吉林交通职业技术学院网络信息安全管理办法(试行)
第一章 总 则
第一条 为加强学校对网络信息安全工作的组织管理,提高网络信息安全防护能力和水平,保障各项事业健康有序发展,根据国家、教育部有关网络信息安全文件要求及近年来实际工作,特制定本办法。
第二条 本办法所称网络信息安全,是指由学校建设、运行、维护或管理的校园网、网站和信息系统的安全。
本办法适用于使用校园网及使用学校信息系统的所有用户,本办法所指学校各单位包括各机关部、处、室,学院、直附属单位以及有关科研机构等。
第三条 按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,建立健全网络信息安全责任体系,学校各单位、全体师生员工应依照本办法要求及相关标准规范履行网络信息安全的义务和责任。
第二章 组织机构与职责
第四条 学校网络安全和信息化领导小组是全校网络信息安全工作的最高管理机构,负责我校整体的信息安全管理工作。领导小组组长由学校党政负责人担任,副组长由其他校领导班子成员担任,成员为各学院、职能部门负责人。学校主要负责人是学校网络信息安全的第一责任人,分管信息化工作的校领导协助主要负责人履行学校网络信息安全责任。
网络安全和信息化领导小组的主要职责为:
负责我校整体网络信息安全管理工作;
负责与国家网络信息安全主管机构、上级主管部门的沟通和交流,负责有关网络信息安全工作的落实和推行,并负责报告我校有关网络信息安全状况和重要事件;
负责协调我校内部网络信息安全工作,分配信息安全管理目标、职责,并支持和推动网络信息安全工作在我校范围内的实施;
负责对与网络信息安全管理有关的重大事项进行决策,包括安全组织机构调整、网络信息安全关键人事变动、以及网络信息安全管理重大策略变更等;
负责对网络信息安全管理体系进行评审,审批和发布网络信息安全策略、规范、管理办法以及与网络信息安全管理相关的重大事项;
评审与监督重大网络信息安全事故的处理;
第五条 学校网络安全和信息化领导小组下设网络安全和信息化领导小组办公室,办公室设在信息中心。信息中心是学校网络信息安全归口管理、技术支撑单位,承担学校网络安全和信息化领导小组的具体工作。具体职责包括:
(一)直接对网络安全和信息化领导小组负责,承担网络安全和信息化领导小组的具体工作,协助在网络信息安全事务上的决策;
(二)制定网络信息安全总体规划,并组织实施;
(三)拟定网络信息安全管理规章制度,组织开展网络安全等级保护工作;
(四)负责学校网络信息安全防护系统的建设、运行维护、技术指导和服务支持;
(五)负责网络信息安全应急管理,协调处理与政府网络信息安全管理部门的关系;
(六)负责定期召开网络信息安全管理工作会议,定期总结安全事件记录报告,并向网络安全和信息化领导小组汇报;
(七)组织网络信息安全宣传和教育培训工作;
(八)负责网络信息安全监督检查工作;
(九)完成学校网络信息安全的其他工作。
第六条 网络安全和信息化领导小组办公室分设信息安全执行小组和事件应急响应小组,分别承担我校信息安全工作的组织实施和应急响应工作。
第七条 党委宣传部负责网络信息内容的安全监管,负责校园网络舆情信息的监控和管理,开展网上疏导和正面宣传,做好对外宣传工作。
第八条 各学院党政主要负责人为本单位网络信息安全第一责任人,各机关部、处、直附属单位以及有关科研机构主要负责人为本单位网络信息安全第一责任人,负责落实本单位网络信息安全工作。
第九条 各单位应设一名网络信息安全管理员,负责本单位网络信息安全保护措施的落实,对上网人员进行网络信息安全教育和培训,与信息中心协同配合,共同做好本单位网络安全运行、管理和维护工作。
