信息公开目录

学校章程及制定的各项规章制度

沙巴网站平台网络信息安全管理办法(试行)


 

第一章 总 则

第一条 为认真贯彻落实党中央和习近平总书记关于网络安全工作的重要指示精神和决策部署,落实网络安全主体责任,提高学校网络安全保障水平,筑牢网络安全防线,提高网络安全保障水平,根据《中华人民共和国网络安全法》(201761实施)、《信息系统安全管理要求》(GBT20269)国家标准,《信息安全技术网络安全等级保护基本要求》(GBT22239-2019)国家标准等文件要求,结合我校工作实际,特制定本办法。

第二条 本办法所称网络信息安全工作,是指为使由学校建设、运行、维护或管理并支撑学校教育教学、科研和管理等各项事业的信息资产(信息及信息系统)的机密性、完整性、可用性等得到保持、不被破坏所开展的相关管理和技术工作;本办法所指学校各单位包括各二级学院()、部门等相关机构。

第二章 组织机构与职责

第三条 学校党政主要负责人是学校网络信息安全的第一责任人,分管信息化工作的校领导协助主要负责人履行学校网络信息安全责任。

第四条 学校成立网络信息安全领导小组(以下简称校网信领导小组),学校党政主要负责人任领导小组组长,领导小组下设办公室(简称网信办)。

第五条 网信办设置在学校网络信息中心,学校网络信息中心负责全校网络安全技术支撑工作,网络信息中心专门配备一名专职网络安全技术人员专门从事网络信息安全工作。

第六条 网络信息中心是学校网络信息安全归口管理部门,负责统筹学校网络信息安全工作。具体职责包括:
   (一)制定网络信息安全总体规划,并组织实施;
   (二)拟定网络信息安全管理规章制度,制定信息安全标准规范;
   (三)组织开展校级层面信息系统安全等级保护工作;指导各二级学院()、部门开展所属信息系统安全等级保护工作。
   (四)负责网络信息安全应急管理,协调处理与政府信息安全管理部门的关系;
   (五)组织网络信息安全宣传和教育培训工作;
   (六)负责网络信息安全监督检查工作;
   (七)学校网络信息安全的其他工作。

第七条 学校各单位是本单位网络信息安全的责任主体,学校各级党组织主要负责人是网络信息安全工作第一责任人,主管网络信息安全的领导班子成员是直接负责人。

各单位主要负责人、各学院(部)党政主要负责人须代表单位签订网络信息安全承诺书(附件1),负责按本办法落实网络信息安全工作。各单位应指定专人负责网络信息安全工作,并报备至学校网信办(附件2);各单位负责的信息系统应配备专人负责网络信息安全工作(附件3),并报备至学校网信办。

第三章 校园网络管理

第八条  校园网络是指校园范围内连接各种信息系统及信息终端的计算机网络,包括校园有线网络、无线网络和各种虚拟专网。

第九条 校园网络规划由网络信息中心制定。涉及光缆布线、网络机房、网络设备、网管系统、域名管理、安全防护、认证计费、网络接入与运维等方面,由网络信息中心负责建设、运行、维护和管理。学校所有基建、修缮工程应将工程范围内校园网络建设纳入工程设计、实施和竣工验收范畴。

第十条  校园网络与互联网及其他公共信息网络实行逻辑隔离,由网络信息中心统一出口、统一管理和统一防护。未经批准,学校各单位在校园内不得擅自通过其他渠道接入互联网及其他公共信息网络。

第十一条  网络信息中心应采取访问控制、安全审计、完整性检查、入侵防范、恶意代码防范等措施加强校园网络边界防护。

第十二条  师生员工接入校园网络,实行实名注册、认证上网 制度;学校非涉密信息系统接入校园网络,实行接入审批和备案登记制度。网络接入实名管理制度由网络信息中心负责实施。涉密信息系统不得接入校园网络。

第十三条  校园网络接入单位负责提供本单位所需的网络设备间和电源保障,协助解决网络布线和设备安装所需空间,负责安防和消防安全管理。

第四章 数据中心管理

第十四条 数据中心主要包括支撑学校信息系统的物理环境(其中包含机房)、软硬件设备设施、学校中心数据库(其中包含基础数据库)、数据共享交换平台、统一身份认证平台及统一门户等信息化基础设施和平台。网络信息中心负责学校基础设施建设、运行、维护和管理。

