為提高學校網絡與信息技術安全防護能力和水平,保證學校網絡與信息技術安全工作順利進行,保障學校各項事業健康有序發展,根據《中華人民共和國網絡安全法》《信息安全技術-網絡安全等級保護基本要求》(GB/T 22239-2019)等精神,結合學校實際,制定本辦法。
第一章 總則
第一條本辦法適用于校內單位建設或管理,服務于我校教學、科研和管理的校園基礎網絡、信息系統和教學系統、媒體資源系統、網站以及其它相關基礎設施涉及的硬件、軟件和信息,為防止發生信息化相關的網絡攻擊、有害程序入侵、信息破壞和竊取等發生而開展的預防和整治工作。
第二條按照“誰主管誰負責、誰運維誰負責、誰使用誰負責”的原則,建立健全網絡與信息技術安全責任體系,學校各單位、全體師生員工應依照本辦法要求及學校相關標準規范,履行網絡與信息技術安全的責任和義務。
第二章 組織機構與職責
第三條學校網絡安全與信息化工作領導小組統一領導全校網絡和信息安全工作,統籌制定網絡和信息安全發展戰略,研究解決網絡和信息安全重要問題。學校網絡安全與信息化工作領導小組辦公室設在黨委宣傳部、現代教育技術中心,負責網絡與信息安全監督檢查工作,組織信息安全宣傳和教育培訓工作,擬定網絡與信息安全管理規章制度,制定網絡與信息安全總體規劃,并組織實施。
第四條黨委宣傳部負責學校信息的統一發布和網站類相關事務及網站群管理,并對校內各網站和平臺等相關系統的內容進行審核和輿情監控。現代教育技術中心負責學校數據中心機房、校園基礎網、數據中心、公共服務平臺及校園一卡通的安全技術保障。
第五條學校各單位是本單位網絡和信息安全工作的責任主體,各單位主要負責人是本單位網絡和信息安全工作第一責任人,對本單位建設、使用的信息系統和網站安全負責。各單位負責建設、維護本單位業務和應用系統及配套數據庫;并對系統安全、數據安全及所申請的共享數據的安全負責。
第三章 安全管理
第六條設計安全
(一)網絡信息系統的規劃與設計必須滿足安全運行和信息保密的需要。
(二)網絡信息系統建設過程中,必須根據學校已有安全架構、技術規范和設施,同步設計和實施網絡與信息安全系統。
第七條校內各單位負責本單位應用系統的權限管理及安全,建設面向師生服務的應用系統時,要根據統一身份認證系統的技術規范和安全標準進行認證集成。
第八條全校各單位依托校內公共服務平臺實施本單位信息化建設(包括應用系統或網站),需要使用校外云服務的須報學校網絡安全與信息化工作領導小組辦公室進行安全評估;嚴禁使用設置在境外的云服務。涉及學校基礎數據、師生個人信息或敏感信息的應用系統和網站,原則上禁止放置在校外云平臺(含云計算平臺)。
第九條擬上線系統和平臺應主動接受安全檢測和評估,符合技術規范并通過檢測的系統方可準許上線運行。
第十條信息系統和應用安全管理
(一)以學校和校內單位名義新建信息系統、網站和應用,在建設開始前須向學校網絡安全與信息化工作領導小組辦公室備案,明確安全管理員,建設過程必須符合學校相關部門規章制度要求,建設完成并通過安全技術檢查作為項目驗收的條件之一。
(二)建設單位負責本單位信息系統、應用和網站的相關平臺、系統、數據庫的賬號、密碼安全,負責所建信息系統或網站的總體安全。
(三)信息系統、網站和應用的建設單位根據《網絡安全等級保護標準》負責所建信息系統、網站和應用開展網絡安全等級保護工作。
(四)現代教育技術中心對新建信息系統、網站和應用進行上線前安全檢查、評估。配合建設單位完成網絡安全等級保護測評工作。
(五)師生負責本人統一身份認證、學校郵箱、校園一卡通等校內信息系統的帳號、密碼安全。
第四章 應急管理
第十一條學校網絡安全與信息化工作領導小組辦公室負責學校信息安全應急工作的統籌管理,現代教育技術中心負責信息安全應急工作的技術執行。
第十二條學校各單位或師生員工均有義務及時向黨委宣傳部和現代教育技術中心報告信息安全事件,不得在未授權情況下對外公布、利用所發現的安全漏洞或安全問題。
第十三條當遭受攻擊和頁面篡改等嚴重安全事件時,現代教育技術中心有權在未告知的情況下,先行采取有效措施扼制侵害的發生。
第五章 附則
第十四條機房、校園網、信息化數據、校園一卡通、網絡媒體等安全管理遵守學校相關部門規章制度。
第十五條本辦法自發布之日起實施,由學校網絡安全與信息化工作領導小組負責解釋。
當前位置:
