第一章总则
第一条为进一步加强学院网络与信息安全的管理,规范网络与信息系统的维护和使用,全面提高网络系统安全防护能力,促进学院校园网的健康发展,根据《中华人民共和国网络安全法》《中华人民共和国计算机信息系统安全保护条例》《关于加强教育行业网络与信息安全工作的指导意见》《教育部关于对校园网有害信息专项清理整治工作的实施意见》以及国家有关法律、法规对互联网安全管理的要求,特制定本管理制度。
第二条校园网是由学院建设,为教学、科研和行政管理提供服务的计算机信息网络,是教学、科研、管理现代化的基础设施之一。凡接入校园网的计算机系统、信息服务系统、部门用户和个人用户,均适用本制度。
第三条任何单位及个人不得利用校园网危害国家安全、泄露国家秘密,不得侵犯国家、社会、集体利益和个人的合法权益,不得从事违法犯罪活动。
第四条任何单位和个人不得从事危害校园网的活动,不得入侵信息系统服务器和工作站。
第二章管理机构和职责
第五条贵州轻工职业技术学院网络安全和信息化工作领导小组是学校的网络信息安全工作负责机构,是贵州轻工职业技术学院网络信息安全事故应急处置的指挥决策机构。办公室设在信息中心,负责日常工作。学院其他部门应按照规定的职责范围配合网络安全和信息化工作领导小组做好校园网安全管理工作。
第六条党委宣传部是负责理论武装、新闻宣传、思想政治教育、校园文化建设等工作的职能部门,负责与学校有关网络信息内容的监督和监控。信息中心是校园网建设和管理的具体实施机构,负责校园网日常运行、管理和维护,同时为校园网络和信息安全提供技术支持和保障。保卫处负责网络信息安全事件的强制处置以及与公安部门的联络协调。
第七条学院各部门党政负责人为本部门网络和信息安全工作的第一责任人,并在部门内指定一名网络安全管理员。部门党政负责人和网络安全管理员负责本部门内的网络及信息安全管理工作,对本部门所建设的应用系统、网站、网页、交互式栏目等进行管理和检查,若发现有害信息应及时予以删除。
第八条党委宣传部、信息中心负责对学校信息系统使用情况进行监督、检查。对于存在安全隐患的信息系统,信息中心有权停止对其提供网络及信息服务。
第三章 网络信息安全管理
第九条各部门应按照国家信息系统等级保护制度的相关法律法规、标准规范来落实信息系统安全等级保护制度。
第十条校园网络由信息中心负责统一规划、建设、运行、维护和管理,任何部门和个人不得擅自接入校园网。凡要求入网的部门和个人必须办理入网开户申请。
第十一条为确保校园网的安全正常运行,任何部门和个人在未经允许的情况下,不得擅自安装、拆卸、挪用或改动校园网的各种网络设施和设备,校园内的施工和建设活动不得破坏校园网的基础设施。
第十二条任何部门和个人不得以任何方式试图对信息系统服务器等网络设备进行设置、更改、删除,不允许在校园网上进行任何干扰网络用户、破坏网络服务、破坏网络设备的活动。
第十三条访问互联网只能使用信息中心分配的帐号,一个上网帐号仅供提出帐号申请人本人使用,任何部门和个人不得对他人的帐号及口令进行侦听、盗用。
第十四条严禁擅自在校园网上发布重要信息或发布不良信息。信息提供者应对所提供的信息的真实性负责。凡涉及国家秘密和学院涉密资料、师生隐私的信息不允许网上发布。
第十五条部门负责人应对本部门计算机和校园网的安全使用负责。各部门指定一名网络安全员,承担部门具体的安全管理工作。
第十六条使用部门应建立健全网络信息安全管理制度,如信息安全保护制度(保障数据安全)、安全操作制度(规定计算机系统的操作权限和安全操作规程)等,以确保校园网的安全使用。
第十七条严禁在校园网上使用来历不明、可能引发计算机病毒感染和传播的软件。对于来历不明、可能携带计算机病毒的软件,应使用正规的安全防护软件进行检查,确定安全方可使用。
第十八条校园网上的信息资源可按以下保密等级进行分类:
(一)可向Internet公开的;
(二)可向校内公开的;
(三)可向本系(部门)公开的;
(四)可向有关部门或个人公开的;
(五)仅限于个人使用的。
根据保密等级实行信息的安全等级保护(指访问、浏览、更新、修改等操作权限和范围)。
第十九条对于共用联网计算机的使用要严格管理;公共机房严格使用上网帐号访问互联网,由机房管理员或任课教师作好上网记录。公共机房的网络使用记录至少要保存半年。
第二十条为了有效防范网上非法活动,校园网统一出口和用户管理。访问互联网的所有用户必须使用信息中心分配的上网帐号,各部门一律不得另外开设校园网出口;确有必要单独设立网络出口,需经分管院领导批准,报信息中心备案。
