第一章 总 则
第一条 为加强学校网络与信息安全管理,提高网络与信息安全防护能力和水平,根据《中华人民共和国网络安全法》、《教育部关于加强教育行业网络与信息安全工作的指导意见》(教技〔2014〕4号)、《教育部公安部关于全面推进教育行业信息安全等级保护工作的通知》(教技〔2015〕2号)、《安徽师范大学信息化工作管理办法》等文件要求,特制定本办法。
第二条 本办法所称网络与信息安全工作,是指我校各单位在校园网内或经学校备案在公有云上构建的网络基础设施、网站、信息系统及数据内容等受到保护,保证网络、系统及内容的安全性、完整性、可用性、可控性而开展的管理和技术工作。
本办法所指学校各单位包括各党政职能部门、群团组织、学院、教辅单位以及有关科研机构等。
第三条 学校按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,逐级落实网络与信息安全责任,建立健全网络与信息技术安全责任体系,学校各单位、全体师生员工应依照本办法要求及相关标准规范履行网络与信息安全的义务和责任。
第二章 组织机构与职责
第四条 网络安全与信息化工作领导小组是学校网络安全和信息化工作的领导机构,负责制定学校网络信息安全相关政策,统筹指导学校网络信息安全建设,定期召开网络信息安全工作会议,研究处理重大网络信息安全事件。网络安全与信息化工作领导小组下设“智慧校园”建设工作领导小组,负责学校网络信息安全的管理和协调工作,纵向衔接、横向协调。
第五条 信息管理中心为学校网络安全与信息化工作领导小组和“智慧校园”建设工作领导小组的秘书单位,负责学校网络信息安全工作的统筹规划、建设、管理,以及技术支持、保障与培训等日常工作。
第六条 学校各单位是本单位网络和信息安全工作的责任主体,党政第一负责人是本单位网络和信息安全工作的第一责任人。同时,各单位需明确分管网络信息安全的领导,并设置网络信息安全管理员,负责本单位网络信息安全具体工作,并负责与信息管理中心对接。人员发生变动时,需及时报送信息管理中心备案。
第三章 校园网络管理
第七条 校园网络是指校园范围内连接各种信息系统及信息终端的计算机网络,包括校园有线网络、无线网络和各种虚拟专网。
第八条 校园网络安全所涉及的光缆布线、网络机房、网络设备、网管系统、域名管理、安全防护、认证计费、网络接入与运维等方面,由信息管理中心负责管理。
第九条 校园网络与互联网及其他公共信息网络实行逻辑隔离,由信息管理中心统一出口、统一管理和统一防护。未经批准,学校各单位在校园内不得擅自通过其他渠道接入互联网及其他公共信息网络。
第十条 信息管理中心应采取访问控制、安全审计、完整性检查、入侵防范、恶意代码防范等措施加强网络防护。
第十一条 学校各单位及师生员工接入校园网络,实行“实名注册、认证上网”制度;学校非涉密信息系统接入校园网络,实行接入审批和备案登记制度。网络接入实名管理制度由信息管理中心负责实施。涉密信息系统不得接入校园网络。严禁任何单位和个人利用校园网络及设施开展经营性活动。
第四章 数据中心管理
第十二条 数据中心主要包括支撑学校信息系统的物理环境(其中包含机房)、软硬件设备设施、云计算云存储平台、学校数据共享交换平台、统一身份认证平台及统一信息门户等信息化基础设施和平台。信息管理中心负责数据中心的建设、运行、维护和管理。
第十三条 信息管理中心负责数据中心物理环境、软硬件设备设施和云计算、云存储平台的建设和安全管理;负责学校中心数据库、数据共享交换平台的建设和安全管理,负责基础数据库与各单位业务数据库之间完成数据交换和共享。各单位负责建设、维护本单位业务应用系统所配套的业务数据库,并对本单位业务数据库及所申请的共享数据的安全负责。
