第一章 总 则
第一条为做好学校网络与信息安全工作,提高网络与信息安全防护能力和水平,按照国家网络安全和信息化有关政策法规,结合学校实际,制定本办法。
第二条本办法所称网络与信息安全工作,是指由校内各二级单位建设或管理,服务于学校教学、科研及管理的校园信息网络、数据中心、应用系统和互联网站,为防止发生网络攻击、信息破坏、有害程序入侵、信息化设备设施故障等事件而开展的预防和防御工作。
第二章 管理体制与责任
第三条学校成立网络安全与信息化工作领导小组,负责统一领导、统一谋划、统一部署全校网络安全和信息化工作,统筹制定网络安全和信息化发展战略、宏观规划和重大政策,研究解决网络安全和信息化重要问题。
第四条信息化中心是网络安全与信息化工作领导小组常设办事机构,负责网络与信息安全管理与监督、防护体系的建设与运行维护,负责为校内各二级单位网络与信息安全工作提供技术指导与服务支持。
第五条校内各二级单位是本单位网络安全和信息化工作的责任主体,单位主要负责人是本单位网络安全和信息化工作第一责任人,负责按本办法落实网络与信息安全工作。各二级单位应明确指定本单位信息系统(网站)的系统管理员,并将管理员名单报备信息化主管部门,信息系统管理员需经过网络安全相关培训,人员变动时应及时调整并报备。信息化中心负责定期组织网络安全培训。
第六条按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,各二级单位应依照本办法及其他相关法律规范履行网络与信息安全的义务和责任。
第三章 校园信息网络
第七条校园信息网络包括校园计算机网络、公用通信网络和专用通信网络,统一归口信息化中心管理。
第八条校园信息网络管道由信息化中心负责需求制定和使用管理;校园规划管理部门和建设部门负责在学校地下管网统一管理的原则下,进行规划、建设和运行维护。
第九条校园计算机网络包括校园有线网络和无线网络,涉及光缆、网络机房、网络设备、域名管理、安全防护、认证计费、网络接入与运维等,由信息化中心负责建设和运行维护管理。网络接入单位协助解决网络布线和设备安装所需空间,负责安防和消防安全管理。
第十条校园计算机网络接入互联网遵循“统一出口、统一管理”的规定,由信息化中心负责实施。校内各二级单位和个人在校园内不得擅自通过社会网络资源接入互联网。
第十一条师生接入校园计算机网络,实行实名认证上网制度,网络接入实名制由信息化中心负责实施。
第十二条学校所有基建、修缮工程应将工程范围内校园计算机网络建设纳入工程设计、实施和竣工验收范畴。
第十三条严禁任何二级单位和个人私自利用校园计算机网络及其网络设施开展经营活动。
第四章 数据中心
第十四条数据中心主要包括支撑各类应用系统运行的软硬件基础设施、学校基础数据库、统一数据交换平台、统一身份认证系统及统一信息门户。信息化中心负责数据中心的建设和运行维护管理。
第十五条信息化中心负责数据中心的物理安全、网络安全和主机安全。数据中心资源的使用单位负责所使用操作系统、业务数据库系统、应用系统和数据的安全。
第十六条信息化中心负责学校基础数据库和统一数据交换平台的建设和安全管理,负责各二级单位业务数据库与基础数据库之间完成数据交换和共享。各二级单位负责建设、维护本单位业务应用系统所配套的业务数据库;对本单位业务数据库的系统安全、数据安全及所申请的共享数据的安全负责。
第十七条统一身份认证系统为校内信息系统提供统一的身份管理、安全认证机制、审计及标准接口。校内各二级单位建设面向师生服务的应用系统时,应与统一身份认证系统进行认证集成。信息化中心负责统一身份认证系统的安全,各二级单位负责本单位应用系统的权限管理及系统安全。
第十八条校内各二级单位应依托校内数据中心实施本单位信息化建设(包括建设信息系统及互联网站),需要使用校外数据中心的须报信息化中心审批。严禁使用设置在境外的数据中心。
第十九条信息化中心对校内数据中心使用实施准入管理,负责制定使用数据中心的技术规范和标准,在系统上线前进行安全检测,符合技术规范标准并检测通过的系统方可上线运行。
第二十条未经审批,任何二级单位或个人不得擅自提供信息系统产生的数据。对于非法泄露或擅自提供数据的单位或个人,依照相关法律法规予以处理。
第五章 信息系统
第二十一条鼓励优先采购安全、成熟和售后服务优良的商业软件。没有相应商业软件或商业软件不适应我校实际需求的,可以按照学校采购与招标相关规定委托资质和信誉良好的软件开发商进行开发。