第十五条 网络信息中心负责学校数据中心物理环境、软硬件设备设施的建设和安全管理;根据信息系统安全等级的不同,对学校数据中心进行分区、分域管理,采取必要的技术措施对不同等级分区进行防护、对不同安全域之间实施访问控制。

第十六条 网络信息中心负责学校中心数据库、数据共享交换平台的建设和安全管理,负责基础数据库与各单位业务数据库之间完成数据交换和共享。各单位负责建设、维护本单位业务应用系统所配套的业务数据库,并对本单位业务数据库及所申请的共享数据的安全负责。

第十七条 统一身份认证平台为学校信息系统提供统一的身份管理、安全的认证机制、审计及标准接口。学校各单位建设面向师生服务的应用系统时,应使用统一身份认证平台进行身份认证。网络信息中心负责统一身份认证平台的安全,学校各单位负责本单位应用系统的权限管理及安全。

第十八条 原则上,学校各单位应依托学校数据中心开展信息系统建设。需使用校外或其它数据中心的,须报学校网络信息安全领导小组审批。涉及学校基础数据、师生员工个人信息或敏感信息的信息系统,不得部署在校外数据中心。未经批准,严禁使用境外数据中心。

第十九条 网络信息中心对学校数据中心的使用实施准入管理,负责制定使用数据中心的技术规范和标准,在系统上线前进行安全检测。符合技术规范标准并检测通过的系统方可上线运行。

第二十条 数据中心的使用单位应遵循数据中心相关管理制度和技术标准,按需申请、有序使用,不得利用数据中心资源从事任何与申请项目无关或危害信息技术安全的活动。

第五章 信息系统管理

第二十一条 学校按照同步规划、同步建设、同步运行的原则,规划、设计、建设、运行、管理信息安全设施,建立健全信息技术安全防护体系,全面实施信息系统安全等级保护制度。

第二十二条 网络信息中心负责组织开展校级层面信息系统安全等级保护工作;指导各二级学院(部)、部门开展所属信息系统安全等级保护工作,参与监督检查工作,并协助学校各单位进行系统定级、建设整改。

第二十三条  信息系统在建设阶段应由负责建设的单位确定安全保护等级并将安全等级定级测评预算纳入到项目预算中,同步落实安全保护措施。信息系统投入试运行后,由信息系统建设单位对信息安全验收,出具安全验收报告。对于安全等级第二级以上(含第二级)的信息系统,由信息系统建设单位组织等级测评。未经安全保护等级定级测评的信息系统原则上不允许在外网访问。

第二十四条 信息系统建设单位应定期对终端计算机和承担网络与信息系统运行的关键设备(服务器、安全设备、网络设备)进行安全审计,通过记录、检查系统和用户活动信息,及时发现系统漏洞,处置异常访问和操作。

第二十五条  信息系统建设单位应制定信息系统使用与维护的管理制度,规范信息系统使用者和维护者的操作行为。

第六章 信息系统数据安全管理

第二十六条 信息系统数据是指校内各类信息系统所产生、保存和利用的相关数据,包括但不限于:信息化公共基础服务(含校园移动平台、上网认证系统、校园一卡通系统等)、跨部门信息系统、业务部门管理信息系统、各类网站、教学资源(含多媒体视频、图片、课件等)等数据和信息。

第二十七条  信息系统建设单位是相应数据安全管理的责任主体,应当落实管理和技术措施,规范数据的收集、存储、传输和使用,确保数据安全。

第二十八条   信息系统数据收集应遵循最少够用原则,不得收集与信息系统业务服务无关的个人信息。按照谁收集,谁负责 的原则,收集个人信息的单位是个人信息保护的责任主体,应当对其收集的个人信息严格保密,并依据《沙巴网站平台“智慧旅院”建设管理制度(试行)》建立健全相关制度。

第二十九条  网络信息中心负责学校校级核心信息系统的备份与恢复管理、各单位负责所属的信息系统的备份与恢复管理,制订备份与恢复计划,根据业务实际需要对重要数据和信息系统进行备份,定期测试备份与恢复计划,并确保备份数据和备用资源的有效性。

