第一条 为贯彻落实《中华人民共和国网络安全法》等法规,完善学校网络与信息安全管理体系,提升校园网络与信息安全整体水平,保障校园网络与信息系统安全稳定运行,特制定本办法。
第二条 学校网络与信息安全,包括校园计算机网络(以下简称校园网络)与信息系统(含网站,下同)的运行安全和信息内容的安全。信息系统包括各类业务系统、网站系统、移动App、基于微信等公众平台开发的程序等。
第三条 学校网络与信息安全管理以“谁主管谁负责,谁运营谁负责,谁使用谁负责”为原则,落实网络与信息安全分级责任制。网络与信息系统的主办单位承担安全监管责任,包括内容安全监管、技术安全保障和监督检查等职责;网络与信息系统的使用单位和个人对系统操作与信息内容的安全监管承担直接责任。网络与信息系统通过外包服务方式进行维护的,主办单位负责督促外包服务单位做好安全运维工作, 网络与信息系统的安全监管责任主体仍为主办单位。
第二章 管理体制与职责
第四条 学校网络安全和信息化领导小组负责学校网络与信息安全的组织领导和统筹协调工作,具体包括:确定学校网络与信息安全工作的政策方针,提出学校网络与信息安全工作的任务和要求,审定学校网络与信息安全的计划、方案和规章制度,组织查处学校网络与信息安全事件等。
第五条 信息化建设与管理中心(以下简称“信息中心”),为学校网络安全和信息化建设的管理部门,负责统筹学校网络与信息安全防护体系的建设、运行维护、技术指导和服务支持。
第六条 宣传部负责校园网站和学校官方新媒体平台(包括QQ校园号、微信公众号、微博、App等)的内容安全监管,负责审批二级单位主办的新媒体平台的开办审核和监管,负责网络舆情信息的监控和管理,开展网上疏导和正面宣传,做好对外宣传工作。
第七条 安全保卫处负责对网络违规行为进行调查、取证、处理,根据相关证据及事态影响或破坏程度,对违规者按照有关规定进行处理,协助公安等部门做好有关工作。
第八条 各学院(部)、部门(以下统称各二级单位)负责本单位及下属单位的网络安全及信息系统安全,做好本单位师生网络与信息安全教育,做好网络与信息安全岗位人员调岗或离职时涉及的网络与信息系统数据的交接和清理工作,及时向信息中心报告网络与信息安全的隐患或事件。
第三章 网络安全
第九条 校园网络接入互联网由信息中心统一管理,采取安全审计、病毒防护、入侵检测、访问控制和物理防护等多重安全防护技术和措施。
第十条 校园网络实行按需接入,采取实名管理。任何单位和个人不得私自与校外单位联网,不得私自发展校外用户。
第十一条 校内办公、教学和生活等区域接入校园网前,使用单位或个人应主动联系信息中心勘察入网环境,并按照信息中心提出的要求,开展本单位入网区域的弱电施工、IP地址申请和管理等工作,并保证接入设备的物理安全。
第四章 信息系统安全
第十二条 学校各信息系统实行安全等级保护制度,信息系统上线前,需开展安全自查工作,并填写《滁州学院信息系统备案表》和《滁州学院信息系统安全责任书》,交信息中心备案。信息中心对信息系统开展安全检测,检测通过后方可上线运行。
第十三条 各二级单位原则上应依托校园网开展服务师生的信息系统建设,应到信息中心办理备案和审核手续。需要在校外开办服务信息系统的单位或个人、且信息系统中以“滁州学院”或“滁州学院”校内单位为主办单位的,也应到信息中心办理备案和审核手续。部署在校外的网络和信息系统,安全监管责任主体仍为主办单位。
第十四条 信息系统的主办单位,按照国家标准《信息安全技术网络安全等级保护基本要求》的规定,落实安全管理制度和操作规程,每季度至少开展一次检查工作并填写《滁州学院信息系统日常检查登记表》,具体包括:
1.查杀病毒,清除木马、后门等恶意程序,升级系统补丁;
2.检查系统重要数据的备份和加密情况;
3.及时清除无关网页和暗链;
4.检查用户账号是否实名认证,且仅具有符合用户角色的最小权限;清理不必要的用户帐号,不使用默认账号;杜绝空口令、弱口令和默认口令;定期更改口令;
5.检查 SQL注入和跨站脚本等安全漏洞;
6.检查服务器安全策略,关闭不必要的端口和服务;
7.检查信息系统的日志留存情况,一般不少于六个月;
8.执行信息中心提出的整改意见。
第十五条 网站群系统的安全管理具体按照《滁州学院网站群管理办法》执行。
第五章 预警与应急处置
第十六条 校园网内发生网络与信息安全事件,应立即按照《滁州学院网络与信息安全突发事件应急预案》进行处置。
第十七条 信息中心应定期组织开展网络与信息安全突发事件应急演练,并进行相关培训,帮助二级单位熟悉网络与信息安全突发事件的应急处置措施,提升二级单位的网络安全防护能力。
第十八条 信息中心根据国家和地方网络安全部门发布的安全预警信息,及时发布网络与信息安全监测预警信息。各二级单位应按照预警信息,及时做好相应处置工作。
第六章 附则
第十九条 出现以下情况,学校将对二级单位及相关人员采取通报批评、约谈、处分等处理措施,并取消当年度的信息化建设先进单位评选资格,直接责任人取消年度任何评优资格。对触犯法律的,将移送公安司法机关处理。
1.未能落实网络与信息安全管理相关制度、漠视网络与信息安全工作,造成重大事故或案件;
2.损坏校园网络系统或信息系统设备设施;
3.无视信息中心的整改意见、逾期未能整改。
第二十条 对于涉及国家机密的网络系统或信息系统,按照国家保密工作部门的相关规定和标准进行保护,接受学校相关保密单位的监督和指导。
第二十一条 本条例自发布之日起施行,由信息中心负责解释。