您的位置:
天津体育学院网络安全管理制度
第一章 总则
第一条 为保障学校网络安全,推进学校信息系统安全等级保护工作,提高网络安全防护能力和水平,促进学校各项事业健康有序发展,根据《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例》、《教育部关于加强教育行业网络与信息安全工作的指导意见》(教技〔2014〕4号)、《市教委关于印发加强天津市教育行业网络与信息安全工作的指导意见的通知》(津教委〔2016〕21号)、《市教委 市公安局关于开展教育行业重要信息系统信息安全等级保护工作的通知》(津教委科〔2016〕5号)等法律法规和文件要求,结合我校实际,特制定本制度。
第二条 学校坚持网络安全和信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设,建立健全网络安全保障体系,采取措施,监测、防御、处置来源于校内外的网络安全风险和威胁,维护学校网络空间安全和秩序。
第三条 学校坚持网络安全和多样化发展并重,倡导诚实守信、健康文明的网络行为,采取多种途径传播社会主义核心价值观和正确的思想意识形态,采取措施提高全体师生员工的网络安全意识和水平,形成全校共同参与的良好人文环境和网络生态。
第四条 本制度所称网络安全工作是指为使由学校建设、运行、维护和管理,支撑学校教学、训练、科研和管理等各项事业的软硬件设施免受攻击、侵入、干扰、破坏以及未经授权的访问,保障信息资产的完整性、保密性和可用性,防止网络数据泄露或者被窃取、篡改,所开展的相关管理和技术工作。
本制度所称各部门是指学校各机关部、处、室、中心,教学学院、系部,直属机构以及相关科研机构。
本制度所称信息系统是指部署在校内,涉及学校各类管理和服务等业务,包括计算机软硬件、网络通讯设施和信息资源在内的,能够进行信息收集、传递、存储、加工和使用的计算机系统。
第五条 学校按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,建立健全网络安全责任体系,学校各部门、全体师生员工应依照本制度履行网络安全的责任和义务。
第二章 组织机构与职责
第六条 学校网络安全领导小组负责统筹协调网络安全工作和相关监督管理工作。学校主要负责人是学校网络安全的第一责任人,分管信息化工作和宣传工作的校领导协助主要负责人履行学校网络安全责任。
第七条 校园网络管理中心是学校网络安全归口管理部门,负责统筹学校网络安全建设和管理工作。具体职责包括:
(一)制定网络安全总体规划,并组织实施;
(二)制定网络安全管理规章制度和网络安全技术标准规范;
(三)负责网络安全管理工作,协调处理与相关网络安全监督和管理部门的关系;
(四)负责学校网络安全防护体系的建设、运行维护、技术指导和服务支持等;
(五)组织开展关键信息系统安全等级保护工作;
(六)负责学校互联网网站备案和年检工作;
(七)负责网络安全监督检查工作;
(八)学校网络安全的其他工作。
第八条 党委宣传部负责学校网络安全的宣传和教育培训工作,负责网络舆情和意识形态监督、预警工作,负责涉及学校的互联网信息内容发布审核与备案工作,并协调处理与相关网络安全监督和管理部门的关系。
第九条 学校各部门是本部门网络安全工作的责任主体,各部门主要负责人是本部门网络安全的第一责任人,负责按本制度落实网络安全工作。
第三章 校园网络管理
第十条 校园网络是指校园范围内连接各种信息系统及信息终端,为广大师生员工提供网络服务的计算机和通信网络,包括校园有线网络、无线网络和各种虚拟专网。
第十一条 校园网络涉及光缆布线、网络机房、网络设备、网管系统、域名管理、安全防护、认证计费、网络接入与运维等方面,由校园网络管理中心负责规划、建设、运行、维护和管理。
