第一章 总 则
第一条 为保障校园网络及信息系统的安全稳定,促进学校信息化健康发展,根据《中华人民共和国计算机信息系统安全保护条例》《中华人民共和国数据安全法》《中华人民共和国网络安全法》等国家相关法律法规并结合必赢官网实际,特制定本办法。
第二条 网络安全是指通过采取必要的措施,防范对网络的攻击、侵入、干扰、破坏、篡改、盗取用户数据及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
第三条 网络安全管理的基本原则是“谁主管、谁负责,谁运维、谁负责,谁使用、谁负责”,明确责任、突出重点、保障安全。
第四条 网络安全管理的总体方针是以国家标准《信息系统安全等级保护基本要求》(GB/T22239-2008)为指导,预防为主、综合防范。
第五条 网络安全管理的目标是建立健全网络信息安全保障体系,提高安全防护能力,确保学校网络信息安全工作规范、有序开展,保障学校信息化可持续发展。
第二章 机构与职责
第六条 学校成立网络安全和信息化领导小组,领导小组由学校党委书记任组长,其他校领导任副组长。领导小组成员包括党政办公室、宣传统战部、学生工作部、保卫部、人事处、团委、信息与网络中心等各职能部门负责人、各直属党组织书记。领导小组下设办公室,办公室设在宣传统战部,宣传统战部部长担任办公室主任,保卫部部长和信息与网络中心主任担任副主任。
主要职责:
1.贯彻落实国家、省关于网络安全的工作部署,组织研究制订学校网络安全发展规划及规章制度;
2.统筹协调学校网络安全重大问题及校内外网络安全相关各项事务,组织实施学校网络安全工作;
3.对学校网络安全工作进行指导、监督、考核和检查。
第七条 宣传统战部负责协调学校网络安全工作,负责网络内容与意识形态工作。主要职责:
1.组织对学校网络发布的信息、意识形态、网络舆情等网络内容进行监督和处置;
2.负责学校主网站相关栏目的新闻、图片、资源的审核及上传工作;
3.协同信息与网络中心、保卫部、学生工作部、团委等部门对师生进行网络安全教育和相关法制教育。
第八条 党政办公室负责涉密级信息网络泄密类事件的处理,指导各单位做好网络涉密工作。
第九条 保卫部负责协助相关部门做好网络安全稳定工作,协助政府有关部门查处利用校园网络进行的违纪违法行为。
第十条 信息与网络中心负责校园网的建设维护、技术支撑与数据安全管理工作。主要职责:
1.负责学校网络安全基础设施、公共平台的建设、管理与运行维护;
2.负责落实安全保护技术措施,做好用户信息的管理,保障网站信息安全、校园网的运行安全、业务信息系统安全与数据安全;
3.负责对学校各二级单位(以下统称单位)网络安全技术工作进行指导、培训、督促、检查、考核、技术支持与服务。
第十一条 学校各机关教辅负责人和教学学院书记是本单位网络安全工作的第一责任人,负责管理网络安全工作,签署二级单位网络与信息安全责任书(附件1);另须指定一名相对稳定的网络安全管理员,负责本单位网络安全具体工作,做好与宣传统战部、信息与网络中心的联络工作,签署网络与信息安全员承诺书(附件2);相关人员调整时应及时到网络安全和信息化领导小组办公室办理变更手续;各单位的网络安全工作纳入年度维稳综治安全工作目标管理责任书进行考核。
第三章 网站信息安全
第十二条 学校实行网络安全等级保护制度。校园内各网络服务提供者与管理者均应按照安全等级保护制度的要求,履行下列安全保护义务,保障网站免受干扰、破坏或者未经授权的访问,防止网站数据泄露或者被窃取、篡改:
1.制订内部安全管理制度和操作规程,确定网站安全负责人,落实网站安全保护责任;
2.采取防范计算机病毒和网络攻击、网络侵入等危害网站安全行为的技术措施;
3.采取监测、记录网站运行状态、网络安全事件的技术措施,并按照规定留存相关网络日志不少于6个月;
4.采取数据分类、数据备份和加密等措施;
5.法律、行政法规规定的其他义务。
