为进一步加强学院网络安全和信息化建设工作规范管理,促进学院信息资源的存储、交流、共享,保证信息化建设的时效性、安全性和可持续发展,真正发挥数字化校园平台在学校教学、科研及管理方面的支撑作用,根据《中华人民共和网络安全法》、《中华人民共和国计算机信息系统安全保护条例》及《黑龙江省教育信息化建设及网络安全管理指导意见》等文件精神,结合我院实际,现制订本管理办法。
第一章 总 则
第一条 网络与信息安全是我校信息化建设中的重要内容,应加强对信息安全工作的组织和监督管理工作,按照本办法认真落实网络与信息安全工作。
第二条 本办法适用于学院信息化建设中所有通讯网络与信息系统。
第三条 按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,建立健全网络安全责任体系,学院各单位、全体师生员工应依照本办法要求及相关标准规范履行信息技术安全的义务和责任。
第二章 组织机构与职责
第四条 成立学院网络安全和信息化领导小组,领导小组组长由学院党委书记和院长担任。第一副组长为主管网络安全的副院长担任,组员由学院各职能部门、系部主要领导组成。具体职责包括:
(一)贯彻落实上级网络安全和信息化领导小组战略部署。
(二)统筹协调学院网络安全和信息化建设重大问题。
(三)研究制定学院网络安全和信息化发展战略、宏观规划和重大政策。
第五条 领导小组办公室设在网络与数据管理中心,办公室主任由网络与数据管理中心主任担任。具体职责包括:
(一)组织落实上级部署的网络安全和信息化工作。
(二)组织开展信息系统安全等级保护工作。
(三)组织网络安全宣传和专题培训工作。
(四)制定网络安全管理规章制度,负责监督检查工作。
(五)制定并执行学院网络安全和信息化建设的方案和计划。明确当前网络安全主要目标、基本要求、工作任务和保护措施。
(六)规划和推进我院网络安全和信息化基础设施建设、软件正版化建设、管理信息化建设、优质教育资源共享与应用、信息化运维服务体系建设、信息化标准体系建设、信息化评价体系建设和信息化建设评估等工作。
(七)负责教育部安管平台、省委网信办网络安全应急协调联动平台和省教育厅教育系统安全态势感知平台等工作。
第三章 校园网安全管理
第六条 校园网是指在校园范围内将终端设备(台式计算机、笔记本、手机、平板电脑等)接入互联网的应用场景,包括有线网络、无线网络、业务专网和虚拟专网。
第七条 校园网连接遵循“统一出口、统一管理”的规定,由网络与数据管理中心负责执行。未经许可,任何部门和个人不得使用校园网接入服务。
第八条 师生员工接入校园网,实行“实名注册,认证上网”的制度。开通用户由网络与数据管理中心完成,用户接入校园网后须遵守网络安全相关规定。
第九条 学院所有基建、修缮工程应将工程范围内校园计算机网络建设纳入工程设计、实施和竣工验收范畴。
第四章 门户网站安全管理
第十条 门户网站包括学院官方网站以及各系部、各职能部门独立的二级网站。
第十一条 学院各级网站应使用学校域名和公网IP地址。
第十二条 党委宣传统战部负责学校官网的信息发布和审核。
第十三条 各二级网站由所属系部、职能部门自行管理和维护,指派专人负责网站信息发布和管理维护,发现问题及时上报网络与数据管理中心。
第五章 软硬件安全管理
第十四条 网络与数据管理中心负责核心机房服务器的正版防火墙安装,按时更新杀毒软件,定期杀毒,防止服务器被病毒入侵。
第十五条 各信息系统应具有较为完善的综合日志记录,日志留存时间不少于180天;对于废弃或不再使用的网络资源,应及时报送信息化办公室登记备案。
第十六条 网络与数据管理中心负责制定重要数据库和系统主要设备的容灾备份措施。记录并保留至少60天系统维护日志。各二级网站负责人定期对网站进行安全监控和维护,确保网站正常运行。
第十七条 网络与数据管理中心负责学院的网络与信息系统安全管理,完善网络安全措施,部署网络安全设备,指导、监督信息系统负责单位做好安全等级保护和关键信息基础设施网络安全防护工作,保障校园网及信息系统安全。
第十八条 各单位可向网络与数据管理中心申请主机托管服务。托管的主机只允许对外开放以web服务为主的互联网基本信息服务,以及校园内部使用的业务系统等。
第十九条 网络与数据管理中心为托管的主机提供良好的机房环境,提供IP地址分配保障网络畅通。各托管单位应配合网络与数据管理中心做好主机安全标识工作,若有修改应及时向网络与数据管理中心报备。
第二十条 托管主机的软硬件维护以及内部系统、软件的安装及安全管理由托管单位自行负责。
第六章 数据中心安全管理
第二十一条 本章数据是指在使用信息系统产生的、使用计算机编制的、专业软件采集的,涉及学校教学、科研和管理等方面的数据资源。
第二十二条 各信息系统产生的业务数据须纳入学院数据中心统一管理。
第二十三条 各信息系统产生的涉及学校基础数据、师生个人信息或敏感信息的数据属于学院高级保密资产,需严格遵守保密原则。领导小组负责监督与检查。