第十二条 校园网络地下通信管网和建筑物内弱电竖井统一由校园网络管理中心进行管理和维护。未经批准,校内、外任何部门或个人不得擅自拆改、占用、变更地下管网和弱电竖井设施及其内部设备和线路。
第十三条 校园网络与互联网及其他公共信息网络实行逻辑隔离,由校园网络管理中心统一出口、统一管理和统一防护。未经批准,学校各部门在校园内不得擅自通过其他渠道接入互联网及其他公共信息网络。
第十四条 校园网络管理中心应采取访问控制、安全审计、完整性检查、入侵防范、恶意代码防范等措施加强校园网络边界防护。
第十五条 师生员工接入校园网络,实行“实名注册、认证上网”制度;学校非涉密信息系统接入校园网络,按照相关规定进行备案登记。网络接入实名管理制度由校园网络管理中心负责实施。涉密信息系统不得接入校园网络。
第十六条 未经批准,严禁任何部门或个人利用校园网络及设施开展经营性活动。
第四章 数据中心管理
第十七条 数据中心主要包括支撑学校信息系统的机房物理环境、软硬件设备、云计算平台、核心数据库、数据共享交换平台、统一身份认证平台、统一信息门户等信息化基础架构。校园网络管理中心负责数据中心的建设、运行、维护和管理工作。
第十八条 校园网络管理中心全面负责数据中心的建设、维护和安全管理。根据信息系统安全等级的不同,对数据中心进行分区、分域管理,采取必要的技术措施对不同等级分区进行防护、对不同安全域之间实施访问控制。
第十九条 校园网络管理中心负责核心数据库与各部门业务数据库之间完成数据交换和共享。各部门负责建设、维护本部门信息系统所配套的业务数据库,并对本部门业务数据库及所申请的共享数据的安全负责。
第二十条 统一身份认证平台为学校信息系统提供统一的身份管理、安全的认证机制、审计及标准接口。学校各部门建设面向师生服务的信息系统时,应使用统一身份认证平台进行身份认证。校园网络管理中心负责统一身份认证平台的安全,学校各部门负责本部门信息系统的权限管理及安全。
第二十一条 原则上,学校各部门应依托校内数据中心开展信息系统建设。确需使用校外数据中心的,经批准后,报校园网络管理中心备案。涉及学校基础数据、师生员工个人信息或敏感信息的信息系统,不得部署在校外数据中心。未经批准,严禁使用境外数据中心。
第二十二条 校园网络管理中心对数据中心的使用实施准入管理,负责制定使用数据中心的标准和规范。在信息系统上线前进行安全审查,符合标准和规范并通过安全审查的信息系统方可上线运行。
第二十三条 数据中心的使用部门应遵循数据中心相关管理制度和技术标准,按需申请、有序使用,不得利用数据中心资源从事任何与申请项目无关或危害网络安全的活动。
第五章 信息系统安全管理
第二十四条 学校按照同步规划、同步建设、同步运行的原则,规划、设计、建设、运行和管理网络安全基础设施,建立健全网络安全防护体系,全面实施信息系统安全等级保护制度。
第二十五条 校园网络管理中心负责制定学校信息化建设发展规划和信息系统项目库管理工作。学校各部门根据本部门业务需求,提出信息系统建设项目申请,纳入学校信息系统项目库的建设项目方可进行实施,并获得学校信息化建设经费的支持;未纳入学校信息系统项目库的建设项目原则上不允许实施。
第二十六条 校园网络管理中心负责统筹和组织学校信息系统安全等级保护工作,为学校各部门开展信息系统等级保护工作提供技术支持和保障,并对其工作进行监督和检查。
第二十七条 信息系统建设部门是信息系统安全等级保护工作的责任主体,负责完成系统定级、系统备案、等级测评、建设整改和安全自查等工作,并主动接受学校的监督和检查。
第二十八条 信息系统在立项阶段,由建设部门组织需求、技术、预算等方面的专家论证,并拟定安全保护等级;由校园网络管理中心对建设项目进行单独的安全论证和等级评审,确定最终安全保护等级。
