某大學網(wǎng)絡及信息系統(tǒng)安全管理辦法

某大學網(wǎng)絡及信息系統(tǒng)安全管理辦法

z大學網(wǎng)絡及信息系統(tǒng)安全管理辦法

近年來，國內信息安全形勢嚴峻，各類信息安全事件頻發(fā)。為此，教育部辦公廳發(fā)布了《關于加強網(wǎng)絡安全檢查的通知》(教技廳函[2014]51號)、《教育行業(yè)信息系統(tǒng)安全等級保護定級工作指南(試行)》(教技廳函[2014]74號)和《教育部辦公廳關于開展國家級重要信息系統(tǒng)和重點網(wǎng)站安全檢查工作的通知》(教技廳函[2015]45號)要求高校加強網(wǎng)絡及信息系統(tǒng)安全管理;《z市教育委員會關于進一步加強和規(guī)范網(wǎng)絡與信息安全管理的通知》(渝教科〔2014〕32號)進一步明確高校需加強網(wǎng)絡、信息系統(tǒng)和網(wǎng)站安全管理;z市重要信息系統(tǒng)安全等級保護工作協(xié)調小組辦公室發(fā)布的《z市重要信息系統(tǒng)安全等級保護工作協(xié)調小組辦公室關于加強重點網(wǎng)站安全防范工作的緊急通知》(渝等保辦〔2015〕9號)要求高校加強信息系統(tǒng)和網(wǎng)站安全，落實信息系統(tǒng)等級保護定級管理工作。

第一章 總則

第一條 為貫徹落實國家及教育主管部門相關文件精神，進一步加強我校網(wǎng)絡及信息安全工作，特制定本辦法。

第二條 本辦法所指網(wǎng)絡(以下簡稱校園網(wǎng))包括z大學教學辦公區(qū)、學生宿舍區(qū)和部分由學校建設管理的教師住宅區(qū)網(wǎng)絡，不包括由電信運營商自主建設運營的住宅區(qū)網(wǎng)絡。

第三條 本辦法所指信息系統(tǒng)指由學校及各二級單位建設管理各類業(yè)務系統(tǒng)和網(wǎng)站。

第四條 涉密網(wǎng)絡和涉密系統(tǒng)根據(jù)國家及學校的相關管理規(guī)定單獨管理，不適用本管理辦法。

第二章 管理機構及職責

第五條 為進一步加強網(wǎng)絡及信息安全組織領導，學校將原“z大學計算機網(wǎng)絡及信息安全領導小組”、“z大學數(shù)字化校園建設領導小組”整合調整為“z大學網(wǎng)絡信息安全及信息化工作領導小組”(以下簡稱領導小組)。領導小組負責制定全校網(wǎng)絡及信息安全工作的總體方針和安全策略，審定全校網(wǎng)絡及信息安全管理制度，指導并監(jiān)督網(wǎng)絡及信息安全管理。領導小組辦公室設在黨委辦公室。

第六條 網(wǎng)絡信息安全及信息化工作領導小組辦公室負責網(wǎng)絡及信息安全總體事務，主要職責包括：

(一) 統(tǒng)籌協(xié)調全校網(wǎng)絡及信息安全工作;

(二) 網(wǎng)絡及信息安全總體規(guī)劃;

(三) 制定網(wǎng)絡及信息安全管理制度;

(四) 組織信息網(wǎng)絡安全工作檢查和考評;

(五) 網(wǎng)絡及信息安全事件查處。

第七條 宣傳部主要職責包括：

(一) 學校主頁內容審核、發(fā)布及安全管理;

(二) 學校新聞網(wǎng)內容審核、發(fā)布及安全管理;

(三) 民主湖論壇內容審核、發(fā)布及安全管理;

(四) 全校輿情監(jiān)控及內容管理。

第八條 保衛(wèi)處主要職責包括：

(一) 全校信息安全監(jiān)控管理;

(二) 網(wǎng)絡及信息安全違法違紀事件的調查;

(三) 網(wǎng)絡及信息安全事件處理中的對外聯(lián)絡與接洽。

第九條 信息化辦公室負責網(wǎng)絡及信息安全技術支撐，主要職責包括：

(一) 校園網(wǎng)出口安全基礎設施的建設和管理;

