陕西开放大学(陕西工商职业学院)
网络与信息安全管理办法
第一章 总则
第一条为了加强我校网络与信息安全管理,保障学校网络安全,依据国家、公安部及教育部网络与信息安全相关法规,结合我校实际,制定本办法。
第二条本办法适用于陕西开放大学(陕西工商职业学院)校内所有接入校园网络的单位和个人(通称校园网用户)。
第三条本办法所指的网络与信息安全,包括校园网络安全和网上信息安全。网络安全是指校园网的设施设备(包括个人计算机、服务器、网络传输设备以及期间摄安装工程)及其应用系统安全。信息安全指基于校园网络的各项应用系统所承载的数据和内容安全。
第四条本办法所指网络与信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其它网络安全事件等:
1.有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码和其他有害程序事件。
2.网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。
3.信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。
4.信息内容安全事件是指通过网络传播法律法规禁止信息,组织非法串联、煽动机会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。
5.设备设施故障分为软硬件自身故障,网络边界设施设备故障、认为破坏事故和其他设备设施故障。
6.灾害性事件是指由自然灾害等其他突发事件导致的网络安全事件。
7.其他事件是指不能归为以上分类的网络安全事件.
第五条学校重要信息基础设施建设遵循三同步原则(同步规划、同步建设、同步使用),学校校园网与信息安全运行管理按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,切实落实网络与信息安全责任。
第二章 组织与管理职责
第六条网络安全与信息化领导小组是学校网络与信息安全领导机构,全面领导全校网络与信息安全工作,指导和协调网络与信息安全保障体系建设,监督重要信息系统与基础信息网络安全保障体系建设。
第七条网络安全与信息化领导小组办公室,是学校网络安全与信息化工作领导小组日常办事机构,负责组织全校贯彻落实教育部、省教育工委和省教育厅有关网络与信息安全工作的方针政策,拟定全校网络与信息安全工作规定规章及发展战略、规划。负责网络与信息安全的监督、管理、指导。负责网络舆情、信息内容安全的监督、管理和指导。负责学校信息发布系统的信息审查与安全监管。负责全校信息系统安全等级保护工作及信息安全信息通报工作。
第八条信息化建设中心是我校网络与信息安全技术支持单位,主要负责全校网络与信息安全技术咨询、技术服务及安全管理等日常工作。
第九条学校各二级学院、各部门是信息化应用单位,是各自建设的应用系统的安全责任部门,负责本单位所建信息系统、网站的网络与信息安全建设、信息审查和安全监管。
第三章 接入网络及用户管理
第十条校园网实行统一出口、统一用户管理。学校各单位和个人应按规定程序办理入网登记手续,严禁擅自接入校园网,不得利用校园网开展经营性活动。
第十一条校园网用户账号实行实名登记注册制度。经审核开设的部门公用账户必须专人管理和使用,管理人员发生变化的应按规定程序及时办理变更手续。
第十二条校园网用户负责本人申请或管理的网络账号及其密码安全,密码管理参照《陕西开放大学信息系统密码管理规定》,防止密码泄露,防止账号被他人盗用,对利用该账号访问校园网、互联网的行为负责。
第十三条校园网用户的离校手续中必须包含网络账号注销手续。学校相关部门应及时向信息化建设中心抄送离校人员名单,以便及时注销离校人员的网络账户。部门公用账户不再使用的,也应及时办理注销手续。
第四章 安全等级保护
第十四条全校信息系统应按照国家法律要求,开展安全等级保护工作。
信息系统安全等级保护,是指对国家安全、法人和其他组织及公民的专有信息以及公开信息的存储、传输、处理的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分级响应、处置的综合性工作。
第十五条根据《信息系统安全等级保护指南》,信息安全等级遵循以下基本原则:
1.自主保护原则
信息系统运营、使用单位及其主管部门按照国家相关法规和标准,自主确定信息系统的安全保护等级,自行组织实施安全保护。
2.重点保护原则
根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实施不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统。
3.同步建设原则
信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安全设施,保障信息安全与信息化建设相适应。
4.动态调整原则
