西南科技大学网站与信息系统安全管理实施细则 (试行)
总则..................................................................................... 1
第一章 管理机制.......................................................................... 2
第二章 上线审查......................................................................... 2
第三章 监测评估......................................................................... 3
第四章 年审............................................................................ 4
第五章 附则..............................................................................4
总则
第一条 为更好发挥校园网络基础设施和信息资源的优势,提高我校网站建设与管理的规范化水平,根据《中华人民共和国网络安全法》、《教育部关于加强教育行业网络与信息安全工作的指导意见》及其他有关法律法规,结合我校实际,制定本细则。
第二条 本规定适用于西南科技大学校园网所有网站与信息系统和有关部门、人员。
第三条 学校信息化建设领导小组负责网站建设与管理的领导和指导工作;学校办公室和党委宣传部总体负责网站内容的监管工作;教育信息化推进办公室(以下简称信推办)负责网站的技术指导和安全监管工作。
第四条 校内网站与信息系统的网络互联情况分为不联网、业务专网、校园网、互联网。对于联网系统,使用学校二级域名访问和校内地址段IP地址访问的网站和信息系统,必须在信推办备案。
第一章 管理机制
第五条 各级各类网站应严格遵照学校相关规定和要求,落实各项责任。网站的建设单位为责任单位,负责建设与管理本单位网站,实行网站安全“谁建设,谁管理”负责制。发现安全隐患应立即处理并向学校办公室、宣传部、信推办及时反馈。
第六条 责任单位需采取有效的工作机制,保障网站工作有章可依、内容及时更新、信息准确得当、运行安全稳定,确保本单位网站的名称地址与其在校级门户网站的名称地址相一致。
第七条 各级各类网站的建设应履行申请审批程序。责任单位须向宣传部提交申请,申请通过后提交信推办备案方可建设。任何单位和个人不得擅自以西南科技大学的名义建立网站且将网站内容及载体运行校园网之外,对未经审批建设或运行的网站,学校将采取下线处理。
第八条 各级各类网站的运行应履行备案审批程序。信推办是西南科技大学网站的备案唯一管理机构。责任单位须遵照相关要求向信推办申请网站备案。
第二章 上线审查
第九条 校内网站与信息系统在投入使用前应向宣传部提交向社会及师生公开的申请,申请通过后向信推办提交备案。
第十条 信推办对申请上线系统的备案材料进行审查,检查备案材料中的负责人和管理员信息、物理机房安全措施、运维措施等是否合规。对于不合规的系统不予上线,修改后重新申请。
第十一条 信推办对申请上线的网站和信息系统进行安全检查,使用漏洞扫描设备对网站和信息系统进行主机服务器和web应用服务安全扫描。对于存在安全风险的系统不予上线,修改后重新申请。
第十二条 申请上线的系统应标明系统的使用期限,对于短期使用的网站和信息系统,在使用期限到期后将自动关闭。
第三章 监测评估
第十三条 信推办接收到上级安全监管部门的检测和通报问题后,联系该问题网站负责人和管理员,转告问题通知。管理员须在要求的时间内解决问题。
第十四条 对于出现严重安全事件的网站和信息系统,信推办将立刻关闭,并通知负责人和管理员,责令整改并需提交整改报告。
第十五条 信推办对校内网站和信息系统进行日常安全管理,根据网站和信息系统的安全防护级别,定期进行安全扫描和风险评估,并将评估报告发送给管理员。
第十六条 信推办对于存在高风险的网站和信息系统,将停止其互联网访问,通告负责人和管理员,并责令在15个工作日内整改,过期未整改的网站和信息系统将下线。
第十七条 校内网站和信息系统的备案信息发生变动时,管理员应主动向信推办报告并修订备案信息。
第十八条 对于出现问题的网站和信息系统,无法联系到负责人和管理员时,将视为无人维护,进行下线处理。
第四章 年审
第十九条 信推办组织相关部门对校内网站和信息系统实行年审制,每年定期对网站和信息系统备案情况进行核查修订。
第二十条 年审期间管理员应检查所管理网站和信息系统的各项备案信息是否有变更,重点确认负责人和管理员的联系信息是否准确,并提交修改或确认。
第二十一条 在年审过程中,超过规定期限没有进行备案信息确认的网站和信息系统,将视为无人维护,进行关闭处理。
第五章 附则
第二十四条 本办法由学校信息化建设领导小组负责解释。
第二十五条 本规定自公布之日起施行。