N

网络安全

etwork security

热门文章

您所在的位置: 首页 > 网络安全 > 安全制度 > 正文

三门峡职业技术学院网络及信息安全管理制度

发布时间:2022年06月22日 10:19 阅读:

三门峡职业技术学院网络及信息安全管理制度


第一章 总则

第一条、为了进一步加强学校校园网络与信息安全管理工作,根据《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例》、《信息安全等级保护管理办法》以及上级有关文件精神要求,特制定《三门峡职业技术学院网络及信息安全管理制度》。

第二条、学校网络与信息安全管理的对象包括:隶属于学校及校内各级机构的网络、网站、业务系统、计算机应用软件及其运转过程中的数据和相关的软硬件系统,以下简称网络信息系统。

第三条、网络与信息安全管理工作主要包括:网络安全管理、网络信息和网站安全管理、信息系统安全管理、数据安全管理、网络信息安全宣传教育等五个方面。

第四条、学校网络及信息规划、建设与管理部门是学校现代教育技术中心,网络及信息安全的主管部门是学校组宣部。

第二章 校园网络安全

校园网络是指由学校投资购买、由现代教育技术中心负责维护和管理的校园网络主、辅节点设备、配套的有线无线网络线缆设施及网络服务器、资源库、工作站所构成的、为校园网络应用及服务的硬件、软件的集成系统。

第五条、对在学校范围内开展互联网接入服务的运营商由学校信息化办公室统一管理,开展与运营商网络有关的网络安全协调处置工作。连入校园网的各单位和个人使用者必须实名认证,严格使用由现代教育技术中心分配的IP地址。网络管理员对入网计算机和使用者进行登记,由现代教育技术中心负责对其进行监督、检查和日志审计。任何人不得更改IP及网络设置,不得盗用IP地址及用户帐号。

第六条、校属各单位对部署于本单位范围内的学校网络设备、线路具有保护义务。未经学校同意,校属各单位和个人不得更改或破坏学校网络设备和线路;不得擅自铺设线路、开通互联网络;不得以代理、VPN 等形式向校外单位和个人提供接入学校网络的渠道。

第七条、按照国家网络安全法的要求,现代教育技术中心在校园网络上开展下列安全技术保护工作,保障学校网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。

(一)采取防范计算机病毒和网络攻击、网络入侵等危害网络安全行为的技术措施。严禁在校园网上使用来历不明、引发病毒传染的软件;对于来历不明的可能引起计算机病毒的软件应使用公安部门推荐的杀毒软件检查、杀毒。

(二)采取记录、跟踪网络运行状态,监测、记录网络安全事件的技术措施,并按照规定留存各种日志。

(三)采取数据分类、重要数据备份和加密等措施。

(四)对校园网用户实行实名制登记。用户要严格遵守校园网络管理规定和网络用户行为规范,不随意把户头借给他人使用,增强自我保护意识,经常更换口令,保护好户头和IP地址。严禁用各种手段破解他人口令、盗用户头和IP地址。

(五)完成法律、行政法规、上级部门和学校规定的其他网络信息安全工作。

第八条、任何单位和个人不得在校园网上明文传输具有保密性质的数据。

第九条、在网络建设工程、网络设备、网络运维服务采购过程中,采购部门须组织厂家、集成商、供货商、服务商在质保期、服务期内签订并履行《三门峡职业技术学院网络及信息系统建设安全责任书》(见附件一),促使其采取对应措施协助保障学校网络安全。

第三章 网络信息和网站安全

第十条、各单位党政负责人为各自网络信息发布的第一责任人,需与学校签署《三门峡职业技术学院网站安全责任书》(见附件二)。可根据实际工作需要指定一名班子成员分工负责,同时可确定一名管理员负责本单位的信息搜集、整理、制作和发布。开通或关闭网站、微信平台之前需到现代教育技术中心履行登记备案手续;如实登记用途,不提供代理和涉嫌侵权的资源服务;一旦开通需做到及时更新、认真管理、注重质量。