第三章 安全秩序
第十条 校园网络和信息系统接入互联网必须采取防火墙、身份认证、 MAC 地址绑定、安全审计、病毒防护及入侵检测等安全技术手段。校内互联网接入由信息中心统一管理,包括IP 地址、域名及网络账号等。
第十一条 学校域名为jljy.edu.cn,各主办单位按信息系统名称的拼音或英文缩写简写设置域名并提出申请,经信息中心批准后使用。任何单位和个人均须落实实名登记网络账号信息,并对网络账号安全使用负责。
第十二条 任何单位和个人不得私自与校外单位联网,不得私自发展校外用户。
第十三条 校园网络实行信息系统报批备案制。需要在校园网上开办信息系统的单位,应到信息中心办理登记注册手续,填写《信息系统上线审批表》,见附件1,并签署《信息系统安全管理责任书》,见附件2。其中在微信、QQ 等互联网社交平台上开办公众服务号,应到党委宣传部报备批准,填写《新媒体平台申请表》。未经许可,任何入网单位或个人不得冠以有“吉林交通职业技术学院”或“吉交院”中外文字样的任何名义开通信息发布等公众信息服务系统。
第十四条 各单位应建立健全信息发布、信息审查、应急处置机制,单位党政主要负责人负责审查上网信息和信息系统保密管理,负责涉及学校或本单位舆情的处置引导,以及监管本单位师生开设的博客、微博、微信等自媒体平台。
第十五条 在校园网络上严禁制作、查阅、复制或传播下列信息:
(一) 煽动抗拒、破坏宪法和国家法律、行政法规实施;
(二) 危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一;
(三) 损害国家荣誉和利益;
(四) 煽动民族仇恨、民族歧视,破坏民族团结,或者侵害民族风俗习惯;
(五) 宣扬恐怖主义、邪教、封建迷信,违反国家宗教政策;
(六) 捏造或者歪曲事实,散布谣言,扰乱社会秩序,破坏社会稳定;
(七) 侮辱他人或者捏造事实诽谤他人;
(八) 含有淫秽、色情、赌博、暴力、欺诈等内容;
(九) 含有法律、法规禁止的其他内容。
第十六条 在校园网络上严禁下列行为:
(一) 破坏、盗用、篡改计算机网络中的信息资源;
(二) 故意泄露、窃取、篡改个人电子信息,擅自利用网络收集、使用个人电子信息,出售或者非法向他人提供个人电子信息;
(三) 违背他人意愿、冒用他人名义发布信息;
(四) 攻击、入侵、破坏计算机网络、信息系统及设备设施;
(五)故意制作、传播、使用计算机病毒、木马、恶意软件等破坏性程序;
(六)故意大量发送垃圾电子邮件、垃圾短信等,干扰正常网络秩序;
(七)盗用他人账号、盗用他人 IP 地址;
(八)私自转借、转让用户账号造成危害;
(九)私自将外网串接到校园网络,私自开设二级代理和路由接纳网络用户;
(十)其他违反法律法规或危害网络与信息安全的行为。
第四章 校园网络安全
第十七条 校园网络是指连接学校各单位信息系统及信息终端的计算机网络,包括校园有线网络、无线网络和各种虚拟专网。
第十八条 校园网络与互联网及其他公共信息网络实行逻辑隔离,由信息中心统一出口、统一管理和统一防护,未经批准,学校各单位在校园内不得擅自通过其他渠道接入互联网及其他公共信息网络。
第十九条 校园各区域的网络设备,其管理、维护等均由信息中心统一负责,未经信息中心批准,不得以任何方式试图登录、修改、设置、破坏校园网内的交换机、路由器和服务器等。
第二十条 信息中心应采取访问控制、安全审计、完整性检查、入侵防范、恶意代码防范等措施加强校园网络边界防护。