第十四条 统一身份认证平台为学校信息系统提供统一的身份管理、安全的认证机制、审计及标准接口。学校各单位建设面向师生服务的应用系统时,应使用统一身份认证平台进行身份认证。信息管理中心负责统一身份认证平台的安全,学校各单位负责本单位应用系统的权限管理及安全。
第十五条 信息管理中心对利用学校数据中心部署的信息系统实施准入管理,负责制定使用数据中心资源的技术规范和标准,在系统上线前进行安全检测。符合技术规范标准并检测通过的系统方可上线运行。
第五章 信息系统安全管理
第十六条 全面实施信息系统安全等级保护制度。信息管理中心组织各单位开展系统备案、等级测评整改。各单位是自建信息系统等级保护工作的责任主体,在建设时必须同步落实安全保护措施,并协助系统备案、接受检查测评,开展自查整改。
第十七条 信息系统开发环境、测试环境和运行环境应严格隔离,信息系统建设单位负责开发环境、测试环境、运行环境的建设、运行、维护和管理。
第十八条 自行管理服务器的单位应在操作系统、数据库、应用系统及业务数据等方面采取监测防护措施,并按照规定留存相关的日志不少于六个月。
第十九条 信息管理中心应对支撑信息系统的公共基础设施及应用系统进行安全防护,确保系统安全运行。
第二十条 信息系统建设单位应制定信息系统的安全管理制度,规范信息系统使用者和维护者的操作行为,落实专人负责,加强信息系统账号和密码管理,严禁使用弱密码,密码应定期更改。
第六章 信息系统数据安全管理
第二十一条 信息系统数据是指信息系统收集、存储、传输、处理和产生的各种电子数据,包括但不限于网站内容、业务数据、网络课程、图书资源、日志记录等。
第二十二条 信息系统的所有者是数据安全管理的责任主体,应当落实管理和技术措施,规范数据的收集、存储、备份、传输和使用,确保数据安全。需遵循学校信息标准规范及数据服务规范。
第二十三条 信息系统数据收集应遵循“最少够用”原则,不得收集与信息系统业务服务无关的个人信息。按照“谁收集,谁负责”的原则,收集个人信息的单位是个人信息保护的责任主体,应当对其收集的个人信息严格保密,并建立健全相关保护制度。
第二十四条 对于需要共享信息系统数据的,由数据需求部门向信息管理中心提出书面申请,获得批准后,信息管理中心向数据需求部门开放数据接口。数据使用部门有义务和责任保护所获得数据的安全,未经允许,不得将数据用于其他用途。
第七章 网站安全管理
第二十五条 学校各单位开办互联网网站,应使用学校互联网域名和校内IP地址,并遵守学校网站管理及相关规章制度。
第二十六条 信息管理中心统一建设学校网站群平台并负责纳入该平台网站的技术安全。学校各单位开办互联网网站,原则上统一纳入学校网站群平台管理。未纳入学校网站群平台的网站,其安全由网站开办单位负责。
第二十七条 网站开办单位应建立网站值班制度,制订应急处置流程,组织专人对网站进行监测,发现网站运行异常及时处置。
第二十八条 互联网网站的内容安全由网站开办单位负责。互联网网站开办单位应建立完善的网站信息发布与审核制度,明确审核与发布程序,保存相关操作记录。
第二十九条 对于使用频度不大、阶段性使用的网站,互联网网站开办单位可采取非工作时间或寒暑假、节假日关闭的方式运行。对于无人管理、无力维护、长期不更新的网站,互联网网站开办单位应关闭网站以降低安全风险。
第八章 终端设备安全管理
第三十条 按照“谁使用,谁负责”的原则,使用人对网络终端设备(包括个人计算机、无线路由器、手机、交换机等)负有安全使用责任,以免影响个人计算机和校园网络的正常运行。
第三十一条 终端计算机应当设置系统登录账号和密码,禁止自动登录,登录密码应具有一定强度并定期更改。
第三十二条 终端计算机使用人应做好数据日常管理和保护,定期进行数据备份。非涉密计算机不得存储和处理涉密信息。
第三十三条 终端计算机使用人应做好终端计算机的安全防范,如发现终端计算机出现可能由病毒或攻击导致的异常系统行为或其他安全问题,应立即断网后进行处置。终端用户要使用正版软件,保障操作系统以及相关的应用的安全,定期清理病毒、木马等恶意程序。