第十一条、各单位应按照“统一规范、先审后上、保证质量”的要求严肃开展网络信息发布、转载和链接管理工作。在学校网站、微信等平台上发布的网络信息由负责人审核后才可发布;不以学校名义在其他传播平台上擅自发布网络信息;不发布与学校、部门职责无关的信息内容和外部链接。

第十二条、各级网站安全建设、管理要求

(一)校属各单位的网站应使用学校站群系统开发、制作、发布,使用学校域名和 IP 地址,并使用学校服务器资源部署于学校数据中

心内,以确保安全。特殊情况下须经组宣部和现代教育技术中心技术审核后方可调整方案。

(二)合理设置栏目,公开并及时更新单位概况、职能职责、规章制度、办事指南、工作通知、新闻动态等内容;未经批准,不开设聊天室、论坛等开放式交互栏目,一旦批准开设,需安排人员认真审核留言内容,做到如实反映师生意见、过滤不良信息、积极引导网上舆论。

(三)采用安全的网络信息发布技术,避免传播带毒文件;引用、转发外部资讯时做到严格审核,并注明来源。

(四)妥善保管网站管理账户信息,使用高强度的密码,并定期更新;对网站管理人员和用户加强网络安全意识教育和业务培训。

(五)关注网站的安全状况,及时联系现代教育技术中心处置各种安全问题,配合现代教育技术中心网站安全工作。

(六)执行检查监测制度。安排专人每天检查监测本单位负责的网站、微信等平台,认真查看页面显示状况,查看各项功能的有效性,查看所发布的信息特别是重要信息是否存在错漏,查看是否存在暗链,发现问题立即纠正。关注校园网上发布的各类信息,加强沟通合作,做到学校网站与部门网站、部门网站与学校网站、部门网站与部门网站之间信息的准确性、一致性与恰当性。定期检查网站到其他网站的链接,防止因其他网站失效、被篡改等原因导致不良社会影响。

(七)严格落实网站维护管理制度。只在校园网内进行运维管理,若需要远程运维或第三方单位(如网站开发单位)协助运维,需要采用 VPN 加密、堡垒机登录等安全方式接入,不得直接远程桌面或直接开放管理端口到互联网。

第十三条、各部门应对部门所属职工、学生等各类人员定期开展网络信息安全意识教育,规范各类人员上网行为,营造积极正向的舆论氛围。

第四章 网络信息系统安全

第十四条、各网络信息系统(业务子系统)的主管单位负责人是系统安全第一责任人,各单位应安排专人负责所管系统的安全管理及数据更新工作,由现代教育技术中心根据《信息安全等级保护管理办法》的要求,划分系统安全保护等级,定期开展等级保护测评,各单位按等级对各自所管网络信息系统开展网络安全保护工作;定期开展数据备份和系统备份,确保紧急情况下信息系统能够及时恢复。

第十五条、学校各类信息系统应统一部署于学校数据中心内,现代教育技术中心依托校园网数据中心安全体系为信息系统提供运行安全和数据安全所需的基础环境,系统建设和使用单位负责系统的应用安全,并接受现代教育技术中心的测评、扫描,落实现代教育技术中心和上级有关部门提出的网络信息安全整改意见。现代教育技术中心可根据网络安全事件的性质和威胁程度直接采取封堵、隔离、强制下线等措施。将系统部署于学校数据中心之外的情况,由建设和使用单位负责提出部署方案,现代教育技术中心负责指导并审定相关内容。

第十六条、各业务系统管理单位须根据学校人员和组织机构变动及时调整系统内的信息,确保系统内用户和机构信息与真实情况一致,做到业务操作能审计、追溯。

第十七条、系统建设和使用单位确保做到不给无关人员授权、授权账号不外泄、加强人员管理、定期开展安全检查,配合现代教育技术中心开展网络安全防范和处置工作。

第十八条、定期开展数据备份和系统备份,确保紧急情况下信息系统能够及时恢复。

第五章 数据保密

第十九条、对具有保密或隐私性质计算机数据,在数据所属业务单位的统一管理下实行使用人员(以下简称责任人)责任制。责任人包括本部门接触保密数据的人员、系统维护厂家及其工作人员、因实际工作需要能接触本单位所管业务数据的其他部门工作人员。