要跟踪信息系统的变化情况,调整安全保护措施。由于信息系统应用类型、范围等条件的变化及其它原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级,根据信息系统安全保护等级的调整情况,重新实施安全保护。
第十六条信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。
第十七条信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益及公民、法人和其他组织的合法权益的危害程度等因素确定。
第十八条信息系统的安全保护等级分为以下五级
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成严重损害,或对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
第十九条学校信息安全等级保护管理的对象,为各二级学院、各部门建设、管理、使用的非涉密信息系统,主要包括以下两类系统:
1.面向公众和师生服务的系统;
2.面向学校管理部门业务管理和内部办公事务的系统
我校以下类型的重要信息系统应优先加强管理,即:
⑴陕西开放大学、陕西工商职业学院网站;
⑵陕西开放大学、陕西工商职业学院教务系统;
⑶陕西开放大学(陕西工商职业学院)办公自动化系统
第二十条为提高信息系统定级准确性,信息系统运行使用单位,可聘请专家对本单位信息系统初步定级结论进行评审。
第二十一条学校综合管理平台、学校站群系统、学校教务平台及综合服务平台,由学校信息化建设中心组织定级,并报公安机关备案。其它信息系统由各建设使用单位组织定级,定级结论需报信息化办公室审定批准后方可报当地公安机关备案。
第二十二条办理信息系统安全等级备案手续时,应当填写《信息系统安全等级保护备案表》(网上下载),第二级以上信息系统应当同时提供以下材料:
(一)系统拓扑结构及说明;
(二)系统安全组织机构和管理制度;
(三)系统安全保护设施设计方案或者改建实施方案;
(四)系统使用的信息安全产品清单及其认证、销售许可证明;
(五)测评后复合系统安全保护等级的技术检测评估报告;
(六)信息系统安全保护等级专家评审意见;
(七)审核批准信息系统安全保护等级的意见。
第二十三条信息系统安全等级保护确定后,运行使用单位应按照国家有关管理规范和技术标准,使用符合国家有关规定,满足信息系统安全需求的信息技术产品,开展信息安全建设或整改工作。
第二十四条新建、扩建和升级改造的信息系统,在规划设计阶段要同步完成系统定级工作,并同步规划等级保护总体设计方案,在项目建设过程中同步完成信息安全等级保护建设工作。
第二十五条信息系统建设完成后,运行使用单位应当从全国信息安全等级保护测评机构中选择符合《信息安全等级保护管理办法》规定条件,取得《信息安全等级保护测评机构推荐证书》的测评机构,依据国家相关技术标准,定期对信息系统安全状况开展等级测评。
第二十六条安全保护等级被定为第四级的信息系统应当每半年至少进行一次等级测评;被定为第三级的信息系统应当每年至少进行一次等级测评;被定为二级的信息系统应当每两年至少进行一次等级测评。
第二十七条信息系统运行使用单位,应当定期对信息系统安全状况、安全保护制度及措施的落实情况、信息安全等级测评情况进行自查,每年至少自查一次。未达到安全保护等级要求的,应当制定方案进行整改。
第五章 网络安全管理
第二十八条信息化建设中心应当采取各种技术手段构建可信、可管、可控、可溯源的网络与信息安全技术防护环境,保证校园网络与信息安全。
第二十九条任何单位或个人,未经信息化建设中心书面同意,不得擅自接入、安装、拆卸、改变校园网络设备或学校重要信息系统,不得以任何理由损坏网络设施,不得以学校名义,利用学校场所及设备搭建信息系统、擅自发布消息。
第三十条校园网用户应自觉遵守国家法律法规和学校相关管理制度,不得侵入未经授权的网络设备、服务器、工作站等,不得从事危害校园网及其应用系统的活动,不得利用各种网络设备和软件技术从事用户账户及密码的侦听、盗用活动。
第三十一条建立外部人员访问机房等重要区域审批制度,外部人员须经审批后方可进入,并安排本单位工作人员现场陪同,对访问活动进行记录并留存。
第六章 信息安全管理
第三十一条域名管理
(一)学校域名使用需遵循《陕西开放大学(陕西工商职业学院)域名管理办法》之规定。学校各二级单位可根据需要申请学校域名,域名不再使用需办理撤销、更名规定流程;
(二)学校各单位为申请的二级域名仅允许本单位使用,不得转借。域名使用单位对本域名下的信息内容负责;
第三十二条信息发布管理
(一)建立健全岗位信息安全责任制度,明确岗位及人员的信息安全责任。
(二)未经批准,学校各二级单位和个人不得设立服务器对外提供网络应用服务。需要设立的,须按规定程序提交申请,完成系统定级和审批备案手续。接入校园网服务器原则上不允许开办非本校师生使用的论坛、服务。接入校园网的网站和信息系统须遵守相关法律、法规,接受信息化建设办公室的监督、管理和指导;
