辽宁科技学院信息化建设办公室文件
辽宁科技学院关于加强校园网络安全管理实施细则
(修订)
第一章 总则
为进一步加强学校网络安全的规范管理,确保学校信息化硬件设施和软件系统安全可靠运行,有效实施网络意识形态和网络舆情监督管理,根据《中华人民共和国网络安全法》、《网络安全等级保护条例》和《教育信息化十年发展规划(2011-2020)》要求,结合学校实际,制定本实施细则。
第一条 网络安全工作的总体任务目标是:在网络安全方面制定整体规划,创新建设理念,统一建设标准,规范建设流程,提升网络安全管理水平,确保网络及信息安全,为学校的建设与发展提供保障。
第二条 学校网络安全管理工作实行统一领导、统筹规划、集中管理、分级负责的管理原则。
第二章 管理机构
第三条 学校成立网络安全和信息化领导小组,由学校党委书记和校长任组长,党委副书记、副校长、纪委书记任副组长,学校二级单位主要负责人任成员。
第四条 学校网络安全和信息化领导小组的主要职责是:贯彻落实上级有关部门关于网络安全与信息化工作的决策部署,统筹全校网络安全和信息化重大问题,统筹协调学校智慧校园建设工作,研究制定网络安全与信息化工作的发展规划、工作计划、政策制定和工作标准,督促各单位落实网络安全和信息化工作的政策规定,不断提高学校网络安全和信息化发展水平。
第五条 学校网络安全和信息化领导小组下设办公室,负责网络安全和信息化建设日常工作;主任由党委宣传统战部部长和信息化建设办公室主任担任。
第六条 学校网络安全和信息化办公室的主要职责是:贯彻执行学校网络安全和信息化领导小组形成的各项决议,起草制定学校网络安全和信息化工作中的发展规划、工作计划、政策制定和工作标准,负责审核年度重大网络安全和信息化建设项目的计划立项、经费预算与总结验收,审核各单位提出的网络安全和信息化建设工程方案。
第七条 信息化建设办公室负责校园网络的全面建设和运行管理,包括信息化建设项目组织实施、校园网基础设施运维、业务系统运维、基础数据管理、信息技术培训、网络安全管理、网络安全教育等。
第八条 每个二级单位由一名主要负责人总体负责本单位网络安全和信息化建设和管理工作,由一名对党忠诚、政治坚定、业务能力强的同志任信息员,负责本单位网络安全和信息化具体工作。
第三章 网络设施安全管理
第九条 严禁学校任何单位或个人故意破坏校园网络的各项设施,包括校园网服务器、存储设备、网络安全设施、网络设备、网络布线和消防、环控、接入等其他相关设施。
第十条 学校数据中心机房是学校网络安全和信息化建设的中枢,任何个人不得擅自进入数据中心,更不能擅自操作使用数据中心设备。由于业务需要必须进入数据中心的,必须全程由数据中心人员陪同。
第十一条 学校数据中心和业务专网服务器机房的管理和技术人员要切实负责,增强安全意识,做好防火、防盗、环控等工作。
第十二条 学校数据中心必须安装防火墙、堡垒机、容灾备份、审计日志、入侵检测和防御、防毒杀毒等网络安全保障设备和系统,并有效配置网络安全策略,充分保障数据中心的信息安全,达到等级保护二级标准。
第十三条 涉及学校、教师、学生财产安全的网络,如财务网络、一卡通系统等,应建设本单位的业务专网,不连接公网或校园网,由于业务需要必须连接公网或校园网的,必须通过网闸进行安全隔离。
第十四条 学校任何单位或个人接入校园网,由信息化建设办公室实施并进行管理。任何单位或个人未办理入网手续不得擅自将计算机和本单位局域网接入校园网。
第十五条 凡申请接入校园网的用户,须到信息化建设办公室领取并认真如实地填写《辽宁科技学院校园网申请表》,签署《辽宁科技学院校园网入网责任书》,加盖单位公章后,交信息化建设办公室审批并统一分配IP地址。
第十六条 校内用户通过校园网接入公网时,不得另行通过其他链路绕过校园网而接入公网。
第四章 IP地址安全管理
