甘肃能源化工职业学院校园网络安全管理制度

作者:  来源:  时间:2020/7/6 19:52:52  访问次数:235

甘肃能源化工职业学院

关于印发《校园网络安全管理制度》的通知

 

各处室、系部、白银校区:

为进一步加强和规范学院信息技术安全管理,推进学院信息系统(含互联网网站)安全等级保护工作,提高信息技术安全防护能力和水平,保障学院各项事业健康有序发展,根据《中华人民共和国网络安全法》、《教育部关于加强教育行业网络与信息安全工作的指导意见》(教技[2014] 4 号)等文件要求,结合我院实际,特制定本办法,现予以印发,请遵照执行。

 

 

 

 

甘肃能源化工职业学院

2020年6月16日


甘肃能源化工职业学院

校园网络安全管理制度

 

第一章 

    第一条 为加强学院校园计算机网络(以下简称校园网)的运行和使用管理,确保网络安全、可靠、稳定地运行,促进校园网络的健康发展,根据根据《中华人民共和国网络安全法》、《教育部关于加强教育行业网络与信息安全工作的指导意见》(教技2014〕 4 号)和国家有关规定,特制定本管理制度。

    第二条 本制度所称网络信息安全工作,是指为使由学院建设、运行、维护或管理并支撑学院教学、科研和管理等各项事业的信息资产(信息及信息系统)的机密性、完整性、可用性等得到保持、不被破坏所开展的相关管理和技术工作。

本制度所指学院各部门包括各党政职能部门、党群组织、教学系部、白银校区、教辅部门等相关机构。
    第三条 学院按照谁主管谁负责、谁运维谁负责、谁使用谁负责 的原则,建立健全信息安全责任体系,学院各部门、全体师生员工应依照本制度要求及学院相关标准规范履行信息技术安全的义务和责任。

第二章 组织与管理机构

    第四条 学院主要负责人是学院网络信息安全的第一责任人,分管信息化工作的院领导协助主要负责人履行学院信息安全责任。
学院党委宣传科是校园网络信息管理职能部门,负责学院网站信息的审核和发布,负责网站信息及交互信息的监控和巡查。

    第五条 学院网络信息中心是学院信息安全归口管理部门,是信息安全技术支撑单位,负责学院信息技术安全防护体系的建设、运行维护、技术指导和服务支持,负责统筹学院网络安全与信息化建设工作。具体职责包括:
(一)制定信息安全总体规划,并组织实施;
(二)拟定信息安全管理规章制度,制定信息安全标准规范;
(三)组织开展信息系统安全等级保护工作;
(四)负责信息安全应急管理,协调处理与政府信息安全管理部门的关系;
(五)组织信息安全宣传和教育培训工作;
(六)负责信息安全监督检查工作;
(七)学院有关信息安全的其他工作。
    第六条 学院各部门是本部门网络安全和信息化工作的责任主体,各部门主要负责人是本部门网络安全和信息化工作第一责任人,负责按本制度落实信息安全工作。

    第七条 各部门严格要求本部门上网用户必须自觉遵守国家有关保密法规:

(一)不得利用国际联网泄露国家秘密;

(二)涉密文件、资料、数据严禁上网流传、处理、储存;    (三)与涉密文件、资料、数据和涉密科研课题相关的微机严禁联网运行。

(四)不得利用互联网制作、复制、查阅和传播违法违规信息,不得从事危害计算机信息网络安全的活动。

(五)不得违反法律规定,利用互联网侵犯用户的通信自由和通信秘密。

    第八条 各部门必须严格执行以下安全管理制度:

(一)分级管理,分级负责;

(二)信息发布图文审核、登记制度;

(三)信息的监视、保存、清除和备份制度;

(四)违法案件报告和协助查处制度;

(五)帐号使用登记和操作权限管理制度;

(六)安全教育和培训制度;

(七)实名上网、实名注册制度;

(八)禁止涉密计算机入网制度。

 

