中央民族大学网络与信息安全管理办法
一、总则
第一条 为全面加强我校网络与信息安全管理,保证我校网络与信息系统持续稳定可靠运行,保证我校信息内容的保密和完整,防范各种网络攻击和破坏行为,根据国家有关法律法规和学校相关规定,特制订本办法。
第二条 网络与信息安全包括支持我校教学、科研、管理和服务工作的各类管理信息系统、业务应用系统、媒体资源系统、网站以及网络基础设施等所涉及的硬件、软件和信息的安全。
第三条 本管理办法适用于我校所有网络与信息系统及相关信息。
二、机构与职责
第四条 学校成立网络安全与信息化建设领导小组,党委书记和校长任组长,网络安全与信息化工作分管校领导任副组长,成员由相关部门负责人组成。领导小组办公室设在信息化建设管理处。
网络安全与信息化建设领导小组为我校网络信息安全和信息化建设领导决策机构,全面领导我校网络与信息安全和信息化建设工作。
第五条 信息化建设管理处为我校网络与信息安全执行部门,负责学校信息化建设,学校各种信息化基础设施和业务系统的日常运行及技术支持与服务,保障学校网络技术和信息安全等工作。
第六条 学校各单位(含各部门、院、系、所和中心)负责本单位各类网络信息系统的安全。各单位主管领导为网络安全第一责任人,主抓本单位网络信息系统的安全工作,同时要选派技术能力可以胜任的专人负责具体网络安全工作。
第七条 网络安全由信息化建设管理处总体负责,包括网络基础设计及各种应用平台的软件与硬件系统安全。学校各单位具体负责本单位自建系统的网络安全。
第八条 信息安全由信息化建设管理处总体负责,包括网络与信息系统中的系统信息、业务信息和个人信息安全。学校各单位具体负责本单位自建系统的信息安全。
第九条 信息发布由党委宣传部负责管理和监督。学校层面信息由党委宣传部统一发布。学校各单位可以引用,但不得代表学校直接上网发布学校层面信息。党委宣传部负责对校内各网站和论坛(BBS)等相关系统的内容进行审核和舆情监控。学校各单位需设置专人负责本单位信息发布工作,并严格控制发布权限;各单位主要负责人对本单位发布的信息负责。
三、安全管理
第十条 设计安全
(一)网络信息系统的规划与设计必须满足安全运行和信息保密的需要。
(二)网络信息系统建设过程中,必须同步设计和实施网络与信息安全系统。
(三)学校各单位建设的网络信息系统需要在设计阶段就设计安全向信息化建设管理处出具书面说明,信息化建设管理处需要给出书面意见。
第十一条 系统安全
(一)信息化建设管理处对全校系统安全负总责,提供学校级别总体系统安全保障,并对全校信息系统定期进行安全检查。
(二)学校各单位对其建设、管理和应用的网络信息系统安全负责,提供相关安全保障措施,并定期自查。学校各单位系统上线前必须经过系统化安全检测。
(三)网络信息系统所采用的网络和信息安全产品,必须有国家认可的相关机构的测评认证,并履行相关的审批手续。
(四)网络信息系统相关的网络设备、服务器设备、网络操作系统、数据库管理系统在安装调试完毕后,必须有准确无误的系统安装、配置文档。学校各单位负责管理相关文档,并提交信息化建设管理处进行备案。
(五)学校各单位应对本单位网络信息系统的技术文档、资料、程序代码等进行集中管理,资料的内部借阅和使用要履行审批手续,并做好借阅和使用记录。
(六)学校各单位应定期修改本单位网络设备和系统的系统口令和管理口令,在修改和调整网络设备和系统的各类配置后,要及时、准确地做好操作记录,并妥善保管文档, 同时将更新文档提交信息化建设管理处进行备案。
(七)学校各单位应定期检查本单位设备和系统的漏洞,及时升级系统和安装补丁程序,消除系统和设备的潜在安全隐患。
第十二条 应用安全
(一)信息化建设管理处负责统一管理和分配学校网络资源,包括IP地址、域名、存储空间、虚拟服务器等。
(二)学校各单位使用网络资源需要向信息化建设管理处提出申请并备案,未经授权不得私自占用相关资源。
(三)学校各单位应确保本单位系统的用户访问权限分配合理,用户账号和口令设置安全,并具有可管理性。
(四)全校师生员工不得进行任何干扰网络运行和使用的行为,包括但不限于:私自修改网络配置参数,非法访问和盗用网络系统的信息资源,利用黑客工具和其他专用工具软件对网络系统进行攻击,其他干扰网络运行的行为,国家法律、学校规章禁止的行为等。
第十三条 数据安全
(一)信息化建设管理处负责制订全校数据安全的标准和规范。
(二)学校各单位负责本单位网络信息系统的数据安全,具体包括数据的存储安全和使用安全,保证数据的完整性、机密性和可用性。
(三)学校各单位要对本单位网络信息系统建立一套完善的数据备份和数据恢复整体方案。重要数据至少采用两种以上不同的数据备份方法和技术手段,对数据进行妥善备份。
(四)学校各单位要根据自身数据的保密规定和用途,确定使用人员的存取权限、存取方式和审批手续。使用重要数据时,应严格按国家保密规定控制转借或复制。
第十四条 内容安全
(一)涉密信息系统计算机禁止与互联网或其他公共信息网络连接。
(二)禁止使用互联网(包括但不限于邮箱、即时通信工具、社交网络工具等)处理、传递、转发涉密或敏感信息。
(三)学校各单位通过网络信息系统向网络发布信息时,应确保信息的真实有效,并采取身份鉴别、访问控制等防护技术措施。
(四)学校各单位的网络信息发布工作应由该单位主管领导分管,专人负责执行,并做到先审查后发布。学校各单位主管领导对本单位所发布的内容负责。
(五)全校师生员工应当遵守各种相关法律法规,不得制作、复制、发布和传播违反相关法律法规的内容。
第十五条 防病毒安全
(一)信息化建设管理处负责提供全校层面的病毒防范措施。
(二)学校各单位所属网络信息系统要具备防病毒能力,保证网络杀毒软件的及时自动更新,及时检查和跟踪网络杀毒软件的运行效果。
第十六条 安全培训
(一)信息化建设管理处定期开展网络安全培训,通过普及网络信息系统安全知识,提高安全防范意识。
(二)全校各单位要积极参加网络安全培训,并对本单位教职工和学生进行网络安全知识宣传,提高网络安全防护水平。
第十七条 责任追究
(一)对存在网络安全隐患和安全漏洞的网络信息系统,信息化建设管理处将对其进行关停,并责令其限期整改。
(二)对于违反本管理办法的学校各单位和个人,信息化建设管理处将协同学校有关部门共同查处,并由相关部门根据国家和学校相关规定做出处罚决定。
四、附则
第十八条 本管理办法由信息化建设管理处负责解释。
第十九条 本管理办法自公布之日起执行。
中央民族大学
2016年3月