山东商务职业学院网络信息安全管理制度
第一章 总则
第一条 为了保障山东商务职业学院校园网络及信息系统的安全稳定、促进学校信息化健康发展,根据国家相关法律法规并结合我校实际情况,制定本办法。
第二条 网络信息安全,是指由学校建设、运行、维护或管理的校园网、信息系统的安全。
本办法适用于使用校园网及使用学校信息系统的任何用户,本办法所指学校各部门包括学校各个部门等。
第三条 网络信息安全管理的基本原则是“谁主管、谁负责,谁运营、谁负责”,学校各部门、全体师生员工应依照本办法要求及相关标准规范履行网络信息安全的义务和责任。
第二章 组织机构与职责
第四条 网络信息中心是学校网络信息安全归口管理、技术支撑部门,负责统筹学校网络信息安全工作。具体职责包括:
(一)制定网络信息安全总体规划,并组织实施;
(二)拟定网络信息安全管理规章制度,组织开展网络安全等级保护工作;
(三)负责学校网络信息安全防护系统的建设、运行维护、技术指导和服务支持;
(四)负责网络信息安全应急管理,协调处理与政府网络信息安全管理部门的关系;
(五)组织网络信息安全宣传和教育培训工作;
(六)负责网络信息安全监督检查工作;
(七)学校网络信息安全的其他工作。
第五条 学校各部门负责本部门网站及应用系统的建设、管理及安全运维。各部门应设一名网络信息安全管理员,负责本部门网络信息安全保护措施的落实,对上网人员进行网络信息安全教育和培训,与网络信息中心协同配合,共同做好本部门网络安全运行、管理和维护工作。
第三章 校园网络安全
第六条 校园网络是指连接学校各部门信息系统及信息终端的计算机网络,包括校园有线网络、无线网络和各种虚拟专网。
第七条 各部门网站或信息系统在上线前,由网络信息中心开展安全检查工作,提交检查报告并备案。
第八条 学校师生接入校园网络,将实行“实名注册、认证上网”制度,任何部门和个人不得窃取或盗用他人的用户名、口令、IP地址和MAC地址等;学校非涉密信息系统接入校园网络,实行接入审批和备案登记制度,涉密信息系统不得接入校园网络。
第九条 校园内从事的施工、建设,不得危害计算机网络系统的安全稳定。
第四章 信息系统及其数据安全
第十条 信息系统数据收集应遵循“最少够用”原则,不得收集与信息系统业务服务无关的个人信息。按照“谁收集,谁负责”的原则,收集个人信息的部门是个人信息保护的责任主体,应当对其收集的个人信息严格保密,并建立健全相关保护制度。
第十一条 各部门原则上应依托校园网开展信息系统建设。涉及学校隐私数据、师生员工个人信息或敏感信息,在任何网站都不得出现,特殊情况下须对数据进行脱敏处理后可上传。
第十二条 加强信息系统和重要敏感数据的保护,杜绝默认口令、弱口令和通用口令,强制更换简单或长期未更换的口令,防暴力破解。
第五章 互联网网站安全
第十三条 网络信息中心统一建设学校网站集群平台并负责纳入该平台网站的技术安全。未纳入学校网站集群平台的网站,其技术安全由网站开办部门负责。互联网网站运行维护部门应建立网站值守制度,制订应急处置流程,组织专人对网站进行监测,发现网站运行异常及时处置。
第十四条 学校各部门开办互联网网站应优先选择学校网站群平台,站群平台不能满足需求时可委托其他供应商管理。网站投入试运行后,通过网络信息中心组织的安全检查并备案(见附件1)后方可正式上线。
第十五条 网络信息中心应定期对网站及信息系统开展安全巡检,并做好巡检记录,填写巡检记录表(见附件2),对校内开放的网站或信息系统,要求进行定期巡检。网络信息中心有义务保证学院主网及站群内的网站的安全性。
第六章 电子邮件安全
第十六条 网络信息中心为学校各部门和师生员工提供电子邮箱服务,并负责学校电子邮件的安全管理。学校各部门和师生员工使用学校电子邮箱应遵守学校电子邮箱管理等相关规章制度。
第十七条 网络信息中心应采取必要的技术和管理措施,加强电子邮件系统安全防护,减少垃圾邮件、病毒邮件侵袭。
第十八条 全校师生员工须对使用其电子邮件账号开展的所有活动负责,应妥善保管本人使用的电子邮箱账号和密码,确保密码具有一定强度并定期更换。师生员工如发现他人未经许可使用其电子邮箱,应立即通知网络信息中心处理。
第七章 终端计算机安全
第十九条 终端计算机是指由学校师生员工使用并从事学校教学、科研、管理等活动的各类计算机及附属设备,包括台式电脑、笔记本电脑及其他移动终端。
