内蒙古商贸职业学院网络与信息安全管理办法
阅读: 时间:2021-04-07

第一章  总则

第一条 为了保障学院校园网络及信息系统的安全稳定,促进学院信息化健康发展,保证校园网络用户的合法权益,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国计算机信息系统安全保护条例》《中华人民共和国计算机信息网络国际联网管理暂行规定》(19971230日公安部令第3号)、《网络安全等级保护基本要求》(GB/T22239-2019)、《教育部关于加强教育行业网络与信息安全工作的指导意见》(教技〔20144号)、《教育部办公厅关于印发<教育行业信息系统安全等级保护定级工作指南(试行)>的通知》(教技厅函〔201474号)等法律法规和文件精神,结合学院实际,制定本办法。

第二条 网络与信息安全是指网络基础设施、网站、信息系统及数据内容等受到保护,保证网络、信息及内容的安全性、完整性、可用性、可控性。

第三条 网络与信息安全管理的基本原则是“分级管理、逐级负责;自主防护、明确责任;统筹规划、同步建设;政策合规、遵从标准”,按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则落实网络安全责任。

第四条 网络与信息安全管理的目标是建立健全网络与信息安全保障体系,提高安全防护能力,确保学院网络与信息安全工作规范、有序开展,保障学院信息化可持续发展。

第二章 组织架构

第五条 学院网络安全与信息化领导小组(以下简称网信领导小组)为网络与信息安全工作的领导机构,领导小组办公室设在图书信息中心,具体工作职责详见《关于调整内蒙古商贸职业学院网络安全和信息化领导小组成员的通知》(内商职院党发〔202129号)。

第三章 网络与信息安全建设管理

第六条 校园网及相关基础设施由图书信息中心统一规划、建设、管理,并提供统一网络出口,各单位、各部门及个人不得擅自建设、更改、损毁、挪用校园网络设施,不得私接外网出口。校园网实行实名制,校内用户必须通过图书信息中心实名登记后方可按照入网要求使用校园网,未经登记不得以任何方式私接校园网,严谨盗用其他用户上网信息使用校园网。

第七条 校内各类信息系统原则上应依托学院数据中心建设,使用学院域名并进行登记备案。对于特殊用途使用非学院域名或在非校园网环境中建设的各类信息系统,需经图书信息中心审核后单独备案。

第八条 各单位、各部门制作信息系统项目及预算时,须包含网络与信息安全内容及专项经费,用于信息系统的安全建设及运维。

第九条 各单位、各部门信息化建设(含服务类)网络产品、服务应当符合相关国家标准的强制性要求,信息系统上线前须开展安全自查工作,提供安全自查报告,参照教育部《教育行业信息系统安全等级保护定级工作指南(试行)》(教技厅函〔201474号)向图书信息中心备案所属信息系统,网络安全等级二级以上的信息系统须由图书信息中心统一向自治区公安厅进行备案,并由图书信息中心依法依规组织完成测评、整改。新开发的信息系统须经过第三方安全检测机构检测并出具检测报告。未进行备案或测评不通过的信息系统不允许接入校园网。

第十条 学院所有涉密计算机一律不准接互联网,要做好物理隔离措施。连接互联网的计算机不得存储涉及国家秘密、学院内部机密的文件。

第十一条 各单位、各部门建设的信息系统,涉及学院基础数据、师生员工个人信息或敏感信息的信息系统,原则上不得部署在校外,需在校外开办信息系统的单位或部门,应到图书信息中心办理备案手续。部署在校外的信息系统,安全监管责任主体为主办单位或部门,各信息系统应指定专人管理数据,管理人员定期制作数据备份并异地存放,确保系统一旦发生故障时能够快速恢复,备份数据不得更改。备份数据必须定期、完整、真实、准确,并要求集中和异地保存,保存期限至少2年。

第十二条 收集、使用师生数据需经被收集者的同意,不可收集与其服务无关的个人信息,大规模收集生物特征识别数据(如人脸、指纹)等需经学院网信领导小组同意。原则上不允许通过第三方采集、记录师生敏感信息。第三方使用校内数据应与学院签订数据用途和保密协议。

第四章 网络与信息安全运维管理

第十三条 各单位、各部门要按照国家及学院有关规定,严格信息发布审核制度,未经审核的信息内容不得发布。凡涉及国家机密的信息严禁上网。

第十四条 加强交互式栏目管理,实行内容发布审核制度,落实板块负责制。交互式栏目应具备IP地址、身份登记和识别确认功能,没有合法手段和不具备条件的电子公告服务要立即关闭。

