淮阴师范学院网络与信息安全管理办法
第一章 总则
第一条 为进一步加强我校网络与信息安全的管理工作,确保校园网络和信息系统的安全稳定,根据《中华人民共和国网络安全法》等国家相关法律法规文件精神,结合学校实际情况,制定本办法。
第二条 网络与信息安全是指由学校建设、运行、维护和管理的网络与信息化基础设施、网站、信息系统及数据等受到安全保护,确保网络、信息及数据的安全性、完整性、可用性、可控性;包括以学校和各部门(单位)名义对外发布的各类网站、信息系统,各类电子文档、图片、语音、视频、软件等。
第三条 网络与信息安全按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,实行统一管理、分层负责制,建立健全网络与信息安全责任体系。
第二章 组织机构
第四条 网络安全与信息化工作领导小组(以下简称“网信领导小组”)是学校网络与信息安全工作的领导机构,负责贯彻落实上级关于网络与信息安全的方针政策和决策部署,统一领导、统一规划、统一部署全校的网络安全与信息化工作。
第五条 党委宣传部负责学校所有网站、信息系统和以学校名义网络信息新媒体的信息内容安全和网络舆情监控、引导工作。
第六条 信息化建设与管理处是学校网络与信息安全的技术管理部门,承担网信领导小组办公室的日常工作。具体负责学校网络与信息安全的总体规划、建设管理、制度拟定、日常保障等;协调、指导、督促各部门(单位)加强网络与信息安全技术的教育管理和网络与信息安全事件的处置等。
第七条 各单位负责本单位网络、网站和信息系统的安全运维管理,以及本单位师生员工的网络与信息安全教育和管理。各单位主要负责人是网络与信息安全工作的第一责任人,同时应确定一名网络管理员具体负责本单位网络与信息安全运行、维护和管理工作。
第三章 安全管理
第八条 校园网络及相关基础设施由信息化建设与管理处统一规划、建设、管理,并提供统一的网络出口,学校各部门(单位)及个人不得擅自建设、更改、挪用、损毁网络相关设施。校园网络入网实行实名制,未经网络认证不得擅自接入校园网。
第九条 校园网络主要用于学校的教学、科研、管理和服务,校园网络所有用户必须遵守国家有关网络与信息安全的法律、法规和本校的相关规定,严格执行信息安全保密制度,并对提供的网络信息负责,严禁利用校园网络从事危害国家安全、泄露国家秘密的活动。
第十条 学校各类网站、信息系统原则上依托数据中心建设,并进行登记备案。禁止以校方名义在校外部署非本校域名或非本校IP地址的网站及信息系统。
第十一条 未经许可禁止使用校园网IP地址提供web应用等信息服务,如有特殊需求,须经信息化建设与管理处审批、备案,建设单位承担全部网络与信息安全责任。
第十二条 新建网站及信息系统上线前必须通过信息安全检测与审查,使用漏洞扫描设备对主机服务器和web应用服务进行安全扫描,发现主机系统漏洞、web应用程序漏洞或数据库漏洞等,应立即整改修复;上线后采取数据操作记录审计、定期备份重要数据等必要的安全措施,确保数据安全。
第十三条 定期对网站及信息系统进行安全扫描和风险评估,对于存在高风险的网站和信息系统,将暂停其互联网接入服务,并通知相关部门(单位)负责人和网络管理员,要求限期整改修复,经信息化建设与管理处复核合格后,予以恢复访问。
第十四条 按照信息内容发布的审核责任制度,严格执行“上网信息不涉密,涉密信息不上网”,同时加强各种账号及密码的设置与管理,确保涉密信息的安全。
第十五条 针对学校重点信息管理系统采取网络安全等级保护定级备案工作,建设单位须配合网络安全等级保护测评工作,根据测评报告中存在的主要安全问题,限期整改到位,提高学校信息管理系统的整体安全性。
第四章 事件处置
第十六条 信息化建设与管理处制定网络安全事件应急预案,定期组织网络管理员参加网络与信息安全知识培训和应急演练,提高网络安全事件的预防、预警和处置能力,预防和减轻网络安全事件造成的损失和危害。
第十七条 根据网络安全事件可能发展的趋势、造成的危害等,网络安全事件分为四级:特别重大、重大、较大和一般网络安全事件。相对应的网络安全事件预警等级分别为:红色、橙色、黄色和蓝色,应急响应分别为Ⅰ级、Ⅱ级、Ⅲ级和Ⅳ级。
第十八条 统一指挥、密切协同。信息化建设与管理处在网信领导小组带领下,组织开展网络与信息安全事件处置。具体措施参见《淮阴师范学院网络安全事件应急预案》。
第五章 责任追究
第十九条 网络与信息安全事件责任认定实行“谁主管谁负责、谁使用谁负责”的原则,由网信领导小组组织实施。责任追究应当坚持公平公正、有责必究、过罚相当、教育与惩戒相结合的原则。具体安全责任追究办法参见《淮阴师范学院网络安全工作责任制实施细则》。
第六章 附 则
第二十条 各单位按照本办法,落实责任,切实采取措施,加强网络与信息安全工作。
第二十一条 本办法由信息化建设与管理处负责解释,自印发之日起执行。
淮阴师范学院
2020年12月30日