第二十九条 信息系统在建设阶段,建设部门应按已确定的安全保护等级同步落实安全保护措施及相关工作。信息系统投入试运行后,由建设部门进行初步功能验收,由校园网络管理中心进行初步安全验收。对于安全保护等级第二级以上(含第二级)的信息系统,由校园网络管理中心统一办理系统备案和等级测评工作。信息系统通过初步验收和等级测评后,由建设部门组织竣工验收。
第三十条 学校鼓励建设部门优先采购安全可靠、技术成熟和服务优质的成品软件用于信息系统建设。没有相应成品软件或成品软件不适应实际需求的,可按照学校采购与招标相关管理办法,委托资质和信誉良好的软件开发商进行开发。学校不鼓励建设部门使用校外公共网络服务平台进行信息系统建设。
第三十一条 信息系统开发环境、测试环境和运行环境应严格隔离,校园网络管理中心负责上述环境的建设、运行、维护和管理。
第三十二条 信息系统建设部门可自行或委托校园网络管理中心维护信息系统,亦可根据实际需要,委托校外部门维护信息系统。涉及学校重要业务或大量师生员工信息的关键信息系统以及安全保护等级第二级以上(含第二级)的信息系统,原则上应委托校园网络管理中心维护。
第三十三条 校园网络管理中心定期对终端计算机和承担网络与信息系统运行的关键设备(服务器、安全设备、网络设备)进行安全审计,通过系统日志和用户活动信息,及时发现系统漏洞,处置异常访问和操作。
第三十四条 信息系统建设部门应制定信息系统使用与维护的管理制度,规范信息系统使用者和管理者的操作行为,并指派专人负责信息系统的业务管理和维护工作。
第三十五条 对于安全保护等级第二级以上(含第二级)的信息系统,校园网络管理中心将定期组织开展等级测评,查找、发现并及时整改安全问题、漏洞和隐患。根据国家和教育行业有关标准规范,四级系统应每年进行两次测评,三级系统每年进行一次测评,二级系统每两年进行一次测评。
第六章 信息系统数据安全管理
第三十六条 信息系统数据是指信息系统收集、存储、传输、处理和产生的各种电子数据,包括但不限于网站内容、业务数据、网络课程、图书资源、日志记录等。
第三十七条 信息系统数据的所有者是数据安全管理的责任主体,应当落实管理和技术措施,规范数据的收集、存储、传输和使用,确保数据安全。
第三十八条 信息系统数据收集应遵循“最少够用”原则,不得收集与信息系统业务无关的个人信息。按照“谁收集,谁负责”的原则,收集个人信息的部门是个人信息保护的责任主体,应当对其收集的个人信息严格保密,并建立健全相关保护制度。
第三十九条 校园网络管理中心负责学校关键信息系统的备份与恢复工作,制订备份与恢复计划,根据业务实际需要对重要数据和信息系统进行备份,定期测试备份与恢复计划,并确保备份数据和备用资源的有效性。
第七章 互联网网站安全管理
第四十条 学校各部门开办互联网网站,应使用学校指定的互联网域名和IP地址,并遵守国家相关法律法规和学校相关规章制度。
第四十一条 校园网络管理中心统一建设学校网站集群平台并负责纳入该平台网站的技术安全。未纳入学校网站集群平台的网站,其技术安全由网站开办部门负责。
第四十二条 学校各部门开办互联网网站应优先选择学校网站集群平台,集群平台不能满足需求时可委托其他供应商。网站投入试运行后,需进行ICP备案和教委备案,并通过校园网络管理中心组织的安全审查后方可正式上线。
第四十三条 互联网网站运行维护部门应建立网站值守制度,制订应急处置流程,组织专人对网站进行监测,发现网站运行异常应及时处置,并报送校园网络管理中心进行技术处理。
第四十四条 互联网网站的内容安全由开办部门负责。互联网网站开办部门应建立完善的网站信息发布与审核制度,明确内容编辑、内容审核和内容发布的责任人,明确审核与发布程序,保存相关操作记录。
第四十五条 原则上,学校各部门不得提供非实名制网络互动服务(例如,论坛、留言板、贴吧等)。确有需要,经批准备案后方可提供实名制网络互动服务。提供网络互动服务的开办部门承担服务内容管理的主体责任,并按国家有关规定落实专项安全管理和技术措施。
