第一章 总则
第一条 为进一步加强重庆师范大学(以下简称“学校”)校园网与信息系统技术安全管理,推进学校网络安全保护工作,提高防护能力,根据《中华人民共和国网络安全法》《教育部关于加强教育行业网络与信息安全工作的指导意见》(教技〔2014〕4号)等要求,结合我校实际,特制定本办法。
第二条 学校按照“谁主管谁负责、谁使用谁负责、谁运维谁负责”的原则,建立健全安全责任体系。各单位、全体师生员工应依照本办法及学校相关规定,履行相应的义务和责任。
第三条 本办法所指校园网与信息系统技术安全管理,是指为保护学校各类网络系统、信息系统以及信息资产的安全性、完整性,而采取的相应技术措施和管理办法。
本办法所指二级单位包括机关部、处、室,学院、直属单位、有关科研机构以及企业单位等。
第二章 领导机构与工作职责
第四条 网络安全与信息化委员会(以下简称网信委)是学校校园网与信息系统技术安全的领导决策机构,网络安全和信息化委员会办公室(以下简称网信办)按“同步规划、同步建设、同步运行”的原则统筹协调校园网与信息系统技术安全各项工作。
第五条 学校各二级单位是本单位网络与信息系统技术安全的责任主体,单位主要负责人是本单位网络与信息系统技术安全的第一责任人。二级单位应成立本单位网络安全和信息化委员会工作组,组织实施本单位所使用、运维的网络和信息系统技术安全的防护措施和管理办法。
第六条 信息技术中心是学校网络与信息系统技术安全归口管理部门和技术支撑单位,负责开展学校网络与信息系统技术安全的规划、建设、管理和运维。具体职责为:
(一)制定、实施信息技术安全总体方案;
(二)拟定校园网与信息系统技术安全管理制度,制定安全标准和规范;
(三)组织开展技术安全防护体系的规划建设、运行维护、技术指导和服务支持;
(四)组织开展网络安全等级保护工作;
(五)组织开展信息技术安全教育和培训工作;
(六)负责信息技术安全监督检查工作;
(七)其他相关工作。
第三章 校园网络基础安全管理
第七条 校园网是指在校园范围内连接各种信息系统及信息终端的计算机网络,包括有线网、无线网和各种专网。
第八条 学校按“统一管理、统一出口、统一认证”的原则实行校园网与互联网及其他公共信息网络的连接。校园网与互联网及其他公共信息网络实行逻辑隔离,采取访问控制、完整性检查、入侵防范、恶意代码防范、安全审计等措施进行校园网边界防护。
未经批准,二级单位不得将信息系统和本单位局域网通过其他渠道接入互联网及其他公共信息网络。
第九条 二级单位负责本单位所在区域内网络设备的日常安防和消防管理工作。
第十条 涉密网络和信息系统接入网络时,严格按照涉密系统管理办法执行。
第四章 数据中心管理
第十一条 数据中心是指支撑学校信息化建设的物理环境(包含机房)、虚拟化平台、云计算平台、校园一卡通平台、中心数据库、数据共享交换平台、统一身份认证平台及统一信息门户等软硬件设施设备,是学校信息化建设的基础设施和平台。
信息技术中心负责数据中心的安全建设、运行、维护和管理。
第十二条 学校按网络安全等级保护要求,对数据中心进行分区分域管理,对不同等级分区采取相应的技术安全防护措施,对不同安全域之间实施访问控制。
第十三条 学校制定数据中心使用的技术规范和标准,对数据中心的使用实施准入制。新建信息系统应符合学校信息技术标准,在通过第三方安全评测机构检测后方可在数据中心部署上线。
第十四条 二级单位在建设面向师生服务的应用系统时,应使用学校统一身份认证平台进行身份认证。二级单位负责本单位业务系统的用户角色管理和权限分配,负责本单位业务数据库及所申请的共享数据的安全管理。
第十五条 数据中心使用单位应遵守数据中心的管理制度和技术标准,按需申请、有效使用。不得利用数据中心从事与申请项目无关,或危害数据中心安全的活动。
第十六条 二级单位应依托学校数据中心开展应用系统建设,不得将涉及学校基础数据、师生员工个人信息或敏感信息的信息系统部署在校外数据中心。确需使用校外数据中心的,须经网信委审批。严禁使用境外数据中心。
第五章 信息系统的建设、运行和维护管理
第十七条 学校按照“同步规划、同步建设、同步运行”的原则开展系统建设与安全建设,建立健全信息技术安全防护体系。
第十八条 学校实施网络安全等级保护制度,建立信息系统台账,组织开展信息系统安全等级定级、系统备案、安全建设、等级测评、安全整改和监督检查等工作。
二级以上(含第二级)信息系统,需按要求进行备案。
