第一章 总则
第一条 为加强学校网络与信息安全工作,提高网络与信息系统安全防护能力和水平,保障学校各项事业健康有序发展,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《信息安全技术网络安全等级保护基本要求(GB/T 22239-2019)》等法律以及上级有关文件精神要求,特制定本管理办法。
第二条 本办法所称网络与信息安全工作,是指由学校建设、运维、管理,服务于学校教学、科研、管理等各项工作的校园网、网站和信息系统,为防止发生网络攻击、信息破坏、有害程序入侵、信息化设备设施故障等而开展的预防和防御工作。
第三条 网络与信息安全管理的对象包括:隶属于学校及校内各级机构的网络、网站、计算机应用软件及其运转过程中的数据和相关的软硬件系统。
第四条 学校实行“统一领导、分级管理、分工负责”的网络信息安全管理体制,坚持“安全第一、预防为主、管理和技术并重、综合防范”的总体方针,实现信息系统安全可控、能控、在控。依照“分区、分级、分域”总体安全防护策略,严格执行网络安全等级保护制度。
第五条 各单位按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则切实落实网络与信息安全主体责任。网络与信息系统的主管单位承担系统的安全管理和监督责任,网络与信息系统的运行维护单位承担系统的技术安全保障责任,网络与信息系统的使用单位承担系统操作与信息内容的直接安全责任。
第二章 管理体制及责任
第六条 学校成立网络安全和信息化领导小组(以下简称网信领导小组),作为学校网络安全和信息化工作领导机构。负责贯彻落实上级有关部门关于网络安全和信息化决策部署,统筹协调学校网络安全和信息化建设重大问题,研究制定学校网络安全和信息化工作发展战略、规划和政策、工作计划和工作标准。
第七条 网络安全和信息化领导小组下设办公室,主要负责小组日常事务,落实网信领导小组信息化政策;督促各单位落实网络安全和信息化工作的政策规定及领导小组决定的重要事项等。
第八条 学校党委宣传部、信息化处、融媒体中心、人事处、财务处等单位牵头成立网络安全工作专班、信息安全工作专班、规划与建设工作专班、资金保障工作专班、信息素养提升工作专班,负责网络与信息安全具体工作的落实开展。
第九条 学校各二级单位为本单位网络与信息安全工作的责任主体,各单位主要负责人是本单位网络与信息安全工作第一责任人,按要求每年度签订《网络安全责任书》,负责按照本办法落实网络与信息安全工作,推进本单位信息化发展,各单位指定一名网络安全和信息化联络员承担本单位网络安全和信息化管理,督促、检查及协调应急处置等工作。
第三章 校园网络运行安全
第十条 校园网络是指校园范围内连接各种信息系统及信息终端的计算机网络,包括校园有线网络、无线网络和各种虚拟专网。校园网络及其安全工作由学校信息化处统一管理,对在学校范围内开展互联网接入服务的运营商进行统一管理,开展与运营商网络有关的网络安全协调处置工作。
第十一条 校园网络规划由信息化处制定。涉及综合布线、网络机房、网络设备、网管系统、域名管理、安全防护、认证计费、网络接入与运维等方面,由信息化处负责建设、运行、维护和管理。
第十二条 任何单位和个人不得利用校园网制作、复制、传播和查阅下列信息:
(一)煽动抗拒、破坏宪法和法律、法规实施的;
(二)煽动颠覆国家政权,推翻社会主义制度的;
(三)煽动分裂国家、破坏国家统一的;
(四)煽动民族仇恨、民族歧视,破坏民族团结的;
(五)煽动非法集会、结社、游行、示威、聚众扰乱社会秩序的;
(六)捏造或者歪曲事实,散布谣言,扰乱社会秩序的;
(七)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;
(八)公然侮辱他人或者捏造事实诽谤他人的;
(九)损害国家荣誉和利益的;
(十)以非法民间组织名义组织活动的;
(十一)其他违反宪法和法律、行政法规的
第十三条 学校各单位对部署于本单位范围内的学校网络设备、线路具有保护义务。校园网络与互联网及其他公共信息网络实行逻辑隔离,由信息化处统一出口、统一管理和统一防护。未经学校同意,学校各单位和个人不得更改或破坏学校网络设备和线路,在校园内不得擅自通过社会网络资源接入互联网。