第十七条 IP地址是用户在校园网上的合法标识,其资源归学校所有。
第十八条 信息化建设办公室是全校IP地址的管理部门,负责全校IP地址的分配和IP地址使用情况的检查监督。各单位信息员是本单位IP地址的负责人,负责将信息化建设办公室分配给各单位的地址分配给本单位上网用户,并负责监督使用情况、对入网计算机进行登记、做好本单位计算机使用情况备案等工作。
第十九条 校园网按照静态IP地址分配方法进行管理,入网用户不得随意更改已经分配好的IP地址,避免IP地址分配冲突、混乱和管理无序,实现一机一个固定IP地址。
第二十条 直接接入校园网的计算机,必须在入网申请表上填写下列信息:管理人姓名、单位、楼宇号、房间号、电话;申请表经本单位负责人签字同意后,由单位网络信息员向信息化建设办公室申请IP地址。
第二十一条 各单位若采用代理路由器接入校园网时,除第二十条规定的信息之外,必须在入网申请表上另外填写被代理计算机的台数和IP地址范围。
第二十二条 人员调出,或者计算机部署位置变动,必须及时通知信息化建设办公室进行IP地址注销或变更。
第二十三条 IP地址具有唯一性,各单位信息员对本单位的IP地址使用负有管理责任,应经常对上网用户计算机的IP地址使用情况进行检查,坚决杜绝使用未经注册的IP地址或盗用别人的IP地址上网的行为。用户一旦发现自己的地址被盗用,要及时向信息化建设办公室反映,以便得到及时妥善的处理。
第五章 信息系统安全管理
第二十四条 学校各个业务信息系统的管理单位要做好本单位业务信息系统的安全管理,保障相应信息系统的安全运行。
第二十五条 学校各级网站按照“谁主办、谁建立、谁主管、谁负责”的原则落实责任制。设立网站的单位负责对所发布信息内容进行审核和批准,必须对所发布的信息资料的合法性和真实性负责。
第二十六条 学校各单位只有信息员拥有在本单位所管网站上发布信息的权限。在网站上发布信息时,信息员必须将所发信息经本单位网络安全和信息化建设负责人审核同意后方可发布。
第二十七条 学校各级网站的栏目设置由党委宣传统战部负责审核和批准。信息化建设办公室对各级网站进行统一规划,提供网站空间,负责技术辅助和培训,负责对信息员进行安全教育培训。
第二十八条 学校各级网站要严格审查制度和安全测试制度,规范信息发布程序,加强对网络信息的监控,以防不良信息;必须定期清查计算机病毒,防止出现泄密及网络安全事故。
第二十九条 各单位信息员在发现有害信息、国家或学校秘密泄漏或可能泄漏情况时,必须及时处理并保存原始记录,同时上报信息化建设办公室。
第三十条 各单位信息员必须接受并配合上级和学校有关部门依法进行的检查监督。
第三十一条 严禁各级网站发布学校和二级单位重要保密数据,严禁发布涉及个人隐私的信息,包括身份证号、电话号码、银行账号、生日等。
第三十二条 各级网站不得设立允许匿名用户发布信息的论坛、评论等版块或功能,已经设立的,必须马上关闭或撤销相应版块或功能。
第三十三条 校园网各个业务信息系统(含网站、办公自动化系统、教务管理系统、财务管理系统、人事管理系统、学工管理系统、一卡通系统、WIFI、邮件系统等所有信息系统)的用户不得使用弱口令,所使用的口令必须包含字母、数字、符号三种类型的字符,且长度不能小于10。如发现有不符合口令安全性规定的用户,信息化建设办公室有权对该用户进行封停处理。
第三十四条 各计算机的管理人员必须负起管理责任,避免该计算机被其他人员随意使用,否则,由该机发出的反动、不良信息,或该机在网上发生的非法违纪行为,由该机管理人员承担一切后果。
第三十五条 严禁任何单位或个人在校园网各级网站、学校各个业务信息系统和校外各个网络媒体上发布和散播下列信息:
(1)违背宪法、法律、党纪和行政法规的;
(2)颠覆国家政权、推翻社会主义制度的;
(3)分裂国家、破坏国家统一的;
