大学校园网与信息系统技术安全管理办法
第一章总则
第一条为进一步加强学校校园网与信息系统技术安全管理,推进学校网络安全保护工作,提高防护能力,根据《中华人民共和国网络安全法》《教育部关于加强教育行业网络与信息安全工作的指导意见》《教育部办公厅关于组织开展部属单位信息安全等级保护工作的通知》等要求,结合我校实际,特制定本办法。
第二条学校按照“谁主管谁负责、谁使用谁负责、谁运维谁负责”的原则,建立健全安全责任体系。各单位、全体师生员工应依照本办法及学校相关规定,履行相应的义务和责任。
第三条本办法所指校园网与信息系统技术安全管理,是指为保护学校各类网络系统、信息系统以及信息资产的安全性、完整性,而采取的相应技术措施和管理办法。
本办法所指二级单位包括机关部、处、室,学院、直附属单位、有关科研机构以及企业单位等。
第二章领导机构与工作职责
第四条学校网络安全和信息化领导小组(以下简称领导小组)是学校校园网与信息系统技术安全的领导决策机构,按“同步规划、同步建设、同步运行”的原则统筹协调校园网与信息系统技术安全各项工作。
第五条学校二级单位是本单位网络与信息系统技术安全的责任主体,单位主要负责人是本单位网络与信息系统技术安全的第一责任人。二级单位应成立本单位网络安全和信息化领导小组,组织实施本单位所使用、运维的网络和信息系统技术安全的防护措施和管理办法。
第六条信息中心是学校网络与信息系统技术安全归口管理部门和技术支撑单位,负责开展学校网络与信息系统技术安全的规划、建设、管理和运维。具体职责为:
(一)制定、实施信息技术安全总体方案;
(二)拟定校园网与信息系统技术安全管理制度,制定安全标准和规范;
(三)组织开展技术安全防护体系的规划建设、运行维护、技术指导和服务支持;
(四)组织开展网络安全等级保护工作;
(五)组织开展信息技术安全教育和培训工作;
(六)负责信息技术安全监督检查工作;
(七)其他相关工作。
第三章校园网络基础安全管理
第七条校园网是指在校园范围内连接各种信息系统及信息终端的计算机网络,包括有线网、无线网和各种专网。
第八条学校按“统一管理、统一出口、统一认证”的原则实行校园网与互联网及其他公共信息网络的连接。校园网与互联网及其他公共信息网络实行逻辑隔离,采取访问控制、完整性检查、入侵防范、恶意代码防范、安全审计等措施进行校园网边界防护。
未经批准,二级单位不得将信息系统和本单位局域网通过其他渠道接入互联网及其他公共信息网络。
第九条二级单位负责本单位所在区域内网络设备的日常安防和消防管理工作。
第十条涉密网络和信息系统接入网络时,严格按照涉密系统管理办法执行。
个人网站成品
第四章数据中心管理
第十一条数据中心是指支撑学校信息化建设的物理环境(包含机房)、云计算平台、中心数据库、数据共享交换平台、统一身份认证平台及统一信息门户等软硬件设施设备,是学校信息化建设的基础设施和平台。
信息中心负责数据中心的安全建设、运行、维护和管理。
第十二条学校按网络安全等级保护要求,对数据中心进行分区分域管理,对不同等级分区采取相应的技术安全防护措施,对不同安全域之间实施访问控制。
第十三条学校制定数据中心使用的技术规范和标准,对数据中心的使用实施准入制。新建信息系统应符合学校信息技术标准,在通过第三方安全评测机构检测后方可在数据中心部署上线。
第十四条二级单位在建设面向师生服务的应用系统时,应使用学校统一身份认证平台进行
身份认证。二级单位负责本单位业务系统的用户角管理、权限分配和资源管理,负责本单位业务数据库的建设和管理,负责本单位业务数据库及所申请的共享数据的安全管理。
第十五条数据中心使用单位应遵守数据中心的管理制度和技术标准,按需申请、有效使用。不得利用数据中心从事与申请项目无关,或危害数据中心安全的活动。
第十六条二级单位应依托学校数据中心开展应用系统建设,不得将涉及学校基础数据、师生员工个人信息或敏感信息的信息系统部署在校外数据中心。确需使用校外数据中心的,须经领导小组审批。严禁使用数据中心。
第五章信息系统的建设、运行和维护管理
第十七条学校按照“同步规划、同步建设、同步运行”的原则开展系统建设与安全建设,建立健全信息技术安全防护体系。
第十八条学校实施网络安全等级保护制度,建立信息系统台账,组织开展信息系统安全等级定级、系统备案、安全建设、等级测评、安全整改和监督检查等工作。
二级以上(含第二级)信息系统,需按要求进行备案。
第十九条信息系统建设、使用单位是该系统安全等级保护的责任主体,按照“自主定级、自主保护”的原则开展等级保护工作,并接受安全监管部门的监督检查。
第二十条二级单位或相关工作领导小组办公室挂靠(或所在)单位应根据业务需要,在上年的下半年提交来年网络与信息系统建设申请、安全责任书和成熟的建设方案。信息中心组织专家论证,拟定来年建设清单和建议,报送领导小组审批。
学校鼓励建设单位优先采购安全可靠、技术成熟和服务良好的成品软件用于信息系统建设。没有相应成品软件或成品软件不适应实际需求的,按照采购与招标规定,委托资质和信誉良好的软件开发商进行定制开发。
第二十一条信息系统建设完成在出具第三方安全测试报告后,方可组织验收。在上线测试或试运行前建设单位(或使用单位)、开发商应签订《信息系统试运行或上线测试安全责任书》,审核同意后方可进行上线测试或试运行。
第二十二条信息系统建设、使用单位应制定信息系统使用与维护的管理制度,规范系统使用者和运维人员的操作行为。建设、使用单位应定期对终端计算机和关键设备(服务器、
操作系统、数据库、安全设备、网络设备等)进行安全审计,通过查看记录、检查系统和用户活动信息及时发现系统漏洞,处置异常访问和操作。
第二十三条信息系统建设、使用单位应定期组织二级以上(含第二级)信息系统的等级测评,查安全漏洞和安全隐患,并及时整改。
二级系统每两年应至少进行一次测评,三级系统每年应至少进行一次测评,四级系统每年应至少进行两次测评。
第二十四条信息系统的开发环境、测试环境和运行环境应严格隔离,学校负责面对全校服务的信息系统所需上述环境的建设、运行、维护和管理。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。