新疆石河子职业技术学院网络
安全与信息化管理办法
第一章 总则
第一条 为进一步加强学院网络安全与信息化管理,规范学院各级网络与信息化平台建设,保障学院网络安全与信息化建设工作,根据《中华人民共和国网络安全法》《教育部关于加强行业与信息安全工作的指导意见》(教技〔2014〕4号)《教育部关于进一步加强直属高校直属单位信息技术安全工作的通知》(教技〔2015〕1号)等文件要求,结合我院实际情况,特制定本办法。
第二条 学院网络与信息安全工作分为网络安全、信息系统安全(包括网站,以下同)和信息内容安全三个方面。网络安全是指校园网信息基础设施的安全,信息基础设施包括:光纤通信线路、弱电设施设备、网络设备、视频监控设备等;信息系统安全是指承载校内各种应用系统的服务器软硬件的安全;信息内容安全是指应用系统上发布和存储的具体信息和数据的安全。
第三条 学院按照“谁主管谁负责、谁使用谁负责、谁运维谁负责”的原则,建立健全网络与信息安全责任体系,明确责任、加强引导、突出重点、保障安全。学院各部门及全体师生员工应依照本办法要求及学院相关标准规范履行网络与信息安全的义务和责任。
第二章 管理机构与职责
第四条 学院网络与信息安全领导小组负责协调全校网络与信息安全保障体系建设。各分院、部门、单位(以下统称各部门)应在本单位内部相应成立网络与信息安全工作小组,其主要负责人为第一责任人,并指定专人担任信息安全员,负责本单位的网络与信息安全工作。
第五条 网络技术中心(信息中心)负责学院网络与信息系统的日常管理和维护,保障网络与信息系统的正常运行;保存网络运行日志,配合调查取证;负责入网单位和个人办理入网登记手续,签署相应的安全责任书。
第六条 党政办和社科部负责网络信息内容的安全监管,负责学院网络舆情信息的监控和管理,开展网上疏导和正面宣传,做好对外宣传工作。
第七条 保卫处负责对网络违规行为进行调查、取证、处理,根据相关证据及事态影响或破坏程度,对违规者按照有关规定进行处理。
第三章 校园网络安全管理
第八条 校园网络的安全运行和系统设备管理维护工作由网络技术中心(信息中心)负责,网络技术中心(信息中心)可以委托相关单位指定人员代为管理子节点设备。任何单位和个人,未经校园网负责单位同意、不得擅自安装、拆卸或改变网络设备。
第九条 校园内的施工建设,不得危害校园网络的安全。严禁任何部门和个人未经校园网络负责单位同意,从事校园网络施工、建设,未经相关单位审核私自建设,造成网络瘫痪,建设和施工单位承担全部责任。
第十条 各部门及个人接入校园网络,实行“实名注册、认证上网”制度;学院非涉密信息系统接入校园网络,实行接入审批和备案登记制度;涉密信息系统不得接入校园网络。
第十一条 各校园网用户不得利用互联网危害国家安全、泄露国家秘密,不得侵犯国家、社会、集体利益和公民的合法权益,不得从事违法犯罪活动。不得利用网络与信息平台制作、下载、复制、查阅、发布、传播违法违规和有违社会公德的信息。
第四章 信息系统安全管理
第十二条 学院按照同步规划、同步建设、同步运行的原则,规划、设计、建设、运行、管理信息安全设施,建立健全信息技术安全防护体系,全面实施信息系统安全等级保护制度。
第十三条 信息系统建设单位应制定信息系统使用与维护的管理制度,规范信息系统使用者和维护者的操作行为。定期清查服务器漏洞或病毒,以防止服务器中的重要信息文件被破坏或窃取,服务器中的病毒程序到处传播,避免造成重大网络安全事故。
第十四条 所有网络信息系统正式使用前,建设单位必须向网络技术中心提出使用申请。使用申请内容包括信息系统基本信息、技术支持外包公司情况和网络(系统)管理员信息等,经建设单位负责人审批后,由网络技术中心(信息中心)授权的第三方专业安全服务公司进行扫描检测。根据扫描报告,无“中等危险”以上漏洞方可接入互联网运行;有“中等危险”和“高等危险”漏洞的,禁止接入互联网。需开通外网访问权限的信息系统,除满足上述要求外,还需经建设单位分管院领导批准,方可上线运行。
第十五条 信息系统的密码体系必须满足高复杂度的要求,即包含大写字母、小写字母、数字、特殊字符等三种组合以上,且密码位数至少为八位。弱密码口令属于信息系统“中等危险”以上安全漏洞。弱密码口令被盗取所造成的网络信息安全事件,密码持有者应负相应安全责任。
第十六条 信息系统在建设阶段应按已确定的安全保护等级,同步落实安全保护措施。对于安全等级二级以上的信息系统,网络技术中心(信息中心)将定期组织开展等级测评,查找发现并及时整改安全问题、漏洞和隐患。
第五章 互联网网站安全管理
第十七条 学院各部门建设互联网网站,应使用学院互联网域名和互联IP地址,并遵循学院二级域名管理规定。
