第一条 为保障校园网络与信息安全,促进校园信息化应用,并推动学校教育事业顺利发展,依据《教育部关于加强教育行业网络与信息安全工作的指导意见》(教技[2014]4号)、《中华人民共和国网络安全法》以及《信息安全技术网络安全等级保护》等国家有关法律、法规对网络与信息技术安全管理的要求,并结合我校实际情况制定本管理办法。
第二条 在陕西机电职业技术学院校园范围内建设、运营、维护和使用,网络信息化基础设施、网站及信息系统;在互联网上以陕西机电职业技术学院名义建设、运营、维护和使用网站及信息系统;和网络信息安全的监督管理,适用本办法。
第三条 陕西机电职业技术学院任何组织或个人,不得利用网络及计算机信息系统从事危害国家利益、学校利益和师生合法利益的活动,不得危害校园网络及信息系统的安全。
第二章 管理机构及职责
第四条 陕西机电职业技术学院网络安全与信息化工作领导小组,是负责统筹学校网络安全与信息化工作的领导机构,负责学校网络安全与信息化建设的统筹规划、协调部署、重大问题的决策和监督检查。领导小组办公室设在科研信息处,负责日常管理工作。
第五条 陕西机电职业技术学院科研信息处下设网络信息中心是学校信息化建设的管理和执行机构,负责学校信息化建设总体规划、年度计划的制定和实施,负责组织学校信息化项目的立项审批和建设经费管理,负责全校信息化公共基础设施、基础平台及公共资源的建设、管理与运行维护,负责为学校各单位信息化建设提供技术支持。
第六条 陕西机电职业技术学院网络信息安全工作由信息技术安全和信息内容安全两部分组成。网络信息中心牵头负责信息技术安全工作。党委宣传部牵头负责信息内容安全工作。网络信息中心牵头负责信息技术安全工作,是信息技术安全工作的管理和技术支撑单位。联系党政办公室、保卫处等相关部门,统筹信息系统(含网站)和信息技术安全事件的报告、处置与通报工作;组织开展网络安全检查和培训;建立健全信息技术安全防护体系;组织开展网络与信息系统等级保护定级、备案与测评工作;负责统筹学校网络信息基础设施、公共信息服务平台和应用信息系统的建设、运维与安全管理工作;管理陕西机电职业技术学院电子邮件系统,规范用户注册和账户管理(详见《陕西机电职业技术学院邮件系统管理办法》);管理陕西机电职业技术学院域名系统,规范域名注册及管理(详见《陕西机电职业技术学院校园网站及域名管理办法》)。联系发展规划处,统筹和审核学校教育教学办学综合统计数据的采集、传输、存储、发布和使用,建立数据中心数据灾备解决方案,确保数据安全。(详见《陕西机电职业技术学院数据共享与安全管理办法》)党委宣传部牵头负责信息内容安全工作。负责学校门户网站统筹管理,审核门户网站的信息发布、转载和链接内容;负责学校新媒体内容管理及学校网络舆情监控、引导。
第七条 学校各单位主要负责人为本单位网络与信息安全工作的第一责任人,负责制定本单位信息化建设规划,组织本单位信息化项目立项申报,监督项目建设、使用、维护,负责本单位信息化项目的信息安全工作,按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,落实本单位建设的信息系统(含网站)的安全责任。
第八条 各单位应明确专门网络信息安全管理人员,负责本单位信息化项目的建设、管理、培训和维护,负责本单位信息安全工作的具体实施,负责学校信息化应用的宣传、推广,配合网络信息中心及其他单位完成学校信息化建设中相关工作。
第九条 安全等级登记备案。校属各单位主办的各类网站及信息系统,应统一向网络信息中心登记备案,并配合网络信息中心完成向教育部及公安部门的信息安全等级保护定级备案。信息系统等级备案的信息包括但不限于信息系统名称、主办/主管单位、责任人、安全保护等级、技术管理员、服务器放置地、数据库类型、开发商、域名、IP 地址、开放端口、运行有效期等。校内网站和信息系统的备案信息发生变动时,管理员应主动报告并修订备案信息。
第十条 系统上线安全审查。校内网站与信息系统在投入使用前应向网络信息中心提交备案材料,申请上线发布。对于存在安全风险的系统不予上线,修改后重新申请。申请上线的系统应标明系统的使用期限,对于短期使用的网站和信息系统,在使用期限到期后将自动关闭。
第十一条 安全监测评估。网络信息中心对校内网站和信息系统进行日常安全管理,根据网站和信息系统的安全防护级别,定期进行安全扫描和风险评估,并将评估报告发送给管理员。对于存在高风险的网站和信息系统,将停止其互联网访问,通告负责人和管理员,并责令在 15 个工作日内修复,过期未修复的网站和信息系统将被关闭。对于出现严重安全事件的网站和信息系统,将立刻关闭,并通知负责人和管理员,责令整改并需提交整改报告。对于出现问题的网站和信息系统,无法联系到负责人和管理员时,将视为无人维护,进行关闭处理。
第十二条 年审。校内网站和信息系统实行年审制,每年定期对网站和信息系统备案情况进行核查修订。年审期间管理员应检查所管理网站和信息系统的各项备案信息是否有变更,重点确认负责人和管理员的联系信息是否准确,并提交修改或确认。在年审过程中,超过规定期限没有进行备案信息确认的网站和信息系统,将视为无人维护,进行关闭处理。
第十三条 安全事件处理。各单位发现网络信息系统安全问题要及时报告、处理(参照《陕西机电职业技术学院网络与信息安全事件应急预案》),保障校园网信息安全,堵塞有害信息,及时解决信息安全漏洞问题。
第十四条 信息化公共基础服务、跨部门信息系统、业务部门管理信息系统等面向师生公开服务的信息系统原则上应使用信息化云数据中心等学校统一的软硬件平台。因技术原因(如外置加密设备)确需存放在单位自建服务器上的,应把服务器托管到网络信息中心,提高信息系统运行环境的安全防护能力。(具体请参照《陕西机电职业技术学院服务器管理办法》
第十五条 财务管理系统、校园一卡通管理系统等涉及校内资金管理流通的信息系统应搭建专用的软硬件平台和专用传输网络,实现与校园网的物理隔离,确保系统运行环境安全。
第十六条 校内单位新建的宣传类、门户类的网站原则上应使用由网络信息中心统一开发(建设)的网站群系统,减少网站安全漏洞,提升网站安全防护能力,确保网站风格统一。(具体请参照《陕西机电职业技术学院校园网站及域名管理办法》)
第十七条 网站与信息系统在规划设计和建设时,应按照所处等级保护级别同步进行安全规划设计和建设,校内网站与信息系统在委托第三方进行开发时,应注重对运维和安全修复方面条款的要求,确保使用中出现问题时能迅速解决。
第十八条 各单位应加强对系统维护人员和系统账户管理。规范人员上岗、培训、离岗流程,严格管理好系统账户密码及账户授权。因岗位或职责发生变更时,必须及时更改系统管理账户密码,及相关账户授权。避免授权不当的风险,凡因密码或数据泄露造成损失和不良后果的,要追究相关人员责任。
第十九条 任何单位和个人不得私自利用校园网络建立网站、论坛、信息系统等,不得利用校园网对外提供商业服务或提供非法网站链接等。
第二十条 任何单位和个人,未经网络信息中心同意,不得擅自安装拆卸、或改变网络设施。
第二十一条 涉密信息、计算机及信息系统不得接入校园网络及互联网络。
第二十二条 本办法由网络信息中心负责解释,自发布之日起施行。