第十四条 按照国家《网络安全法》《数据安全法》《个人信息保护法》等的要求,在校园网络上开展下列安全保护工作,保障学校网络免受干扰、破坏或者未经授权的访问,实现安全防护、监测预警、灾难恢复、安全认证等安全保障与网络信任功能,构建可信、可控、可查的网络与信息安全技术防护环境。
(一)制定人员安全管理、计算机软硬件管理、电子邮箱使用管理办法等内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护主体责任。
(二)按需配置防火墙、态势感知、防病毒、日志审计等网络与信息安全设备和软件,建立多层次网络与信息安全技术防护体系。
(三)采取访问控制、安全审计、完整性检查、威胁监测、渗透测试、代码审查等措施加强校园网络主动防护。
(四)采取记录、跟踪网络运行状态,监测、记录网络安全事件的技术措施,并按照规定留存各类日志。
(五)制定数据全流程合规与监管规则体系建设,指导督促数据采集、存储、传输、共享、使用、销毁等全流程的安全保障,加强数据和个人隐私保护,确保信息安全。
(五)完成法律、行政法规、上级部门和学校规定的其他网络与信息安全工作。
第十五条 任何单位和个人不得在校园网上明文传输具有保密性质的数据,确保上网信息合法且不涉密。具有保密用途的专用网络应根据保密有关规定采用专用安全设备与校园网进行连接或隔离。
第十六条 任何单位和个人不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动; 不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具。
第十七条 学校师生接入校园网络,实行实名注册、认证上网的制度。网络接入实名管理制度由信息化处负责实施。
第四章 网络信息和网站安全
第十八条 单位主管为单位网络信息发布的第一责任人,根据实际工作需要可指定一名成员分工负责,同时可确定一名管理员负责本单位的信息搜集、整理、制作和发布。开通或关闭网站、微博、微信平台之前需到党委宣传部、融媒体中心履行登记备案手续;如实登记用途,不提供代理和涉嫌侵权的资源服务;一旦开通需做到及时更新、认真管理、注重质量。
第十九条 各单位应按照“统一规范、先审后上、保证质量”的要求严肃开展网络信息发布、转载和链接管理工作。各单位负责人负责审核本单位网站、微博、微信平台等发布的网络信息,融媒体中心负责审核学校官网主页、官方微博、官方微信平台发布的网络信息;不得以学校名义在其他传播平台上擅自发布网络信息;不发布与学校或本单位职责无关的信息内容和外部链接。
第二十条 学校各单位负责的公共区域信息展示大屏、LED屏需明确管理人,控制LED的终端或具有无线连接功能的LED屏设置复杂登录口令,建立LED屏内容审核巡查制度,做好日常内容管理和设备巡查,信息内容更换通过专用控制终端或存储介质管理,独立的控制室需设有门禁,确保无关人员不得随意进行信息发布操作,LED显示屏、控制终端原则上不得连接外网。
第二十一条 各级网站安全建设、管理要求
(一)校属各单位的网站应使用学校站群系统开发、制作、发布,使用学校域名(shengda.edu.cn)和IP地址,并使用学校服务器资源部署于学校数据中心内,以确保安全。特殊情况下须经融媒体中心和信息化处技术审核后方可调整方案。
(二)合理设置栏目,公开并及时更新单位概况、职能职责、规章制度、办事指南、工作通知、单位动态等内容;未经批准,不开设聊天室、论坛等开放式交互栏目,一旦批准开设,需安排人员认真审核留言内容,做到如实反映群众意见、过滤不良信息、积极引导网上舆论。
(三)采用安全的网络信息发布技术,避免传播带毒文件;引用、转发外部资讯时做到严格审核,并注明来源。
(四)妥善保管网站管理账户信息,使用高强度的密码,并定期更新;对网站管理人员和用户加强网络安全意识教育和业务培训。
(五)关注网站的安全状况,及时联系信息化处处置各种安全问题,配合信息化处网站安全工作。
