茂名职业技术学院网络安全管理办法
第一章 总则
第一条 为加强我校网络与信息安全工作,提高网络与信息系统安全防护能力和水平,保障我校各项工作安全、可靠、有序的进行,根据《中华人民共和国网络安全法》、《互联网安全保护技术措施规定》等相关法律法规,结合我校实际,制定本管理办法。
第二条 本办法所称网络与信息安全工作,是指对于由学校建设、运维、管理并支撑学校教学、科研、管理、服务等各项事业的校园网络、数据中心、信息系统等以及各类校园网络接入终端开展的相关管理和技术工作,防止发生网络攻击、信息破坏、有害程序入侵、信息化设备设施故障等事件的发生。
本办法所指各单位包括学校各机关处、室,教学系部、附属单位以及有关科研机构。
第三条 学校按照国家有关网络安全和信息化政策法规,制定网络与信息安全总体规划,加强安全管理与技术研究,建立完善的规章制度,并按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,建立健全网络信息安全责任体系,各单位、全体师生应依照本办法要求及学校相关标准规范履行网络信息安全的责任和义务。
第四条 学校按照同步规划、同步建设、同步运行的原则,规划、设计、建设、运行、管理网络安全设施,建立健全网络安全防护体系,全面实施网络安全等级保护制度。
第二章 组织机构及职责
第五条 网络安全与信息化工作领导小组(以下简称安全领导小组)为校园网络信息安全领导机构,统一领导和全面负责学校网络信息安全各项工作,负责网络信息安全重大决策,规章制度的制定,网络信息安全工作检查和考核,网络信息安全事故或事件的认定及责任追究。
第六条 安全领导小组实行双组长制,由学校党委书记、院长担任组长,组员为各部门负责人。
第七条 网络安全与信息化工作领导小组办公室设在教育信息与网络中心(以下简称教信中心),是学校网络信息安全的职能部门和技术支撑部门,负责网络信息安全的日常管理、网络信息安全技术防范体系和技术措施的组织实施、网络信息安全培训等。
第八条 网络安全与信息化工作领导小组办公室,办公室主任由教信中心主任担任,负责主持日常网络信息安全工作,设立网络信息安全专员负责全校具体日常网络信息安全工作,人员若干。
第九条 各部门是本单位网络安全和信息化工作的责任主体,各部门主要负责人是本单位网络安全和信息化工作第一责任人,负责按本办法落实本部门网络与信息安全工作,推进信息化发展。
各部门应明确指定本部门信息系统的管理人员,信息系统管理人员是信息系统及其数据安全的直接责任人。各部门须将信息系统管理人员名单报备网络安全与信息化工作领导小组办公室,人员变动时应及时调整并报备
第三章 网络与信息安全管理
第十条 网络与信息安全管理包括网络安全(校园网络安全管理、信息系统管理)、信息安全(数据安全管理、个人信息保护)、资产安全(数据中心安全管理、设备管理、资产管理等)三大部分。
第十一条 校园网络是指校内连接各信息系统及各类终端的计算机网络,包括有线网络、无线网络、业务专网和虚拟装网。
第十二条 校园主干网络、办公、教学和科研网络,以及相关基础设施由安全领导小组领导下统筹规划、建设和管理,各部门及个人不得擅自建设、更改、损毁或挪用。
第十三条 数据中心主要包括支撑学校各类信息系统运行的软硬件基础设施、云服务平台、学校基础数据库、数据共享交换平台、统一身份认证平台及统一信息门户等信息化基础设施和服务平台。教信中心负责数据中心的建设、运行维护和管理。
第十四条 教信中心负责数据中心的物理安全、网络安全和主机安全。数据中心的资源使用单位负责所使用的操作系统、业务数据库系统、信息系统和数据的安全
第十五条 教信中心负责学校基础数据库和数据共享交换平台的建设和安全管理,负责各单位业务数据库与基础数据库之间完成数据交换和共享。
各单位负责建设、维护本部门业务信息系统所配套的业务数据库,对本部门业务数据库的系统安全、数据安全及所申请的共享数据的安全负责。
第十六条 统一身份认证平台为学校信息系统提供统一的身份管理、安全的认证机制、审计及标准接口。各部门建设面向师生服务的信息系统时,应与统一身份认证平台进行认证集成并备案系统信息。
教信中心负责统一身份认证平台的安全,各部门负责本单位信息系统的权限管理及安全。
第十七条 各部门应依托学校数据中心实施本部门信息系统建设,需要使用校外数据中心的须报信息化办公室审批;严禁使用设置在境外的数据中心。涉及学校基础数据、师生个人信息或敏感信息的信息系统,禁止部署在校外数据中心(含云服务平台)。
