江苏财会职业学院网络与信息安全管理办法 (试行)
第一章 总则
第一条 为贯彻落实国家、省、市关于网络与信息安全工作的重要精神和决策部署,提高学校网络与信息安全防护能力和水平,防止网络与信息安全事件的发生,根据《教育部关于加强教育行业网络与信息安全工作的指导意见》(教技〔 2014〕 4 号)、《中华人民共和国网络安全法》等有关法律法规和上级有关文件的要求,结合我校实际,特制定本办法。
第二条 学校网络与信息安全,包括校园计算机网络(以下简称校园网络)与基于校园网络面向终端使用者提供信息和交流服务的各类信息系统(含网站、应用系统、微博、微信公众号、移动设备app、校园led显示屏以及论坛、贴吧、留言板等公共交流服务平台等)的运行安全和信息内容的安全,确保合法合规、积极健康。
第三条 按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”和“分级管理、逐级负责”的原则开展网络与信息安全管理工作。学校网络与信息安全工作领导小组统筹管理指导全校网络与信息安全工作。各部门内部相应成立网络与信息安全工作小组,其主要负责人为第一责任人,并指定专人担任安全管理员。
第四条 宣传部负责全校网络信息内容与网络舆情的监控和管理,统筹学校网络与信息安全应急响应工作。部门应自觉维护网络意识形态安全,把握正确的舆论导向,加强正面宣传引导,传播主旋律、正能量;推进信息公开,严格信息发布管理;强化常态化舆情监测预警,定期研判分析本部门信息发布、新闻宣传的情况和问题。
第二章 工作机制
第五条 实行网络与信息安全工作责任制,各部门逐级签订网络与信息安全责任书。实行网络与信息安全监测预警与信息通报制度、网络与信息安全事件限期整改制度、网络与信息安全事件上报制度。重要时期网络与信息安全工作按相关文件要求执行。
第六条 各部门应当定期对网络用户进行网络与信息安全教育,学校定期组织网络与信息安全培训,不断提高领导干部、管理人员、技术人员与教师的安全意识。与负责学籍信息、教师人事信息、门户网站信息发布等重点岗位的人员签订岗位责任书,与外包网络及信息服务的企业及个人须签订相应的安全责任协议,杜绝信息外泄。开展学生网络与信息安全教育,提高学生识别不良网络信息的能力,培养学生良好的媒介素养,引导学生树立科学健康的用网习惯,在使用网络时自觉遵守相关法律规范。
第三章 网络安全管理
第七条 智慧校园负责学校网络信息中心机房设备及系统日常管理和维护。做好机房控温、防湿、稳压、接地、防雷、防火、防盗等措施,定期检查设备是否正常,保证网络及核心设备的安全稳定运行;做好自主运维服务器、数据存储、网络等设备的安全防范工作,减少不必要的端口开放;做好数字化校园平台及各业务系统的运行监测及防病毒、防入侵等安全防范工作。
第八条 任何人不得擅自修改校园网规划的ip地址及网络设置,不得盗用ip地址及用户账号。接入网络的所有用户必须实名登记认证,使用上网行为管理设备进行管控,并按照规定留存相关的网络日志不少于六个月。
第九条 各部门应当保护好网络设备和线路,未经允许不准个人擅自改动网络接线,不准个人私自添加无线网络设备,如需添加必须向学校智慧校园中心做好相应的地址及人员使用备案,且设置强密码认证功能,不准擅自将无线密码外借。
第十条 各部门自主运维服务器系统及各类网络服务系统的系统日志、网络运行日志、用户使用日志等均应严格按照保留至少六个月的要求设置。
第四章 信息系统安全管理
第十一条 各部门新建信息系统须向学校上报,并保证安全技术措施同步规划、同步建设、同步使用。已建信息系统应当按国家等级保护标准定级或整改,并到学校智慧校园中心备案,定期修改管理密码,留存安全审查日志。对关键信息基础设施要进行重点保护,每年至少进行一次检测评估。