第十三条 各单位网站原则上要求建在校园网网站群服务器上。有特殊原因需要使用独立服务器的须报信息与网络中心审批、备案,要求取得原始代码,掌握最高管理权限,并实行有效控制。以学校或学校内设机构的名义在校外创建的网站和新媒体平台,须报宣传统战部和信息与网络中心审批、备案,并接受常规检查和年审。
第十四条 学校各网站在上线前,网站主办单位须开展安全自查工作,提供安全自查报告,并填写《网站及信息系统情况记录表》(附件3),由单位网络安全工作第一责任人签字确认后,提交信息与网络中心备案。各网站主办单位应加强对网站的建设与管理,并对网站的形式、内容、信息安全负责。
第十五条 学校各单位网站原则上使用学校统一的域名。未经批准,任何单位不得在校园网上申请校外域名用于对外提供域名解析服务。已获批准的,需到工信部门进行备案。
第十六条 各单位网站未经宣传统战部批准不得开设聊天室、论坛等栏目;需要开设留言板功能模块的必须设置审核功能。
第十七条 信息与网络中心采用专业技术手段对网站进行安全检测。检测未通过的须进行安全整改,直至通过检测,网站方可上线运行。
第十八条 各单位须定期对本单位的网站开展安全巡检,并做好巡检记录,填写《网站及信息系统巡检记录表》(附件4)。对校外开放的网站或信息系统,要求每周巡检一次,对校内开放的网站或信息系统,要求每月巡检一次。
第十九条 各单位须定期对网站进行漏洞修补,包括主机系统漏洞、WEB应用漏洞、中间件漏洞、数据库漏洞等。
第二十条 特殊时期,各单位须加强网站的安全监管工作,安排专人值守,加强安全巡检,做好安全整改。
第四章 网络运行安全
第二十一条 校园网上网采用实名制。用户在办理网络接入、域名注册等手续时应当按要求提供真实身份信息。对于不提供真实身份信息的用户,不得为其提供相关服务。信息与网络中心定期对上网账号信息进行审核。
第二十二条 校外人员如因工作需要须接入学校网络,由相关单位向信息与网络中心提出网络接入申请,并对其承担监督责任。
第二十三条 计算机设备及系统在接入学校网络前须接受信息与网络中心的检查,检查通过后方可接入;接入互联网的计算机必须与各单位的涉密计算机系统实行物理隔离。涉密信息不得在上网设备上操作或存储。
第二十四条 所有接入网络的用户必须自觉遵守国家的法律法规,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。
第二十五条 信息与网络中心负责学校关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作,应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设和同步使用。
第二十六条 信息与网络中心应当定期对关键信息基础设施运营的工作人员进行网络安全教育、技术培训和技能考核。
第二十七条 对于学校关键信息基础设施,信息与网络中心应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关部门。
第五章 信息系统安全
第二十八条 各单位负责本单位信息系统的运行维护、信息审核和信息安全管理。
第二十九条 各信息系统原则上应使用学校二级域名和IP地址。未经学校批准,任何单位和个人不得以学校名义注册互联网域名及通过校外服务器发布信息系统。
第三十条 信息与网络中心不定期对各单位信息系统进行监督检查,不符合网络与信息安全要求的,视其情况限期整改或终止网络接入。
第三十一条 学校根据教育部颁发的《教育信息系统安全等级保护定级指南》等文件要求,对学校所有信息系统进行等级评定和安全保护。信息与网络中心负责信息系统安全等级保护工作的技术指导,各单位负责做好本单位信息安全等级保护工作。
第三十二条 各单位信息系统必须严格执行国家安全和保密法规,杜绝发布涉密信息。涉密信息系统应严格执行有关涉密计算机及信息系统保密管理规定。各单位信息系统的管理账号和密码要严格保密,发现任何非法使用或存在其他风险,应立即上报信息与网络中心并及时处理解决。