第二十条、责任人履行如下保密义务

(一)责任人必须严格遵守三门峡职业技术学院相关管理规定,合理、规范、安全地使用计算机、网络、数据和信息资源。责任人承诺在工作过程中,视所接触到的资料、数据和项目信息为保密内容,承担保密责任。

(二)来源于三门峡职业技术学院的所有资料、数据和项目信息,包括但不限于教职工、学生个人身份信息、三门峡职业技术学院组织架构信息、教学、科研、管理、服务等相关业务信息。

(三)责任人未经允许,不得访问、删除、修改、增加、复制、备份、摄录、摘抄、打印数据和资料,不擅自传播保密信息。

(四)责任人必须妥善保管数据和资料的存储介质(云盘、U 盘、终端存储等),严防丢失,更不可交由其他人使用或作其它用途。

(五)责任人未经允许,不得进行影响系统运行的操作,如关闭主机(设备)、关闭关键服务、查询大量数据、修改数据库、修改系统配置等。

(六)责任人对自己管理的账号,必须加强密码管理,要求管理员账号使用字符、数字、符号组合的复杂密码,长度不小于 8 位,口令 30 天定期更换。

(七)存有保密信息的介质(硬盘、U 盘、磁盘、闪存、光盘等)如需送到单位外维修时,要将涉密资料备份后,对介质进行技术处理(如低级格式化、写零处理等),以防泄密。

(八)责任人在承担项目工作完成以后,不得保留保密信息的副本,一切关于保密信息的资料销毁或返还信息提供部门,保证信息不会外流;责任人承诺若中途不再从事项目有关工作,仍对保密信息承担保密责任。

(九)若违反本承诺书内容,一经发现,学校可视责任人行为严重程度进行行政处分或经济处罚。后果严重者,学校将通过法律途径向责任人索赔,或向司法机关报案处理。

(十)责任人的保密义务至保密信息公开或被公众知悉时终止。

第二十一条、各业务数据的主管部门须与接触到本部门业务数据的内外责任人签订《三门峡职业技术学院数据保密协议》(见附件三),促使对方落实学校数据保密。

第二十二条、涉及国家保密法和其他行政法律法规所规定情形应遵照对应法律法规执行。

第六章 应急处置

第二十三条、网络信息安全事件是指在校园网和信息系统上发生的服务器病毒感染、安全漏洞、网络攻击、系统侵入、数据篡改、数据泄密等事件。

第二十四条、处置过程

(一)现代教育技术中心做好日常网络信息安全事件预防和监测工作。其他单位或个人发现或怀疑网络安全事件时,应尽早与现代教育技术中心联系。

(二)发生网络信息安全事件时,现代教育技术中心组织网络安全厂家将对应服务和系统从学校网络上隔离开,以控制安全事件影响的进一步扩大。视遭受影响的业务情况通知建设单位和使用部门,视事件性质和影响程度向学校领导小组汇报,同时向校内有关部门通报,必要时直接向公安局报案。

(三)各单位接到通知后,应尽快安排人员参与事件处置,所需安排的人员包括:协助开展业务系统处置的人员、处理业务问题的人员。根据业务遭受影响的程度,妥善进行业务处置,可发布通知停办业务或调整为其他业务受理方式。现代教育技术中心负责通知业务系统集成商或厂家参与事件处置,负责业务影响程度评估。

(四)业务系统集成商或厂家与现代教育技术中心共同开展技术处置,进行安全事件处置。

(五)安全事件处置后现代教育技术中心负责组织人员总结评估安全事件的处置过程、结果、损失情况,提出进一步整改和处置措施,报有关部门和领导。

(六)安全事件整改责任部门按要求落实整改工作并制定长效预防机制,形成整改报告报送现代教育技术中心。


附:1.《三门峡职业技术学院网络及信息系统建设安全责任书》.docx

2.《三门峡职业技术学院网站安全责任书》.docx

3.《三门峡职业技术学院数据保密协议》.docx