第十二条 各部门要规范和加强门户网站信息发布管理,严格保密审查工作,严防泄密事件发生。各部门对开办的网站、微信、微博、移动设备app等信息发布平台,应当按规定进行备案,并制订专门的管理办法。建立并严格执行先审核后发布工作制度,指派专人对文字和图片信息进行审核,坚持团结稳定鼓劲、正面宣传为主的基本方针,不得发布不利于社会稳定、校园稳定、未成年人健康成长及易造成社会负面影响的不良信息。各部门门户网站不得链接企业网站,不得发布商业广告,不得在网页中设置或植入任何商品、商业服务的二维码。
第十三条 各部门应当加强因工作和教学需要通过网络建立的各类交流群、社区、圈子的使用管理,明确责任人,制定值守制度,做好舆情的引导与监督。信息系统中提供有交流功能的论坛、社区、圈子等必须设置严格管理制度并有专人管理。
第十四条 学校与各部门自建或通过其它方式使用的云服务、大数据应用等信息系统,应当优先考虑各类数据信息的安全,对掌握的教育信息及相关数据,不得用于商业用途。
第五章 数据信息安全管理
第十五条 各部门在教育管理活动中收集、使用各类数据,应当遵循合法、正当、必要的原则,明示收集或使用信息的目的、方式和范围,并建立信息收集、存储、使用、共享等及其相关活动的工作流程和管理制度,推进对重要数据的加密存储和传输,做好容灾备份。
第十六条 各部门应当对掌握的个人电子信息严格保密,不得以电子表格、文档等形式发布师生的身份证号、联系电话、家庭具体住址等信息,不得泄露、篡改、毁损、出售或者非法向他人提供个人电子信息。其它有关部门和个人提取师生个人电子信息应当严格履行审批手续。
第十七条 各部门各类信息系统中开设的账户和密码为个人用户所拥有,不得向任何单位和个人提供。校园网内的平台系统、应用工具及信息数据要实施保密措施。
第十八条 学校与各部门使用上级教育资源公共服务平台、教育管理公共服务平台等各类教育行政部门统一建设或使用平台的管理员账户、密码需要进行妥善保管,且初始密码必须进行修改,采用强口令。管理人员使用平台必须注意必要的设备安全防护以及重要信息数据的保护,谨防数据、密码、地址类信息的外泄。
第六章 个人用户安全规范
第十九条 确保每台计算机上安装防病毒软件,做好防病毒措施,及时升级杀毒软件和更新系统补丁,及时向学校智慧校园中心网络管理员报告计算机病毒感染、非法访问、可疑应用等异常情况。
第二十条 使用正版软件服务,严禁使用来历不明、引发病毒传染的软件或文件;对于外来光盘、u盘、移动硬盘上的文件应当使用合格的杀毒软件进行查杀毒。
第二十一条 做好个人手机应用的安全应用及防护,针对公共使用的平板电脑或终端设备做好定期安全扫描及病毒防护检查。
第七章 应急处置
第二十二条 在学校网络与信息安全应急预案基础上,各部门应当制定部门网络与信息安全应急预案,明确应急处置流程和权限,并定期组织演练,提高网络与信息安全应急处置能力。
第二十三条 各部门在收到网络与信息安全事件通报或发生安全事件后须立即启动应急预案,采取有效措施降低损害程度,防止事件扩大,第一时间向学校学校网络与信息安全工作领导小组报告,并配合相关部门妥善处理。各部门对上级网信部门和有关部门依法实施的监督检查应当予以配合,对反馈的问题要及时处理并上报。
第八章 附则
第二十四条 涉及国家秘密信息的网络与信息系统的运行安全保护,除应当守本办法外,还应遵守保密法律、行政法规及相关管理办法的规定。
第二十五条 本办法由学校网络与信息安全工作领导小组负责解释。
第二十六条 本办法自发布之日起实施。