第三章 信息系统建设、运行和维护管理

    第九条 学院按照同步规划、同步建设、同步运行的原则,规划、设计、建设、运行、管理信息安全设施,建立健全信息技术安全防护体系,全面实施信息系统安全等级保护制度。
    第十条 网络信息中心负责制定学院信息系统项目规划和顶层设计。学院各部门根据本部门业务需求,提出信息系统建设申请。 网络信息中心审核认证后,纳入学院信息系统建设需求并予以资金支持。
    第十一条 网络信息中心负责统筹学院信息系统安全等级保护工作,组织学院各部门开展信息系统定级、系统备案、等级测评、建设整改,具体负责信息系统台账管理、等级评审、系统备案、监督检查工作。按照自主定级、自主保护 的原则,信息系统建设部门是信息系统安全等级保护的责任主体,具体负责系统定级、建设整改、安全自查,协助系统备案、等级测评并接受有关部门监督检查。 网络信息中心是信息系统安全等级保护工作的技术支撑保障部门,负责信息技术安全防护体系建设和等级测评组织工作,参与监督检查工作,并协助学院各单位进行系统定级、建设整改。
    第十二条 为确保项目质量,网络信息中心连同项目建设申请部门在立项阶段组织需求、技术、预算等方面的专家论证。信息系统建设单位在立项阶段应确定安全保护等级,由网络信息中心对建设方案进行单独的安全论证和等级评审。对于安全等级第二级以上(含第二级)的信息系统,由网络信息中心统一办理系统备案。
    第十三条 学院鼓励建设部门优先采购安全可靠、技术成熟和服务优质的成品软件用于信息系统建设。没有相应成品软件或成品软件不适应实际需求的,可按照学院采购与招标相关制度,委托资质和信誉良好的软件开发商进行开发。
    第十四条 信息系统在建设阶段应按已确定安全保护等级,同步落实安全保护措施。信息系统投入试运行后,由建设单位初步验收,出具初步验收报告。对于安全等级第二级以上(含第二级)的信息系统,由网络信息中心组织等级测评。信息系统通过初步验收和信息安全保护等级测评后,由网络信息中心组织竣工验收。
    第十五条 信息系统开发环境、测试环境和运行环境应严格隔离,网络信息中心负责上述环境的建设、运行、维护和管理。
    第十六条 信息系统建设部门可自行或委托网络信息中心维护信息系统。亦可根据实际需要,委托外单位维护信息系统。涉及重要业务或大量师生员工信息的核心信息系统以及安全等级第二级以上(含第二级)的信息系统,原则上应由网络信息中心维护。
    第十七条 信息系统建设部门应定期对终端计算机和承担网络与信息系统运行的关键设备(服务器、安全设备、网络设备)进行安全审计,通过记录、检查系统和用户活动信息,及时发现系统漏洞,处置异常访问和操作。
    第十八条 信息系统建设部门应制定信息系统使用与维护的管理制度,规范信息系统使用者和维护者的操作行为。
    第十九条 对于安全等级第二级以上的信息系统, 网络信息中心将定期组织开展等级测评,查找、发现并及时整改安全问题、漏洞和隐患。根据国家和教育行业有关标准规范,按期进行测评。

第四章 信息系统数据安全管理

    第二十条 信息系统数据是指院内各类信息系统所产生、保存和利用的相关数据,包括但不限于:信息化公共基础服务(含校园移动平台、上网验证系统、校园一卡通系统等)、跨部门信息系统、业务部门管理信息系统、各类网站、教学资源(含多媒体视频、图片、课件等)等数据和信息。
    第二十一条 信息系统数据的所有者是数据安全管理的责任主体,应当落实管理和技术措施,规范数据的收集、存储、传输和使用,确保数据安全。
    第二十二条 信息系统数据收集应遵循最少够用 原则,不得收集与信息系统业务服务无关的个人信息。按照谁收集,谁负责 的原则,收集个人信息的部门是个人信息保护的责任主体,应当对其收集的个人信息严格保密,建立健全相关保护制度。
    第二十三条 网络信息中心负责学院核心信息系统的备份与恢复管理,制订备份与恢复计划,根据业务实际需要对重要数据和信息系统进行备份,定期测试备份与恢复计划,并确保备份数据和备用资源的有效性。

