《职业技术学院网络安全管理规定.docx》由会员分享,可在线阅读,更多相关《职业技术学院网络安全管理规定.docx(11页珍藏版)》请在三一办公上搜索。
1、职业技术学院网络安全管理规定第一章总则第一条落实网络安全主体责任,切实加强学院网络安全管理工作,维护学院和师生的利益,根据网络安全法、职业院校数字校园规范等有关文件要求制定本规定。第二条学院网络安全管理的对象包括:隶属于学院及院属各单位的网络、网站、应用系统软件及其运转过程中使用和产生的数据和相关的软硬件系统。第三条网络安全管理工作主要包括:校园网络安全管理、网站安全管理、信息系统安全管理、非涉密数据安全管理、网络安全宣传教育、网络意识形态安全、舆情安全等七个方面。其中网络意识形态安全、舆情安全管理按照学院相关文件执行。第四条学院网络安全和信息化领导小组是学院网络安全工作的领导机构。学院实行“
2、统一领导、分级管理、分工负责”的网络安全管理机制,网络安全工作纳入学院年度考核工作。院属各党政管理机构负责人、各二级学院党总支负责人为本单位网络安全的第一责任人,需在年初与学院党委签署职业技术学院网络安全承诺书,严格落实网络安全事件责任追究。第五条网络安全管理工作在学院党委的统一领导下,实行两级管理。学院党委宣传部和网络安全与信息化处为一级管理单位,对学院网络安全进行统一管理。学院党委宣传部负责统筹对外信息内容安全工作、网络意识形态安全、舆情安全等工作,学院网络安全与信息化处负责统筹校园网络安全管理、网站安全管理、信息系统安全管理、数据安全管理等技术性工作和网络安全宣传教育工作,院属各单位为二
3、级管理单位,在一级管理单位的指导下开展网络安全工作。第二章管理机构及职责第六条一级管理单位职责(一)党委宣传部的职责1.监督、管理通过向校外公众发布的网络信息,制定对外网络信息发布工作规范,审核以学院名义对外发布的网络信息内容。2 .负责学院官方网站、微博、微信等网络信息发布平台的日常管理。3 .参与网络安全应急处置工作。4 .落实上级有关网络宣传、意识形态、舆情管理等有关工作要求。(二)网络安全与信息化处的职责1.进行学院网络安全工作的管理和监督,制定学院网络安全工作规范、网络安全应急预案和信息系统安全事件处置流程。2 .组织开展学院网络安全管理工作,包括:校园网络、数据中心、智慧校园平台、
4、院属各单位管理的信息系统等。3 .对院属各单位提供网络安全技术指导,组织开展网络安全培训、网络安全事件预警和应急处置工作。4 .落实上级有关网络安全管理和网络安全宣传的有关工作要求。5 .开展与执法部门的沟通协调和网络安全事件的处置工作。第七条二级管理单位职责(一)负责审核以本单位名义对外发布的网络信息的内容和质量,确保内容安全。(二)组织开展所管理的网络和信息系统的安全管理工作。(三)参与所管理的网络安全事件的处置工作。(四)接受一级管理单位的指导、监督和检查。第三章校园网络安全第八条学院网络安全工作由网络安全与信息化处统一管理,对在学院范围内开展互联网接入服务的运营商进行统一管理,开展与运
5、营商网络有关的网络安全协调处置工作。第九条院属各单位对部署于本单位范围内的学院校园网络设备、线路具有保护义务。未经学院同意,院属各单位和个人不得更改学院校园网络设备和线路;不得擅自铺设线路、开通互联网络;不得以代理、VPN等形式向校外单位和个人提供接入学院校园网络的渠道。第十条网络安全与信息化处在校园网络上开展下列安全保护工作,保障学院校园网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任。(二)采取防范计算机病毒和网络攻击、网络入侵等危害网络安全行为的技术措施。(三)采取记录、跟踪网络运行状态
6、,监测、记录网络安全事件的技术措施,并按照规定留存各种日志。(四)采取数据分类、重要数据备份和加密等措施。(五)对校园网用户实行实名制登记。(六)完成法律、行政法规、上级部门和学院规定的其他网络安全工作。第十一条任何单位和个人不得在校园网络上明文传输具有涉及国家机密的数据。具有涉密性质的专用网络应根据涉密有关规定采用专用安全设备与校园网络进行连接或隔离,并由学院保密管理委员会制定涉密管理规定进行涉密管理。第十二条在校园网络建设工程、网络运维服务实施过程中,采购部门需组织生产厂家、供货商、服务商在质保期、服务期内签订并履行职业技术学院网络安全责任书(见附件1),促使其采取对应措施协助保障学院校园
