球王会体育官网网络与信息安全管理办法
第一章 总则
第一条 为进一步加强学院网络信息安全管理,提高网络信息安全防护能力和水平,根据《教育部关于加强教育行业网络与信息安全工作的指导意见》(教技〔2014〕4号)、《教育部 公安部关于全面推进教育行业信息安全等级保护工作的通知》(教技〔2015〕2 号)、《中华人民共和国网络安全法》等要求,结合球王会体育实际,特制定本办法。
第二条 按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,建立健全网络信息安全责任体系,学院各单位及师生员工必须依照本办法及其它相关标准,履行网络信息安全的责任。
第二章 管理机构与职责
第三条 球王会体育官网网络信息安全工作领导小组负责学院的信息网络安全工作,领导小组组长为学院信息网络安全工作的第一责任人。
第四条 党群工作部负责学院网站(含二级网站)内容的监督和监控,并配合信息中心组织网络信息安全宣传和教育培训工作。
第五条 信息中心是学院网络信息安全归口管理部门,负责统筹学院网络信息安全工作。具体职责包括:
(一)制定网络信息技术安全总体规划并组织实施;
(二)拟定网络信息技术安全管理规章制度;
(三)组织开展信息系统安全等级保护工作;
(四)负责网络信息安全应急管理,协调处理与政府网络信息安全管理部门的关系;
(五)负责网络信息技术安全监督检查工作;
(六)负责网络信息技术安全防护体系的建设、运行维护、技术指导和服务支持。
第六条 学院各单位是本单位网络信息安全管理工作的责任主体,主要负责人是本单位网络信息安全和管理工作第一责任人,负责按本办法落实网络信息安全工作。
第三章 校园网络安全管理
第七条 校园网络是指校园范围内连接各种信息系统及信息终端的计算机网络,包括校园有线网络、无线网络和各种虚拟专网。
第八条 校园规划管理部门、建设部门及信息中心共同负责校园网络的统一规划。学院的基建、修缮工程均应将工程范围内校园网络管网建设纳入工程的设计、实施和竣工验收范畴。
第九条 校园网络与互联网实行逻辑隔离,由信息中心统一出口、统一管理和防护。学院各单位及个人在校园内不得擅自通过其他渠道接入互联网及其他公共信息网络。
第十条 信息中心应采取访问控制、安全审计、完整性检查、入侵防范、恶意代码防范等措施加强校园网络边界防护。
第十一条 校园网络用户接入校园网络,实行“实名注册、认证上网”制度;学院非涉密信息系统接入校园网络,实行接入审批制度,涉密信息系统一般不得接入校园网络。
第四章 数据中心安全管理
第十二条 数据中心主要包括支撑学院信息系统的物理环境(其中包含机房)、软硬件设备设施、云计算平台、中心数据库、数据共享交换平台、统一身份认证平台及统一信息门户等信息化基础设施和平台。
第十三条 信息中心负责数据中心物理环境、软硬件设备设施和云计算平台的建设、运维和安全管理,学院各单位负责本单位应用系统的权限管理及安全。
第十四条 信息中心负责学院中心数据库、数据共享交换平台的建设和安全管理。各单位负责建设、维护本单位业务应用系统所配套的业务数据库,并对本单位业务数据库及所申请的共享数据的安全负责。
第十五条 学院各单位应依托学院数据中心开展信息系统建设,涉及学院基础数据、师生员工个人信息或敏感信息的信息系统,必须部署在学院数据中心。
第十六条 信息中心对学院数据中心的使用实施准入管理,负责制定使用数据中心的技术规范和标准,符合技术规范和标准的信息系统方可上线运行。
第五章 信息系统安全管理
第十七条 学院按照同步规划、同步建设、同步运行的原则,规划、设计、建设、运行、管理信息系统安全设施,建立健全信息系统技术安全防护体系,全面实施信息系统安全等级保护制度。
第十八条 信息中心负责统筹学院信息系统安全等级保护工作,组织学院各单位开展信息系统定级、系统备案、等级测评及建设整改;具体负责信息系统台账管理、等级评审、系统备案,并协助学院各单位进行系统定级、建设整改。
第十九条 信息系统测试环境和运行环境应严格隔离,信息中心负责上述环境的建设、运行、维护和管理。
第二十条 信息系统建设单位可自行或委托信息中心维护信息系统,亦可根据实际需要委托外单位维护信息系统;涉及重要业务或大量师生员工信息的核心信息系统以及安全等级第二级以上(含第二级)的信息系统,原则上应由信息中心维护。
第二十一条 信息系统建设单位应定期对终端计算机和承担网络与信息系统运行的关键设备(服务器、安全设备、网络设备)进行安全审计,通过记录、检查系统和用户活动信息,及时发现系统漏洞并处置异常的访问和操作。
第二十二条 信息系统数据(指信息系统收集、存储、传输、处理和产生的各种电子数据,包括但不限于网站内容、业务数据、日志记录等)的所有者是数据安全管理的责任主体,应当落实管理和技术措施,规范数据的收集、存储、传输和使用,确保数据安全。
第二十三条 信息系统数据收集应遵循“最少够用”原则,不得收集与信息系统业务服务无关的个人信息。按照“谁收集,谁负责”的原则,收集个人信息的单位是个人信息保护的责任主体,应当确保信息的完整性,应当对其收集的个人信息严格保密。
