第一条 为进一步加强学校网络与信息安全工作,预防和减少网络信息安全事件的发生,切实保障校园网络与信息安全,特制定本管理办法。
第二条 学校网络与信息安全工作分为网络安全、信息系统安全(包括网站,以下同)和数据安全三个方面。网络安全是指校园网信息基础设施的安全,信息基础设施包括:光纤通信线路、弱电设施设备、网络设备、视频监控设备等;信息系统安全是指承载校内各种信息系统的服务器软硬件的安全;数据安全是指信息系统上存储和发布的信息和数据的安全。
第三条 建立健全网络与信息安全组织架构。学校成立“上海济光职业技术学院网络安全和信息化领导小组”,由院长和书记任领导小组组长,由主管信息化工作的校领导任副组长,小组成员由学校主要职能部门负责人组成。将负责制定网络与信息安全规范与制度,规划和部署网络和信息安全重大项目,协调处置重大网络与信息安全事件等。
第四条 建立网络与信息安全工作责任制。按照“谁主管谁负责,谁运维谁负责,谁使用谁负责”的原则,做好学校网络与信息安全工作。
(一)信息中心是学校信息化建设和管理的责任主体,负责学校网络安全和信息化工作的日常管理和技术支撑;负责网络与信息安全防护体系的建设和管理;为全校各二级单位的网络与信息安全工作提供技术支持和服务。
(二)学校各二级单位是本单位网络与信息安全工作的责任主体,单位主要负责人是本单位网络与信息安全工作的第一责任人,各单位应指定专人负责管理和协调本单位的具体网络信息安全工作。
第五条 加强网络与信息安全工作的日常统筹管理。
(一)加强各单位信息系统的安全管理。各单位信息系统应由在职教职工专人负责。各单位信息系统中的网站,特别是可供外网访问的网站须全部纳入学校网站群、虚拟机或托管在学校数据中心。各单位自行管理的服务器原则上不予开放网站功能。在技术条件允许的情况下,应将信息系统中的网站和信息系统分离,并建立数据访问的安全策略,重要信息系统应进行容灾备份,以确保系统和数据安全。各单位须制定信息系统数据上传、更新和发布的审核、监管和应急处置流程,严格审核网站发布内容,合理分配数据发布权限,保证发布内容的合法和安全。
(二)建立信息系统的审核准入制度,落实信息系统安全责任制。学校域名服务器将只向校内信息系统的服务器提供域名服务,校园网内信息系统的服务器将只能使用学校的域名。学校具有管理职能单位的信息系统原则上都必须建设在校园网内。所有为信息系统申请服务器的单位均须由单位网络和信息安全的第一责任人和申请人共同签署“上海济光职业技术学院信息系统安全责任书”。
(三)建立信息系统安全隐患发现、通报及处置机制。信息中心应通过不同方式和渠道,制定具体规范,掌握学校各信息系统的安全状况;对信息系统的安全检测工作纳入网络和信息安全日常工作。对新申请的信息系统进行严格的安全扫描和检测,确保新上线系统的安全。对既有信息系统也将定期进行安全扫描和检测。将通过邮件和短信等方式及时将发现和掌握的安全隐患,通知信息系统的管理人员,并关闭外网访问,限时整改。整改不达标或逾期的,服务器将被关闭,域名将予以撤销。
(四)实行信息系统年审制度。信息中心将每年对现用的信息系统进行系统的时效性、安全性、管理制度的规范、日常运维等情况审核。对无人管理、内容长期不做更新、存在安全隐患、管理制度缺失的信息系统,将予以清理和关闭。
(五)加强对信息系统服务外包的管理。支持和鼓励优先采购安全、成熟和售后服务优良的商业软件或由专业软件开发企业从事各单位信息系统的建设、维护和服务。各单位须在和软件外包服务商签订的服务合同中明确安全责任、服务内容、服务方式、服务级别和保密协议等内容。信息中心将通过技术管理手段加强对服务提供商服务行为的管理。
(六)加强校园网内计算机终端、无线终端的安全管理。各单位的计算机应使用正版操作系统,口令须定期更换,杜绝弱口令和明文口令。校园网实行上网实名认证,禁止使用路由器、代理分发等无法识别上网人员、违反上网实名认证的方式上网。
第六条 落实信息系统安全等级保护制度。按照教育部的要求对学校重要的信息系统开展定级和备案工作,并依规定定期进行安全等级的复测。
第七条 加强学校网络与信息安全技术保障体系建设,提升网络与信息安全技术管理水平和防护能力。
(一)信息中心应规划建立多层次的、主动与被动相结合的校园网安全防护体系,按需配置网络与信息安全防护设备和软件,构建可查、可管、可控的校园网络与信息安全技术支撑体系,加强和完善身份认证威胁识别、入侵检测、漏洞扫描、攻击防护、访问控制、操作审计、系统和数据灾备等安全技术措施。
(二)信息中心应统筹规划校园网信息系统向外网开放的范围。对于仅供校内教职员工和学生使用且承载大量重要数据和信息的信息系统,应关闭校外直接访问通道,教职员工和学生在校外可使用学校的VPN系统,实名认证后访问。
(三)信息中心应建立网络与信息安全管理专业技术团队,落实岗位责任制。应协助各单位提升网络安全防护能力和水平,全面做好网络与信息安全技术保障和服务工作。
第八条 建立健全网络与信息安全应急处置机制。各单位应制定网络和信息安全事件的应急处置预案,开展应急演练,提高网络与信息安全事件处置能力。重大网络与信息安全事件应及时向信息中心报告,并采取措施降低损害程度,防止事件扩大,保存相关日志记录,配合有关部门调查取证。
第九条 加强网络与信息安全的宣传与教育。信息中心应联合相关部门组织开展形式多样、针对性强的网络与信息安全教育,提高识别有害信息的能力,养成科学、规范的网络行为和用网习惯,提高全体师生的网络和信息安全意识。
第十条 建立责任追究制度。有下列行为之一的,学校将视其情节轻重依据,追究单位负责人及当事人校内行政责任;给学校造成损失的,追究当事人的民事责任;构成犯罪的,送交国家司法机关处理:
(一)未及时报告和处置安全事件,存在处置不力和瞒报、缓报、整改不力等情况的;
(二)玩忽职守、失职渎职造成严重后果的
(三)师生员工违反网络与信息安全相关管理规定,造成不良后果的。
第十一条 本办法自发布之日起实施,由信息中心负责解释。