第五章 互联网网站安全管理

    第二十四条 学院各部门开办互联网网站,应使用学院互联网域名和互联 IP 地址,并按网络信息中心的要求签署网站安全责任书。
    第二十五条 网络信息中心统一建设学院网站集群平台并负责纳入该平台网站的技术安全。所有网站开办前需要经党委宣传科审核确认。未经准许,任何部门不得私自开设网站。
     第二十六条 互联网网站运行维护部门和使用部门应建立网站值守制度,制订应急处置流程,组织专人对网站进行监测,发现网站运行异常及时处置。
    第二十七条 互联网网站的内容安全由网站开办部门负责。互联网网站开办部门应按照党委宣传部要求建立完善的网站信息发布与审核制度,确定负责内容编辑、内容审核、内容发布的人员名单,明确审核与发布程序,保存相关操作记录。
     第二十八条 原则上,学院各部门不得提供电子公告服务。确有需要,经批准备案后方能提供电子公告服务。提供电子公告服务的互联网网站开办部门承担电子公告服务内容管理的主体责任,并按国家有关规定落实专项安全管理和技术措施。
     第二十九条 对于使用频度不大、阶段性使用的网站,互联网网站开办部门可采取非工作时间或寒暑假、节假日关闭的方式运行。对于无人管理、无力维护、长期不更新的网站,互联网网站开办部门应关闭网站以降低安全风险,网络信息中心负责监督管理。

第六章 终端计算机安全管理

    第三十条 终端计算机是指由学院师生员工使用并从事学院教学、科研、管理等活动的各类计算机及附属设备,包括台式电脑、笔记本电脑、云桌面终端及其他移动终端,管理办法依据本章实施。
    第三十一条 终端计算机使用人按照谁使用,谁负责的原则,对其终端计算机负有保管和安全使用的责任。网络信息中心对终端计算机的安全管理提供技术支持和指导。
    第三十二条 网络信息中心负责常用正版软件下载和分发。
    第三十三条 终端计算机设备上安装、运行的软件须为正版软件。在终端计算机上使用盗版软件带来的安全和法律责任由终端计算机使用人承担。
    第三十四条 终端计算机应当设置系统登录账号和密码,禁止自动登录,登录密码应具有一定强度并定期更改。
    第三十五条 终端计算机使用人应做好数据日常管理和保护,定期进行数据备份。非涉密计算机不得存储和处理涉密信息。
    第三十六条 终端计算机使用人应做好终端计算机的安全防范,如发现终端计算机出现可能由病毒或攻击导致的异常系统行为或其他安全问题,应立即断网后进行处置。
    第三十七条 终端计算机使用人应对终端计算机妥善保管。若发生损坏丢失,按学院仪器设备相关管理规定处理。


第七章 存储介质安全管理

    第三十八条 存储介质是指存储数据的载体,主要包括硬盘、存储阵列、磁带库等不可移动存储介质,以及移动硬盘、U盘等可移动存储介质。
    第三十九条 学院各部门建立移动介质管理制度,记录介质领用、交回、维修、报废、损毁等情况。介质使用人按照谁使用,谁负责 的原则,对其移动介质负有保管和安全使用的责任。
    第四十条 非涉密移动存储介质不得用于存储涉密信息,不得在涉密计算机上使用。
    第四十一条 移动存储介质在接入终端计算机和信息系统前,应当查杀病毒、木马等恶意代码。
    第四十二条 介质使用人应注意移动存储介质的内容管理对送出维修或销毁的介质应事先清除敏感信息。

第八章 人员安全管理

第四十三条 学院各部门应建立健全本部门的岗位信息安全责任制度,明确岗位及人员的信息安全责任。关键岗位的计算机使用和管理人员应签订信息安全与保密协议,明确信息安全与保密要求和责任。
    第四十四条 学院各部门应加强人员离岗、离职管理,严格规范人员离岗、离职过程,及时终止相关人员的所有访问权限,收回各种身份证件、钥匙以及学院提供的软硬件设备,并签署安全保密承诺书。
    第四十五条 网络信息中心应定期对信息技术安全岗位的人员进行安全知识和技能的考核,并对考核结果进行记录和保存。
    第四十六条 学院各部门应建立外部人员访问机房等重要区域的审批制度,外部人员须经审批后方可进入,并安排工作人员现场陪同,对访问活动进行记录和保存。

