第一章总则
第一条为保证学校网络安全与信息化建设工作的健康有序发展,规范校内网络安全建设管理工作,确保校内网络安全,根据《中华人民共和国网络安全法》等相关法律法规要求,特制定本办法。
第二条本办法所称网络安全工作是指为保障学校网络安全与信息化建设相关基础设施、信息系统及数据的完整性、可用性及保密性,而采取的网络安全检测、防护、处置等技术措施,以及相关标准规范、管理制度的制定、执行等。本办法主要是技术方面的管理,学校网络安全工作中涉及的内容安全、涉密信息安全管理等不在本办法范畴内,由学校相关单位根据相关规定进行管理。
第二章组织机构及职责分工
第三条学校网络安全与信息化建设管理委员会为学校网络安全工作的领导机构,负责学校网络安全工作的战略决策、实施监督及重大网络安全事件处理的决策指导。委员会下设的网络与信息安全工作组负责制定学校网络安全的总体规划、网络安全工作检查及考评机制,协调重大网络安全事件的处理。
第四条网络与信息化中心(以下简称网信中心)为学校网络安全工作的技术管理机构,负责学校网络安全的日常规划及建设工作、组织协调与管理监督信息化项目中的网络安全建设工作、校园网安全建设与管理、网络安全管理制度的起草与执行,以及其他与学校网络安全相关事务的处理。
第五条校内各单位按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,分别负责本单位主管、运维、使用的各信息统及内部网络的安全工作。校内各单位应根据本单位信息化建设情况,建立本单位的网络安全管理制度和应急处置预案。
第六条校内各单位信息化负责人为本单位网络安全的责任人,负责规划、监督本单位的网络安全工作;信息化专干负责组织、协调本单位的网络安全具体工作。
第七条信息化项目的主管单位为该项目网络安全工作的主管单位,项目组负责该项目网络安全工作的具体落实与实施。
第八条校内广大师生作为校园网的使用者、信息化建设的参与者,同样也是网络安全工作的参与者,有责任和义务遵守学校网络安全的相关规定,积极参与网络安全的建设和管理。
第三章网络安全工作的支持与推进
第九条网络安全工作是学校信息化建设的常规工作,校内各相关单位应通力合作,在人员、资金、技术、设备等方面提供充足的支持与保障。学校在经费安排上切实保障网络安全等级保护测评、网络安全监测和检测评估、信息系统安全升级和防护加固、网络安全教
育培训、网络安全事件处置和安全运维等网络安全常规工作预算;新增信息化项目预算中须包含网络安全专项预算。对于信息化项目建设中,出现重大安全问题的厂商,学校根据合同及其他规定做出延期验收等处理,对于此类情况造成的预算执行率问题学校应予充分考虑。
第十条按照国家相关法律法规要求,学校应及时开展校内网络安全等级保护(以下简称等保)工作。网信中心负责校内等保工作的组织协调,各单位负责本单位主管信息化项目等保定级、等保测评、等保整改工作的具体落实,确保学校等保工作按照国家法律法规要求正常开展
第十一条按照国家相关法律法规要求,学校应积极开展关键信息基础设施保护工作。网信中心负责关键信息基础设施的认定、网络安全评估及网络安全建设工作。
第十二条积极提高校内相关人员的网络安全工作能力,增强校内广大师生的网络安全意识。网信中心负责在校内开展网络安全相关的各类宣传、培训、演练等活动,校内各单位信息化建设相关人员应积极认真参与,并做好在本单位的宣传推广工作,工
作情况列入信息化考核指标。
第四章校园网安全建设与管理
第十三条校园网及相关基础设施由网信中心统一规划、建设、管理,并提供统一网络出口,校内各单位及个人不得擅自建设、更改、损毁、挪用校园网及相关基础设施,不得私接外网出口。
第十四条校园网主要服务于学校教学、科研及校务管理等,用户不得将校园网用于其他用途,严禁利用校园网开展各类未经许可的其它活动。
第十五条校园网入网实行实名制,校内用户必须通过学校统一身份认证接入校园网,未经登记不得以任何方式私接校园网,严禁盗用其他用户上网账号使用校园网。
第十六条校园网用户应文明上网,规范网络行为,并做好个人网络安全维护及校园网个人资源相关网络安全管理维护。校园网用户的上网行为不得危害到学校网络安全和正常秩序,严禁利用校园网从事任何无授权的探测、破坏、信息窃取等互联网攻击活动。
第十七条校园网用户 IP 地址未经许可不得对校园网以外提供互联网服务,如在科研上确有特殊需求,需要用户 IP 地址对外开放服务(限于非 WEB 信息发布类服务),经网信中心审批后可开放,由申请人员承担相关全部网络安全责任。
第十八条对于违反上述规定的用户,经网信中心查实,可对违规用户暂停一切网络与信息化服务,并可根据本办法进行追责处理。
第五章信息化建设中的网络安全建设与管理
第十九条学校信息化建设实行网络安全一票否决制。对于不符合网络安全要求的各类信息化项目必须先进行整改,整改完成后方可继续进行建设或继续提供服务。
第二十条学校信息化项目建设应遵循校内网络安全相关制度、技术规范、标准流程开展,信息化项目全生命周期内各环节均需要完成相关网络安全建设工作。各信息化项目上线、验收前必须通过必要的网络安全检测,未通过检测擅自上线或验收的,一切网络安全责任由项目主管单位自行承担。
