77779193永利集团网络和信息安全管理办法
吉农院院发〔2021〕67号
第一章 总则
第一条 为了加强学校网络和信息安全保障能力,维护公共利益和学校稳定,提高安全水平,保证网络通信畅通和应用信息系统的正常运行,提高网络信息服务质量,促进学校信息化建设的健康发展,在学校安全体系框架下,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《77779193永利集团智慧化校园建设与管理办法》以及公安部《计算机信息网络国际联网安全保护管理办法》,规范安全事件的响应和操作流程,加强对学校网络和信息安全的规范化管理。
第二条 本办法适用于学校校园网内所承载的所有门户网站、信息系统、服务器及终端管理。
第三条 网络和信息安全管理遵循“谁主管谁负责、谁主办谁负责、谁运维谁负责、谁使用谁负责”的原则。
第二章 组织机构和工作职能
第四条 信息化管理中心作为学校网络和信息安全的主管部门,承担学校信息安全管理的总体职责,负责学校网络和信息安全事件的预防、监测和处置,统一指挥校园重大突发事件的应急处置工作;对学校其他部门管理的门户网站、信息系统、服务器及终端安全防护工作进行指导、监督、检查。
第五条 各单位成立网络安全和信息化工作小组,明确分工,强化管理。主管网络和信息安全的领导,负责本单位网络和信息安全总体工作。各单位配备至少一名信息管理员,负责本部门信息化相关数据的收集、整理和上报;负责本部门网站信息的更新、备份和维护;负责本部门相关信息系统管理、维护;负责组织协调和处理本单位网络和信息安全的一般事件及与信息化管理中心对接工作。
第三章 校园网络安全管理
第六条 校园网络由信息化管理中心负责建设、运行和管理。信息化管理中心应采取访问控制、安全审计、入侵防御系统建设,加强校园网络安全防护。建立外部人员访问数据中心等重要区域的审批制度,并安排工作人员现场陪同,对访问活动进行记录和保存。
第七条 校园网络与互联网及其他公共信息网络实行逻辑隔离,由信息化管理中心统一管理。未经批准,严禁将其他互联网线路接入校园网或一机双网。对于已经自行使用网络运营商(如联通、电信、铁通、中国移动公司等)提供的网络出口的单位或个人,限期停止运行。如属特殊情况需要使用网络运营商接入的,需要向信息化管理中心申请登记备案后方可重新开通。
第八条 校园网络主要服务于学校教学、科研及校务管理等,用户不得将校园网络用于其它用途,严禁利用校园网络开展各类未经许可的其它活动,严禁任何单位和个人利用校园网络及设施开展经营性活动。如属特殊情况需要网络接入的,需要向信息化管理中心申请,安全问题由使用单位和个人负责。
第九条 师生员工接入校园无线网络,实行“实名注册、认证上网”制度,校内用户必须通过学校统一身份认证接入校园网,使用校园网络,严禁以下行为:
1.非法侵入网络设备、信息系统及服务器;
2.非法或不当获取、使用校园网资源或对校园网的设备进行非法控制;
3.盗用窃取他人校园网账号和密码,或擅自向第三人公开他人账号和密码;
4.窃取他人个人信息,或者擅自向第三人公布他人个人信息;
5.故意制作、传播计算机病毒以及其它破坏程序;
6.将校园网资源(包括但不限于各类数据、教学科研信息、设备专用地址、域名、邮箱等)用于商业目的;
第十条 校园网用户应文明上网,规范网络行为,并做好个人网络安全维护。校园网用户的上网行为不得危害到学校网络安全和正常秩序,严禁利用校园网从事任何无授权的探测、破坏、信息窃取等互联网攻击活动,严禁在校园网平台发布反共或不良信息,危害校园网运行或安全的行为。
第十一条 校园网用户必须遵守国家有关法律法规,不得利用校园网从事违反国家法律法规和学校规章制度的活动。信息化管理中心有权按照国家的网络安全管理规定,记录用户上网行为,并配合公安机关的要求,提供用户上网记录。
第十二条 校园网终端用户应使用防火墙和防护软件,定期进行操作系统升级及杀毒。信息化管理中心定期对校内终端用户进行安全检测,终端用户应配合信息化管理中心进行相关的整改和补丁升级,保障校园网络终端安全。