第十八条 网络技术中心(信息中心)统一建设学院网站集群管理平台并负责该平台的技术安全。所有网站上线前需经网络技术中心(信息中心)审核确认。未接入学院网站集群管理平台的网站,其技术安全由网站建设单位负责。
第十九条 互联网网站运行维护单位和使用单位应建立网站值守制度和完善的网站信息发布与审核制度,制订应急处置流程,组织专人对网站进行监测。
第二十条 对于使用频度不大或阶段性使用的网站,网站建设单位可在节假日或寒暑假等非工作时间暂停网站运行。对于无人管理、无力维护或长期不更新的网站,网站建设单位应关闭网站以降低安全风险,网络技术中心(信息中心)负责监督管理。
第六章 网络与信息安全管理秩序
第二十一条 校园网络与信息系统接入互联网必须采取防火墙、身份认证、 MAC 地址绑定、安全审计、病毒防护及入侵检测等安全技术手段。校内互联网接入由网络技术中心(信息中心)统一管理,包括IP 地址、域名及网络帐号等。
第二十二条 各部门应建立健全信息发布、信息审查、应急处置机制,指定人员负责审查上网信息和信息系统保密管理,负责涉及学院或本单位舆情的处置引导。
第二十三条 各部门原则上应依托校园网开展信息系统建设。涉及学院基础数据、师生员工个人信息或敏感信息的信息系统,不得部署在校外。需要在校外开办信息系统的单位,应到网络技术中心(信息中心)办理备案手续。部署在校外的网络和信息系统,安全监管责任主体仍为主办单位。
第二十四条 在校园网络上严禁制作、查阅、复制或传播下列信息:
(一) 煽动抗拒、破坏宪法和国家法律、行政法规实施;
(二) 危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一;
(三) 损害国家荣誉和利益;
(四) 煽动民族仇恨、民族歧视,破坏民族团结,或者侵害民族风俗习惯;
(五) 宣扬恐怖主义、邪教、封建迷信,违反国家宗教政策;
(六) 捏造或者歪曲事实,散布谣言,扰乱社会秩序,破坏社会稳定;
(七) 侮辱他人或者捏造事实诽谤他人;
(八) 含有淫秽、色情、赌博、暴力、欺诈等内容;
(九) 含有法律、法规禁止的其他内容。
第二十五条 在校园网络上严禁下列行为:
(一) 破坏、盗用、篡改计算机网络中的信息资源;
(二) 故意泄露、窃取、篡改个人电子信息,擅自利用网络收集、使用个人电子信息,出售或者非法向他人提供个人电子信息;
(三) 违背他人意愿、冒用他人名义发布信息;
(四) 攻击、入侵、破坏计算机网络、信息系统及设备设施;
(五) 故意阻塞、中断校园网络,恶意占用网络资源;
(六) 故意制作、传播、使用计算机病毒、木马、恶意软件等破坏性程序;
(七) 故意大量发送垃圾电子邮件、垃圾短信等,干扰正常网络秩序;
(八) 盗用他人帐号、盗用他人 IP 地址;
(九) 私自转借、转让用户帐号造成危害;
(十) 私自开设二级代理和路由接纳网络用户;
(十一) 上网信息审查不严, 造成严重后果;
(十二) 以端口扫描和私搭 DHCP 服务器等方式,破坏网络正常运行;
(十三) 私自将外网串接到校园网络。
(十四) 其它违反法律法规或危害网络与信息安全的行为。
第七章 网络与信息安全应急管理
第二十六条 网络技术中心(信息中心)负责按照网络与信息安全应急预案组织应急工作。
第二十七条 学院各部门应按照网络与信息安全事件报告与处置流程,做好事发紧急报告与处置,事中情况报告与处置和事后整改报告与处置工作。做到安全事件早发现、早报告、早控制、早解决。
第二十八条 学院各部门或师生员工均有义务及时向网络技术中心(信息中心)报告安全事件,不得在未授权情况下擅自对外发布学院的安全漏洞或安全事件。
第八章 网络与信息安全监督检查
第二十九条 学院各部门定期对本单位信息系统的安全状况、安全保护制度及措施的落实情况进行自查,并配合有关部门做好信息安全检查、信息内容检查、保密检查及审批等工作。
第三十条 网络技术中心(信息中心)联合学院有关部门对各部门的网络与信息安全工作落实情况进行检查,对发现的问题下达限期整改通知书,责成相关单位制定整改方案并落实到位。
第九章 网络与信息安全责任追究
第三十一条 学院各部门应按照网络与信息安全事件报告与处置流程,及时、如实地报告和妥善地处置网络与信息安全事件。如有瞒报、缓报、处置或整改不力等情况,学院将对相关单位责任人进行约谈和通报。
第三十二条 师生员工违反本办法规定的,由其所在单位责令改正,并通报批评;拒不改正或导致危害网络与信息安全等严重后果的,根据学院有关规定给予以纪律处分。对情节严重、触犯国家法律的,依法追究法律责任。
第十章 附则
第三十三条 本办法由网络技术中心(信息中心)负责解释。
第三十四条 本办法自本文印发之日起执行。
新疆石河子职业技术学院
2022年4月20日