第二十一条 师生员工接入校园网络,实行“实名注册、认证上网”制度;学校非涉密信息系统接入校园网络,实行接入审批和备案登记制度。涉密信息系统不得接入校园网络。任何单位和个人不得窃取或盗用他人的用户名、口令、IP地址和MAC地址等。
第二十二条 接入校园网的机房、电子阅览室等一律不准对社会开放,上网人员必须持有校园“一卡通”或凭学生证、工作证等有效证件登记后,方可上网。
第二十三条 校园网络接入单位负责提供本单位所需的网络设备间和电源保障。
第五章 信息系统及其数据安全
第二十四条 各单位作为安全等级保护的责任主体,应当按照国家信息安全等级保护的管理规范、技术标准确定信息系统的安全保护等级。学校按相关规定选择具有相关技术资质和安全资质的测评单位,对二级及以上的信息系统进行等级保护测评。经测评,信息安全状况未达到安全保护等级要求的,信息系统的主办单位应制定整改方案并落实到位。
第二十五条 需要在校园网上开办信息系统的单位,应到信息中心办理登记注册手续,如实填写《信息系统上线审批表》,经过安全检测机构出具安全检测报告后方可上线运行。
第二十六条 各单位对于主办的信息系统, 应当采取必要的安全措施,严防入侵、篡改、泄露等事件发生。信息系统的主办方和运维方要各司其职,各负其责。
第二十七条 各单位应建立检查巡查机制,查找安全漏洞和隐患;对机房、网络设备、服务器等设施定期开展安全检查;更新和升级必要的服务器软件,及时安装补丁,包括操作系统、 web 服务器、应用中间件、数据库等,加强服务器应用的安全性;定期更换密码;如信息中心在检查中发现安全漏洞和隐患,将填发《隐患告知书》,对于一时难以修复或整改落实的,相关单位应立即采取措施隔离有隐患的系统,直至修复完成。
第二十八条 各单位应做到安全事件早发现、早报告、早控制、早解决。
第二十九条 各单位对于主办的信息系统,每季度至少进行1 次安全检查,填写检查台账。检查内容包括:
(一) 查杀病毒,清除木马、后门等恶意程序,升级系统补丁;
(二) 检查重要数据的备份情况;
(三) 检查网页内容,及时清除无关网页和暗链;
(四) 更改口令,清理不必要的管理账号;杜绝空口令、弱口令和默认口令;
(五) 检查 SQL 注入和跨站脚本等安全漏洞;
(六) 检查服务器安全配置,关闭不必要的端口和服务;
(七) 检查系统日志留存情况,留存相关日志不少于6个月。
第三十条 各单位对于主办的重点信息系统,应当采取措施重点防护、保障系统和重要数据的安全。每月至少进行 1 次安全检查,填写检查台账。重点信息系统包括:
(一) 学校 WWW 门户网站;
(二) 信息门户、校园一卡通等校级重要公共服务平台;
(三) 教学、科研、人事、财务、资产、评教、诊改、一站式服务中心、迎新、离校、图书馆等学校重要业务信息系统及相关重要数据库。
第三十一条 信息系统数据是指信息系统收集、存储、传输、处理和产生的各种电子数据,包括但不限于网站内容、业务数据、网络课程、图书资源、日志记录等。
第三十二条 信息系统数据的所有者是数据安全管理的责任主体,应当落实管理和技术措施,规范数据的收集、存储、传输和使用,确保数据安全。
第三十三条 信息系统数据收集应遵循“最少够用”原则,不得收集与信息系统业务服务无关的个人信息。按照“谁收集,谁负责”的原则,收集个人信息的单位是个人信息保护的责任主体,应当对其收集的个人信息严格保密,并建立健全相关保护制度。
第三十四条 信息中心负责学校核心信息系统的备份与恢复管理,制订备份与恢复计划,根据业务实际需要对重要数据和信息系统进行备份,定期测试备份与恢复计划,并确保备份数据和备份资源的有效性。