第十八条 教信中心对学校数据中心的使用实施准入管理。负责制定使用数据中心的技术规范和标准,在信息系统上线前进行安全检测,符合技术规范标准并检测通过的信息系统方可上线运行。
第十九条 经批准建立的信息系统主办部门应明确专门的管理员和制订相应管理制度,包括安全保护技术措施、信息发布审核登记制度、信息监视保存清除备份制度、不良信息报告和协助查处制度、管理人员岗位责任制。
第二十条 校园网络和信息系统接入互联网必须采取防火墙、身份认证、 MAC 地址绑定、病毒防护及入侵检测等安全技术手段。校内互联网接入由教信中心统一管理,包括IP 地址、域名及网络帐号等。
第二十一条 网络安全与信息化工作领导小组办公室负责统筹管理信息系统、网络设备、存储介质等网络资产。
各部门建设的信息系统上线后应向网络安全与信息化工作领导小组办公室填报系统信息备案,并纳入学校网络资产管理。
网络设备(含服务器、交换机、UPS等)上架入网运行后,由教信中心对设备参数、上架时间等信息进行记录存档,并纳入设备管理工作中。
存储阵列、磁带库等大容量介质应托管在学校数据中心,并由教信中心统一运行维护和管理。网络管理中心采取必要技术措施防范数据泄漏风险,确保存储数据安全。
移动存储介质由使用部门负责管理,各部门应建立移动介质管理制度,记录介质领用、交回、维修、报废、损毁等情况;介质使用人按照“谁使用,谁负责”的原则,对其移动介质负有保管和安全使用的责任。
第四章 网络安全队伍建设及管理
第二十二条 学校网络安全队伍(含系统管理员、网络管理员、安全审计员等安全专员)由教信中心根据实际工作情况安排人员负责。
各部门应指定本部门网络安全管理员,建立健全本部门的岗位及网络信息安全责任制度,明确岗位及人员的网络信息安全责任。
第二十三条 学校网络安全队伍人员及各部门网络安全管理员到岗前应进行安全审核、权限管理和保密管理,并每年与学校网络安全第一责任人签订网络安全责任书。
第二十四条 加强人员离岗、离职管理,严格规范人员离岗、离职过程,及时终止相关人员的所有访问权限,收回各种身份证件、钥匙、学校提供的软硬件设备,并签署安全保密承诺书。
第二十五条 网络安全与信息化工作领导小组办公室负责组织开展学校网络安全宣传和教育培训工作,定期组织开展针对学校师生的网络安全教育,提高师生的安全意识和防范技能。
第二十六条 网络安全与信息化工作领导小组办公室联合相关单位定期开展针对网络安全管理人员和技术人员的专业技能培训,提高相关人员的网络安全工作能力和水平。
第二十七条 定期对网络与信息技术安全岗位的人员进行安全知识和技能的考核,并对考核结果进行记录和保存。
第五章 应急处置管理
第二十八条 网络安全与信息化工作领导小组办公室负责学校网络安全应急工作的统筹管理,教信中心负责网络安全应急工作的技术支撑和保障。
第二十九条 教信中心指定专员接收、查看安全工作管理平台等安全平台中通报的安全漏洞和安全威胁,并及时响应和开展修复工作。
各部门应积极配合安全漏洞和安全威胁修复工作,并安排本部门网络安全管理员跟进配合。
第三十条 网络安全与信息化工作领导小组办公室定期组织网络安全应急演练,评估并适时组织网络安全事件应急预案修订。各部门应组织开展网络安全事件应急预案的宣传、教育和培训,确保相关人员熟悉应急预案。
第三十一条 教信中心负责组建学校网络安全应急技术支援队伍,制定重要时期网络安全保障方案,完善24小时应急值守制度,提高网络安全事件的预防、预警和应对能力,预防和减轻网络安全事件造成的损失和危害。
第三十二条 各部门应按照校园网络信息安全应急预案做好网络安全事件的应急处置,并按照学校信息技术安全事件报告与处置流程,做好事发紧急报告与处置、事中情况报告与处置和事后整改报告与处置工作,做到安全事件早发现、早报告、早控制、早解决。
第三十三条 各部门或师生均有义务及时向网络安全与信息化工作领导小组办公室及教信中心报告网络安全事件,不得在未授权情况下对外公布、尝试或利用所发现的安全漏洞或安全问题。
第三十四条 本章未尽事宜应参照《茂名职业技术学院校园网络信息安全应急预案》相关规定执行。
第六章 附则
第三十五条 本办法自颁发之日起施行。
第三十六条 本办法由网络安全与信息化工作领导小组和教育信息与网络中心负责解释。