(六)实行读网制度,各级管理部门要安排值班人员每天登录网站(包括微博、微信等网络传播平台)读网,认真查看页面显示状况,查看各项功能的有效性,查看所发布的信息特别是重要信息是否存在错漏,查看是否存在暗链,未经脱敏的姓名、身份证号、联系方式等个人敏感信息,发现问题立即纠正。关注校园网上发布的各类信息,加强沟通合作,做到学校网站与单位网站、单位网站与单位网站之间信息的准确性、一致性、恰当性。定期检查网站内添加的外链,防止因其他网站失效、被篡改、涉黄、涉毒等原因导致不良社会影响。
(七)网站信息发布时应坚持遵守“涉密信息不上网,上网信息不涉密”和“谁发布、谁负责”的原则,确保发布的信息合法合规、真实有效、准确及时,符合信息公开相关要求。
(八)严格落实网站维护管理制度。只在校园网内进行运维管理,若需要远程运维或第三方单位(如网站开发单位)协助运维,需要采用VPN加密、堡垒机登录等安全方式接入。
第五章 信息系统建设和安全
第二十二条 学校统筹制定学校信息系统项目规划和顶层设计。各单位根据本单位业务需求,提出信息系统建设申请,纳入学校规划的核心信息系统建设需求将获学校信息化建设经费的优先支持。
第二十三条 软件的采购、开发与维护管理。建设单位根据本单位业务需要撰写需求分析报告,明确详细的功能和性能需求。
信息化处负责软件所需的数据中心资源,包括硬件、运行平台软件和基础数据等,协助制定技术方案。
信息化处组织对技术方案进行论证和审批,并确定拟建信息系统的网络安全保护等级,信息系统应按照相应安全等级的规范要求进行建设,网络安全等级保护测评服务列为信息系统招标必备项目。
对于购买商业软件或委托软件开发的,建设单位根据论证和审批通过后的方案,按照学校采购与招标相关办法进行采购,建设单位为该信息系统的主管单位,应指定专人负责信息系统的建设、运行维护和管理,组织软件提供商并会同信息化处制定信息系统运维和安全管理方案。信息系统原则上由建设单位运维,特殊情况可委托信息化处运维。
第二十四条 学校各类信息系统原则上只能部署在学校数据中心内,信息化处依托校园网数据中心安全体系为信息系统提供网络安全和数据安全所需的基础环境,系统建设和使用单位负责系统的应用安全,严禁使用设置在境外的数据中心。涉及学校基础数据、师生个人信息或敏感信息的信息系统,禁止部署在校外数据中心(含云服务平台)。
第二十五条 因特殊原因必须部署在校外数据中心,且不使用学校域名的信息系统(即双非资产),由建设和使用单位负责提出部署方案和安全保障方案,报学校网络安全和信息化领导小组审核。此类系统网络安全、数据安全由系统建设和使用单位自行负责。
第二十六条 校内信息系统投入试运行后,业务单位提出验收申请、出具初步验收报告,由信息化处组织开展网络安全等级保护备案和测评,漏洞扫描,建设单位配合相关工作,按要求完成问题整改,
重点业务系统正式上线还需完成渗透测试、安全代码审计等相关安全检测工作,相关检测报告作为应用系统竣工验收的必备内容。
第二十七条 信息系统在运行使用期间不定时接受信息化处组织的漏洞扫描,渗透测试等安全检测内容,落实信息化处和上级有关部门提出的网络信息安全整改意见。信息化处可根据网络安全事件的性质和威胁程度,对存在问题的业务系统直接采取封堵、隔离、强制下线等措施。
第二十八条 各信息系统管理单位须根据学校人员和组织机构变动及时调整系统内的信息,确保系统内用户和机构信息与真实情况一致,做到业务操作能审计、追溯。
第二十九条 系统建设和使用单位确保做到不给无关人员授权、授权账号不外泄、加强人员管理、定期开展安全检查,配合学校开展网络安全防范和处置工作。
第三十条 建立供应链安全风险评估机制,严格制定安全合同,明确学校和供应链双方在网络安全方面的责任和义务,确保合作伙伴重视网络安全问题,接触学校敏感数据的供应链人员应签署数据安全保密协议。
第三十一条 对于使用频度不高、阶段性使用的网站和信息系统,可采取非工作时间或寒暑假、节假日关闭的方式运行。
第六章 信息系统数据安全
第三十二条 信息系统数据是指信息系统收集、存储、传输、处理和产生的各种电子数据,包括但不限于网站内容、业务数据、网络课程、图书资源、日志记录、用户信息等。
第三十三条 信息系统数据的所有者是数据安全管理的责任主体,应当落实管理和技术措施,规范数据的收集、存储、传输和使用,确保数据安全。