第十九条 信息系统建设、使用单位是该系统安全等级保护的责任主体,信息技术中心应协助各单位开展等级保护工作,并接受安全监管部门的监督检查。
第二十条 信息系统建设完成在出具第三方安全测试报告后,方可组织验收。
第二十一条 信息系统建设、使用单位应制定信息系统使用与维护的管理制度,规范系统使用者和运维人员的操作行为。建设、使用单位应定期对终端计算机和关键设备(服务器、操作系统、数据库、安全设备、网络设备等)进行安全审计,通过查看记录、检查系统和用户活动信息及时发现系统漏洞,处置异常访问和操作。
第二十二条 信息技术中心协助信息系统建设、使用单位定期组织二级以上(含第二级)信息系统的等级测评,查找安全漏洞和安全隐患,并及时整改。
二级系统每两年应至少进行一次测评,三级系统每年应至少进行一次测评,四级系统每年应至少进行两次测评。
第六章 信息系统数据安全管理
第二十三条 信息系统数据是指信息系统收集、存储、传输、处理和产生的各种电子数据,包括但不限于网站内容、业务数据、网络课程、图书资源、日志记录等。
第二十四条 信息系统建设、使用单位是其数据安全的责任主体,应落实管理和技术措施,规范数据的收集、存储、传输和使用,确保数据安全。
第二十五条 信息系统数据收集应遵循“最少够用”原则,不得收集与该系统业务无关的个人信息。按照“谁收集,谁负责”的原则,收集个人信息的单位是个人信息保护的责任主体,应建立实施个人信息保护制度,防止信息泄露。
第二十六条 信息技术中心负责学校核心信息系统的备份与恢复,制订备份与恢复计划,定期测试备份与恢复计划,确保备份数据和备用资源的有效性。信息系统建设、使用单位有义务配合信息技术中心完成以上工作。
第七章 互联网网站安全管理
第二十七条 二级单位开办互联网网站时,应使用学校域名和IP地址,遵守学校相关规章制度。
第二十八条 学校统一建设网站群管理平台,负责该平台的技术安全。未进入学校网站群管理平台的网站,其技术安全由开办单位负责。
第二十九条 互联网网站开办单位应建立网站值守制度,制订应急处置流程,组织专人对网站进行监测,发现网站异常情况及时处置。
第三十条 互联网网站的内容安全由网站开办单位负责。网站开办单位应建立完善的网站信息发布与审核制度,确定内容编辑、内容审核、内容发布的责任人,明确审核与发布程序,保存相关操作日志。
第三十一条 二级单位网站不得提供论坛、聊天室、留言板等服务。确有需要的,须经网信委批准,信息技术中心备案。提供该服务的网站开办单位承担内容管理的主体责任,须按有关规定落实内容安全的管理和技术措施。
第三十二条 对于使用频度不高、阶段性应用的网站,开办单位可采取非工作时间或寒暑假、节假日关闭的方式运行。对于无人管理、维护不力、长期不更新的网站,开办单位应及时关闭以降低安全风险。
第八章 电子邮件安全管理
第三十三条 学校为师生员工提供电子邮件服务。用户在使用学校电子邮件时,应遵守相应管理规定。
第三十四条 学校负责电子邮件系统的安全管理,具体由信息技术中心负责实施。信息技术中心应积极采取必要的技术和管理措施,加强邮件系统的安全防护,减少垃圾邮件、病毒邮件的侵袭。
第三十五条 师生员工对其电子邮箱的所有活动和内容负责。电子邮件用户应妥善保管本人邮箱账号和密码,设置邮箱强密码并定期更换。若发现他人冒用、盗用本人电子邮箱,及时通报信息技术中心。
第九章 终端计算机安全管理
第三十六条 终端计算机是指由学校师生员工用于教学、科研、管理等活动的各类计算机及附属设备,包括台式电脑、笔记本电脑及其他移动终端。
第三十七条 按“谁使用,谁负责”的原则,终端计算机使用人对其终端计算机负有保管和安全使用的责任。
第三十八条 学校提供软件正版化服务,提供常用工具软件的正版下载。
第三十九条 终端计算机设备上安装、运行的软件应为正版软件。使用盗版软件带来的安全和法律责任由终端计算机使用人负责。
第四十条 终端计算机应当设置系统登录账号和密码,禁止自动登录,登录密码应具有一定强度并定期更改。
第四十一条 终端计算机使用人应做好数据日常管理和保护,定期进行数据备份和系统升级。非涉密终端计算机不得存储和处理涉密信息。
第四十二条 终端计算机使用者应做好终端计算机的安全防范,如发现终端计算机出现可能由病毒或攻击导致的异常行为或其他问题,应先断网后处理。
第十章 存储介质安全管理
第四十三条 存储介质是指存储数据的载体,包括但不限于硬盘、存储阵列、磁带库等不可移动介质,以及移动硬盘、U盘等可移动介质。