第十三条 对于违反上述规定的用户,经信息化管理中心查实,对违规用户暂停网络服务,并进行追责处理,情节严重者,需承担相应的法律责任。
第四章 信息系统安全管理
第十四条 信息系统管理单位应制定信息系统使用与维护的管理制度,规范信息管理员的操作行为。关键系统管理人员应签订信息安全与保密协议,明确信息安全与保密要求和责任。
第十五条 信息系统数据收集应遵循“最少够用”原则,不得收集与信息系统业务无关的个人信息。按照“谁收集,谁负责”的原则,收集个人信息的单位是个人信息保护的责任主体,应当对其收集的个人信息严格保密,并建立健全相关保护制度。
第十六条 信息系统应保证数据所在系统安装防病毒软件和防火墙,定期升级病毒库,定期为操作系统更新补丁,妥善保管账户和密码,禁止使用空密码、弱口令,密码定期更新。
第十七条 信息系统的重要密码,必须由主要负责人和系统管理员妥善保管并定期更换。信息系统的不同应用权限的用户密码由本人妥善保管。信息系统合法用户在调离或身份变更时应由系统管理员及时注销。
第十八条 信息管理员定期对系统运行环境、用户活动、日志信息进行排查,处置异常访问和操作。需要远程访问时,可向信息化管理中心申请VPN账号,禁止使用第三方远程软件。
第十九条 涉密信息系统严禁接入校园网等公用网络,涉密信息不得进入公用信息系统。
第二十条 原则上学校不提供信息系统外网访问服务,如确有特殊需求,经信息化管理中心审批后方可使用,申请单位承担全部网络安全责任。
第二十一条 信息化管理中心定期对各信息系统开展安全检测工作,对于发现的问题将下达限期整改通知书,责成相关单位制订整改方案并落实到位。各单位信息管理员应配合信息化管理中心及时整改安全问题。
第二十二条 对于违反信息系统管理制度导致出现网络安全事件的,由信息系统管理单位相关责任人承担相应责任,情况严重的,将依据国家相关法律对责任人依法进行追究。
第五章 网站安全管理
第二十三条 为保障学校各类网站的安全,各单位以信息发布为主的网站,应纳入学校网站群平台实行统一管理。对于未纳入学校网站群平台、自行建设的网站,其技术安全和内容安全均由网站主办者和网站所属单位负责。
第二十四条 信息化管理中心为网站群平台及其运行环境提供统一的技术安全支持与管理服务,包括系统配置、数据备份及安全技术防护等,采用技术手段对网络攻击、系统漏洞及网站内容进行监控与检测,保障网站群平台稳定、安全、高效运行。
第二十五条 信息发布坚持“涉密不上网,上网不涉密”和“谁发布、谁负责”的原则,确保发布的信息合法合规、真实有效、准确及时,符合学校新闻发布相关制度。入驻网站发布的信息必须严格遵守国家法律法规,严禁制作、复制、发布、传播含有违反《互联网信息服务管理办法》(国务院令第292号)第十五条所列内容。
第二十六条 网站的信息安全由网站开办单位负责。网站开办单位应建立完善的网站信息发布与审核制度,确定内容编辑、内容审核、内容发布的负责人员,明确审核与发布程序,保存相关操作记录。
第二十七条 对于使用频度不大、阶段性使用的网站,网站开办单位可采取非工作时间或寒暑假、节假日关闭的方式运行。对于无人管理、无力维护、长期不更新的网站,网站开办单位应关闭网站以降低安全风险。
第二十八条 网站群平台采用分级授权管理模式,各级管理员必须是学校在编在岗人员,并由入驻网站主管单位向信息化管理中心报备。管理员信息发生异动时,应及时到信息化管理中心更新备案信息。
第二十九条 网站设置校外网站或网页链接的,主管单位须对链接的网站或网页内容进行审核。网站主管单位须巡查链接内容,保证链接的合法性及有效性。
第三十条 网站管理员应严格账号管理制度,如因管理不善导致发生网站安全事件或不良后果的,依法追究相关人员责任。
第六章 附则
第三十一条 学校各单位可参照本办法制订本单位的实施细则。
第三十二条 本办法自发布之日起实施,由信息化管理中心负责解释。
77779193永利集团
2021年6月18日