第二十条 终端计算机使用人按照“谁使用,谁负责”的原则,对其终端负有保管和安全使用的责任。网络与信息中心对终端计算机的安全管理提供技术支持和指导。
第二十一条 终端计算机使用人应做好数据日常管理和保护,定期进行数据备份,非涉密计算机不得存储和处理涉密信息。
第二十二条 终端使用人应做好终端计算机的安全防范,如发现终端计算机出现可能由病毒或攻击导致的异常系统行为或其他安全问题,应立即断网后进行处置。
第八章 存储设备安全
第二十三条 存储设备是指存储数据的载体,主要包括硬盘、存储阵列等不可移动存储设备,以及移动硬盘、U盘等等可移动存储设备。
第二十四条 原则上,存储阵列等大容量存储设备应托管在学校数据中心,并由网络信息中心统一运行、维护和管理。网络信息中心应采取必要技术措施防范数据泄漏风险,确保存储数据安全。
第二十五条 学校各部门应建立移动存储设备管理制度,记录存储设备领用、交回、维修、报废、损毁等情况。存储设备使用人按照“谁使用,谁负责”的原则,对其移动存储设备负有保管和安全使用的责任。
第二十六条 非涉密移动存储设备不得用于存储涉密信息,不得在涉密计算机上使用。
第二十七条 移动存储设备在接入终端计算机和信息系统前,应当查杀病毒、木马等恶意代码。
第二十八条 存储设备使用人应注意存储设备的内容管理,对送出维修或申请报废的设备应事先清除敏感信息。
第二十九条 网络信息中心应配备必要的电子信息消除和销毁设备。存储设备履行必要的审批程序后,可由网络信息中心协助销毁。
第九章 网络信息安全应急管理
第三十条 网络信息中心负责学校网络信息安全应急工作的统筹管理,制定学校网络信息安全事件报告与处置流程,以及安全应急工作的技术支撑和保障。
第三十一条 网络信息中心定期组织网络信息安全应急演练,评估并适时组织网络信息安全应急预案修订。学校各部门应组织开展网络信息安全应急预案的宣传、教育和培训,确保相关人员熟悉应急预案。
第三十二条 网络信息中心负责组建学校信息安全应急队伍,完善24 小时应急值守制度,提高信息安全事件的预防、预警和应对能力,预防和减轻信息安全事件造成的损失和危害。
第三十三条 学校各部门应按照学校网络信息安全事件报告与处置流程,做好事发紧急报告与处置、事中情况报告与处置和事后整改报告与处置工作。做到安全事件早发现、早报告、早控制、早解决。
第三十四条 学校各部门及师生员工均有义务及时向网络信息中心报告信息安全事件,不得在未授权情况下对外公布或尝试利用所发现的安全漏洞。
第十章 网络信息安全教育培训
第三十五条 网络信息中心负责组织学校网络信息安全宣传和教育培训工作,建立健全相关制度;
第三十六条 网络信息中心定期组织开展针对师生员工的网络信息安全教育,提高师生员工的安全和防范意识。
第三十七条 网络信息中心定期开展针对网络信息安全管理人员和技术人员的专业技能培训,提高网络信息安全工作能力和水平。
第十一章 网络信息安全检查监督
第三十八条 学校各部门定期对本部门信息系统的安全状况、安全保护制度及措施的落实情况进行自查,并配合有关部门的网络信息安全检查、信息内容检查、保密检查与审批等工作。
第三十九条 网络信息中心对学校各部门的网络信息安全工作落实情况进行检查,对发现的问题下达限期整改通知书,责成相关部门制订整改方案并落实到位。
第四十条 网络信息中心对年度安全检查情况进行全面总结,按照要求完成检查报告并报学院网络安全及信息化工作领导小组。
第十二章 网络信息安全责任追究
第四十一条 学校建立网络信息安全责任追究和倒查机制。
第四十二条 有关部门在收到网络信息安全限期整改通知书后,整改不力的,学校给予通报批评;玩忽职守、失职渎职造成严重后果的,依纪依法追究相关人员的责任。
第四十三条 学校各部门应按照网络信息安全事件报告与处置流程及时、如实报告和妥善处置网络信息安全事件。如有瞒报、缓报、处置和整改不力等情况,学校将对相关部门责任人进行约谈或通报。
第四十四条 师生员工违反本办法规定的,由网络信息中心责令改正,并通报批评;拒不改正或者导致危害网络信息安全等严重后果的,根据学校有关规定给予以纪律处分。触犯法律的,移交司法机关处理。
第十三章 其它
第四十五条 涉及国家秘密的信息系统,执行国家保密工作的相关规定和标准,由学校办公室监督指导。
第四十六条 本办法在实施中若与国家有关法律、法规有不一致的,以国家法律、法规为准。
第四十七条 本办法自下发之日起实施,由网络信息中心负责解释。
山东商务职业学院网络中心
2018年 3月 22日