第二十四条 信息中心负责学院核心信息系统的备份与恢复管理,制订备份与恢复计划,对重要数据和信息系统进行备份,定期测试备份与恢复计划,并确保备份数据和备用资源的有效性。
第六章 网站安全管理
第二十五条 球王会体育官网网站是指球王会体育官网主页和以“球王会体育官网”冠名的部门网站,球王会体育官网各类网站均需办理审批手续。
第二十六条 球王会体育官网主页的信息管理及内容审核维护由学院办公室、党群工作部分工负责,信息中心提供技术支持和保障;学院各类网站的内容安全由网站开办单位负责,网站的管理责任人为相关单位分管领导,负责本单位网站的信息安全。
第二十七条 各单位应建立完善的网站信息发布与审核制度,确定负责内容编辑、内容审核、内容发布的人员名单,明确审核与发布程序,保存相关操作记录。
第二十八条 各单位要保证网站的数据安全和系统安全,制定重要数据库和系统主要设备的容灾备案措施。记录并保留至少60天系统维护日志。
第二十九条 原则上,学院各单位网站不得提供电子公告服务,如确有需要,经批准后方能提供电子公告服务;提供电子公告服务的网站,开办单位承担电子公告服务内容管理的主体责任,并按国家有关规定落实专项安全管理和技术措施。
第七章 终端计算机安全管理
第三十条 终端计算机是指由学院师生员工使用并从事学院教学、科研、管理和生活等活动的各类计算机及附属设备,包括台式电脑、笔记本电脑及其他移动终端。
第三十一条 终端计算机使用人按照“谁使用,谁负责”的原则,对其终端计算机负有保管和安全使用的责任,信息中心对终端计算机的安全管理提供技术协助和指导。
第三十二条 终端计算机应当设置系统登录账号和密码,终端计算机使用人应做好数据日常管理和保护,定期进行数据备份。非涉密计算机不得存储和处理涉密信息。
第三十三条 终端计算机使用人应做好终端计算机的安全防范,发现出现可能由病毒或攻击导致的异常系统行为或其他安全问题,应立即断网并报信息中心进行处置。
第三十四条 党群工作部负责对学院信息内容进行监督、检查。对于不良有害信息,应在第一时间联系相关单位进行处理。涉及违法犯罪行为的,应立即向公安机关报案。
第八章 存储介质安全管理
第三十五条 存储介质是指存储数据的载体,主要包括硬盘、存储阵列等不可移动存储介质,以及移动硬盘等可移动存储介质。
第三十六条 存储阵列等大容量介质应设置在学院数据中心,并由信息中心统一运行、维护和管理。信息中心应采取必要技术措施防范数据泄漏风险,确保存储数据安全。
第三十七条 各单位应建立移动存储介质管理制度,介质使用人按照“谁使用,谁负责”的原则,对其移动介质负有保管和安全使用的责任。
第三十八条 非涉密移动存储介质不得用于存储涉密信息,不得在涉密计算机上使用。存储介质使用人应注意存储内容管理,对送出维修或销毁的介质应事先清除敏感信息。
第三十九条 移动存储介质在接入终端计算机前,应查杀病毒、木马等恶意代码。
第九章 人员安全管理
第四十条 学院各单位应建立健全本单位的网络信息安全责任制度,明确岗位及人员的网络信息安全责任。关键岗位的计算机使用和管理人员应签订信息安全与保密协议,明确信息安全与保密要求和责任。
第四十一条 学院各单位应加强人员离岗、离职管理,及时终止相关人员的所有网络信息系统访问权限,收回学院提供的与网络信息系统相关的软硬件设备。
第四十二条 学院各单位应建立外部人员访问机房等重要区域的审批制度,外部人员须经审批后方可进入,并安排工作人员现场陪同,对访问活动进行记录和保存。
第十章 网络信息安全应急管理
第四十三条 信息中心负责学院网络信息安全应急工作的统筹管理与技术保障,负责制定学院网络信息安全事件报告与处置流程、学院网络信息安全应急预案。
第四十四条 信息中心应完善24小时网络信息安全应急值守制度,提高网络信息安全事件的预防、预警和应对能力。
第四十五条 学院各单位应按照学院信息安全事件报告与处置流程,做好事发紧急报告与处置、事中情况报告与处置和事后整改报告与处置工作。
第四十六条 学院各单位及师生员工均有义务及时向信息中心报告信息安全事件,不得在未授权情况下对外公布、尝试或利用所发现的安全漏洞或安全问题。
第十一章 网络信息安全责任追究
第四十七条 学院建立信息安全责任追究和倒查机制,有关单位在收到网络信息安全限期整改通知书后,应及时整改;整改不力的,学院给予通报批评;玩忽职守、失职渎职造成严重后果的,依纪依法追究相关人员的责任。
第四十八条 学院各单位应按照网络信息安全事件报告与处置流程及时、如实地报告和妥善处置网络信息安全事件;如有瞒报、缓报、处置和整改不力等情况,学院将对相关单位责任人进行约谈或通报。
第四十九条 师生员工违反本办法规定的,由信息中心责令改正;拒不改正或者导致危害信息技术安全等严重后果的,根据学院有关规定给予以纪律处分;触犯刑律的,移交司法机关处理。
第十二章 附 则
第五十条 本办法的最终解释权归党群工作部、信息中心。