第四十六条 对于使用频度不大、阶段性使用的互联网网站,其开办部门可采取非工作时间或寒暑假、节假日关闭的方式运行。对于无人管理、无力维护、长期不更新的互联网网站,应予以关闭以降低安全风险。
第八章 终端计算机安全管理
第四十七条 终端计算机是指由学校师生员工使用并从事学校教学、科研、管理等活动的各类计算机及附属设备,包括台式电脑、笔记本电脑和其他移动终端。
第四十八条 终端计算机使用人按照“谁使用,谁负责”的原则,对其终端计算机负有保管和安全使用的责任。校园网络管理中心对终端计算机的安全管理提供技术支持和指导。
第四十九条 校园网络管理中心建立终端计算机统一管理平台,实现常用正版软件下载分发、系统补丁***、病毒软件***升级及漏洞管理等功能。
第五十条 终端计算机设备***、运行的软件须为正版软件。在终端计算机上使用盗版软件带来的安全和法律责任由终端计算机使用人承担。
第五十一条 终端计算机应当设置系统登录账号和密码,禁止自动登录,登录密码应具有一定强度并定期更改。
第五十二条 终端计算机使用人应做好数据的日常管理和保护,定期进行数据备份。非涉密计算机不得存储和处理涉密信息。
第五十三条 终端计算机使用人应做好终端计算机的安全防范,如发现终端计算机可能由病毒或攻击导致的异常系统行为或其他安全问题应立即断网,并报送校园网络管理中心进行技术处理。
第五十四条 终端计算机使用人应对终端计算机妥善保管。若损坏或丢失,按学校固定资产相关管理规定处理。
第九章 存储介质安全管理
第五十五条 存储介质是指存储数据的载体,主要包括硬盘、存储阵列、磁带库等不可移动存储介质,以及移动硬盘、U盘等可移动存储介质。
第五十六条 原则上,存储阵列、磁带库等大容量介质应托管在学校数据中心,并由校园网络管理中心统一运行、维护和管理。校园网络管理中心应采取必要技术措施防范数据泄漏风险,确保数据安全。
第五十七条 学校各部门应建立移动介质管理制度,记录介质领用、交回、维修、报废、损毁等情况。介质使用人按照“谁使用,谁负责”的原则,对其移动介质负有保管和安全使用的责任。
第五十八条 非涉密移动存储介质不得用于存储涉密信息,不得在涉密计算机上使用。
第五十九条 移动存储介质在接入终端计算机和信息系统前,应当查杀病毒、木马等恶意代码。
第六十条 介质使用人应注意移动存储介质的内容管理,对送出维修或销毁的介质应事先清除敏感信息。
第六十一条 校园网络管理中心应配备必要的电子信息消除和销毁设备。存储介质履行必要的审批程序后,可由校园网络管理中心集中销毁。
第十章 人员安全管理
第六十二条 学校各部门应建立健全本部门的网络安全岗位责任制度,明确岗位及人员的网络安全责任。关键岗位的计算机使用和管理人员应签订网络安全与保密协议,明确网络安全与保密要求和责任。
第六十三条 学校各部门应加强人员离岗、离职管理,严格规范人员离岗、离职过程,及时终止相关人员的所有访问权限,收回各种***件、钥匙、徽章以及学校提供的软硬件设备。关键岗位人员离岗、离职应签署网络安全保密承诺书。
第六十四条 学校各部门应定期对网络安全岗位的人员进行安全知识和技能的培训与考核,并对培训与考核结果进行记录和保存。
第六十五条 学校各部门应建立外部人员访问机房等重要区域的审批制度,外部人员须经审批后方可进入,并安排工作人员现场陪同,对访问活动进行记录和保存。
第十一章 外包服务安全管理
第六十六条 外包服务是指学校信息系统聘用校外单位、企业或个人进行的开发或维护工作。
第六十七条 外包服务需求部门应与外包服务提供商签订服务合同和网络安全与保密协议,明确网络安全与保密责任,要求服务提供商不得将服务转包,不得泄露、扩散、转让服务过程中获知的敏感信息,不得占有服务过程中产生的任何信息资产,不得以服务为由强制要求委托方购买、使用指定产品。外包服务合同和网络安全与保密协议应报送校园网络管理中心备案。