第十五条 各单位、各部门应建立信息系统运维制度,须定期对所属信息系统开展安全巡检,并做好巡检记录。对院外开放的网站或信息系统,要求每周巡检一次,对院内开放的网站或信息系统,要求每月巡检一次。

第十六条 各单位、各部门须定期对所属信息系统进行漏洞修补,包括主机系统漏洞、WEB应用漏洞、中间件漏洞、数据库漏洞等,对本单位、本部门使用的主要服务器须安装防火墙软件系统及防病毒软件并定期进行升级,保证设备的正常、安全运行。

第十七条 学院将定期对全院的网站及信息系统开展安全检查,检查不合格的网站或信息系统,视其漏洞级别暂停其外网访问,同时通知责任单位限期整改,要求提供整改报告并提交图书信息中心。经安全复查合格后,方可恢复该网站或信息系统的正常访问。

第十八条 任何单位、部门和个人都要严格遵守国家有关法律法规和学院有关管理规定,不得利用校园网从事下列活动:

(一)查阅、复制或传播煽动分裂国家、破坏国家统一和民族团结,推翻社会主义制度,反对中国共产党领导;煽动抗拒、破坏宪法和国家法律、行政法规的实施;捏造或者歪曲事实,故意散布谣言,扰乱社会秩序;公然侮辱他人或者捏造事实诽谤他人;宣扬封建迷信、淫秽、色情、暴力、恐怖等行为。

(二)破坏、盗用计算机网络的信息资源,危害计算机网络安全活动。

(三)利用接入计算机安装病毒、黑客软件,攻击其它联网主机,散布黑客软件、病毒和其它非法软件。

(四)非法对校园网网站、信息系统进行篡改、设置、删除等操作。

(五)蓄意破坏校园网基础设施,危害计算机网络安全活动。

(六)不允许使用校园网自行建立或者使用其他信道进行国际联网。

第十九条 图书信息中心执行24小时值班制度,实时进行网络安全监测。特殊时期,各单位、各部门须加强网站及信息系统的安全监管工作,安排专人值守,做到安全事件早发现、早报告、早控制、早解决。加强安全巡检,做好安全整改。

第二十条 图书信息中心负责不定期发布网络安全监测预警信息。各单位、各部门应做好网络与信息安全事件的风险评估和隐患排查工作,制定完善相关应急预案,及时采取有效措施,避免和减少网络与信息安全事件发生。

第二十一条 网站及信息系统软、硬件不在图书信息中心数据中心统一存放和管理的,网络安全的一切事由均由使用单位或部门负责。

第五章 安全事件应急响应管理

第二十二条 制定并落实《学院网络安全突发事件应急预案》,明确网络安全事件的分类分级、应急处置和事件报告流程,定期开展安全应急演练。

第二十三条 各单位、各部门须制定本单位、本部门的网站及信息系统安全应急预案,并定期开展安全应急演练。

第六章 保障措施

第二十四条 建立网络与信息安全管理专职队伍和技术支撑队伍,落实岗位责任制。

第二十五条 制定网络与信息安全培训规划,开展面向全院的普及性培训,加强管理和技术人员的专业培训,逐步试行管理和技术人员持证上岗。

第二十六条 组织开展网络与信息安全法律、法规和政策的宣传教育。充分利用网络安全周等各种活动形式和传播媒介,开展网络与信息安全基本知识和技能的宣传活动,提高师生的网络与信息安全意识。

第二十七条 建立稳定的网络安全与信息安全经费投入机制,支持信息安全等级保护、安全防护能力建设、信息安全服务、人员培训等。

第七章 责任追究

第二十八条 由下列情形引发网络与信息安全事件的,由信息系统所属单位或部门负责,并由相关部门进行责任追究:

(一)未经图书信息中心审批备案的信息系统;

(二)未进行等级保护备案或测评不通过的信息系统;

(三)信息系统软、硬件不在学院数据中心统一存放和管理;

(四)未按照要求修补信息系统漏洞;

(五)未制定本单位本部门业务系统应急预案;

(六)出现师生个人数据或敏感信息泄露。

第二十九条 由下列情形引发网络与信息安全事件的,由个人和所在单位或部门负责,并由相关部门进行责任追究:

(一)未经登记私接或盗用其他用户上网信息接入校园网;

(二)违法违规使用校园网。

第八章 附则

第三十条 涉密网络信息系统的运行安全保护工作不适用本办法。

第三十一条 本办法自2022年3月1日起施行,由学院网信领导小组负责解释。原《内蒙古商贸职业学院网络信息安全管理制度》(内商职院办字〔2018〕32号)同时废止。