(三)学校各二级单位和个人的上网信息按照“谁主管谁负责,谁发布谁负责”的原则,经发布部门负责人审核后方可发布。上网信息不得有违反国家法律、法规或侵犯他人知识产权等内容,不得发表不当或者个人身份不符的言论,并遵守“涉密信息不上网,上网信息不涉密”的原则;
第二十八条信息系统管理
(一)系统管理员、网络管理员和信息安全员等重点岗位人员应签订信息安全承诺书,明确信息安全责任。
(二)严格执行《陕西开放大学(陕西工商职业学院)设备与信息系统用户权限管理制度》的管理规定,人员离岗离职时应及时终止信息系统访问权限,收回各种软硬件设备管辖权。
(三)建立介质安全管理制度,对介质的存放环境、使用、维护和销毁等严格管理。移动存储介质应实行登记管理,领用、交回、维修、报废、销毁管理应有台帐。
(四)移动存储介质在介入电脑前进行查杀病毒、木马等恶意代码操作,确保不使病毒等感染网络和电脑。
(五)应采购安全可控的信息技术产品和服务兵进行安全性评估。
(六)采购的信息系统安全专用产品应符合国家和公安部相关规定,并依法取得公安部颁发的《计算机信息系统安全专用产品销售许可证》。
(七)有外包服务的部门应建立并严格执行信息技术外包服务安全管理制度******,与信息技术外包服务商签订服务合同和信息安全与保密协议,明确信息安全与保密责任,要求服务提供商不得将服务转包,不得泄露、扩散、转让服务过程中获知的各类信息,不得占有服务过程中的任何资产,不得以服务为由情志要求委托方购买、使用指定产品。
(八)外包开发的系统、软件,上线应用前应进行安全测评,要求开发方及时提供系统、软件的升级、漏洞等信息和相应服务。现场服务过程中应安排专人陪同,并详细记录服务过程。信息技术外包服务安全管理纳入年度信息安全自查范围。
(九)学校各类信息系统依照本办法第四章,实行备案登记制度。
第七章 应急处理
第三十三条校园网因个人或不可抗力因素导致系统运行受到严重影响、产生严重后果或不良影响事件为紧急事件。各网站和信息系统相关单位应做好数据备份。发生紧急事件时,为避免造成更大损失和影响,信息化建设中心将采取以下措施,并及时向学校网络安全与信息化领导小组报告:
(一)存档取证后,删除相关应用和信息;
(二)拆除可能影响安全或有隐患的设备或部件;
(三)隔离、关闭相关的服务器和网络;
(四)对校园网用户的访问权限进行控制。
第三十四条校园网发生影响个人、学校以及社会利益的网络安全事件后,信息化建设中心立刻向学校网络安全与信息化领导小组报告,启动《陕西开放大学(陕西工商职业学院)网络安全事件应急预案》。
第三十五条对于违反国家有关法规和学校相关规定的校园网用户和单位,学校网络安全与信息化建设领导小组将依情节轻重对其采取如下措施:警告、停止相关个人单位入网、停止相关自网接入校园网。对违反本规定,给学校工作生产不良影响和后果的单位和个人,信息化办公室将报请学校进行行政处罚直至追究法律责任。
第八章 网络与信息安全通报管理
第三十六条各二级学院、各部门应根据《陕西开放大学(陕西工商职业学院)网络与信息安全信息通报机制暂行办法》、《陕西开放大学(陕西工商职业学院)网络与信息安全通报工作实施细则》和本暂行办法的要求,建立网络信息安全细细通报制度和报送机制,对反安全信息采集、报送、处理和发布流程。
第三十七条网络信息安全信息通报内容包括
(一)电子公告服务、群发电子邮件以及广播式即时通信和段信息等网络信息服务中反动有害信息的传播情况;
(二)利用网络从事违法犯罪活动的情况;
(三)已经确定或可能发生的计算机病毒、网络攻击情况;
(四)网络攻击活动的嫌疑情况和预警信息;
(五)网络或信息系统通信和资源使用异常、网络和信息系统瘫痪,应用服务中断或数据篡改、丢失等情况;
(六)网络安全状况、安全形势分析预测等信息;
(七)其他影响网络与信息安全的信息。
第三十八条学校信息化办公室为网络信息安全信息通报责任部门,具体负责网络信息安全通报工作。
第九章 责任追究
第三十九条安全保护等级在第二级以上(含第二级)和本办法第十三条规定优先加强管理的信息系统,运行使用单位违反本办法规定,有下列行为之一的,由学校网络安全与信息化领导小组对直接负责的主管人员和其他直接责任人员实行责任追究。
(一)未按本办法规定备案、审批的;
(二)未按本办法规定落实安全管理制度、措施的;
(三)未按本办法规定开展系统安全状况检查的;
(四)未按本办法规定开展系统安全技术测评的;
(五)接到整改通知后,拒不整改的;
(六)未按本办法规定选择使用信息安全产品的;
(七)未按本办法规定如实提供有关文件和证明材料的;
(八)违法本办法其他规定造成严重损失的。
第四十条
网络与信息安全发生重大问题的,依法给与相关责任人行政处分;构成犯罪的,依法追究刑事责任。
第十章 附则
第四十一条本办法适用于陕西开放大学(陕西工商职业学院)
第四十二条本办法由网络安全和信息化领导小组办公室负责解释。
第四十三条本办法自印发之日起施行。
陕西开放大学(陕西工商职业学院)
信息化办公室
2021年11月23日
