系统的物理环境(包含机房)、软硬件设备设施、高性能计算平台、学校中心数据库(包含基础数据库)、数据共享交换平台、统一身份认证平台及融合门户等信息化基础设施和平台。

第三十八条 信息技术中心负责数据中心物理环境、软硬件设备设施和高性能计算平台的软硬件建设和安全管理;根据信息系统安全等级的不同,对数据中心进行分区、分域管理,采取必要的技术措施对不同等级分区进行防护、对不同安全域之间实施访问控制。

第三十九条 信息技术中心负责学校中心数据库、数据共享交换平台的建设和安全管理,负责实施基础数据库与各单位业务数据库之间的数据交换和共享。各单位负责建设、维护本单位业务应用系统所配套的业务数据库,并对本单位业务数据库及所申请的共享数据的安全负责。

第四十条 统一身份认证平台为学校信息系统提供统一的身份管理、安全的认证机制、审计及标准接口。学校各单位建设面向师生服务的应用系统时,应使用统一身份认证平台进行身份认证。信息技术中心负责统一身份认证平台的安全,学校各单位负责本单位应用系统的权限管理及安全。

第四十一条 原则上,学校各单位应依托学校数据中心开展信息系统建设。需使用校外数据中心的,须报网信办审批。涉及学校基础数据、师生员工个人信息或敏感信息的信息系统,不得部署在校外数据中心。未经批准,严禁使用境外数据中心。

第四十二条 信息技术中心对学校数据中心的使用实施准入管理,负责制定使用数据中心的技术规范和标准,在系统上线前进行安全检测。符合技术规范标准并检测通过的系统方可上线运行。

第四十三条 数据中心的使用单位应遵循数据中心相关管理制度和技术标准,按需申请、有序使用,不得利用数据中心资源从事任何与申请应用无关或危害信息安全的活动。

第七章 终端设备安全

第四十四条 终端设备是指由师生员工在校园范围内使用的各类计算机及附属设备,包括台式电脑、笔记本电脑及其他移动终端设备。

第四十五条 按照“谁使用,谁负责”的原则,使用人对其使用的终端设备负有保管和安全使用的责任。

第四十六条 终端设备上安装、运行的软件应为正版软件。在终端上使用盗版软件带来的安全和法律责任由终端使用人承担。

终端设备应当设置系统登录账号和密码,登录密码应具有一定强度并定期更改。

第四十七条 终端设备使用人应做好数据日常管理和保护,定期进行数据备份。非涉密计算机不得存储和处理涉密信息。

终端设备使用人应做好终端设备的安全防范,如发现终端设备出现可能由病毒或攻击导致的异常系统行为或其他安全问题,应立即断网后进行处置。

第八章 存储介质安全

第四十八条 存储介质是指存储数据的载体,主要包括硬盘、存储阵列、磁带库等不可移动存储介质,以及移动硬盘、U盘等可移动存储介质。按照“谁使用,谁负责”的原则,使用人对其使用的存储介质负有保管和安全使用的责任。

第四十九条 原则上,面向师生服务的存储阵列、磁带库等大容量介质应托管在学校数据中心机房统一运行、维护和管理。信息技术中心采取必要技术措施防范数据泄漏风险,确保存储数据安全。

第五十条 非涉密移动存储介质不得用于存储涉密信息,不得在涉密计算机上使用。

第五十一条 移动存储介质在接入终端计算机和信息系统前,应当查杀病毒、木马等恶意代码。

第五十二条 介质使用人应注意移动存储介质的内容管理,对送出维修或销毁的介质应事先清除敏感信息。

第九章 电子邮件安全管理

第五十三条 信息技术中心为学校各单位和教职员工提供电子邮件服务,并负责学校电子邮件系统的安全管理。学校电子邮箱使用者应遵守学校电子邮箱管理规章制度。

第五十四条 信息技术中心采取必要的技术和管理措施,加强电子邮件系统安全防护,减少垃圾邮件、病毒邮件侵袭。

第五十五条 教职员工对申请使用的学校电子邮箱账号开展的所有活动负责,应妥善保管本人使用的电子邮箱账号和密码,确保密码具有较高强度并定期更换。如果发现他人未经许可使用本单位或本人的电子邮箱,应立即通知信息技术中心处理。

第十章 外包服务安全管理

第五十六条 信息技术外包服务是指以外包的形式开发信息系统和运维信息系统。

第五十七条 外包服务需求单位应与信息技术外包服务提供商签订服务合同和信息安全与保密协议,明确信息安全与保密责任,要求服务提供商不得将服务转包,不得泄露、扩散、转让服务过程中获知的敏感信息,不得占有服务过程中产生的任何信息资产,不得以服务为由强制要求委托方购买、使用指定产品。信息技术外包服务合同和信息安全与保密协议应按学校合同管理办法的有关要求,报网信办审核。

第五十八条 信息技术现场服务过程中,外包服务需求单位应安排专人陪同,并详细记录服务过程。

第五十九条 外包开发的系统、软件上线应用前,外包服务需求单位应组织安全检查,要求开发方及时提供系统、软件的升级、漏洞等信息和相应服务。

第六十条 信息技术中心负责远程在线运维管理设备的统一购置、运维和管理。信息系统运维如需采用远程方式进行,必须通过远程在线运维管理设备统一进行管理。

第十一章 信息人员安全管理

第六十一条 各单位应建立健全本单位的岗位信息安全责任制度,明确岗位及人员的信息安全责任。关键岗位的计算机使用和管理人员应签订信息安全与保密协议,明确信息安全与保密要求和责任。

第六十二条 各单位应加强人员离岗、离职管理,严格规范人员离岗、离职过程,及时终止相关人员的所有访问权限,收回学校提供的软硬件设备,如有必要,需签署安全保密承诺书。

第六十三条 各单位应建立外部人员访问机房等重要区域的审批制度,外部人员须经审批后方可进入,并安排工作人员现场陪同,对访问活动进行记录和保存。

第十二章 网络信息安全应急管理

第六十四条 网信办负责管理学校网络信息安全应急管理工作,制定学校网络信息安全事件报告与处置流程,信息技术中心提供安全应急工作的技术支撑和保障。

第六十五条 网信办负责定期组织网络信息安全应急演练,评估并适时组织修订网络信息安全应急预案。各单位应组织开展网络信息安全应急预案的宣传、教育和培训,确保相关人员熟悉应急预案。各单位可根据实际情况,制订本单位的网络信息安全应急预案。

第六十六条 网信办负责组建学校信息安全应急队伍,提高信息安全事件的预防、预警和应对能力,预防和减轻信息安全事件造成的损失和危害。

第六十七条 各单位应按照学校网络信息安全事件报告与处置流程,做好事发紧急报告与处置、整改等工作。做到安全事件早发现、早报告、早控制、早解决。

第六十八条 各单位及师生员工均有义务及时报告信息安全事件,未经授权不得对外公布或尝试利用所发现的安全漏洞和安全问题。

第十三章 网络安全与信息化宣传、教育与培训

第六十九条 学校将网络安全与信息化教育与培训工作纳入教职员工年度继续教育培训工作,不定期以各种形式组织开展针对师生员工的网络安全与信息化宣传教育,提高师生员工的信息化水平和安全防范意识。

第七十条 网信办负责组织学校网络安全与信息化宣传、教育与培训工作,并建立健全相关制度。

人事处在安排教师年度继续教育培训工作时,应安排不少于20%的学时用于网络安全与信息化相关知识的学习。党委宣传部应在每年度的工作中至少安排一次用于网络安全与信息化宣传。信息技术中心为人事处、党委宣传部开展网络安全与信息化宣传、教育与培训工作提供技术支持和服务。

信息技术中心不定期开展针对网络信息安全管理人员和技术人员的专业技能培训,以提高他们的网络安全与信息化工作能力和水平。

第十四章 网络信息安全检查监督

第七十一条 学校各单位应定期对本单位网络与信息系统的安全状况、安全保护制度及措施的落实情况进行自查,积极配合上级有关部门的信息安全检查、信息内容检查、保密检查与审批等工作。

第七十二条 学校网信办定期组织信息技术中心与学校其他有关部门对学校各单位的网络与信息安全工作落实情况进行检查,对发现的问题下达限期整改通知书,责成问题单位制订整改方案并落实到位。

第七十三条 网信办对年度安全检查情况进行全面总结,按照要求完成检查报告,并报学校网信工作领导小组及上级有关网络与信息安全主管部门。

第十五章 网络信息安全责任追究

第七十四条 学校网络信息安全实行责任追究制和责任倒查机制。

第七十五条 有关单位在收到网信办安全限期整改通知书后,整改不力的,学校给予通报批评;玩忽职守、失职渎职造成严重网络信息安全后果的,根据有关规定追究相关单位负责人责任,触犯法律的,移交公安机关处理。

第七十六条 学校各单位应按照网络信息安全事件报告与处置流程,及时、如实报告并妥善处置网络信息安全事件,瞒报、缓报、处置整改不力造成严重网络信息安全后果的,根据有关规定追究相关单位负责人责任,触犯法律的,移交公安机关处理。

第七十七条 师生员工造成网络安全事件的,由其所在单位责令改正,并通报批评;拒不改正或者导致严重网络信息安全事故的,根据学校有关规定给予纪律处分,触犯法律的,移交公安机关处理。

第十六章 附则

第七十八条 涉及国家秘密的信息系统,执行国家保密工作的相关规定和标准,由学校保密办公室监督指导。

第七十九条 本办法在实施中若与国家有关法律、法规有不一致的,以国家法律、法规为准。

第八十条 学校各单位可参照本办法制订本单位的实施细则。

第八十一条 本办法由学校网络安全与信息化工作领导小组办公室负责解释。

第八十二条 本办法自下发之日起实施。学校原有相关规定与本办法不一致的,按本办法执行。

 

 

 

                                                      中共唐山师范学院委员会

                                                         2020年11月16

 

上一条:网络信息安全事件应急预案(党字〔2020〕65号)
下一条:网络安全责任制实施细则(党字〔2020〕63号)

关闭