第一章 总则
第一条为加强太原工业学院校园网络信息与系统的安全管理,有效防范、控制和抵御安全风险,增强安全预警、应急处置能力,形成网络信息系统安全保障体系,确保校园网络信息与系统的安全、正常运行,根据《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》等有关法律法规的规定,结合我院实际,特制定本办法。
第二条本办法所指的网络信息系统,是指由学校投资建设的,利用校园网及运行环境,提供校园网络应用及服务的软、硬件集成系统。包括由学校相关部门负责维护和管理的校园网主、辅节点设备,配套的网络线缆设施、网络服务器、工作站、网站、管理信息系统,以及各单位建设的校园网络、网站及应用系统等。
第三条学校范围内按照一定的应用目标和规划对信息进行采集、处理、存贮、传输和检索的校园网络终端均适用本规定。
第二章 管理体制
第四条学校成立校园网络与信息安全工作领导组,组长由党委书记、院长担任,副组长由分管党委宣传部、网络与信息中心的院领导担任,成员为各职能处室、教辅单位负责人,各党总支(直属党支部)书记,领导组下设办公室在党委宣传部。学校各单位成立相应的网络信息安全工作小组,组长由各单位党政负责人担任,并设兼职网络信息安全员。
第五条学校校园网络信息安全实行二级管理。党委宣传部和网络与信息中心在院党委和行政领导下,代表学校行驶管理和服务职能。直属学校管理的处级建制单位为二级管理组织。
第六条学校网络与信息安全管理工作实行责任制和责任追究制,各单位、各部门要按照“谁主管、谁负责,谁使用、谁负责,谁运营、谁负责”的原则切实落实网络信息安全责任。
第三章 管理职责
第七条 校园网络与信息安全工作领导组是学校网络信息安全工作的领导机构,负责对校园网络和信息安全工作实行全面领导、监督和检查,并接受上级单位和部门的指导和监督。具体职责:
1、负责学校网络信息系统安全管理的统筹、组织、协调和重大问题的决策。提出校园网络与信息安全管理工作的原则、任务和要求,制定工作计划,指导宣传教育。
2、负责制度建设,组织审核校内各单位所制定的网络安全管理制度和措施。
3、监督、检查各单位、各部门校园网络安全与信息管理责任的落实情况。
4、组织开展网络安全突发事件应急演练。
5、组织学校有关职能部门对校园网络安全事故的查处,协调校园网络安全管理工作中的有关问题。
第八条党委宣传部是学校网络信息安全的监督管理部门,在学校网络与信息安全工作领导组的指导下,会同党政办公室、党委学生工作部(学生处)、党委保卫部(保卫处)、院团委、网络与信息中心等部门及各单位网络信息安全工作小组,负责网络信息的审核、监控,完善规章制度,进行工作指导,保证校园网络信息安全。具体职责:
1、定期组织召开网络与信息安全工作领导组会议,研判网络信息安全工作形势,分析网络舆情,制定加强和改进网络信息安全工作的措施。
2、负责制度建设,建立完善校园网络信息安全领导体制和工作机制,加强校园网络信息安全和新媒体管理,实施监督检查和工作指导。
3、做好网络信息安全监控和网络舆情监控,在党委学生工作部(学生处)、院团委、保卫处等部门的配合下,加强网络值班巡视,制定有效措施,抓好工作落实。
4、在党委学生工作部(学生处)、院团委、网络与信息中心、保密办等有关部门的配合下,开展网络安全教育和保密教育,提高师生员工的网络安全意识和水平,形成全校共同参与促进网络安全的良好环境。
第九条网络与信息中心是校园网建设和运维管理的具体实施机构,负责校园网络系统建设、运行维护、技术支持、服务与应急保障等工作,确保校园网络系统的运行安全和信息安全。具体职责:
1、负责校园网络信息系统的安全管理工作,制定内部安全管理制度和操作规程,完善网络安全突发事件应急预案,并定期进行演练。
2、做好校园网络信息系统技术保障工作,按照国家网络系统建设标准,落实安全保护技术措施,开展综合治理、校园网安全认证、检测和风险评估、备案等工作,确保校园网建设符合安全要求。
3、开展网络信息系统日常维护和应急保障,提高校园网络安全性能。及时发布涉及网络及信息安全的通知公告,提供一定的系统安全保障方法及工具,对各单位网络安全工作小组和网络信息安全员提供网络安全维护方面的培训及技术指导,对系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全事件进行及时处置,并按照规定做好网络日志和档案记录。
