第一章 总 则
第一条 为保证我校计算机网络及信息系统的正常运行和安全保障,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国网络安全法》和国家有关法律规定,结合我校信息网络系统建设的实际情况,特制定本规定。
第二条 各部门应按照此规定实行。
第三条 本规定所指的信息网络系统,是指由计算机(包括相关和配套设备)为终端设备,利用计算机、通信、网络等技术进行信息采集、处理、存储和传输的设备、技术、管理的组合。
第四条 本规定适用于我校所属的网络系统和单机电脑
第五条 信息网络系统安全的含义是通过各种计算机、网络、密码技术和信息安全技术,在实现网络系统安全的基础上,保护信息在传输、交换和存储过程中的机密性、完整性和真实性。
第二章 网络安全管理
第六条 校园网络与信息系统,是指由学校投资建设的,提供校园网络应用及服务的软、硬件集成系统,包括由学校相关部门负责维护和管理的校园网络主、辅节点设备,配套的网络线缆设施及网络服务器、工作站、网站、各管理信息系统等,以及学校各部门建设的校园网络、网站及应用系统等。
第七条 我校校园网络系统安全保护管理实行工作责任制和责任追究制,我校网络与信息安全管理工作按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则切实落实网络与信息安全责任。信息中心承担学校的安全管理和监督、技术安全保障。网络与信息系统的使用部门和个人承担系统操作与信息内容的直接安全责任。
学校成立网络与信息系统安全领导小组,负责全校网络与信息系统的安全保护管理工作。各部门主管网络信息工作的领导为本部门的网络与信息系统安全责任人,有信息系统的需指定专人作为信息系统管理员,负责本部门信息网络安全保护管理工作,并报学校网络与信息系统安全领导小组办公室登记备案。
第八条 新建的网络与信息系统,其建设管理部门应当在系统设计规划和投入运行阶段分别到信息中心办理备案手续,符合相关规定方可联入校园网络。已运行的网络信息系统,其建设管理部门应当在本办法施行后办理备案手续。
第九条 信息系统建设管理部门应当建立信息系统安全状况日常检测工作制度,应当按照国家有关管理规范和技术标准,定期对信息系统安全状况进行自查,学校管理部门将定期进行检查。对于计算机信息系统安全状况未达到要求的,建设管理部门应当制定方案进行整改。
第十条 信息系统建设管理部门应当落实以下安全保护技术措施:
(一)系统重要数据管理、备份、容灾恢复措施;
(二)计算机病毒等破坏性程序的防治措施,防范网络入侵、攻击破坏等危害网络安全行为的措施;
(三)系统运行和用户使用日志备份并保存90日以上的措施;
(四)密钥、密码安全管理措施;
第十一条 信息系统建设管理部门应当制定重大突发事件应急处置预案。发生重大突发事件时,应当按照应急处置预案的要求采取相应的处置措施。
第十二条 任何部门或者个人不得从事下列危害网络与信息系统安全的行为:
(一)擅自进入、使用他人计算机信息网络;
(二)擅自增加、修改、删除、复制、利用他人计算机信息网络的数据;
(三)擅自增加、修改、删除、干扰、利用他人计算机信息网络的功能;
(四)破坏计算机信息网络运行环境、设备设施;
(五)窃取、盗用、篡改、破坏他人网络资源;
(六)故意制作、传播、使用计算机病毒、恶意软件等破坏性程序,或者制作、发布、复制、传播含破坏性程序或其机理、源程序的信息;
(七)故意阻塞、阻碍、中断计算机信息网络的信息传输,恶意占用网络资源;
(八)利用网络大量或者多次发送电子邮件、短信息等,干扰他人正常生活秩序或者网络秩序;
(九)利用网络违背他人意愿、冒用他人名义发布信息;
(十)明知本部门或本人的网络地址、主机空间等资源已被他人利用,从事可能危害网络信息安全的活动而不予制止;
(十一)擅自利用网络收集、使用、提供、买卖学校公共数据和他人专有信息;
(十二)其他危害网络与信息系统安全的行为。
第十三条 任何部门或者个人不得利用网络制作、发布、传播含有下列内容的信息:
(一)反对宪法基本原则的;
(二)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
(三)损害国家荣誉和利益的;
(四)煽动民族仇恨、民族歧视,破坏民族团结,或者侵害民族风俗习惯的;
(五)破坏国家宗教政策,宣扬邪教、封建迷信的;
(六)散布谣言,扰乱社会秩序,破坏社会稳定的;
(七)鼓动公众恶意评论他人、公开发布他人隐私或者通过暗示、影射等方式对他人进行人身攻击的;
(八)公然侮辱他人或者捏造事实诽谤他人的;
(九)以非法社团名义活动的;
(十)买卖法律、法规禁止流通的物品的;
(十一)非法买卖法律、法规限制流通的物品,对公共安全构成威胁的;
(十二)含有淫秽、色情、赌博、暴力、欺诈等内容,或者教唆犯罪、传授犯罪方法的;
(十三)含有法律、法规禁止的其他内容的。
第十四条 学校管理部门对违反本办法的可根据情况作以下处理:
(一)警告、勒令改正;
(二)关闭信息系统;
(三)给予相应的行政和纪律处分;
(四)对情节严重的,学校向公安部门报告,追究其法律责任。
第三章 防病毒管理规定
第十五条 凡在本网站所辖计算机进行操作、运行、管理、维护、使用计算机系统以及购置,维修计算机及其软件的部门,必须遵守本办法。
第十六条 本规定所称计算机病毒,是指编制或者在计算机程序中插入的破坏计算机系统功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
第十七条 任何工作人员不得制作和传播计算机病毒。
第十八条 任何工作人员不得有下列传播计算机病毒的行为:
(一)故意输入计算机病毒,危害计算机信息系统安全。
(二)向计算机应用部门提供含有计算机病毒的文件、软件、媒体。
(三)购置和使用含有计算机病毒的媒体。
第十九条 预防和控制计算机病毒的安全管理工作,由信息中心负责实施牵头,各部门积极落实主体职责;
(一)制定计算机病毒防治管理制度和技术规程,并检查执行情况;
(二)对网站计算机信息系统应用和使用人员进行计算机病毒防治教育和培训;
(三)及时检测、清除计算机系统中的计算机病毒,并做好检测、清除的记录;
(四)购置和使用具有计算机信息系统安全专用产品销售许可证的计算机病毒防治产品;
(五)向公安机关报告发现的计算机病毒,并协助公安机关追查计算机病毒的来源。
(六)对因计算机病毒引起的计算机信息系统瘫痪,程序和数据严重破坏等重大事故及时向公安机关报告人,并保护现场。
(七)计算机信息系统应用部门应建立计算机运行记录制度,未经审定的任何程序,指令或数据,不得输入计算机系统运行。
(八)各级部门应对引起的计算机及其软件进行计算机病毒检测,发现染有计算机病毒的,应采取措施加以消除,在未消除病毒之前不准投入使用。
(九)通过网络进行电子邮件或文件传输,应及时对传输媒体进行病毒检测,接收到邮件时也要及时进行病毒检测,以防止计算机病毒的传播。
第二十条 任何部门和个人不得从事下列活动:
(一)收集、研究有害数据;
(二)故意制作、传播、使用计算机病毒、恶意软件等破坏性程序,或者制作、发布、复制、传播含破坏性程序或其机理、源程序的信息;
(三)使用未安装反病毒软件的设备连接校园网。
第二十一条 凡未按以上预防计算机病毒步骤执行而造成机器感染病毒并传播者,按照学校及相关法律法规进行处罚。
第二十二条 积极接受公安机关对计算机病毒防治管理工作的监督,检查和指导。
第四章 介质安全管理制度
第二十三条 加强对存储涉密信息电脑与移动存储介质(包括U盘、移动硬盘、光盘等)的安全管理,增强使用人的防范意识,防止因使用电脑与移动存储介质不当造成信息泄露和病毒感染。
第二十四条 介质的使用、维护规定;
(一)存储过敏感信息的移动存储介质,不得与存储普通信息的移动存储介质混用;新启用存储涉密信息的移动存储介质或使用移动存储介质,必须进行安全检查和查杀病毒处理。
(二)本部门内使用的介质只限于本部门的人员使用,并只能在本部门的电脑上使用。
(三)外来人员如因工作需要借用电脑或存储介质,则必须格式化系统和存储介质。归还时也必须格式化系统和存储介质。
(四)对淘汰和报废的电脑和存储介质,应清除设备上的所有数据。
(五)介质应存放在安全的环境中,做到防磁、防火、防潮、防治损坏。对脱机存放的各类介质(包括信息资产和软件资产的介质)由专人负责进行检查、控制和保护,以防止被盗、被毁、被修改以及信息的非法泄漏。
第二十五条 介质的销毁规定;
(一)移动硬盘:文件先做删除,高级格式化后,低级格式化。报废的硬盘,需要粉碎报废。循环使用的硬盘,低级格式化后,拷入大量数据,覆盖无用信息后,高级格式化,再使用。
(二)U盘:报废后能正常使用的写入大量数据并格式化后粉碎,不能正常使用的直接粉碎。
(三)光盘:一次性光盘,粉碎。可擦写光盘,格式化后再使用。
第五章 密码管理制度
第二十六条 密码设置应具有安全性、保密性,不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码,用户密码是登陆系统时所设的密码,操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日,重复、顺序、规律数字等容易猜测的数字和字符串:
第二十七条 服务器、路由器等重要设备的超级用户密码由信息管理员统一设置和管理,服务器的密码半年修改一次,如发现或怀疑密码遗失或泄漏应立即修改,并最好相应密码的登记工作,以防止密码忘记;
第二十八条 系统维护用户的密码应至少由两人共同设置、保管和使用。
第二十九条 任何用户需要修改密码的,应先通知信息管理员,然后进行相应密码的修改,并把修改好的密码通知系统管理员,系统管理员在《信息系统要素及权限记录表》中对修改用户的密码进行相应的修改;
第六章 备份与恢复管理规定
第三十条 本规定适用于校内信息系统数据的备份与管理。信息中心负责计算机信息数据备份的检查和督促。
第三十一条 计算机信息数据备份的基本原则是“谁使用,谁备份”。具体包括服务
第三十二条 信息数据的备份包括定期备份和临时备份两种。定期备份指按照规定的日期定期对数据进行备份;临时备份指在特殊情况(如软件升级、设备更换、感染病毒等)下,临时对信息数据进行备份。
第三十三条 信息数据根据系统情况和备份内容,可以采取以下备份方式:
(一)完全备份:对备份的内容进行整体备份。
(二)增量备份:仅备份相对于上一次备份后新增加和修改过的数据。
(三)差分备份:仅备份相对于上一次完全备份之后新增加和修改过的数据。
(四)按需备份:仅备份应用系统需要的部分数据。
第三十四条 为保证所备份的内容可再现系统运行环境,数据备份内容应包括网络系统的所有关键数据。具体指计算机和网络设备的操作系统、应用软件、系统数据和应用数据。
第三十五条 数据备份可选择硬盘、光盘、磁带等存储介质,要确保备份数据的可恢复性。存储介质应存放在无磁性、辐射性的安全环境。
第三十六条 数据备份时必须建立备份文件档案及档案库,详细记录备份数据的信息。要做好数据备份的文卷管理,所有备份要有明确的标识,具体包括:卷名、备份人。
(一)卷名按统一的规则来命名。卷名由“应用系统名称—备份时间—序号”组成,
(二)备份人:备份人姓名
第三十七条 备份数据的保存时间根据各信息系统的数据重要程度和有效利用周期以及具体使用情况确定。根据各种数据的重要程度及其容量,确定备份方式、备份周期和保留周期。
第三十八条 数据备份至少应保留两份拷贝,一份在数据处理现场,以保证数据的正常快速恢复和数据查询,另一份保存在异地机房,确保备份数据万无一失。
第三十九条 对计算机或设备进行软件安装、系统升级或更改配置时,应进行系统和数据、设备参数的完全备份。应用系统更新后,应对原系统及其数据的完全备份资料保存十年以上。
第四十条 当信息系统服务器确认出现故障时,由系统管理员向信息中心主任进行汇报,申请进行系统恢复。
第四十一条 对每次的恢复细节应做好详细记录。
第四十二条 定期对全系统备份数据要进行模拟恢复,以检查数据的可用性。
第四十三条 管理员根据故障情况预计修复时间,并拟定通知进行全校告知。
本办法从公布之日起实施。本办法由信息中心负责解释。
第七章 人员安全管理规定
第四十四条 为规范信息中心内部工作人员在网络和系统中的行为,防范因内部工作人员的安全意识缺乏而导致信息系统的信息安全事件,特制定本规定。
第四十五条 人员录用。
(一)按照学校人力资源管理流程(相关部门)对人员录用实施管理,依据被录用人填写《人员录用申请表》的身份、学历等信息的真实性进行审查;
(二)对于可接触较多机密或从事关键岗位或更高级别信息资产或特殊工种的人员,应与被录用人签订《保密协议》。
第四十六条 人员离岗。
(一)严格规范人员离岗过程,及时进行资产回收、终止离岗员工的所有访问权限;
(二)离岗人员需主动将信息网络与数据中心提供的信息处理设备以及身份类证件、钥匙、徽章等有关身份标识、权限依据的资产交还;
(三)及时收回离岗人员的信息处理设备,对信息处理设备上保留的数据应进行安全处理,包括备份需要保留的数据和删除不必要的数据;
(四)离岗人员应办理严格的离岗手续,关键岗位人员离岗还须承诺离岗后的保密义务,审核通过后方可离开。
第四十七条 人员岗位调动。
(一)严格规范人员岗位调动过程,及时进行资产回收,终止与重分配岗位调动员工的访问权限;
(二)离岗人员应办理严格的岗位调动手续;
(三)注意转岗人员的岗位变化,根据岗位需要,重新签署保密协议。
第四十八条 人员惩戒。
(一)当人员违反相关的安全管理制度,应依照其违规程度及影响,适度进行处罚;
(二)如其部门领导未尽监管职责,则负连带责任;
(三)如该安全违规涉及法律层面,则追究该人员的民事、刑事责任。
第八章 网络安全培训规定
第四十九条 根据有关网络安全的教育和培训计划,信息中心每年定期组织各部门系统管理员进行网络安全法规的学习,进行网络安全知识和技术的培训,提高工作人员的维护网络安全的警惕性和自觉性。
第五十条 通过各种方式定期或不定期的开展网络安全的知识讲座和论坛,宣传网络安全知识、强化网络安全意识。
第五十一条 信息技术与网络管理中心每年年底根据有关部门的要求和工作需要,制定下一年度网络安全的教育和培训计划。
第五十二条 凡是新入网教师用户必须接受上网前的培训。信息中心每年定期组织教师用户进行1-2次网络安全和信息化相关培训。
第五十三条 信息技术与网络管理中心每年定期组织针对新生的网络安全和信息化培训,培训内容包括网络安全和校园常见应用系统的使用培训。
第五十四条 校属各部应积极配合信息中心的工作,自觉参加各种网络安全教育和培训活动。
第五十五条 协助并承办省公安厅、市公安局等计算机安全监察部门及其他有关部门的网络安全方面的教育培训工作。
第九章 网络安全事件管理办法
第五十六条 为了加强学校网络与信息安全保障能力,保证网络通信畅通和业务系统的正常运行,提高网络与信息服务质量。在学校安全体系框架下,规范安全事件的响应和操作流程,特制订本办法。
第五十七条 学校网络与信息安全事件是指校园网中所有硬件、软件及数据,因被非法攻击或被病毒入侵等原因而遭到破坏、篡改、泄漏,造成系统不能正常运行,影响正常业务开展的事件。
安全事件主要可以分为以下几大类:
(一)有害程序事件:有害程序事件包括计算机病毒、蠕虫、木马、僵尸网络、混合攻击程序、网页内嵌恶意代码和其它有害程序事件等;
(二)网络攻击事件:网络攻击事件包括拒绝服务攻击、后门攻击、漏洞攻击、网络扫描窃听、网络钓鱼、干扰和其他网络攻击事件等;
(三)信息破坏事件:信息破坏事件包括信息篡改、信息假冒、信息泄漏、信息窃取、信息丢失和其它信息破坏事件等;
(四)信息内容安全事件:信息内容安全事件是指利用校园网络发布、传播危害国家安全、社会稳定和公共利益内容的安全事件;
(五)设备设施故障:设备设施故障包括软硬件自身故障、外围保障设施故障、人为破坏事故和其它设备设施故障等;
(六)灾害性事件:灾害性事件包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击等不可抗力导致的信息安全事件;
(七)其他信息安全事件:其他信息安全事件类别是指不能归为以上六个基本分类的信息安全事件。
第五十八条 根据安全事件对业务可能造成的影响或已经造成影响的严重程度并结合资产的重要程度把安全事件分为一般和重大两个级别。
(一)一般安全事件:各部门的网络与信息系统发生安全事件,造成本地系统瘫痪,或对部分用户的业务有影响,但不危害全院用户业务的事件,并能够通过本部门信息系统管理员进行协调处理,在短期内发现并解决的安全问题,称为一般安全事件。
(二)重大安全事件:重要网络与信息系统发生安全事件,造成全院范围内大规模瘫痪,使其业务处理能力受到极大影响,或系统关键数据的保密性、完整性、可用性遭到破坏,使重要信息系统遭受重大的系统损失,称为重大安全事件。
第五十九条 信息安全管理遵循“谁主管,谁主办,谁负责”的原则,各部门要明确工作职责,建立工作责任制和责任追究制,明确分工,强化管理。各部门信息管理员和分管领导负责安全事件的判断、报告和安全事件应急恢复流程的启动申请,并负责组织协调和处理本部门的一般安全事件。
第六十条 信息中心承担学校信息安全管理的总体职责,在网络与信息资产暴露于重大威胁时,监督控制可能发生的重大变化;指挥、协调、督促并审查重大安全事件的处理。负责落实学校信息安全的各项管理工作,对学校各部门信息安全工作进行监督、检查、指导。
第六十一条 各部门分管信息化的领导和信息管理员应根据安全事件的类型和级别定义判断安全事件,及时处理已经发生的安全事件,并控制其危害蔓延。
第六十二条 各部门分管信息化的领导和信息管理员应对一般安全事件的发生、处理办法进行记录,并将《安全事件记录单》及相关文档提交信息中心进行备案;处理和汇报流程参见《安全事件处理流程》。
第六十三条 各部门分管信息化的领导和信息系统管理员在处理一般安全事件过程中,需要判断事件的严重程度,如果已经上升到重大安全事件,应启动《应急响应流程》。
第六十四条 信息中心在处置重大安全事件时,应第一时间向主管校领导和学校安全稳定领导小组汇报情况,采取必要紧急措施,防止安全事件蔓延,有必要时应配合安全工作处向公安机关报案。
第十章 附 则
第六十五条 本规定自正式颁布之日起实施。
第六十六条 本规定由信息中心负责解释。
第六十七条 本规定与国家有关法律、法规不一致的以国家法律、法规为准。
:
规章制度
:
2022-10-08 14:12:19