第三十三条 各单位信息系统涉及的程序编码应符合安全规范,并按照网络与信息安全要求部署安全防范措施。发现漏洞、病毒、木马程序的,应及时处理解决并报告信息与网络中心。
第六章 数据安全
第三十四条 信息与网络中心负责各类公共服务平台的数据建设、运维和安全管理,并为其他部门的数据安全管理提供技术支持;各单位负责本单位业务系统的数据建设、运维和安全管理。
第三十五条 各单位应加强数据安全管理,及时做好业务数据的备份、容灾和恢复等工作,应定期对所属数据安全工作进行自查并做好记录,各单位信息化分管领导应定期检查工作责任的落实情况。
第三十六条 各单位之间交换数据,原则上须通过公共数据中心进行,避免以离线文档形式或微信、QQ等渠道传递。在使用校外数据时,应明确其来源,避免使用来源不明数据。
第三十七条 各单位应严格按照本单位业务用途加强数据安全管理,不得超范围使用或公开数据,不得直接或以改变数据形式等方式提供给第三方,也不得用于或变相用于其它。
第三十八条 各单位及个人违反本办法规定,有下列情形之一的,由网络安全和信息化领导小组根据实际情况责令限期改正。造成严重不良后果的,由网络安全和信息化领导小组按照相关规定予以追责:
1.未按规定开放或使用数据的;
2.未按规定随意采集数据、扩大数据采集范围,造成重复采集数据,引起师生投诉的;
3.数据使用管理失控,致使出现滥用、盗用及泄漏的;
4.未经授权,擅自将学校数据用于本单位履行职责所需范围以外的,或擅自转让给第三方的,或利用学校数据开展经营性活动的。
第三十九条 对于违反法律、法规和学校相关规定,造成国家、学校和个人损失的,学校将依法依规追究相关单位及个人的责任。
第七章 监测预警与应急响应
第四十条 宣传统战部、信息与网络中心统筹协调各单位加强网络安全信息收集、分析和通报工作,按照规定统一发布网络与信息安全监测预警信息。
第四十一条 网络安全事件应急预案应当按照事件发生后的危害程度、影响范围等因素对网络与信息安全事件进行分级,并规定相应的应急处置措施。
第四十二条 当网络安全事件发生的风险增大时,应当按照规定的权限和程序并根据信息与网络安全风险的特点和可能造成的危害,学校网络安全和信息化领导小组可采取下列措施:
1.要求有关单位和人员及时收集、报告有关信息,加强对网络与信息安全风险的监测;
2.组织有关单位和专业人员,对网络安全风险进行分析评估,预测事件发生的可能性、影响范围和危害程度;
3.报告和发布网络安全风险预警,发布避免、减轻危害的措施。
第四十三条 发生网络安全事件时,涉事单位应立即向学校网络安全和信息化领导小组办公室报告,并根据学校统一安排启动网络安全应急预案,采取相应的技术措施与方法,消除安全隐患,防止危害扩大。
第四十四条 学校有关单位在履行网络安全监督管理职能时,发现网络或信息系统存在较大安全风险或者发生安全事件的,可以按照规定的权限和程序对有关部门提出要求,相关单位应当采取措施进行整改和消除隐患。
第四十五条 因违规违法或管理不力导致的网络与信息安全事件,给学校造成严重损害或产生严重后果的,学校将按照有关规定追究直接责任人和相关领导责任。
第八章 附 则
第四十六条 本管理办法由网络安全和信息化领导小组办公室负责解释。
第四十七条 本管理办法自颁布之日起施行,原《必赢766net手机版网络安全管理办法》同日废止。
附件:
1.二级单位网络与信息安全责任书
2.网络与信息安全员承诺书
3.网站及信息系统情况记录表
4.网站及信息系统巡检记录表
附件1
二级单位网络安全责任书
学校网络安全和信息化领导小组:
为进一步落实网络安全管理责任,确保学校网络安全,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国网络安全法》,结合学校实际,特制订本责任书。