4、做好本单位的安全及保密教育工作,做好用户信息的管理,保障数据与信息安全。
5、协助相关部门查处利用校园网进行各种违纪、违法行为。
第十条各单位网络安全工作小组负责本单位的网络安全管理工作,接受学校校园网络安全工作领导组的领导、监督和检查,维护本单位的网络及信息安全。具体职责:
1、负责本单位的网络安全管理工作,结合本单位实际,制定相关实施细则,建立健全网络安全管理各项措施,对本单位的上网人员进行网络安全和保密教育。
2、负责本单位信息设备的物理安全、系统安全及数据安全,随时监控运行状态等,发现安全隐患和有害信息后,应及时处置,并将情况上报学校校园网络与信息安全工作领导组。
3、负责本单位各类信息设备和系统的管理与维护工作,定期进行系统升级或补丁操作,及时进行漏洞扫描,并在网络与信息中心指导下做好系统安全及配置管理工作,防止信息泄露和非法攻击。
4、负责本单位网站的开发、管理与维护工作,定期进行信息更新,严格上网信息审核,确保网络意识形态安全。
5、负责学校各应用管理系统在本单位的推广与使用,配合学校有关部门开展系统培训,及时掌握系统使用方法及本单位系统维护方式。帮助本单位用户解决网络及计算机方面的日常使用问题。
6、协助有关部门查处利用校园网进行各种违法犯罪活动的案件。
7、涉密单位应根据《中华人民共和国保守国家秘密法》等有关法规,制定相应的保密制度,并采取相应的措施。
第四章 网络安全管理
第十一条所有连入校园网的用户单位必须按照学校《安全稳定责任书》的要求严格落实校园网络安全管理职责。各单位建立完善信息审核制度,指定分管领导对上网信息进行预审,坚持先审核后上网,并负相应的政治和法律责任。
第十二条各用户单位的党政领导要加强对本单位网站信息的检查监督,建立相应的信息管理制度,以高度的政治责任心做好本单位网站建设与信息管理工作,把握网络信息正确的舆论导向,及时删除有害信息,发现问题及时处理,保证信息的准确性、真实性和安全性。
第十三条校园网络用户要按照《中华人民共和国计算机信息网络国际联网管理暂行规定》、《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》等有关规定,切实保证网上信息与数据安全、准确和健康。要积极配合党委宣传部、网络与信息中心开展网络信息安全管理等各项工作。
第十四条加强网络管理员队伍建设。各单位要确定分管负责网络信息建设的领导和技术维护、管理人员,加强国家的法律法规和学校规章制度学习,切实提高网络信息管理人员综合素质和工作能力。
第十五条各单位应建立健全网络信息安全保护管理制度,提高网络、数据和信息安全等防范意识。网络与信息中心要经常检查网络安全保护管理以及技术措施的落实情况,对检查中发现的问题应提出改进意见,作出详细记录,存档备查。
第十六条网络安全极端重要,各单位要在师生中广泛开展网络信息安全教育活动,提倡文明上网,开展健康文明的网络文化活动,提高广大师生员工网络安全意识。
第五章 系统安全管理
第十七条校内信息系统实行登记备案制度。信息系统等级备案的信息包括但不限于:信息系统名称、主办/主管单位、责任人、技术管理员、服务器放置地、数据库类型、开发商、域名、IP地址、开放端口、运行有效期等。
第十八条校内单位建设的宣传类、门户类的网站应使用由网络与信息中心统一开发的网站群系统,减少网站安全漏洞,提升网站安全防护能力,确保网站风格统一。面向师生公开服务的信息系统原则上应使用学校统一的软硬件平台。
第十九条财务管理系统、校园一卡通管理系统等涉及校内资金管理流通的信息系统应搭建专用的软硬件平台和专用传输网络,实现与校园网的物理隔离,确保系统运行环境安全。
第二十条信息系统建设必须把系统安全作为重要指标,校级信息系统必须通过第三方安全评测机构/企业安全检测和专家论证后方可上线运行。二级单位网站或部门内部使用的信息系统必须通过网络中心安全检测后方可上线运行。
第二十一条信息系统发布信息实行信息审核制度。必须严格遵守国家有关法律法规,不得发布违反国家法律、扰乱社会稳定、影响学校声誉和违反学校相关规定的信息,不得利用网站散布病毒。未经学校批准,任何单位和个人不得通过校内网站从事经营性活动。