第七章 互联网网站安全管理

第三十条 学校各单位开办互联网网站,应使用学校互联网域名和互联 IP 地址,并遵守《沙巴网站平台网络管理制度》及相关规章制度。

第三十一条 学校所属的各二级网站,其技术安全由网站开办单位自主负责。所有网站开办前需要经党委宣传部审核确认。

第三十二条  学校各单位开办互联网网站应优先选择学校网站集群平台。如果集群平台不能满足需求时可委托其他供应商管理,并按要求签署网站安全责任书。

第三十三条 互联网网站运行维护单位和使用单位应建立网站值守制度,制订应急处置流程,组织专人对网站进行监测,发现网站运行异常及时处置。

第三十四条 互联网网站的内容安全由网站开办单位负责。互联网网站开办单位应按照党委宣传部要求建立完善的网站信息发布与审核制度,确定负责内容编辑、内容审核、内容发布的人员名单,明确审核与发布程序,保存相关操作记录。

第三十五条 原则上,学校各单位不得提供电子公告服务。确有需要,经批准备案后方能提供电子公告服务。提供电子公告服务的互联网网站开办单位承担电子公告服务内容管理的主体责任,并按国家有关规定落实专项安全管理和技术措施。

第三十六条 对于使用频度不大、阶段性使用的网站,互联网网站开办单位可采取非工作时间或寒暑假、节假日关闭的方式运行。对于无人管理、无力维护、长期不更新的网站,互联网网站开办单位应关闭网站以降低安全风险,网络信息中心负责监督管理。

第八章 电子邮件安全管理

第三十七条 网络信息中心为学校各单位和师生员工提供电子邮箱,并负责学校电子邮件的安全管理。

第三十八条 网络信息中心应采取必要的技术和管理措施,加强电子邮件系统安全防护,减少垃圾邮件、病毒邮件侵袭。

第三十九条 师生员工须对使用其电子邮箱账号开展的所有活动负责,应妥善保管本人使用的电子邮箱账号和密码,确保密码具有一定强度并定期更换。师生员工如发现他人未经许可使用其电子邮箱,应立即通知网络信息中心处理。

第九章 终端计算机安全管理

第四十条 终端计算机是指由学校师生员工使用并从事学校教学、科研、管理等活动的各类计算机及附属设备,包括台式电脑、笔记本电脑及其他移动终端,管理办法依据本章实施。

第四十一条  终端计算机使用人按照谁使用,谁负责的原则,对其终端计算机负有保管和安全使用的责任。网络信息中心对终端计算机的安全管理提供技术支持和指导。

第四十二条  网络信息中心负责微软操作系统与Office办公软件(专业版)正版软件下载和分发。

第四十三条  终端计算机设备上安装、运行的软件须为正版软件。在终端计算机上使用盗版软件带来的安全和法律责任由终端计算机使用人承担。

第四十四条  终端计算机应当设置系统登录账号和密码,禁止自动登录,登录密码应具有一定强度并定期更改。

第四十五条 终端计算机使用人应做好数据日常管理和保护,定期进行数据备份。非涉密计算机不得存储和处理涉密信息。

第四十六条  终端计算机使用人应做好终端计算机的安全防范,如发现终端计算机出现可能由病毒或攻击导致的异常系统行为或其他安全问题,应立即断网后进行处置。对未立即断网的终端,网络信息中心有权使其断网。

第十章 存储介质安全管理

第四十七条 存储介质是指存储数据的载体,主要包括硬盘、存储阵列等不可移动存储介质,以及移动硬盘、U盘等可移动存储介质。

第四十八条 原则上,存储阵列等大容量介质应托管在学校数据中心,并由网络信息中心统一运行、维护和管理。

第四十九条 非涉密移动存储介质不得用于存储涉密信息,不得在涉密计算机上使用。

第五十条  移动存储介质在接入终端计算机和信息系统,应当查杀病毒、木马等恶意代码。

第五十一条 介质使用人应注意移动存储介质的内容管理对送出维修或销毁的介质应事先清除敏感信息。

第十一章 人员安全管理

第五十二条 学校各单位应建立健全本单位的岗位信息安全责任制度,明确岗位及人员的网络信息安全责任。关键岗位的计算机使用和管理人员应签订信息安全与保密协议,明确信息安全与保密要求和责任。