一、机关教辅单位负责人或教学学院书记为网络安全第一责任人,负责建立和完善本单位网络安全组织,建立健全相关管理制度,明确兼职网络安全管理员,具体负责本单位网络安全工作。
二、坚持“归属管理”原则,实行24小时网络监控制度,切实做到“看好自己的门,管好自己的人,做好自己的事”。负责教育本部门所属人员(教工及学生)不利用网络制作、传播、查阅和复制下列信息内容:损害国家及学校荣誉、利益、形象的;散布谣言,扰乱社会秩序,破坏社会稳定的;散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;含有法律、法规禁止的其他内容的。
三、坚持“谁主管,谁负责;谁使用,谁负责”的原则,负责加强对本单位上网信息及内容的审查,确保上网信息的安全和保密信息不泄漏。
四、对本单位人员利用网络平台建立的内部交流QQ群和微信群等实时监控;教学单位要摸清学生群体建立的内部交流群,学生管理人员应参与学生交流群加强监控与引导,对交流群中出现的不当言论及时制止、教育,对可能引发严重后果的情况及时上报学校网络安全和信息化领导小组办公室。
五、严格实行网络安全责任追究制度。如因管理不善致使本单位内发生重、特大信息安全事故或严重违纪违法事件的,按有关规定对涉事单位和有关责任人进行处理,情节特别严重的依法追究相关责任人的法律责任。
六、在责任期内,责任书各条款不因负责人变化而变更或解除,接任负责人应相应履行职责。
七、本责任书一式两份,自签字之日起生效,分别存于学校网络安全和信息化领导小组办公室和各责任书签订单位。
二级单位党政主要负责人(签字):
年 月 日
附件2
网络与信息安全员承诺书
学校网络安全和信息化领导小组:
一、本人承诺遵守《中华人民共和国计算机信息系统安全保护条例》《中华人民共和国网络安全法》及有关法律、法规和行政规章制度、文件规定。
二、本人保证不利用网络危害国家安全、泄露国家秘密,不侵犯国家的、社会的、集体的利益和第三方的合法权益,不从事违法犯罪活动。
三、本人承诺严格按照国家相关法律法规做好本人网站的信息安全管理工作、健全各项网络与信息安全管理制度和落实各项安全保护技术措施。
四、本人承诺积极配合学校网络与信息安全工作领导小组办公室和公安机关的监督和检查,如实主动提供有关安全保护的信息、资料及数据文件,积极协助查处通过国际联网的计算机信息网络违法犯罪行为。
五、本人承诺不通过互联网制作、复制、查阅和传播下列信息:
1.反对宪法所确定的基本原则的。
2.危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的。
3.损害国家荣誉和利益的。
4.煽动民族仇恨、民族歧视,破坏民族团结的。
5.破坏国家宗教政策,宣扬邪教和封建迷信的。
6.散布谣言,扰乱社会秩序,破坏社会稳定的。
7.散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的。
8.侮辱或者诽谤他人,侵害他人合法权益的。
9.含有法律法规禁止的其他内容的。
六、本人承诺不从事任何危害网络与信息安全的活动,包括但不限于:
1.未经允许,进入网络或者使用网络资源的。
2.未经允许,对网络功能进行删除、修改或者增加的。
3.未经允许,对网络中存储或者传输的数据和应用程序进行删除、修改或者增加的。
4.故意制作、传播计算机病毒等破坏性程序的。
5.其他危害网络与信息安全的。
七、本人承诺,当计算机信息系统发生重大安全事故时,立即向学校网络和信息安全领导小组办公室报告。
八、本人承诺,在岗期间妥善保管密钥,离岗前按规定移交密钥,严格遵守保密规定,及时到学校网络和信息安全领导小组办公室办理相关手续。
九、若违反本承诺书有关条款和国家相关法律法规的,本人(单位)直接承担由此带来的一切民事、行政和刑事责任。造成财产损失的,由本人直接赔偿。同时,学校有权暂停提供服务器网络服务并终止合同。
十、本承诺书自签署之日起生效并遵行。
单位: 网络与信息安全员(签字):
年 月 日