第二十四条 网络与数据管理中心负责数据中心的物理安全、网络安全和主机安全。数据中心的资源使用部门负责所使用的操作系统、业务数据库系统、信息系统和数据的安全。
第二十五条 网络与数据管理中心对学校数据中心的使用实施准入管理,负责制定使用数据中心的技术规范和标准,在系统上线前进行安全检测。符合技术规范标准并检测通过的系统方可上线运行。
第七章 终端设备管理
第二十六条 终端设备是指学院师生从事教学、科研和办公等活动的各类设备及附属设备,包括台式计算机、笔记本、手机、平板电脑等。
第二十七条 终端设备使用人应做好数据日常管理和保护,定期进行数据备份。非涉密计算机不得存储和处理涉密信息。
第二十八条 按照“谁使用,谁负责”的原则,终端计算机归属人或使用人负责计算机的网络与信息安全,并遵守学校和国家相关法律法规。网络与数据管理中心提供安全技术支持和指导,对存在安全威胁的终端计算机有权执行断网操作,有权要求归属人及时处理安全威胁。
第八章 人员管理
第二十九条 各系部、职能部门应建立健全本单位的岗位及网络信息安全责任制度,明确岗位及人员的网络信息安全责任。
第三十条 各系部、职能部门应定期对网络与信息安全岗位的人员进行不同侧重的安全知识和技能的培训与考核,并对培训及考核结果进行记录和保存。
第三十一条 全院师生必须接受上级有关部门依法进行的监督检查。对违反本管理办法的单位或个人,将对其进行警告,停止网络连接、上报学院等待处理。
第九章 网络安全协同联动机制
第三十二条 建立健全学院网络协同治理体系,强化网络安全主体责任,保障关键信息基础设施稳定运行,增强网络安全领域突发事件监测预警、分析研判和应急产处置能力,推进网络综合治理,维护意识形态安全,促进数字校园健康发展,学院执行网络安全协同联动机制。
第三十三条 在学院网络安全与信息化领导小组的统一领导下,由负责网络安全管理工作的网络与数据管理中心牵头,其他部门务必全力配合。
第三十四条 各部门之间需要协调、配合的事宜由各部门之间协商解决,不能解决的事项逐级上报,由黑龙江建筑职技术学院网络安全与信息化领导小组解决,形成的决定各部门要认真执行。
第三十五条 网络与数据管理中心负责组织召开协同联动机制部门协调会。
第十章 网络安全考核及责任追究
第三十六条 定期开展以下两方面的考核:安全管理要求和流程的执行情况;软、硬件系统是否符合安全技术要求、安全配置要求以及其它安全技术规范。
第三十七条 网络与信息安全考核坚持“贵在真实,重在整改”的工作原则。
第三十八条 考核结束后,考核组织者编写《网络与信息安全考核报告》,被考核部门负责人在报告书签字确认后,于3日内提交学院网络安全和信息化领导小组办公室备案。被考核部门认真分析发现的问题,在7日内制订相应的整改计划及实施方案,做到“项目、措施、责任”三落实。整改完成后,向学院网络安全与信息化建设领导小组办公室提交《网络与信息安全检查整改情况报告》,并提请复核。
第三十九条 实施网络安全责任追究应当坚持实事求是、客观公正的原则,科学区分、合理界定集体责任和个人责任。
第四十条 追究集体责任时,党总支领导班子主要负责人和主管网络安全的各部门领导班子成员承担主要领导责任,参与相关工作决策的部门领导班子其他成员承担重要领导责任。
第四十一条 有下列情形之一的,应当逐级倒查,追究当事人、网络安全负责人直至主要负责人责任,并按规定实施处罚:
(一)本部门主要门户网站、重要信息系统受到攻击后没有及时组织处置,且瘫痪6小时以上的。实施警告教育,由责任追究主体对责任主体提出书面警告,并责令责任主体向上级主管领导做出书面检查。
(二)本部门门户网站、重要信息系统被攻击篡改,导致反动言论或者谣言等违法有害信息大面积扩散,且没有及时报告和组织处置的。实施通报批评,在事发部门、单位范围内对责任主体发文通报,责令整改,并由责任主体向学院主管领导作出书面检查。
(三)关键信息基础设施遭受网络攻击,没有及时处置导致大面积影响全院师生工作、生活或本部门正常工作秩序和业务活动,或者造成重大经济损失,或者造成严重不良社会影响的。实施通报批评,在事发部门、单位范围内对责任主体发文通报,责令整改,并由责任主体向学院主管领导作出书面检查。
(四)封锁、瞒报网络安全事件情况,拒不配合主管部门以及有关部门依法开展调查、处置工作,或者对主管部门以及有关部门通报的问题和风险隐患不及时整改并造成严重后果的。实施诫勉谈话。由责任追究主体或组织部、人事处、纪检监察处对责任主体进行诫勉谈话。
(五)发生国家秘密泄露、大面积个人信息或大量学院运行数据等基础数据资源泄露的。将事故纳入责任主体的年度考核,取消当年年度考核评优资格,按照学院岗位绩效考核办法降低或扣除责任主体的年度绩效。
(六)阻碍国家机关依法维护国家安全、侦查犯罪以及防范、调查恐怖活动,或者拒不提供支持和保障的。实施报警处理,严重损坏社会或国家利益的,上报上级行政单位及公安部门处理。
(七)发生其他严重危害网络安全行为的。视具体情节轻重给予相应的纪律处罚或行政处分。
第十一章 附 则
第四十二条 本管理办法自发布之日起执行。
第四十三条 本管理办法由学院网络安全与信息化领导小组办公室负责解释。