(二) 學校數(shù)據(jù)中心安全基礎設施建設和管理;

(三) 校園無線網(wǎng)絡接入安全管理;

(四) 校園網(wǎng)安全監(jiān)控管理;

(五) 定期實施校內服務器安全漏洞掃描及安全預警;

(六) 定期組織實施信息系統(tǒng)安全等級測評;

(七) 落實專職人員負責網(wǎng)絡及信息安全管理工作;

(八) 組織信息網(wǎng)絡安全培訓和教育。

第十條 虎溪校區(qū)管委會具體負責虎溪校區(qū)網(wǎng)絡及信息安全管理，主要職責包括：

(一) 虎溪校區(qū)校園網(wǎng)出口安全基礎設施建設和管理;

(二) 虎溪校區(qū)校園網(wǎng)內容審計系統(tǒng)監(jiān)測管理;

(三) 虎溪校區(qū)網(wǎng)絡信息中心機房的網(wǎng)絡及信息安全管理;

(四) 虎溪校區(qū)門戶及各業(yè)務系統(tǒng)內容及系統(tǒng)安全管理。

第十一條 圖書館主要職責：

(一) 民主湖論壇的系統(tǒng)安全管理;

(二) 圖書館網(wǎng)絡(有線部分)接入安全管理;

(三) 圖書館業(yè)務系統(tǒng)及網(wǎng)站的安全管理。

第十二條 學工部、研工部主要職責：

(一) 學工、研工業(yè)務系統(tǒng)及網(wǎng)站安全管理;

(二) “易班”系統(tǒng)接入安全管理;

(三) 協(xié)助進行輿情監(jiān)控及內容管理。

第十三條 其它二級單位主要職責包括:

(一) 本單位局域網(wǎng)和校園網(wǎng)接入安全管理;

(二) 本單位聯(lián)網(wǎng)計算機審核(有線部分);

(三) 本單位上網(wǎng)信息審核;

(四) 本單位業(yè)務系統(tǒng)及網(wǎng)站的安全管理。

第三章 校園網(wǎng)安全管理

第十四條 信息化辦公室總體負責校園網(wǎng)安全管理工作，虎溪校區(qū)管委會具體負責虎溪校區(qū)校園網(wǎng)安全管理工作。

第十五條 校園網(wǎng)(有線部分)由信息化辦公室負責在校園網(wǎng)出口處實施實名上網(wǎng)認證，各二級單位負責接入端安全管理;校園網(wǎng)(無線部分)由信息化辦公室負責實施實名接入上網(wǎng)認證。

第十六條 信息化辦公室負責學校數(shù)據(jù)中心網(wǎng)絡安全設施建設和管理。

第十七條 接入校園網(wǎng)的各單位和用戶必須嚴格遵守執(zhí)行《中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定》和國家有關法律法規(guī)，嚴格執(zhí)行信息安全及保密相關制度。

第十八條 二級單位根據(jù)國家有關規(guī)定對上網(wǎng)信息進行審查，凡涉及國家秘密的信息嚴禁上網(wǎng)。使用校園網(wǎng)的相關單位和用戶必須對所提供的信息負責。不得利用校園網(wǎng)從事危害國家安全、泄露國家秘密等犯罪活動，不得制作、查閱、復制和傳播有礙社會治安、社會穩(wěn)定的信息。

第十九條 在校園網(wǎng)上不允許進行任何干擾網(wǎng)絡用戶、破壞網(wǎng)絡服務和網(wǎng)絡設備的活動，不得在網(wǎng)絡上散布計算機病毒，未經授權不得使用校園網(wǎng)。

第二十條 接入校園網(wǎng)的各二級單位需指定一名主管領導負責本單位的網(wǎng)絡及信息安全工作，設立網(wǎng)絡管理員具體負責相應的網(wǎng)絡安全和信息安全技術工作。