第三十五条 任何单位和个人,不得私自设立互联网服务器或自建联网的应用系统。根据教学和科研实际工作需求,确实需要建立应用系统的,经信息中心批准后方可联网运行。
第三十六条 需要开设联网信息服务的单位,须向信息中心提出书面申请,由信息中心进行技术评估、备案后方可对外提供服务;服务器必须具有保持日志记录功能,历史记录保持时间不得低于6个月。
第三十七条 信息中心有权对各单位服务器和应用系统进行必要的安全检查和评测,对达不到安全要求的,关闭对外服务,整改合格后系统方可上线运行。
第六章 互联网网站安全
第三十八条 学校各单位开办互联网网站,应使用学校互联网域名和互联网IP地址,并遵守《吉林交通职业技术学院校园网站及域名管理办法》(附件3)及相关规章制度。
第三十九条 信息中心统一建设学校网站集群平台并负责纳入该平台网站的技术安全。学校各单位开办互联网网站应选择学校网站集群平台。未纳入学校网站集群平台的网站,其安全由网站开办单位负责。
第四十条 互联网网站的内容安全由网站开办单位负责。互联网网站开办单位应建立完善的网站信息发布与审核制度,确定负责内容编辑、内容审核、内容发布的人员名单,明确审核与发布程序,保存相关操作记录。
第七章 电子邮件安全
第四十一条 信息中心为学校各单位和师生员工提供电子邮箱服务,并负责学校电子邮件的安全管理。学校各单位和师生员工使用学校电子邮箱应遵守学校电子邮箱管理等相关规章制度。
第四十二条 信息中心应采取必要的技术和管理措施,加强电子邮件系统安全防护,减少垃圾邮件、病毒邮件侵袭。
第四十三条 学校师生员工须对使用其电子邮件账号开展的所有活动负责,应妥善保管本人使用的电子邮箱账号和密码,确保密码具有一定强度并定期更改。师生员工如发现他人未经许可使用其电子邮箱,应立即通知信息中心处理。
第八章 终端计算机安全
第四十四条 终端计算机是指由学校师生员工使用并从事学校教学、科研、管理等活动的各类计算机及附属设备,包括台式电脑、笔记本电脑及其他移动终端。
第四十五条 终端计算机使用人按照“谁使用,谁负责”的原则,对其终端负有保管和安全使用的责任。信息中心对终端计算机的安全管理提供技术支持和指导。
第四十六条 终端计算机应当设置系统登录账号和密码,登录密码应具有一定强度并定期更改。
第四十七条 终端计算机使用人应做好数据日常管理和保护,定期进行数据备份。非涉密计算机不得存储和处理涉密信息。
第四十八条 终端使用人应做好终端计算机的安全防范,如发现终端计算机出现可能由病毒或攻击导致的异常系统行为或其他安全问题,应立即断网后进行处置。
第九章 存储介质安全
第四十九条 存储介质是指存储数据的载体,主要包括硬盘、存储阵列、磁带库等不可移动存储介质,以及移动硬盘、U盘等等可移动存储介质。
第五十条 原则上,存储阵列、磁带库等大容量介质应托管在学校数据中心,并由信息中心统一运行、维护和管理。
第五十一条 学校各单位应建立移动介质管理制度,记录介质领用、交回、维修、报废、损毁等情况。介质使用人按照“谁使用,谁负责”的原则,对其移动介质负有保管和安全使用的责任。
第五十二条 非涉密移动存储介质不得用于存储涉密信息,不得在涉密计算机上使用。如发生非涉密移动存储介质存储涉密信息,按照学校保密相关管理办法进行处理。
第五十三条 移动存储介质在接入终端计算机和信息系统前,应当查杀病毒、木马等恶意代码。
第五十四条 介质使用人应注意移动存储介质的内容管理,对送出维修或销毁的介质应事先清除敏感信息。
第十章 人员安全管理
第五十五条 学校各单位应加强人员离岗、离职管理,严格规范人员离岗、离职过程,及时终止相关人员的所有访问权限,收回学校提供的软硬件设备,并签署安全保密承诺书。