第九章 外包服务安全管理

第四十七条 信息技术外包服务是指信息系统的开发和运维的外包, 依据学院有关制度进行管理。

第四十八条 外包服务需求部门应与信息技术外包服务提供商签订服务合同和信息安全与保密协议,明确信息安全与保密责任,要求服务提供商不得将服务转包,不得泄露、扩散、转让服务过程中获知的敏感信息,不得占有服务过程中产生的任何信息资产, 不得以服务为由强制要求委托方购买、使用指定产品。信息技术外包服务合同和信息安全与保密协议应按学院合同管理制度的有关要求,报法律顾问和信息中心审核。
    第四十九条 外包开发的系统、软件上线应用前,外包服务需求部门应组织安全检查,要求开发方及时提供系统、软件的升级、漏洞等信息和相应服务。

第十章  信息安全应急管理

第五十条 网络信息中心负责学院信息安全应急工作的统筹管理、技术支撑和保障,相关部门制定相关应急预案可依据学院《校园网络安全应急预案》。
    第五十一条 网络信息中心负责制定学院信息技术安全事件报告与处置流程、制订学院信息技术安全应急预案;相关部门可制订本部门信息技术安全应急预案。
    第五十二条 网络信息中心定期组织网络安全应急演练,评估并适时组织网络安全应急预案修订。学院各部门应组织开展网络安全应急预案的宣传、教育和培训,确保相关人员熟悉应急预案。
    第五十三条 网络信息中心负责建设学院信息安全应急技术支援人才队伍,完善24小时应急值守制度,提高信息安全事件的预防、预警和应对能力,预防和减轻信息安全事件造成的损失和危害。
    第五十四条 学院各部门应按照学院校园网络安全事件报告与处置流程,做好网络安全事件处置工作,做到早发现、早报告、早控制、早解决。
    第五十五条 学院各部门及师生员工均有义务及时向网络信息中心报告网络安全事件。

第十一章 信息安全教育培训

    第五十六条 网络信息中心负责组织学院信息安全宣传和教育培训工作,建立健全相关制度;定期组织开展针对师生员工的信息安全教育,提高师生员工的安全和防范意识;定期开展针对信息安全管理人员和技术人员的专业技能培训,提高信息安全工作能力和水平。

第十二章 信息安全检查监督

    第五十七条 学院各部门定期对本部门信息系统的安全状况、安全保护制度及措施的落实情况进行自查,并配合有关部门的信息安全检查、信息内容检查、保密检查与审批等工作。
    第五十八条 网络信息中心联合学院有关部门对学院各部门的信息技术安全工作落实情况进行检查,对发现的问题下达限期整改通知书,责成相关部门制订整改方案并落实到位。
    第五十九条 网络信息中心对年度安全检查情况进行全面总结,按照要求完成检查报告并报学院信息安全主管领导和有关信息安全主管部门。

第十三章 信息安全责任追究

    第六十条 学院建立信息安全责任追究和倒查机制。
    第六十一条 有关部门在收到网络与信息技术安全限期整改通知书后,整改不力的,学院给予通报批评;玩忽职守、失职渎职造成严重后果的,依纪依法追究相关人员的责任。
    第六十二条 学院各部门应按照信息技术安全事件报告与处置流程及时、如实地报告和妥善处置信息技术安全事件。如有瞒报、缓报、处置和整改不力等情况,学院将对相关部门责任人进行约谈或通报。
    第六十三条 师生员工违反本制度规定的,由其所在部门责令改正,并通报批评;拒不改正或者导致危害信息技术安全等严重后果的,根据学院有关规定给予以纪律处分。触犯刑律的,移交司法机关处理。

第十四章 附则

    第六十四条 涉及国家秘密的信息系统,执行国家保密工作的相关规定和标准,由学院保密办公室监督指导。
    第六十五条  本制度自本文印发之日起执行。
    第六十六条 本制度由学院网络安全和信息化领导小组办公室负责解释。 本制度中所有相关子类制度由网络信息中心负责管理和制定。


招生热线 在线咨询