第六十八条 外包服务人员进行现场服务过程中,外包服务需求部门应安排专人陪同,并详细记录服务过程。
第六十九条 外包开发的系统或软件按照本制度第二十八条和第二十九条进行管理。外包服务需求部门应要求开发方及时提供系统或软件的升级、漏洞等信息和相应服务。
第七十条 校园网络管理中心负责远程在线运维管理设备的统一购置、运维和管理。信息系统运维如需采用远程方式进行,必须通过远程在线运维管理设备统一进行管理。
第十二章 网络安全应急管理
第七十一条 校园网络管理中心负责学校网络安全应急工作的统筹管理,并负责网络安全应急工作的技术支撑和保障。在发生网络安全事件时,校园网络管理中心有权对发生安全问题的信息系统进行断网、关机等应急处理。
第七十二条 校园网络管理中心负责制定学校网络安全事件报告和处置流程,以及学校网络安全应急预案。若学校网络安全应急预案不能满足需求,学校各部门可制订本部门网络安全应急预案,并报送校园网络管理中心备案。
第七十三条 校园网络管理中心定期组织网络安全应急演练,评估并适时组织网络安全应急预案的修订。
第七十四条 校园网络管理中心负责组建学校网络安全应急技术支援队伍,完善24小时应急值守制度,提高网络安全事件的预防、预警和应对能力,预防和减轻网络安全事件造成的损失和危害。
第七十五条 学校各部门应按照学校网络安全事件报告与处置流程,做好事发紧急报告与处置、事中情况报告与处置和事后整改报告与处置工作。做到安全事件早发现、早报告、早控制、早解决。
第七十六条 学校各部门和师生员工均有义务及时向校园网络管理中心报告网络安全事件,不得在未经授权情况下对外公布、尝试或利用所发现的安全漏洞和安全问题。
第十三章 网络安全教育培训
第七十七条 党委宣传部负责统筹学校网络安全宣传和教育培训工作,建立健全相关制度。
第七十八条 党委宣传部定期组织开展针对师生员工的网络安全教育,提高师生员工的网络安全和防范意识。
第七十九条 党委宣传部和校园网络管理中心定期开展针对网络安全管理人员和技术人员的专业技能培训,提高网络安全工作人员的能力和水平。
第十四章 网络安全检查监督
第八十条 学校各部门定期对本部门信息系统的安全状况、安全保护制度及措施的落实情况进行自查,并配合有关部门的网络安全检查、信息内容检查、保密检查与审批等工作。
第八十一条 校园网络管理中心联合党委宣传部对学校各部门的网络安全工作落实情况进行检查,对发现的问题下达限期整改通知书,责成相关部门制订整改方案并落实到位。
第八十二条 校园网络管理中心对年度网络安全情况进行全面总结,按照要求完成检查报告并上报学校网络安全领导小组。
第十五章 网络安全责任追究
第八十三条 学校建立网络安全责任追究和倒查机制。
第八十四条 有关部门在收到网络安全限期整改通知书后,整改不力的,学校给予通报批评;玩忽职守、失职渎职造成严重后果的,依纪依法追究相关人员的责任。
第八十五条 学校各部门应按照网络安全事件报告与处置流程及时、如实地报告和妥善处置网络安全事件。如有瞒报、缓报、处置和整改不力等情况,学校将对相关部门责任人进行约谈或通报。
第八十六条 师生员工违反本制度规定的,由校园网络管理中心责令改正;拒不改正或导致危害网络安全等严重后果的,根据学校有关规定给予通报批评或纪律处分。触犯刑律的,移交司法机关处理。
第十六章 附则
第八十七条 涉及国家秘密的信息系统,执行国家保密工作的相关规定和标准,由学校保密办公室监督指导。
第八十八条 学校各部门可参照本制度制订本部门的实施细则。
第八十九条 本制度自发布之日起实施,由网络安全领导小组负责解释。学校原有相关规定与本制度不一致的,按本制度执行。
天津体育学院校园网络管理中心& 版权所有