7、网络安全。第四章网站安全第十三条院属各党政管理机构负责人、各二级学院党总支负责人为本单位网站信息发布的第一责任人,需与学院签署职业技术学院网站安全责任书(见附件2)。按照工作要求需要指定一名本单位班子成员作为直接责任人,同时可确定一名管理员负责本单位的信息搜集、整理、制作和发布。开通或关闭网站、微博、微信平台之前需到党委宣传部和网络安全与信息化处履行登记备案手续;如实登记用途,不提供代理和涉嫌侵权的资源服务;一旦开通需做到及时更新、认真管理、保障质量。第十四条院属各单位应按照“统一规范、先审后上、保证质量”的要求严肃开展信息发布、转载和链接管理工作。在学院官方网站、官方微博、官方微信等平台上发
8、布的信息由党委宣传部审核后才可发布;不以学院名义在其他公共传播平台上擅自发布信息;不发布与学院、部门职责无关的信息内容和外部链接;无特殊需要,原则上不得出现非教育网外部链接;如因工作需要发布外部链接,需有党委宣传部进行内容审核,由主管领导审批后交党委宣传部、网络安全与信息化处备案。第十五条院属各单位网站安全建设、管理要求(一)院属各单位的网站应使用学院网站群系统开发、制作、发布,使用学院域名和1P地址,并使用学院服务器资源部署于学院数据中心内,以确保安全。特殊情况下须经学院领导审批后,并由党委宣传部和网络安全与信息化处审核后方可调整方案。(二)合理设置栏目并及时更新部门概况、职能职责、规章制度
9、、办事指南、工作通知、工作动态等内容;不得开设聊天室、论坛、留言板等开放式交互栏目,如因特殊情况开设,需经学院主要领导同意并在公安备案,同时安排专职人员管理并认真审核留言内容,严格过滤不良信息、积极引导网上舆论。(三)采用安全的信息发布技术,避免传播带毒文件;引用、转发外部资讯时做到严格审核,并注明来源。(四)妥善保管网站管理账户信息,使用包含数字、字母、符号的高强度的密码,并定期更新;对网站管理人员和用户加强网络安全意识教育和业务培训。(五)关注网站的安全状况,及时联系网络安全与信息化处处置各种安全问题,配合网络安全与信息化处网站安全工作。(六)严格进行网站维护管理,网站只能在校园网内部进行
10、运维管理,若需要远程运维或第三方单位(如网站开发单位)协助运维,需要采用VPN加密等安全方式接入,不得直接远程桌面或直接开放管理端口到互联网。第五章信息系统安全第十六条院属各单位负责人是信息系统安全第一责任人,院属各单位应安排专人负责所管系统的安全管理工作,应严格落实国家有关网络信息安全等级保护的要求,准确划分系统安全保护等级,由网络安全信息化处组织定期开展等级保护测评,按测评等级对信息系统开展网络安全保护工作。第十七条学院各类信息系统应统一部署于学院数据中心内,网络安全与信息化处依托校园网数据中心安全体系为信息系统提供运行安全和数据安全所需的基础环境,系统建设和使用单位负责系统的应用安全,并
11、接受网络安全与信息化处的测评、扫描,院属各单位应落实网络安全与信息化处和上级有关部门提出的网络安全整改意见。网络安全与信息化处可根据网络安全事件的性质和威胁程度直接采取封堵、隔离、强制下线等措施。如需要将系统部署于学院数据中心之外或使用公有云的情况,部署环境应满足等级保护测评要求,备案应为三级以上,并提供等级保护备案证明后方可由建设和使用单位负责提出部署方案,网络安全与信息化处负责指导并审定相关内容。第十八条院属各单位要根据学院组织机构和人员变动及时调整所辖业务系统,确保系统内机构和用户信息与真实情况一致,做到业务操作能审计、追溯。第十九条系统建设和使用单位确保做到不向无关人员授权、授权账号不
12、外泄、加强人员管理、定期开展安全检查,并配合网络安全与信息化处开展网络安全防范和处置工作。第二十条院属各单位需要对所管理的业务系统定期开展数据备份和系统备份,确保紧急情况下信息系统能够及时恢复。第二十一条在信息系统的建设、使用、维护、升级过程中,网络安全与信息化处和使用单位需组织参与信息系统建设维护的相关单位和人员签订并履行职业技术学院网络安全责任书(见附件1),促使对方落实学院信息系统安全有关要求。第六章非涉密数据安全第二十二条对不涉及国家秘密的具有工作保密或个人隐私性质的各类信息系统数据(以下简称保密数据),在数据所属单位的统一管理下实行使用人员(以下简称责任人)责任制。责任人包括本单位接
