海南师范大学网络与信息安全管理办法

发布者: 发布时间:2019-03-14来源:

海南师范大学网络与信息安全管理办法

 

第一章 总则

 

第一条 为全面加强我校网络与信息安全管理,保证我校网络与信息系统持续稳定可靠运行,保证我校网络与信息内容的保密、完整和健康,防范各种网络攻击和破坏行为,根据国家有关法律法规和学校相关规定,特制订《海南师范大学网络与信息安全管理办法》,以下简称本办法。

第二条 网络与信息安全包括支持我校教学、科研、管理和服务等工作的各类管理信息系统、业务应用系统、媒体资源数据库、各级网站,以及网络基础设施等所涉及的硬件基础、软件系统和信息内容的安全。

 

第二章机构与职责

 

第四条 学校成立网络安全与信息化领导小组,党委书记任组长,校长任副组长,成员由相关部门负责人组成。网络安全与信息化领导小组为我校网络与信息安全的领导决策机构,全面负责我校网络与信息安全工作。

第五条 党委宣传部负责规范全校师生的网络安全行为,负责对校内各网站和论坛(BBS)等相关系统的发布内容进行审核和舆情监控。学校各单位需设置专人负责本单位信息发布工作,并严格控制发布权限。各单位主要负责人对本单位发布的信息负责。

第六条 信息网络与数据中心为我校网络与信息安全总体技术负责单位,负责学校信息化安全项目建设,信息化基础设施和管理系统的日常运行及技术服务,保障学校网络技术和信息安全等工作。

第七条 学校各单位(含各部门、院、系、所和中心)负责本单位各类网络信息系统的安全。各单位主管领导为网络安全第一责任人,主抓本单位网络信息系统的安全工作,同时要委托技术能力可以胜任的专人或单位负责具体网络安全工作。

 

第三章 安全管理

第八条 设计安全

(一)网络信息系统的规划与设计必须满足安全运行和信息保密的需要。

(二)网络信息系统建设过程中,必须同步设计和实施网络与信息安全系统。

(三)学校各单位建设的网络信息系统需要在设计阶段,将设计安全向信息网络与数据中心出具书面说明,信息网络与数据中心需要给出评审结论。

第九条 系统安全

(一)信息网络与数据中心对全校系统安全平台负总责,提供平台级总体系统安全保障,并对全校信息系统定期进行安全检查。

(二)学校各单位对其建设、管理和应用的网络信息系统安全负责,提供相关安全保障措施,并定期自查。

(三)网络信息系统所采用的网络和信息安全产品,必须有国家认可的相关机构的测评认证,并履行相关的审批手续。

(四)网络信息系统相关的网络设备、服务器设备、网络操作系统、数据库管理系统在安装调试完毕后,必须有准确无误的系统安装、配置文档。学校各单位负责管理相关文档,并提交信息网络与数据中心进行备案。

(五)学校各单位应对本单位网络信息系统的技术文档、资料、程序代码等进行集中管理,同时报送信息网络与数据中心进行备案。

(六)学校各单位应定期修改本单位网络设备和系统的系统口令和管理口令,在修改和调整网络设备和系统的各类配置后,要及时、准确地做好操作记录,妥善保管文档, 同时将更新文档提交信息网络与数据中心进行备案。

(七)学校各单位应定期检查本单位设备和系统的漏洞,及时升级系统和安装补丁程序,消除系统和设备的潜在安全隐患。

第十二条 应用安全

(一)信息网络与数据中心负责统一管理和分配学校网络资源,包括IP地址、域名、存储空间、虚拟服务器等。

(二)学校各单位使用网络资源需要向信息网络与数据中心提出申请并备案,未经授权不得私自占用相关资源。

(三)学校各单位应确保本单位系统的用户访问权限分配合理,用户账号和口令设置安全,并具有可管理性。

(四)全校师生员工不得进行任何干扰网络运行和使用的行为,包括但不限于:私自修改网络配置参数,非法访问和盗用网络系统的信息资源,利用黑客工具和其他专用工具软件对网络系统进行攻击,其他干扰网络运行的行为,国家法律、学校规章禁止的行为等。

第十三条 数据安全

(一)信息网络与数据中心负责制订全校范围内数据安全的标准和规范。

(二)学校各单位负责本单位网络信息系统的数据安全,具体包括数据存储安全和使用安全,保证数据的完整性、机密性和可用性。

(三)学校各单位要对本单位网络信息系统建立一套完善的数据备份和数据恢复整体方案。重要数据至少采用两种以上不同的数据备份方法和技术手段,对数据进行妥善备份。

(四)学校各单位要根据自身数据的保密规定和用途,确定使用人员的存取权限、存取方式和审批手续。使用重要数据时,应严格按国家保密规定控制转借或复制。

第十四条 内容安全

(一)涉密信息系统计算机禁止与互联网或其他公共信息网络连接。

(二)禁止使用互联网(包括但不限于邮箱、即时通信工具、社交网络工具等)处理、传递、转发涉密或敏感信息。

(三)学校各单位通过网络信息系统向网络发布信息时,应确保信息的真实有效,并采取身份鉴别、访问控制等防护技术措施。

(四)学校各单位的网络信息发布工作应由该单位主管领导分管,专人负责执行,并做到先审查后发布。学校各单位主管领导对本单位所发布的内容负责。

(五)全校师生员工应当遵守各种相关法律法规,不得制作、复制、发布和传播违反相关法律法规的内容。

第十五条 防病毒安全

(一)信息网络与数据中心负责提供全校的病毒防范措施。

(二)学校各单位所属网络信息系统要具备防病毒能力,保证网络杀毒软件的及时自动更新,及时检查和跟踪网络杀毒软件的运行效果。

第十六条 安全培训

(一)信息网络与数据中心定期开展网络安全培训,通过普及网络信息系统安全知识,提高安全防范意识。

(二)全校各单位要积极参加网络安全培训,并对本单位教职工和学生进行网络安全知识宣传,提高网络安全防护水平。

第十七条 安全应急处理

(一)网络安全事件包括但不限于:网络突然发生中断,如停电、线路故障、网络通信设备损坏等;网站与信息系统等受到黑客攻击,篡改并发布反人类、反政府、反党、涉黄、涉爆力等非法信息;服务器被非法侵入,数据被非法拷贝、修改、删除,发生泄密事件等。

(二)加强网络安全突发事件的快速反应,对突发的信息网络安全事件应做到:

(1)及时发现、及时报告,必要时报告至学校主管领导。

(2)保护现场,立即与网络隔离,防止影响扩大。

(3)及时取证,分析、查找原因。

(4)消除有害信息,防止进一步传播,将事件的影响降到最低。

(5)在处置有害信息的过程中,任何单位和个人不得保留、贮存、散布、传播所发现的有害信息。

第十八条 责任追究

(一)对存在网络安全隐患和安全漏洞的网络信息系统,信息网络与数据中心将对其进行关停,并责令其限期整改。

(二)对于违反本管理办法的学校各单位和个人,信息化建设管理处将协同学校有关部门共同查处,并由相关部门根据国家和学校相关规定做出处罚决定。