第二十一条校内各类信息化应用原则上应依托于学校数据中心建设,使用学校 IP 地址及域名,并进行登记备案。
第二十三条为保证学校信息化建设项目网络安全建设工作及安全运维工作正常开展,应采用安全规范、质量和售后服务优良的软、硬件产品或服务厂商,不得由自然人承担信息化项目建设任务。
第二十四条校内各信息系统面向在校师生的用户认证必须使用学校统一身份认证,不得单独建立用户认证系统。
第二十五条校内各信息系统应按照学校信息化数据资源相关管理规定,采取必要的安全措施,确保数据安全。
第二十六条信息化建设中所涉及到的个人信息,必须按照国家相关法律法规及学校个人信息保护相关规定进行严格保护,任何单位及个人不得违法违规采集、存储、使用和处理校内各类个人信息。
第六章计算机保密管理
第二十七条建立涉密计算机登记备案制度。各单位保密委员会应根据实际用途和所处进理信息的密级,将计算机分为涉密计算机和非涉密计算机,实行统一编号管理,明确专人负责,做到专机专用,并在计算机显示器的左上方贴相应的密级标识。
第二十八条建设处理涉密信息的计算机网络,应选择经国家保密局批准并取得《涉及国家秘密的计算机信息系统集成资质证书》的集成单位(公司)承建。
第二十九条处理涉密信息的计算机网络建成后,应根据国家有关规定,报保密工作部门进行保密审批。未经保密审批的网络,不得处理国家秘密信息。
第三十条计算机保密管理必须做到“上网不涉密,涉密不上网”。涉密计算机可处理国家秘密信息和内部工作信息,但不得与国际互联网或其他非涉密网络相连,必须实行于非涉密信息的搜索、查阅,但不得处理,传递、储存国家秘密信息。
第三十一条建立健全上网信息的保密审查批制度。各单位应根据国家保密法规,按照一定的工作程序,建立健全上网信息保密审查批制度,并落实上网信息保密审批领导责任制。凡向国际互联网站点提供或发布的信息,必须经过保密审查批准。
第三十二条涉密计算机要设置开机密码和屏幕保护密码。处理秘密级信息的计算机及其网络,设置的开机密码或系统口令长度不少于八个字符,更换周期不长于一个月;处理机密级信息的计算机及其网络,设置的开机密码或系统口令长度不少于十个字符,更换周期不长一周;处理绝密级信息的计算机及其网络,应当采用一次性口令或生理特征等强认证措施。设置屏幕保护的等待时间应根据工作需要,一般不长于2分钟。
第三十三条涉密计算机内所存诸的涉密信息,应根据国家保密局有关定密工作的规定,由本单位有关部门确定并标明密级。密级标识应位于正文首页左上角,且不能与正文分离。存诸多种密级信息时应信息的最高密级进行防护。
第三十四条加强对便携计算机的保密管理规定。各单位应专门建立便携计算机的保密管理规定,明确保密管理责任人,建立使用登记制度,严格履行外出使用的保密审批手续。涉密便携式计算机处理的这家秘密信息必须存放在软盘、U盘、光盘、移动硬盘等移动存诸介质中,并与便携计算机分离保管,涉密便携计算机几不得诸存国家秘密信息。
第三十五条加强计算机涉密磁介质的保密管理。凡储存了国家秘密信息的软盘、U盘、光盘、可移动硬盘等,应按所存诸信息的最高级标明密级,实行统一编号,明确专人负责,由各处(室)集中保存于铁质文件柜中,并建立涉密磁介质的使用登记制度。
第三十六条涉密计算机各类涉密信息设备、销毁时,须经单位主管领导审核批准、指定专人负责,并进行清点,登记,建立维修、销毁过各程中的安全。
第七章检测预警与网络安全事件的处置
第三十七条网信中心作为校内网络安全技术管理单位,代表学校对校内各类信息系统、网络、其他相关设备开展网络安全检测工作。网信中心可根据检测结果启动校内网络安全事件处置流程或发布安全预警。
第三十八条网信中心负责学校网络安全相关的各类安全情报搜集工作,并结合校内信息化建设实际情况对校内开展网络安全预警。针对不同受众,安全预警将通过网信中心网站、邮件等不同方式发送,相关单位及人员应根据预警信息,认真落实网络安全自查及问题修复,避免预警相关安全问题的发生
第三十九条校内网络安全事件的处理由网信中心负责组织实施,按照学校网络安全事件处置预案进行分级、分类处理。安全事件相关单位及人员应积极配合,认真落实网络安全事件处置相关工作。为避免安全事件不良影响扩大,网信中心有权直接对安全事件相关的网络及信息系统进行断网、停止服务等应急处理。
第四十条校内各单位应根据本单位信息化建设情况制定相应的监控与值守制度,发现网络安全问题应及时向网信中心报告并进行必要的应急处置。
第四十一条网信中心负责组织校内网络安全事件处置应急演练,相关单位应积极参与,通过演练提高校内网络安全事件处置能力。
第八章奖励与追责
第四十二条学校每年组织网络安全建设先进单位及个人的评选表彰,具体评选办法由网信中心另行制定。
第四十三条对于违反本办法及相关网络安全制度的校内单位及个人,取消当年信息化建设评优资格。网络安全事件及其他安全问题的责任认定,将提交网络安全与信息化建设管理委员会讨论处理意见,进行处理。
第四十四条对于违反法律、法规,造成国家、学校和个人损失的,学校将依法配合公安、网信等主管部门进行处理。
第九章附则
第四十五条本办法为校内网络安全建设的基本规定,校内其他涉及网络安全的相关规定应以本办法为依据,如有不同之处以本办法为准。
- 上一篇:计算机信息系统国际联网保密管理规定
- 下一篇:学院校园网管理办法