第九章 人员安全管理
第三十四条 学校各单位应建立健全本单位的岗位信息安全责任制度,明确岗位及人员的信息安全责任。关键岗位的计算机使用和管理人员应签订信息安全与保密协议,明确信息安全与保密要求和责任。
第三十五条 学校各单位应加强人员离岗、离职管理,严格规范人员离岗、离职过程,及时终止相关人员的所有信息系统和设备的访问权限。
第三十六条 学校各单位应定期对网络与信息技术安全岗位的人员进行安全知识和技能的培训与考核,并对结果进行记录和保存。
第三十七条 学校各单位应建立外部人员访问机房等重要区域的审批制度,外部人员须经审批后方可进入,并安排工作人员现场陪同,对访问活动进行记录和保存。
第十章 外包服务安全管理
第三十八条 信息技术外包服务是指信息系统的开发和运维的外包、以及校园网络运维服务外包。
第三十九条 外包服务需求单位应与信息技术外包服务提供商签订服务合同和信息安全与保密协议,明确信息安全与保密责任。
第四十条 信息技术现场服务过程中,外包服务需求单位应安排专人陪同;授权远程线上服务的,做好权限范围与时间管理,并详细记录服务过程。
第四十一条 外包开发的系统、软件上线应用前,委托单位应组织安全测评并出具报告,对测评中发现的问题,开发方应及时整改。
第十一章 应急处理
第四十二条 网络信息安全事件分为紧急事件和普通事件。
第四十三条 紧急事件是指:可由校外访问的页面发生篡改或被替换成非法信息的事件,影响学校系统正常运转的攻击事件,可能造成师生隐私信息被窃取、丢失、损坏的漏洞。其它可能对社会公共安全或学校造成危害或不良影响的事件或漏洞。
第四十四条 普通事件是指:对校内开放系统或网站的页面发生无害篡改或有隐藏漏洞,影响不大的攻击事件或可能造成中低隐患的漏洞,其他不构成公共危害或社会不良影响的安全事件或漏洞。
第四十五条 网络信息安全事件应急响应如下:
信息管理中心接到(上级主管部门、中心技术人员或学校各单位)安全事件的通报后,通过沟通协调,结合技术手段,获取事件截图等相关证据。
信息管理中心核实事件类别,发起处理流程。
若事件为紧急事件,信息管理中心第一时间向分管信息化工作的校领导汇报,同时通报责任单位相关情况及事件证据,并关闭相关网站或信息系统的访问权限,以降低不良影响。若事件为普通事件,则此环节略过。
信息管理中心指导分析事件原因,并提供整改建议,向责任单位发送《网站及信息系统安全限期整改通知书》。
责任单位对网站或信息系统进行安全修复,并提交《网站及信息系统安全整改报告》。
信息管理中心对修复后的网站或信息系统进行安全复查,复查通过后恢复其访问权限。
第四十六条 信息管理中心负责制定学校网络信息安全应急预案,各单位负责制定本单位的网站及信息系统安全应急预案,并定期进行安全应急演练。
第十二章 责任追究
第四十七条 学校建立网络与信息安全责任追究和倒查机制。
第四十八条 有关单位在收到网络与信息技术安全限期整改通知书后,整改不力的,给予通报批评;玩忽职守、失职渎职造成严重后果的,依纪依法追究相关人员的责任。
第四十九条 学校各单位应按照网络与信息技术安全事件报告与处置流程,及时、如实地报告和妥善处置安全事件。如有瞒报、缓报、处置和整改不力等情况,学校将对相关单位责任人进行约谈或通报;玩忽职守、失职渎职造成严重后果的,依纪依法追究相关人员的责任。
第五十条 师生员工违反本办法规定的,由网络安全和信息化工作领导小组办公室责令改正,并通报批评;拒不改正或者导致危害网络与信息技术安全等严重后果的,根据学校有关规定给予以纪律处分。触犯刑律的,移交司法机关处理。
第十三章 附 则
第五十一条 涉及国家秘密的信息系统,执行国家保密工作的相关规定和标准。
第五十二条 本办法由信息管理中心负责解释,自颁布之日起实施。