13、触相关数据的人员、系统维护厂家及其工作人员、因实际工作需要能接触本单位所管业务数据的其他单位工作人员。第二十三条责任人履行如下数据安全保密义务(一)责任人必须严格遵守本规定,合理、规范、安全地使用计算机、网络、数据和信息资源。责任人承诺在工作过程中,视所接触到的资料、数据和项目信息为数据安全保护内容,承担保密责任。(二)来源于职业技术学院的所有资料、数据和项目信息,包括但不限于教职工、学生个人身份信息、职业技术学院组织架构信息、教学、科研、管理、服务等相关业务信息。(三)责任人未经允许,不得访问、删除、修改、增加、复制、备份、摄录、摘抄、打印数据和资料,不擅自传播保密数据。(四)责任人必须妥善
14、保管数据和资料的存储介质(云盘、U盘、终端存储等),严防丢失,更不可交由其他人使用或作其它用途。(五)责任人未经允许,不得进行影响系统运行的操作,如关闭主机(设备)、关闭关键服务、查询大量数据、修改数据库、修改系统配置等。(六)责任人对自己所管理的账号,必须加强密码管理,要求管理员账号使用字符、数字、符号组合的复杂密码,长度不小于8位,口令30天定期更换。(七)存有保密数据的介质(硬盘、U盘、磁盘、闪存、光盘等)如需送到单位外维修时,报网络安全与信息化处评估,确需外修时,要将资料备份后,对介质进行技术处理(如低级格式化、写零处理等)。(八)责任人在承担项目工作完成以后,不得保留保密数据的副本,
15、一切关于保密数据的资料销毁或返还信息提供部门,保证信息不会外流;责任人承诺若中途不再从事项目有关工作,仍对保密数据承担保密责任。(九)若违反保密义务,一经发现,学院可视责任人行为严重程度进行处罚。后果严重者,学院将通过法律途径向责任人索赔,或向公安机关报案处理。(十)责任人的保密义务至保密数据公开或被公众知悉时终止。第二十四条院属各单位未经审批,不得向任何单位和个人提供学院信息系统涉及隐私数据,各业务数据的主管单位须与接触到本单位业务数据的项目内外责任人签订职业技术学院数据保密责任书(见附件3),并报网络安全与信息化处备案,监督对方落实学院的数据保密管理。确需工作需要提供学院涉及隐私的数据,需
16、报经学院主要领导批准后,填写职业技术学院数据提取审核登记表(见附件4)后方可提供。第二十五条涉及国家保密法和其他行政法律法规所规定情形应遵照对应法律法规执行。第七章应急处置第二十六条网络安全事件网络安全事件是指在校园网和信息系统上发生的服务器病毒感染、安全漏洞、网络攻击、系统侵入、数据篡改、数据泄密等事件。第二十七条处置机构及其职责网络安全与信息化处负责制定职业技术学院网络安全应急处置预案,并进行网络安全演练教育,组织网络安全应急演练,开展网络安全应急处置工作。网络安全应急处置工作应在学院网络安全和信息化领导小组的领导下开展工作。参与网络安全事件应急处置的单位包括:网络安全与信息化处、信息系统
17、建设使用单位、所涉系统厂商、集成商、用户,以及其他相关部门和工作人员等。(一)网络安全与信息化处负责网络信息安全事件应急处置的统筹工作;负责按照国家法律、上级主管部门有关要求,代表学院履行面向上级主管部门的信息安全事件报告与处置的具体工作。(二)信息系统建设使用单位负责业务应急处置,参与业务信息核实。(三)所涉系统厂商/集成商负责对所涉及的网络设备、安全设备、信息系统进行安全事件处置技术操作。(四)用户、其他相关部门根据安全事件的性质和影响,参与到安全事件的处置过程中。(五)学院网络安全和信息化领导小组负责检查、评估网络安全事件的处置情况,对重大事项进行决策。第二十八条处置过程(一)网络安全与信息化处做好日常网络安全事件预防和监测工作。院属各单位发现或疑似网络安全事件时,应及时与网络安全与信息化处联系。(二)发生网络安全事件时,网络安全与信息化处根据职业技术学院信息技术安全事件报告与处置流程和职业技术学院网络安全应急处置预案进行处置、整改、总结等。第八章其他第二十九条本规定由网络安全和信息化处负责解释,自印发之日起施行。