第四十四条 存储阵列、磁带库等大容量介质原则上应托管在学校数据中心,由学校统一运行、维护和管理。数据中心应采取必要技术措施防止数据泄漏,确保数据安全。
第四十五条 介质使用人按照“谁使用,谁负责”的原则,对其移动介质负有保管和安全使用的责任。
第四十六条 介质使用人应注意移动存储介质的内容管理,对送出维修或销毁的介质应事先清除敏感信息。
第四十七条 移动存储介质在接入终端计算机和信息系统前,应当查杀病毒、木马等恶意代码。
第四十八条 非涉密移动存储介质不得存储涉密信息,不得在涉密计算机上使用。
第十一章 人员安全管理
第四十九条 各二级单位应建立健全本单位信息技术安全责任制,明确信息安全岗位及人员的职责。关键岗位的计算机使用和管理人员应签订信息安全与保密协议,明确信息安全与保密责任。
第五十条 各二级单位应加强人员离岗、离职管理,严格规范离岗、离职过程,及时终止相关人员的所有访问权限,收回各种身份介质以及学校提供的软硬件设备,并签署离岗、离职安全保密承诺书。
第五十一条 各二级单位应定期对信息技术安全岗位的人员进行安全知识和技能的考核,并对考核结果进行记录和保存。
第五十二条 各二级单位应建立外部人员访问机房等重要区域的审批制度,外部人员须经审批后方可进入,并安排工作人员现场陪同,对访问活动进行记录和保存。
第十二章 外包服务安全管理
第五十三条 信息技术外包服务是指对信息系统开发和运维的外包。
第五十四条 外包服务需求单位应与信息技术外包服务商签订服务合同和信息安全与保密协议,明确信息安全与保密责任,不得将外包服务转包,不得泄露、扩散、转让服务过程中获知的敏感信息,不得占有服务过程中产生的任何信息资产,不得以服务为由强制要求委托方购买、使用指定产品。
信息技术外包服务合同和信息安全与保密协议按学校合同管理办法执行。
第五十五条 信息技术现场服务过程中,外包服务需求单位应安排专人陪同,并详细记录服务过程。
第十三章 信息安全应急管理
第五十六条 网信委负责信息安全事件及应急工作的统筹管理,网信办负责制定学校信息技术安全事件报告与处置流程。学校保卫处具体负责网络与信息安全案件处置,党委宣传部负责网络与信息安全的舆情监控与宣传引导,信息技术中心负责制订学校公共平台的信息技术安全应急预案,为二级单位信息安全应急处置提供必要的技术支持。二级单位应制订本单位信息系统技术安全应急预案,并定期组织演练。
第五十七条 学校定期组织信息技术安全应急演练,评估并适时组织应急预案的完善修订。学校各二级单位应组织开展信息技术安全应急预案的宣传、教育和培训,确保相关人员熟悉应急预案。
第五十八条 各二级单位应按照学校信息技术安全事件报告与处置流程,做好事发紧急报告与处置、事中情况报告与处置和事后整改报告与处置工作。做到安全事件早发现、早报告、早控制、早解决。
第五十九条 二级单位或师生员工均有义务及时向学校报告信息安全事件,不得在未授权情况下对外公布、尝试或利用所发现的安全漏洞或安全问题。
第十四章 信息技术安全检查监督
第六十条 学校对二级单位信息技术安全落实情况进行定期检查或抽查,对发现的问题下发整改通知书,责成相关单位制订整改方案并及时整改。
第六十一条 各二级单位应定期对本单位信息系统的安全状况、安全保护制度及措施的落实情况进行自查,并配合有关部门的信息安全技术检查、内容检查、涉密检查等工作。
第六十二条 各二级单位对学校或第三方机构检查中发现的安全隐患、系统漏洞应及时整改,形成整改报告,并对整改结果负责。
第十五章 信息安全责任追究
第六十三条 学校建立信息安全责任追究和倒查机制。
第六十四条 有关单位在收到网络与信息技术安全整改通知书后,应及时整改。对整改不及时、不到位的,学校将予通报;对玩忽职守、失职渎职造成严重后果的,按相关法律法规处理。
第六十五条 各二级单位应按照信息技术安全事件报告与处置流程,对信息技术安全事件及时、如实地报告,妥善处置。对瞒报、缓报和处置整改不力等情况,学校将对相关单位责任人进行约谈或通报。
第六十六条 师生员工违反本办法规定的,由学校责令整改。拒不改正或导致严重后果的,按学校有关规定处理。触犯法律法规的,移交相关部门处理。
第十六章 附则
第六十七条 涉及国家秘密的信息系统,执行国家保密工作的相关规定和标准,由学校机要科监督指导。
第六十八条 本办法由信息化建设与管理办公室制定,并负责解释和修订。
第六十九条 本办法自发布之日起执行。
第七十条本 办法未尽事宜,依照法律法规和上级文件要求确立的原则处理。
当前位置: