佛山科學(xué)技術(shù)學(xué)院網(wǎng)絡(luò)信息安全管理辦法（佛科院信息〔2017〕05號）

發(fā)表時間：2019-03-25

佛山科學(xué)技術(shù)學(xué)院網(wǎng)絡(luò)信息安全管理辦法

佛科院信息〔2017〕05號

 

第一章   總
則

第一條  為加強(qiáng)學(xué)校網(wǎng)絡(luò)信息安全管理,，推進(jìn)學(xué)校信息系統(tǒng)（網(wǎng)站）安全等級保護(hù)工作,，提高網(wǎng)絡(luò)信息安全防護(hù)能力和水平，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》（2017年6月1日正式施行）,、《教育部關(guān)于加強(qiáng)教育行業(yè)網(wǎng)絡(luò)與信息安全工作的指導(dǎo)意見》（教技〔2014〕4號）,、《教育部關(guān)于進(jìn)一步加強(qiáng)直屬高校直屬部門信息技術(shù)安全工作的通知》（教技〔2015〕1 號）,、《教育部公安部關(guān)于全面推進(jìn)教育行業(yè)信息安全等級保護(hù)工作的通知》（教技〔2015〕2 號）等文件要求，結(jié)合我校實際,，特制定本辦法,。

第二條  本辦法所稱網(wǎng)絡(luò)信息安全工作，是指為使學(xué)校各部門的教學(xué),、科研,、管理和服務(wù)等各項業(yè)務(wù)的信息資產(chǎn)（信息及信息系統(tǒng)）的機(jī)密性、完整性,、可用性等得到保持,、不被破壞所開展的相關(guān)管理和技術(shù)工作。

本辦法所指學(xué)校各部門包括各機(jī)關(guān)部,、處,、室，學(xué)院,、直屬部門以及有關(guān)科研機(jī)構(gòu),。

第三條  學(xué)校按照“誰主管誰負(fù)責(zé)、誰運(yùn)維誰負(fù)責(zé),、誰使用誰負(fù)責(zé)”的原則,，建立健全網(wǎng)絡(luò)信息安全責(zé)任體系，學(xué)校各部門,、全體師生員工應(yīng)依照本辦法要求及學(xué)校相關(guān)標(biāo)準(zhǔn)規(guī)范履行網(wǎng)絡(luò)信息安全的義務(wù)和責(zé)任,。

 

第二章  組織機(jī)構(gòu)與職責(zé)

第四條  學(xué)校黨委書記是學(xué)校網(wǎng)絡(luò)信息安全的第一責(zé)任人，分管信息化工作的校領(lǐng)導(dǎo)協(xié)助主要負(fù)責(zé)人履行學(xué)校網(wǎng)絡(luò)信息安全責(zé)任,。

第五條  信息化建設(shè)辦公室是學(xué)校網(wǎng)絡(luò)信息安全歸口管理部門,，負(fù)責(zé)統(tǒng)籌學(xué)校網(wǎng)絡(luò)信息安全工作。具體職責(zé)包括：

（一）制定網(wǎng)絡(luò)信息安全總體規(guī)劃，并組織實施,；

（二）擬定網(wǎng)絡(luò)信息安全管理規(guī)章制度,，制定網(wǎng)絡(luò)信息安全標(biāo)準(zhǔn)規(guī)范；

（三）組織開展信息系統(tǒng)安全等級保護(hù)工作,；

（四）負(fù)責(zé)信息安全應(yīng)急管理,，對接與政府信息安全管理部門的工作；

（五）組織信息安全宣傳和教育培訓(xùn)工作,；

（六）負(fù)責(zé)網(wǎng)絡(luò)信息安全監(jiān)督檢查工作,；

（七）學(xué)校網(wǎng)絡(luò)信息安全的其他工作。

第六條  信息與教育技術(shù)中心是信息安全技術(shù)支撐部門,，負(fù)責(zé)學(xué)校網(wǎng)絡(luò)信息安全防護(hù)體系的建設(shè),、運(yùn)行維護(hù)、技術(shù)指導(dǎo)和服務(wù)支持,。

第七條  學(xué)校各部門是本部門網(wǎng)絡(luò)安全和信息化工作的責(zé)任主體,，各部處正職、二級學(xué)院黨委書記是本部門網(wǎng)絡(luò)信息安全工作第一責(zé)任人,，負(fù)責(zé)按本辦法落實網(wǎng)絡(luò)信息安全工作,。

 

第三章  校園網(wǎng)絡(luò)管理

第八條  校園網(wǎng)絡(luò)是指校園范圍內(nèi)連接各種信息系統(tǒng)及信息終端的計算機(jī)網(wǎng)絡(luò)，包括校園有線網(wǎng)絡(luò),、無線網(wǎng)絡(luò)和各種虛擬專網(wǎng),。

第九條  校園網(wǎng)絡(luò)規(guī)劃由信息化建設(shè)辦公室制定，由信息與教育技術(shù)中心負(fù)責(zé)建設(shè),、運(yùn)行,、維護(hù)和管理。學(xué)校所有基建,、修繕工程應(yīng)將工程范圍內(nèi)智能化弱電納入工程設(shè)計,、實施和竣工驗收范疇。

第十條  校園網(wǎng)絡(luò)與互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)實行邏輯隔離,，由信息與教育技術(shù)中心統(tǒng)一出口,、統(tǒng)一管理和統(tǒng)一防護(hù)。未經(jīng)批準(zhǔn),，學(xué)校各部門在校園內(nèi)不得擅自通過其他渠道接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò),。

第十一條  信息與教育技術(shù)中心應(yīng)采取訪問控制、安全審計,、完整性檢查,、入侵防范、惡意代碼防范等措施加強(qiáng)校園網(wǎng)絡(luò)邊界防護(hù),。

第十二條  師生員工接入校園網(wǎng)絡(luò),，實行“實名注冊,、認(rèn)證上網(wǎng)”制度；學(xué)校非涉密信息系統(tǒng)接入校園網(wǎng)絡(luò),，實行接入審批和備案登記制度。網(wǎng)絡(luò)接入實名管理制度由信息與教育技術(shù)中心負(fù)責(zé)實施,。涉密信息系統(tǒng)不得接入校園網(wǎng)絡(luò),。

 

第四章  數(shù)據(jù)中心管理

第十三條  數(shù)據(jù)中心是支撐學(xué)校信息系統(tǒng)的硬件基礎(chǔ)設(shè)施和軟件基礎(chǔ)平臺。信息與教育技術(shù)中心負(fù)責(zé)數(shù)據(jù)中心的建設(shè),、運(yùn)行,、維護(hù)和管理。

第十四條  信息與教育技術(shù)中心負(fù)責(zé)數(shù)據(jù)中心的安全管理,。

第十五條  各部門負(fù)責(zé)建設(shè),、維護(hù)本部門業(yè)務(wù)應(yīng)用系統(tǒng)所配套的業(yè)務(wù)數(shù)據(jù)庫，并對本部門業(yè)務(wù)數(shù)據(jù)庫及所申請的共享數(shù)據(jù)的安全負(fù)責(zé),。

第十六條  原則上,，學(xué)校各部門應(yīng)依托學(xué)校數(shù)據(jù)中心開展信息系統(tǒng)建設(shè)。需使用校外數(shù)據(jù)中心的,，須報信息化建設(shè)辦公室審批,。涉及學(xué)校基礎(chǔ)數(shù)據(jù),、師生員工個人信息或敏感信息的信息系統(tǒng),，不得部署在校外數(shù)據(jù)中心。未經(jīng)批準(zhǔn),，嚴(yán)禁使用境外數(shù)據(jù)中心,。

第十七條  信息與教育技術(shù)中心對學(xué)校數(shù)據(jù)中心的使用實施準(zhǔn)入管理，負(fù)責(zé)制定使用數(shù)據(jù)中心的技術(shù)規(guī)范和標(biāo)準(zhǔn),，在系統(tǒng)上線前進(jìn)行安全檢測,。符合技術(shù)規(guī)范標(biāo)準(zhǔn)并檢測通過的系統(tǒng)方可上線運(yùn)行。

第十八條  數(shù)據(jù)中心的使用部門應(yīng)遵循數(shù)據(jù)中心相關(guān)管理制度和技術(shù)標(biāo)準(zhǔn),，按需申請,、有序使用，不得利用數(shù)據(jù)中心資源從事任何與申請項目無關(guān)或危害網(wǎng)絡(luò)信息安全的活動,。

 

第五章  信息系統(tǒng)建設(shè),、運(yùn)行和維護(hù)管理

第十九條  各部門信息系統(tǒng)應(yīng)建立健全網(wǎng)絡(luò)信息安全防護(hù)體系，全面實施信息系統(tǒng)安全等級保護(hù)制度,。

第二十條  信息化建設(shè)辦公室負(fù)責(zé)統(tǒng)籌學(xué)校信息系統(tǒng)安全等級保護(hù)工作,，組織學(xué)校各部門開展信息定級備案、測評驗收,。信息與教育技術(shù)中心是信息系統(tǒng)安全等級保護(hù)工作的技術(shù)支撐保障部門,，負(fù)責(zé)網(wǎng)絡(luò)信息安全防護(hù)體系建設(shè)。各信息系統(tǒng)建設(shè)部門是信息系統(tǒng)安全等級保護(hù)的責(zé)任主體，配合定級備案,、測評驗收并接受有關(guān)部門監(jiān)督檢查,。

第二十一條  信息系統(tǒng)在立項階段由信息化建設(shè)辦公室確定安全等級。對于安全等級第二級以上（含第二級）的信息系統(tǒng),，由信息化建設(shè)辦公室統(tǒng)一定級備案,、測評驗收。

第二十二條  信息系統(tǒng)建設(shè)部門應(yīng)制定信息系統(tǒng)使用與維護(hù)的管理制度,，規(guī)范信息系統(tǒng)的使用和維護(hù),。

第二十三條  對于安全等級第二級以上（含第二級）的信息系統(tǒng)，信息化建設(shè)辦公室將根據(jù)國家和教育行業(yè)有關(guān)標(biāo)準(zhǔn)規(guī)范,，定期組織開展等級測評,，查找、發(fā)現(xiàn)并及時整改安全問題,、漏洞和隱患,。

第二十四條  原則上，信息系統(tǒng)不對互聯(lián)網(wǎng)開放,。在校外教師可以通過VPN訪問,，學(xué)生只能在校園網(wǎng)內(nèi)訪問。

 

第六章  信息系統(tǒng)數(shù)據(jù)安全管理

第二十五條  信息系統(tǒng)數(shù)據(jù)是指信息系統(tǒng)收集,、存儲,、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù),，包括但不限于網(wǎng)站內(nèi)容,、業(yè)務(wù)數(shù)據(jù)、網(wǎng)絡(luò)課程,、圖書資源,、日志記錄等。

第二十六條  信息系統(tǒng)數(shù)據(jù)的所有者是數(shù)據(jù)安全管理的責(zé)任主體,，應(yīng)當(dāng)落實管理和技術(shù)措施,，規(guī)范數(shù)據(jù)的收集、存儲,、傳輸和使用,，確保數(shù)據(jù)安全。

第二十七條  信息系統(tǒng)數(shù)據(jù)收集應(yīng)遵循“最少夠用”原則,，不得收集與信息系統(tǒng)業(yè)務(wù)服務(wù)無關(guān)的個人信息,。按照“誰收集，誰負(fù)責(zé)”的原則,，收集個人信息的部門是個人信息保護(hù)的責(zé)任主體,，應(yīng)當(dāng)對其收集的個人信息嚴(yán)格保密,，并建立健全相關(guān)保護(hù)制度。

 

第七章  互聯(lián)網(wǎng)網(wǎng)站安全管理

第二十八條  信息與教育技術(shù)中心統(tǒng)一建設(shè)學(xué)校網(wǎng)站集群平臺并負(fù)責(zé)納入該平臺網(wǎng)站的技術(shù)安全,。學(xué)校各部門開辦互聯(lián)網(wǎng)網(wǎng)站應(yīng)優(yōu)先選擇學(xué)校網(wǎng)站集群平臺,。對于學(xué)校網(wǎng)站群平臺之外的網(wǎng)站，由建設(shè)部門全權(quán)負(fù)責(zé)信息安全,。

第二十九條  學(xué)校只對學(xué)校網(wǎng)站群平臺開放互聯(lián)網(wǎng)訪問,。其余網(wǎng)站均不對互聯(lián)網(wǎng)開放，在校外教師可以通過VPN訪問,，學(xué)生只能在校園網(wǎng)內(nèi)訪問。

第三十條  互聯(lián)網(wǎng)網(wǎng)站的內(nèi)容安全由網(wǎng)站開辦部門負(fù)責(zé),?；ヂ?lián)網(wǎng)網(wǎng)站開辦部門應(yīng)建立完善的網(wǎng)站信息發(fā)布與審核制度，確定負(fù)責(zé)內(nèi)容編輯,、內(nèi)容審核,、內(nèi)容發(fā)布的人員名單，明確審核與發(fā)布程序,，保存相關(guān)操作記錄,。

第三十一條  學(xué)校各部門不得提供匿名電子公告服務(wù)。

第三十二條  對于符合以下條件之一的“僵尸”信息系統(tǒng)（網(wǎng)站）：網(wǎng)站訪問量少于1000人次以下,、180天以上未更新,、系統(tǒng)每年錄入信息少于100條、完成工作使命專題網(wǎng)站,、無人運(yùn)維信息系統(tǒng)（網(wǎng)站）,，開辦部門應(yīng)予關(guān)閉，以降低安全風(fēng)險,。信息化建設(shè)辦公室有權(quán)對此類網(wǎng)站強(qiáng)制關(guān)停,。

 

第八章  電子郵件安全管理

第三十三條  信息與教育技術(shù)中心為學(xué)校各部門和師生員工提供電子郵箱，并負(fù)責(zé)學(xué)校電子郵件的安全管理,。學(xué)校各部門和師生員工使用學(xué)校電子郵箱應(yīng)遵守學(xué)校電子郵箱管理等相關(guān)規(guī)章制度,。

第三十四條  師生員工須對使用其電子郵箱帳號開展的所有活動負(fù)責(zé)，應(yīng)妥善保管本人使用的電子郵箱賬號和密碼,，確保密碼具有一定強(qiáng)度并定期更換,。

 

第九章  終端計算機(jī)安全管理

第三十五條  終端計算機(jī)是指由學(xué)校師生員工使用并從事學(xué)校教學(xué)、科研,、管理等活動的各類計算機(jī)及附屬設(shè)備,，包括臺式電腦、筆記本電腦及其他移動終端,。

第三十六條  終端計算機(jī)使用人按照“誰使用,，誰負(fù)責(zé)”的原則,，對其終端計算機(jī)負(fù)有保管和安全使用的責(zé)任。

第三十七條  在終端計算機(jī)上使用盜版軟件帶來的安全和法律責(zé)任由終端計算機(jī)使用人承擔(dān),。

第三十八條  終端計算機(jī)使用人應(yīng)做好數(shù)據(jù)日常管理和保護(hù),，定期進(jìn)行數(shù)據(jù)備份。非涉密計算機(jī)不得存儲和處理涉密信息,。

第三十九條  終端計算機(jī)使用人應(yīng)做好終端計算機(jī)的安全防范,，安裝殺毒軟件、定期安裝補(bǔ)丁,。

 

第十章  存儲介質(zhì)安全管理

第四十條  存儲介質(zhì)是指存儲數(shù)據(jù)的載體,，主要包括硬盤、存儲陣列,、磁帶庫等不可移動存儲介質(zhì),，以及移動硬盤、U 盤等可移動存儲介質(zhì),。

第四十一條  學(xué)校涉密部門應(yīng)建立移動介質(zhì)管理制度,，記錄介質(zhì)領(lǐng)用、交回,、維修,、報廢、損毀等情況,。介質(zhì)使用人按照“誰使用,，誰負(fù)責(zé)”的原則，對其移動介質(zhì)負(fù)有保管和安全使用的責(zé)任,。

第四十二條  非涉密移動存儲介質(zhì)不得用于存儲涉密信息,，不得在涉密計算機(jī)上使用。

第四十三條  移動存儲介質(zhì)在接入終端計算機(jī)和信息系統(tǒng)前,，應(yīng)當(dāng)查殺病毒,、木馬等惡意代碼。

第四十四條  介質(zhì)使用人應(yīng)注意移動存儲介質(zhì)的內(nèi)容管理,，對送出維修或銷毀的介質(zhì)應(yīng)事先清除敏感信息,。

 

第十一章  人員安全管理

第四十五條  學(xué)校各部門應(yīng)建立健全本部門的崗位信息安全責(zé)任制度，明確崗位及人員的信息安全責(zé)任,。關(guān)鍵崗位的計算機(jī)使用和管理人員應(yīng)簽訂信息安全與保密協(xié)議,，明確信息安全與保密要求和責(zé)任。

第四十六條  學(xué)校各部門應(yīng)加強(qiáng)人員離崗,、離職管理,，嚴(yán)格規(guī)范人員離崗、離職過程,，及時終止相關(guān)人員的所有訪問權(quán)限,。

第四十七條  學(xué)校各部門應(yīng)建立外部人員訪問機(jī)房等重要區(qū)域的審批制度,，外部人員須經(jīng)審批后方可進(jìn)入，并安排工作人員現(xiàn)場陪同,，對訪問活動進(jìn)行記錄和保存,。

 

第十二章  外包服務(wù)安全管理

第四十八條  網(wǎng)絡(luò)信息外包服務(wù)是指信息系統(tǒng)（網(wǎng)站）、網(wǎng)絡(luò),、信息安全等方面的咨詢,、開發(fā)建設(shè)、運(yùn)行維護(hù),、技術(shù)培訓(xùn)的外包,。

第四十九條  外包服務(wù)需求部門應(yīng)與網(wǎng)絡(luò)信息外包服務(wù)提供商簽訂服務(wù)合同和信息安全與保密協(xié)議，明確信息安全與保密責(zé)任,，要求服務(wù)提供商不得將服務(wù)轉(zhuǎn)包,，不得泄露、擴(kuò)散,、轉(zhuǎn)讓服務(wù)過程中獲知的敏感信息，不得占有服務(wù)過程中產(chǎn)生的任何信息資產(chǎn),，不得以服務(wù)為由強(qiáng)制要求委托方購買,、使用指定產(chǎn)品。

網(wǎng)絡(luò)信息外包服務(wù)合同和信息安全與保密協(xié)議應(yīng)按學(xué)校合同管理辦法的有關(guān)要求,，報信息化建設(shè)辦公室審核,。

第五十條  網(wǎng)絡(luò)信息現(xiàn)場服務(wù)過程中，外包服務(wù)需求部門應(yīng)安排專人陪同,，并詳細(xì)記錄服務(wù)過程,。

第五十一條  外包開發(fā)的系統(tǒng)、軟件接入網(wǎng)絡(luò)前,，信息與教育技術(shù)中心應(yīng)組織對系統(tǒng)和軟件安全檢查,。

第五十二條  信息系統(tǒng)運(yùn)維如需采用遠(yuǎn)程方式進(jìn)行，必須通過遠(yuǎn)程在線運(yùn)維管理設(shè)備統(tǒng)一進(jìn)行管理,。

 

第十三章  信息安全應(yīng)急管理

第五十三條  信息化建設(shè)辦公室負(fù)責(zé)學(xué)校信息安全應(yīng)急工作的統(tǒng)籌管理,，信息與教育技術(shù)中心負(fù)責(zé)信息安全應(yīng)急工作的技術(shù)支撐和保障。

第五十四條  信息化建設(shè)辦公室負(fù)責(zé)制定學(xué)校網(wǎng)絡(luò)信息安全事件報告與處置流程,，信息與教育技術(shù)中心負(fù)責(zé)制訂學(xué)校網(wǎng)絡(luò)信息安全應(yīng)急預(yù)案,。若學(xué)校網(wǎng)絡(luò)信息安全應(yīng)急預(yù)案不能滿足需求，相關(guān)部門可制訂本部門網(wǎng)絡(luò)信息安全應(yīng)急預(yù)案,，并及時報信息化建設(shè)辦公室備案,。

第五十五條  信息與教育技術(shù)中心負(fù)責(zé)組建學(xué)校信息安全應(yīng)急技術(shù)支援隊伍，完善應(yīng)急值守制度,，提高信息安全事件的預(yù)防,、預(yù)警和應(yīng)對能力,，預(yù)防和減輕信息安全事件造成的損失和危害。

第五十六條  學(xué)校各部門應(yīng)按照學(xué)校網(wǎng)絡(luò)信息安全事件報告與處置流程,，做好事發(fā)緊急報告與處置,、事中情況報告與處置和事后整改報告與處置工作。做到安全事件早發(fā)現(xiàn),、早報告,、早控制、早解決,。

第五十七條  學(xué)校各部門或師生員工均有義務(wù)及時向信息與教育技術(shù)中心報告信息安全事件,，不得在未授權(quán)情況下對外公布、嘗試或利用所發(fā)現(xiàn)的安全漏洞或安全問題,。

 

第十四章  信息安全教育培訓(xùn)

第五十八條  信息化建設(shè)辦公室負(fù)責(zé)組織學(xué)校信息安全宣傳和教育培訓(xùn)工作,，建立健全相關(guān)制度。

第五十九條  信息化建設(shè)辦公室定期組織開展針對師生員工的信息安全教育,，提高師生員工的安全和防范意識,。

第六十條  信息化建設(shè)辦公室定期開展針對信息安全管理人員和技術(shù)人員的專業(yè)技能培訓(xùn)，提高信息安全工作能力和水平,。

 

第十五章  信息安全檢查監(jiān)督

第六十一條  學(xué)校各部門定期對本部門信息系統(tǒng)的安全狀況,、安全保護(hù)制度及措施的落實情況進(jìn)行自查，并配合有關(guān)部門的信息安全檢查,、信息內(nèi)容檢查,、保密檢查與審批等工作。

第六十二條  信息化建設(shè)辦公室聯(lián)合信息與教育技術(shù)中心對學(xué)校各部門的網(wǎng)絡(luò)信息安全工作落實情況進(jìn)行檢查,，對發(fā)現(xiàn)的問題下達(dá)限期整改通知書,，責(zé)成相關(guān)部門制訂整改方案并落實到位。

第六十三條  信息化建設(shè)辦公室對年度安全檢查情況進(jìn)行全面總結(jié),，按照要求完成檢查報告并報有關(guān)信息安全主管部門,。

 

第十六章  信息安全責(zé)任追究

第六十四條  學(xué)校按照“誰主管誰負(fù)責(zé)、誰運(yùn)維誰負(fù)責(zé),、誰使用誰負(fù)責(zé)”的原則,，建立信息安全責(zé)任追究和倒查機(jī)制。

第六十五條  學(xué)校各部門應(yīng)高度重視日常的信息安全工作,，并按照網(wǎng)絡(luò)信息安全事件報告與處置流程及時,、如實地報告和妥善處置網(wǎng)絡(luò)信息安全事件。如信息安全工作落實不力的情況,，將根據(jù)情節(jié)嚴(yán)重程度,，處以斷網(wǎng)、通報批評或紀(jì)律處分,。如果觸犯刑律的,，移交司法機(jī)關(guān)處理,。

 

第十七章  附  則

第六十六條  涉及國家秘密的信息系統(tǒng)，執(zhí)行國家保密工作的相關(guān)規(guī)定和標(biāo)準(zhǔn),，由學(xué)校辦公室監(jiān)督指導(dǎo),。

第六十七條  學(xué)校各部門可參照本辦法制訂本部門的實施細(xì)則。

第六十八條  本規(guī)定自發(fā)文之日起開始執(zhí)行,，原《佛山科學(xué)技術(shù)學(xué)院計算機(jī)信息網(wǎng)絡(luò)安全保護(hù)實施辦法（暫行）》（佛科院信息〔1998〕1號）,、《校園網(wǎng)計算機(jī)網(wǎng)絡(luò)信息安全管理實施辦法》（佛科院信息〔2002〕3號）、《佛山科學(xué)技術(shù)學(xué)院校園網(wǎng)安全保護(hù)管理規(guī)定》（佛科院信息〔2005〕1號）同時廢止,。本辦法由信息與教育技術(shù)中心,、信息化建設(shè)辦公室負(fù)責(zé)解釋。