第三十四条 在信息系统数据中涉及个人信息的处理等应遵循“最少必要”和“知情同意”原则,学校对在科研、教学及校务管理中使用到的个人信息,依法依规进行处理;其他信息化应用中使用的个人信息,应明确告知相关个人,并由个人自愿同意后,方可使用,非必要不得收集与信息系统业务服务无关的个人信息。
按照“谁收集,谁负责”的原则,收集个人信息的单位是个人信息保护的责任主体,应当对其收集的个人信息严格保密,并建立健全相关保护制度。
第三十五条 信息化处负责学校核心信息系统的备份与恢复管理,制订备份与恢复计划,根据业务实际需要对重要数据和信息系统进行备份,定期测试备份与恢复计划,并确保备份数据和备用资源的有效性,各单位负责本单位信息系统数据备份,保留至少一份本地备份数据。
第七章 监测预警与应急处置
第三十六条 学校信息化处负责对校园网网络流量进行日常安全监测、预警。各单位要及时响应安全预警内容,协助排查,根据要求上报自查情况。
第三十七条 各单位定期对本单位应用系统、互联网站安全状况、安全保护及措施的落实情况进行自查,配合有关部门的信息安全检查、信息内容检查、保密检查与审批工作。
第三十八条 网信领导小组对全校各单位网络与信息技术安全工作落实情况进行检查,对发现的问题下达限期整改通知书,对网络与信息技术安全事件进行调查处理。
第三十九条 各单位及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险。在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,消除安全隐患,防止危害扩大。
第四十条 各单位定期组织网络安全应急演练。按照“第一时间发现、第一时间上报、第一时间处置”的原则,建立健全本单位信息安全值守制度和安全事件应急处置机制,制定安全事件应急预案,定期开展应急演练,提高网络安全事件应急响应与处置能力,确保安全事件早发现、早报告、早控制、早解决。
第八章 宣传与教育
第四十一条 加强网络安全的宣传、教育。学校定期组织开展形式多样、针对性强的面向学校全员和供应商的普及型培训和网络安全宣传教育,提高管理人员、技术人员、开发运维人员、师生、供应链人员的信息安全和防范意识。
第四十二条 按照上级部门网络安全宣传的部署要求,认真组织开展网络安全宣传等活动;通过加强学生的网络安全教育,提高安全和防范意识,增强识别有害信息的能力,培养学生良好的网络媒介素养和文明健康规范的网络行为习惯。
第四十三条 网络安全和信息化领导小组办公室联合学校各单位制定网络与信息安全培训规划,定期组织本单位信息系统管理员(包括网站信息员、系统运维人员)参加校内外举办的网络安全技术专业培训,增强安全意识,提高安全技术和管理能力,逐步实行信息化管理和技术人员持证上岗。
第九章 保障措施
第四十四条 学校保障网络与信息化发展所需的人员编制,采取有效措施建立高水平的网络与信息技术安全管理专职队伍和技术支撑专业队伍。
第四十五条 学校保障网络安全与信息化发展的经费投入和物理空间需求。设立网络安全专项经费,占年度信息化总经费的比例不低于5%。保障学校网络安全工作正常开展。
第十章 网络安全责任追究
第四十六条 学校建立网络安全责任追究和倒查机制。
第四十七条 学校单位在收到信息技术安全事件限期整改通知书后,要立即进行整改,对于整改不力的,给予校内通报批评;对于玩忽职守、失职渎职造成严重后果的,依纪依法追究相关人员的责任。
学校师生违反本办法规定的,由信息化处责令改正,并通报批评;拒不改正或者导致危害网络安全等严重后果的,根据学校有关规定给予以纪律处分。触犯法律的,移交司法机关处理。
第四十八条学校各单位应按照学校《信息技术安全事件报告与处置流程》及时、如实报告和妥善处置信息技术安全事件。如有瞒报、缓报、处置和整改不力等情况,学校将对相关单位责任人进行约谈或通报。
第十一章 附则
第四十九条 涉及国家秘密的信息系统,执行国家保密工作的相关规定和标准,由学校监督指导。
第五十条 紧急情况下,经学校网络安全和信息化领导小组批准,信息化处等单位可以采取特别措施以维护学校网络与信息安全。
第五十一条 本办法自发布之日起施行,由网络安全和信息化领导小组负责解释。学校此前相关管理规定,凡与本办法不一致的,按照本办法执行。