第二十二条托管在网络中心或放置在本单位提供互联网信息服务的服务器,应配备有专业计算机技术人员进行维护和安全管理,做好开启日志、防病毒、防黑客攻击的措施。信息系统责任人和技术管理人员要加强自己所使用的电脑终端的安全防范,及时安装防病毒软件和防火墙,避免电脑被植入木马病毒,进而影响网站的安全。
第二十三条加强信息系统的账号管理和权限管理。信息系统授权应采取最小化授权原则,不得授予超出工作内容范围的信息系统管理与操作权限。管理员账号不得交予他人登录系统。
第二十四条各单位应加强信息系统的运行维护和安全监控工作。发现重大隐患、黑客侵入痕迹等安全风险应立即向网络与信息中心报告,并在网络信息安全工作领导组的指导下妥善处理。
第二十五条网络与信息中心不定期利用扫描设备或委托第三方安全评测机构对校内信息系统安全性进行扫描检测,发现安全隐患较为严重的信息系统,对其主管单位提供安全检测报告和整改要求,不能达到整改要求的,网络中心可暂停信息系统运行。
第六章 数据安全管理
第二十六条网络数据资源是学校信息化工作的重要宝贵资源,网络信息系统上的数据处理和数据管理归口部门,要积极采取切实有效的方法和技术手段,保证校园网信息系统数据的安全,防止数据丢失、篡改和失窃,做到定期进行备份处理和转储。数据要由专人管理和保存。
第二十七条网络与信息中心是太原工业学院数据统筹管理的责任部门,负责学校统一数据平台建立及管理,根据全校应用系统的数据需求,规划数据库结构和内容,将各种异构数据源统一起来,对外提供统一的访问接口和数据服务。
第二十八条各单位要提高网络信息安全意识,加强信息安全保护措施。对网络信息系统上负担重要数据处理和管理的服务器、计算机要做到专人管理或按用户专管专用,并建立完整使用登记及技术档案。管理前台重要的工作主机要切实做到人离机停。
第二十九条涉及业务管理的网络服务器,必须使用可靠的防范技术,保证业务数据系统的安全可靠。
第三十条业务管理、档案信息等重要数据的输入、输出、存储、安全技术保管工作由主管单位负责。
第七章 信息安全管理
第三十一条校园网所有用户必须遵守《中华人民共和国计算机信息网络国际互联网络管理暂行规定》、国家有关法律法规和学校的有关管理规定,严格执行信息安全保密制度,并对所提供和发布的信息负责。
第三十二条任何单位和个人不得利用校园网制作、复制、传播和查阅下列信息:
(一)煽动抗拒、破坏宪法和法律、法规实施的;
(二)煽动颠覆国家政权,推翻社会主义制度的;
(三)煽动分裂国家、破坏国家统一的;
(四)煽动民族仇恨、民族歧视,破坏民族团结的;
(五)煽动非法集会、结社、游行、示威、聚众扰乱社会秩序的;
(六)捏造或者歪曲事实,散布谣言,扰乱社会秩序的;
(七)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;
(八)公然侮辱他人或者捏造事实诽谤他人的;
(九)损害国家荣誉和利益的;
(十)以非法民间组织名义组织活动的;
(十一)其他违反宪法和法律、行政法规的。
第三十三条学校党政办公室为学校信息公开的权威部门,学校信息公开工作要严格按照《太原工业学院信息公开实施细则》执行,未经批准,任何单位和个人不能擅自发布学校信息。
第三十四条各单位要按照国家及学校有关规定,严格信息发布审核制度,未经审核的信息内容不得发布。凡涉及国家机密的信息严禁上网。
第三十五条校园网用户必须自觉配合国家和学校有关部门依法进行的监督、检查。用户若发现违法有害信息,有义务向学校有关部门报告。
第三十六条党委宣传部负责对学校信息内容进行监督、检查。对于不良有害信息,应在第一时间联系相关部门进行处理。涉及违法犯罪行为的,应立即向公安机关报案。
第八章违纪管理
第三十七条对违反本管理规定的用户,视情节轻重采用以下其中一种或多种处理措施:
(一)限期整改;
(二)封账号或端口至安全问题排除;
(三)报学校网络与信息安全工作领导组研究处理;
(四)根据情节轻重给予相应处罚或处分,情节严重触犯法律法规的,移交司法机关处理,造成财产损失的,应依法承担民事责任。
第九章 网络信息安全目标管理考核
第三十八条学校建立网络信息安全目标管理考核制度,对各单位网站建设与信息安全工作进行年度检查考核,并将考核结果作为单位年终考核评比的依据。对于在检查中发现的问题,学校校园网络与信息安全工作领导组将在一定范围内进行通报,并责令限期改正。
附 则
第三十九条学校根据校园网络运行的实际情况并结合上级有关规定,适时对本办法予以修订。
第四十条本办法自发布之日起执行。