第五十三条 学校各单位应加强人员离岗、离职管理,严格规范人员离岗、离职过程,及时终止相关人员的所有访问权限,收回各种学校提供的软硬件设备,并签署安全保密承诺书。

第五十四条 学校各单位应定期对信息技术安全岗位的人员进行安全知识和技能的考核,并对考核结果进行记录和保存。

第五十五条 学校各单位应建立外部人员访问机房等重要区域的审批制度,外部人员须经审批后方可进入,并安排工作人员现场陪同,对访问活动进行记录和保存。

第十二章 运维与外包服务安全管理

第五十六条 信息技术外包服务是指信息系统的开发和运维的外包。

第五十七条 外包服务需求单位应与信息技术外包服务提供商签订服务合同和信息安全与保密协议,明确信息安全与保密责任,要求服务提供商不得将服务转包,不得泄露、扩散、转让服务过程中获知的敏感信息,不得占有服务过程中产生的任何信息资产,不得以服务为由强制要求委托方购买、使用指定产品。信息技术外包服务合同和信息安全与保密协议应按有关要求,报网络信息中心备案。

第五十八条  信息技术现场服务过程中,外包服务需求单位应安排专人陪同,并详细记录服务过程。

第五十九条 外包开发的系统、软件上线应用前,外包服务需求单位应组织安全检查,要求开发方及时提供系统、软件的升级、漏洞等信息和相应服务。

第六十条  网络信息中心负责远程在线运维管理设备的运维和管理。信息系统运维如需采用远程方式进行,必须通过远程在线运维管理设备统一进行管理。

第十三章 信息安全教育培训

第六十一条  网络信息中心负责组织学校信息安全宣传和教育培训工作。

第六十二条 网络信息中心定期组织开展针对师生员工的信息安全教育,提高师生员工的安全和防范意识。

第十四章 信息安全检查监督

第六十三条 学校各单位需定期对本单位信息系统的安全状况、安全保护制度及措施的落实情况进行自查,并配合有关部门的信息安全检查、信息内容检查、保密检查与审批等工作。

第六十四条  网络信息中心联合学校有关部门对学校各单位的信息技术安全工作落实情况进行检查,对发现的问题下达限期整改通知书,责成相关单位制订整改方案并落实到位。

第六十五条  网络信息中心负责对年度安全检查情况进行全面总结,按照要求完成检查报告并报有关主管部门。

第十五章 信息安全责任追究

第六十六条 学校建立网络信息安全责任追究和倒查机制。

第六十七条 学校各单位应按照信息技术安全事件报告与处置流程及时、如实地报告和妥善处置信息技术安全事件。如有瞒报、缓报、处置和整改不力等情况,学校将对相关单位责任人进行约谈或通报。

第六十八条  发生网络安全事件时,网络信息中心应当会同运营的单位立即启动网络安全事件应急预案,对网络安全事件进行调查和评估并进行应急响应,要求网络运营者采取技术措施和其他必要措施,消除安全隐患,防止危害扩大;网络安全事件涉及的单位应建立联动处置机制,加强设施(数据)保护,及时恢复设施运行,并同步开展调查取证、责任追究等工作。

第六十九条 实施责任追究应当实事求是,分清集体责任和个人责任。追究建设和使用单位领导班子责任时,领导班子主要负责人承担主要领导责任,参与相关工作决策的领导班子其他成员承担重要领导责任。学校根据情节轻重,对领导班子和有关领导干部可采取通报、诫勉、组织调整或者组织处理、纪律处分的方式进行。涉嫌违法犯罪的,按照国家有关法律规定处理。

第七十条  师生员工违反本办法规定的,由其所在单位责令改正,并通报批评;拒不改正或者导致危害信息技术安全等严重后果的,根据学校有关规定给予以纪律处分。触犯刑律的,移交司法机关处理。

第十六章 附则

第七十一条  涉及国家秘密的信息系统,执行国家保密工作的相关规定和标准,由学校保密职能部门负责监督指导。

第七十二条 学校各单位可参照本办法制订本单位的实施细则。

第七十三条 本办法自本文印发之日起执行。

第七十四条 本办法解释权归沙巴网站平台网络信息安全领导小组所有。

第七十五条 原《沙巴网站平台网络信息安全管理制度》(苏旅院[2018]14号)在本制度颁布之日废止。

 


地址:江苏省扬州经济开发区毓秀路88号 邮编:225127 电话:0514-87431881 传真:0514-87431883 邮箱:service@jstc.edu.cn
Copyright © 2018 沙巴网站平台 All Rights Reserved 学院官网: 苏ICP备09014956号  访问统计:本站访问量:157274  今日访问:33