第二十一条任何部门和用户不得在校园网上发布不真实的信息,散布计算机病毒,利用网络对他人进行人身攻击或侵犯他人的正当权益。
第二十二条不得利用网络从事危害国家安全、泄露国家秘密、破坏民族团结、扰乱社会秩序等违法犯罪活动,不得制作、查阅、复制和传播有碍社会治安和有害的信息,不得损害国家机关和学院的声誉和信誉。如被动收到此类信息,严禁扩散,应及时上报网络安全和信息化工作领导小组。
第二十三条严禁盗用他人帐号、攻击他人邮箱及查阅他人的私人信息。
第二十四条严禁泄露可能对校园网安全构成威胁的信息(包括管理员帐号、教职工上网帐号及密码等)。
第四章网络安全人员管理
第二十五条网络安全员签订网络安全与保密协议。
第二十六条网络安全员离岗离职时,收回其相关权限,签署安全保密期限承诺书。离岗人员需主动将信息中心提供的信息处理设备以及身份类证件、钥匙、徽章等有关身份标识等资产归还。
第五章网络安全教育培训
第二十七条信息中心应定期开展网络安全培训,普及网络安全法律、法规及基本的防护技能,提高全院师生网络安全意识,增强守法观念,加强网络安全技术水平。
第二十八条各部门应积极配合信息中心的网络安全工作,积极参加各种网络安全培训活动。
第六章外包服务管理
第二十九条外包服务安全管理遵循关于安全的所有商业准则及适当的外部法律法规。
第三十条与信息技术外包服务提供商签订网络安全与保密协议,或在服务合同中明确网络安全与保密责任,需指定专属服务人员,并对服务人员进行安全保密教育,非必要原因不得更换专属服务人员。
第三十一条外包服务方的人员素质、技术与管理水平能够满足承担项目的要求,进行相应的安全资质管理。
第三十二条安排专人负责信息系统安全,进行日常信息安全监测、维护。
第三十三条定期对外包服务信息系统的安全状况进行评估。
第三十四条使用外包服务方的设备或开发的系统、软件,对其进行必要的安全检查。
第三十五条在重要安全区域,对外包服务方的访问进行风险控制。
第七章运维管理
第三十六条各部门应准确掌握本部门信息系统建设情况,建立信息系统名录,做到底数清、情况明;严格执行单位信息安全管理措施,切实落实责任,规范建设、运维、使用等各个环节。
第三十七条各部门和个人,要对自己所管理的数据安全负责,保证数据安全,防止数据泄漏。
第三十八条信息系统建设情况、系统安全和数据安全由信息中心负责掌握和保证安全,制定重要数据库和系统主要设备的容灾备案措施,各部门配合完成相关工作要求。记录并保留至少60天系统维护日志。各部门网络安全管理员和个人要妥善保管好账号和密码,定期更新密码,防止密码外泄。
第三十九条各部门要规范信息维护、信息管理、运行维护等方面的工作流程和机制,指定专人负责系统运行的日常工作,做好用户授权等管理服务工作。
第四十条建立完整的计算机运行日志、操作记录及其他与安全有关的资料。
第四十一条加强技术资料管理,重要技术资料应有副本并异地存放。
第四十二条定期对重要设备进行清洁、检查、调整,防止早期损坏,延长各零部件使用寿命,避免运行中设备发生故障。应授权信息中心定期备份应用系统和数据库,防止自然或非自然丢失。
第八章其他
第四十三条应根据国家有关规定选择经过权威部门测评或认证的网络安全设备。
第四十四条违反本条例规定,给学院、他人财产造成损失的,应当依法承担相应的责任。
第四十五条凡有下列行为之一者,信息中心可对其提出警告,停止其使用网络,报网络安全和信息化工作领导小组进行处理:
(一)利用网络传递不利于国家安定团结的信息
(二)利用网络宣扬封建迷信、暴力、凶杀、恐怖等
(三)查阅、复制或传播淫秽、色情资料
(四)捏造或歪曲事实,散布谣言,侮辱或诽谤他人,扰乱校园秩序
(五)破坏、盗用网络信息资源,从事危害网络信息安全的活动
(六)蓄意制作、传播计算机病毒等破坏性程序
(七)盗用他人上网帐号及密码,或私自转借、转让上网帐号并造成危害
(八)违反学院有关规定,私自联网,对学院造成一定损害
(九)对已发生的计算机信息系统安全事故隐瞒不报,造成事故或恶劣影响
(十)有危害网络信息安全的其他行为
第四十六条触犯法律法规的,将移交司法、公安部门处理。
第九章附则
第四十七条本制度由学院网络安全和信息化工作领导小组负责监督实施。
第四十八条本制度由学院网络安全和信息化工作领导小组负责解释。
第四十九条本制度自印发之日起实施。