第五十六条 学校各单位应建立外部人员访问机房等重要区域的审批制度,外部人员须经审批后方可进入,并安排工作人员现场陪同,对访问活动进行记录和保存。
第五十七条 学校各单位应与外包服务商、网络信息系统开发和运维服务商签订《吉林交通职业技术学院数据安全与保密协议》,明确网络信息安全与保密责任,要求服务提供商不得将服务转包,不得泄露、扩散、转让服务过程中获知的敏感信息和各类电子数据,不得占有服务过程中产生的任何信息资产,不得以服务为由强制要求委托方购买、使用指定产品。各单位签署外包服务合同时,应将学校统一制定的网络信息安全与保密协议作为合同附件。
第十一章 网络信息安全应急管理
第五十八条 信息中心负责学校网络信息安全应急工作的统筹管理,制定学校网络信息安全事件报告与处置流程,以及安全应急工作的技术支撑和保障。
第五十九条 信息中心定期组织网络信息安全应急演练,评估并适时组织网络信息安全应急预案修订。学校各单位应组织开展网络信息安全应急预案的宣传、教育和培训,确保相关人员熟悉应急预案。
第六十条 信息中心负责组建学校信息安全应急队伍,提高信息安全事件的预防、预警和应对能力,预防和减轻信息安全事件造成的损失和危害。
第六十一条 学校各单位应按照学校网络信息安全事件报告与处置流程,做好事发紧急报告与处置、事中情况报告与处置和事后整改报告与处置工作。做到安全事件早发现、早报告、早控制、早解决。
第六十二条 学校各单位及师生员工均有义务及时向信息中心报告信息安全事件,不得在未授权情况下对外公布、尝试或利用所发现的安全漏洞或安全问题。
第十二章 网络信息安全教育培训
第六十三条 信息中心负责组织学校网络信息安全宣传和教育培训工作;
第六十四条 信息中心定期组织开展针对师生员工的网络信息安全教育,提高师生员工的安全和防范意识。
第六十五条 信息中心定期开展针对网络信息安全管理员的专业技能培训,提高网络信息安全工作能力和水平。
第十三章 网络信息安全检查监督
第六十六条 学校各单位定期对本单位信息系统的安全状况、安全保护制度及措施的落实情况进行自查,并配合有关部门的网络信息安全检查、信息内容检查、保密检查与审批等工作。
第六十七条 信息中心对学校各单位的网络信息安全工作落实情况进行检查,对发现的问题下达限期整改通知书,责成相关单位制订整改方案并落实到位。
第六十八条 信息中心对年度安全检查情况进行全面总结,按照要求完成检查报告并报学校网络安全和信息化领导小组。
第十四章 网络信息安全责任追究
第六十九条 学校建立网络信息安全责任追究和倒查机制。
第七十条 有关单位在收到网络信息安全限期整改通知书后,整改不力的,学校给予通报批评;玩忽职守、失职渎职造成严重后果的,依纪依法追究相关人员的责任。
第七十一条 学校各单位应按照网络信息安全事件报告与处置流程及时、如实报告和妥善处置网络信息安全事件。如有瞒报、缓报、处置和整改不力等情况,学校将对相关单位责任人进行约谈或通报。
第七十二条 师生员工违反本办法规定的,由信息中心责令改正,并通报批评;拒不改正或者导致危害网络信息安全等严重后果的,根据学校有关规定给予纪律处分。触犯法律的,移交司法机关处理。
第十五章 其 他
第七十三条 涉及内容安全由学校党委宣传部负责;涉及国家秘密的信息系统,执行国家保密工作的相关规定和标准,由校保密办公室监督指导。
第七十四条 本办法在实施中若与国家有关法律、法规有不一致的,以国家法律、法规为准。
第七十五条 本办法经吉林交通职业技术学院党委会研究通过,自下发之日起实施,由信息中心负责解释。学校原有相关规定与本办法不一致的,按本办法执行。