(4)煽动民族仇恨、民族歧视,破坏民族团结的;
(5)歪曲事实,散布谣言,扰乱社会秩序的;
(6)宣扬封建迷信、淫秽、色情、赌博、暴力,教唆犯罪的;
(7)公然侮辱、诽谤他人的;
(8)损害党和政府、国家机关、学校形象、信誉的;
(9)其他违背社会主义核心价值观的信息。
第六章 网络安全教育与培训
第三十六条 信息化建设办公室每年组织学校网络安全教育周活动,活动形式包括招贴海报、发放宣传册、设立网络安全专栏、观看网络安全教育视频、网络安全讲座与报告、网络安全主题班会、网络安全征文、网络安全竞赛等。
第三十七条 信息化建设办公室定期对学校各单位网络安全和信息化负责人、信息员进行网络安全和信息化培训。
第三十八条 学校各单位或个人应积极主动配合和支持学校网络安全教育和培训活动,不得无故不参加相应活动。
第七章 网络安全事件应急管理
第三十九条 学校网络安全事件是指学校网络与业务信息系统突然遭受自然灾害、事故或人为的破坏或毁损,或者本校人员在校内、校外网络媒体发布第三十五条所严禁的信息,危及学校网络安全的紧急事件。
第四十条 落实责任制,按照“早发现、早报告、早处置”的原则,加强网络安全事件监测、预测和预警。当各级单位或个人发现网络安全事件时,应及时向学校有关部门报告,以便及时处理,不得“隐瞒、缓报、谎报”,涉及网络意识形态和网络舆情的事件,向党委宣传统战部报告,涉及校园安全保卫的事件,向安全保卫处报告,涉及网络安全技术的事件,向信息化建设办公室报告。如果是本单位所管业务系统发生的网络安全事件,该单位应马上与业务系统建设方联系,获得必要的技术支持。
第四十一条 网络安全事件初次报告最迟不得超过半小时,对于重大和特别重大的网络安全事件,学校有关部门和责任单位应马上向分管校领导报告,并实行态势进程报告和日报告制度。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。
第四十二条 发现下列情况时,应通过安全保卫处向公安部门报告:
(1)利用网络从事违法犯罪活动的情况;
(2)网络恐怖活动的嫌疑情况和预警信息。
第四十三条 对于可能发生或已经发生的网络安全事件,立即采取措施控制事态,并在1小时内进行风险评估,判定事件等级,及时处理。
第四十四条 对于重大和特别重大的网络安全事件,学校网络安全和信息化领导小组应迅速召开应急会议,研究应急方案,及时安排部署应急处理措施,并向相关部门进行通报。
第四十五条 对网络安全事件进行应急处理过程中,相关单位必须协同配合,调动必需的力量支援应急工作。
第四十六条 当网络安全事件发生时,应及时做好信息发布工作,引导舆论和师生行为,增强全体师生的信心。
第四十七条 当网络安全事件发生时,要密切关注舆论态势,及时采取措施,对不正确舆论进行澄清,纠正影响。
第四十八条 应急处置工作结束后,相关单位要及时进行善后处理,并对应急处理进行总结,为今后类似事件的应急处理积累经验。对于重大或者特别重大的网络安全事件的应急处理总结,应提交学校网络安全和信息化领导小组。
第八章 责任追究
第四十九条 违反本实施细则的有关规定,分别(或合并)处以以下处罚:暂停上网资格、赔偿损失、注销用户;情节较严重的,交由学校安全保卫处处理。
第五十条 学校各单位网络安全和信息化建设负责人由于领导不力,造成本单位网络安全事件且带来较大负面影响的,依据学校规定追究其领导责任。
第五十一条 违反国家有关法律法规的规定,构成刑事犯罪或违反治安管理处罚条例的,交由公安机关依法进行处理。
第五十二条 任何单位或个人违反国家有关法律法规和本办法的规定,给国家、集体或他人财产造成损失的,应当依法承担民事责任。
第九章 附则
第五十三条 本实施细则由党委宣传统战部、学校信息化建设办公室负责解释,自公布之日起施行。
辽宁科技学院信息化建设办公室 |
2019年4月1日发 |