第二十一條 校園網(wǎng)上所有單位和用戶有義務向學校網(wǎng)絡信息安全相關部門報告網(wǎng)絡違法犯罪行為和網(wǎng)上有害信息情況。

第二十二條 與校園網(wǎng)相關的所有單位和用戶必須接受并配合國家有關部門依法進行的監(jiān)督檢查。

第四章 信息系統(tǒng)安全管理

第二十三條 各二級單位是信息系統(tǒng)安全管理的責任主體，對本單位信息系統(tǒng)安全負責。

第二十四條 信息系統(tǒng)安全遵循“同步規(guī)劃、同步建設、同步運行”的原則，信息系統(tǒng)的立項采購、測試驗收、交付使用、升級改造必須符合國家對信息系統(tǒng)安全等級保護的相關要求。

第二十五條 二級單位負責制定信息系統(tǒng)安全管理策略，加強人員安全能力與安全意識培訓，落實學校安全要求;確定信息系統(tǒng)數(shù)據(jù)安全要求，明確數(shù)據(jù)訪問權限，制定數(shù)據(jù)備份機制，接入學校統(tǒng)一災備體系。

第二十六條 二級單位負責信息系統(tǒng)的安全運行維護工作，按照《信息系統(tǒng)安全等級保護基本要求》(GB/T 22239-2008)基本技術要求規(guī)定，做好系統(tǒng)安全、角色權限、口令增強等系統(tǒng)管理工作，定期進行安全檢查、漏洞修補、系統(tǒng)升級、數(shù)據(jù)備份等安全管理工作;信息系統(tǒng)一旦出現(xiàn)信息安全事件，二級單位應及時查處整改，對多次出現(xiàn)安全事件的信息系統(tǒng)由信息化辦公室暫停其網(wǎng)絡連接及服務。

第五章 信息系統(tǒng)安全等級保護定級

第二十七條 根據(jù)“自主定級、自主保護”的原則，由學校“網(wǎng)絡信息安全及信息化工作領導小組”確定我校信息系統(tǒng)安全等級保護定級方案。

第二十八條 學?，F(xiàn)有信息系統(tǒng)的定級由“網(wǎng)絡信息安全及信息化工作領導小組”根據(jù)教育部辦公廳《教育行業(yè)信息系統(tǒng)安全等級保護定級工作指南(試行)》(教技廳函[2014]74號)并結合我校實際情況確定，定級確定后按要求報公安機關審核備案并定期開展等級測評。

第二十九條 信息系統(tǒng)安全等級保護定級、變更由學校“網(wǎng)絡信息安全及信息化工作領導小組”審定，各二級單位負責準備相關備案材料，信息化辦公室負責組織等級測評、報公安機關審核備案。

第三十條 信息化辦公室定期組織對重要信息系統(tǒng)進行安全檢測。

第六章 安全事件查處

第三十一條 網(wǎng)絡及信息安全事件(以下簡稱安全事件)包括有害程序、網(wǎng)絡攻擊、信息破壞、信息內容安全、信息設施故障、災害性事件及其它危害網(wǎng)絡及信息安全的事件。

第三十二條 校園網(wǎng)上所有單位和用戶有義務向學校網(wǎng)絡信息安全相關部門報告安全事件。

第三十三條 二級單位發(fā)現(xiàn)安全事件或接到安全事件報告后應在第一時間將相關情況報學校保衛(wèi)處和信息化辦公室。

第三十四條 學校保衛(wèi)處負責安全事件的調查取證，信息化辦公室負責技術支撐，二級單位負責配合舉證。

第三十五條 發(fā)生安全事件后應首先留存相關證據(jù)，中斷網(wǎng)絡連接以減小安全事件擴散影響，在調查取證結束以前不執(zhí)行數(shù)據(jù)刪除、系統(tǒng)恢復等操作，避免影響調查取證。

第三十六條 二級單位應建立安全事件應急處理機制，制定應急預案，定期實施應急測試、演練和培訓。

第三十七條 網(wǎng)絡信息安全及信息化工作領導小組辦公室負責對一般安全事件責任人和責任單位進行處理，對造成重大影響和重大損失的安全事件報請網(wǎng)絡信息安全及信息化工作領導小組處理。

第七章 附則

第三十八條 本管理辦法由學校授權網(wǎng)絡信息安全及信息化工作領導小組辦公室負責解釋。

第三十九條 本管理辦法自公布之日起執(zhí)行。

z大學