第二十二条责任单位根据本单位业务需要撰写需求分析报告,明确详细的功能和性能需求,并按规定报送信息化中心备案。信息化中心组织对技术方案进行论证和审批,并根据备案表确定拟建信息系统信息安全保护等级,信息系统按照相应等级的规范要求进行建设。
第二十三条责任单位需明确本单位的信息系统是否需要对外网开放,如需要对外网开放,则按照国家相关标准和要求进行建设和管理,并在建成开通之前,提交相关材料报信息化中心审批。
第二十四条信息系统移动客户端软件视同为信息系统,参照以上条例执行。
第六章 互联网站
第二十五条校内各二级单位设立互联网站,应使用学校互联网络域名及学校互联网 IP 地址,并遵守学校网站管理相关规章制度。
第二十六条各二级单位设立互联网站,一般基于学校网站群平台建设,各二级单位应按信息安全等级保护的相应规范落实信息安全防护。学校网站群平台由信息化主管部门统一建设,其技术安全由信息化中心负责;运行在网站群平台上的网站,其内容安全由网站主办者负责。未运行在学校网站群平台的网站,网站主办者对其技术和内容安全负责。
第二十七条各互联网站的责任单位应确定网站主要负责人和网站管理员,确定网站内容发布规范,建立网站值守制度和应急处置流程,由网站管理员对网站内容进行发布和监测,发现网站运行异常,及时上报单位主要负责人并通报信息化中心,按照规范和流程及时处置,并做好记录工作。
第二十八条对于使用频度不大、阶段性使用的网站,可采取非工作时间或寒暑假、节假日关闭的方式运行。对于长期不使用和出现安全事件的网站,信息化中心将根据网络安全相关规定,暂停或者关闭网站。
第七章 监测与处置
第二十九条信息系统(网站)建设之初,责任单位通过信息系统(网站)备案登记流程,提交相关材料报信息化中心备案。信息化中心负责上线前的专业安全检测,检测未通过的信息系统(网站)需进行安全整改,检测通过后方可上线运行。
第三十条各二级单位定期对本单位信息系统(网站)安全状况、安全保护制度及措施的落实情况进行自查,并做好相应记录,配合有关部门的信息安全检查、信息内容检查、保密检查等工作。
第三十一条信息化中心联合相关单位对校内各二级单位网络与信息安全工作落实情况进行不定期巡检,对发现的问题下达限期整改通知书,对网络与信息安全事件进行调查处理。
第三十二条信息系统(网站)由信息化中心按照国家信息安全等级保护制度要求确定安全保护等级,并对信息安全等级状况开展等级测评。原则上,申请对外开放的信息系统(网站)都需纳入信息安全等级保护第二级等保,并按照第二级安全要求进行备案、建设和管理。经测评,信息安全状况未达到安全保护等级要求的,信息系统(网站)的责任单位应限期整改。若在规定期限内未能落实整改的,信息化中心将暂时关闭信息系统(网站)。
第三十三条校内所有信息系统(网站)原则上均须使用学校域名和IP。“双非”系统(非校内域名、非校内IP)在建设之初,应通过信息系统(网站)备案登记流程,提交相关材料报信息化中心备案,其等级保护和系统安全由责任单位协同软件提供商共同负责。
第三十四条各二级单位信息系统(网站)的内容、人员等如有调整,需填写相关材料并上报信息化中心审批备案。
第三十五条未提供备案、未通过安全监测或未及时落实整改的信息系统(网站),信息化中心将根据网络安全相关规定,采取暂停或关闭等措施。
第八章 责任追究
第三十六条二级单位在收到网络与信息技术安全整改通知书后,整改不力的,学校给予通报批评;玩忽职守、失职渎职造成严重后果的,依纪依法追究相关人员的责任。
第三十七条各二级单位应按照信息技术安全事件报告与处置流程及时、如实地报告和妥善处置信息技术安全事件。如有瞒报、缓报、处置和整改不力等情况,由信息化中心联合校内监督部门对相关单位进行约谈或通报。
第三十八条师生员工违反网络与信息安全相关管理规定,造成不良后果的,视情节轻重,分别由人事管理部门或学生管理部门按相关规定处理;触犯法律的,由相关国家机关依法追究法律责任。
第九 章 附则
第三十九条涉及国家秘密的信息系统,按照国家保密工作部门的相关规定和标准进行保护,接受党委保密委员会办公室监督指导。
第四十条紧急情况下,经学校网络安全和信息化领导小组批准,信息化中心等单位可采取特别措施维护学校网络与信息安全。
第四十一条本办法由信息化中心负责解释。
第四十二条本办法自发布之日起施行。