西南科技大学信息安全管理办法(试行)
第一章 总则
第一条 为了保障西南科技大学校园网络及信息系统的安全稳定、确保学校网络信息安全工作规范有序开展、促进学校信息化健康可持续发展,根据《中华人民共和国网络安全法》等国家相关法律法规并结合我校实际情况,特制定本管理办法。
第二条 网络信息安全是指我校各单位在校园网内或经学校备案在公有云上构建的网络基础设施、网站、信息系统及数据内容等受到保护,保证网络、系统及内容的安全性、完整性、可用性、可控性。
第三条 依据“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,逐级落实网络与信息安全责任,实现明确责任、突出重点、自主防护、保障安全的目标。
第四条 任何单位及个人不得利用学校网络和信息系统泄露国家或学校秘密、危害国家或学校安全,不得侵犯国家、集体和个人的合法权益,不得从事违法犯罪活动。
第二章 组织架构
第五条 信息化工作领导小组是学校网络安全和信息化工作的领导机构,负责制定学校网络信息安全相关政策,统筹指导学校网络信息安全建设,定期召开网络信息安全工作会议,研究处理重大网络信息安全事件。信息化工作领导小组下设网络安全与信息化工作协调组,负责学校网络信息安全的管理和协调工作,纵向衔接、横向协调。
第六条 教育信息化推进办公室(以下简称信推办)为学校信息化工作领导小组及网络安全与信息化工作协调组的秘书单位,负责学校网络信息安全工作的统筹规划、建设、管理,以及技术支持、保障与培训等日常工作。
第七条 学校各单位负责本单位(含本单位的组织及个人)网站及应用系统的安全建设、运维以及内容的安全管理,并制定本单位的网络信息安全管理规定。各单位主要负责人为本单位网络信息安全工作的第一责任人,同时,各单位需明确分管网络信息安全的领导,并设置网络信息安全管理员,负责本单位网络信息安全具体工作,并签订信息安全责任书(附件1),负责与信推办对接。人员发生变动时,需及时报送信推办备案。
第三章 系统安全
第八条 各单位在建设网站或信息系统时,须同步建立网络信息安全体系,在技术方案、经费预算及运行维护等方面予以落实,以确保安全,并报送信推办备案。
第九条 各单位需明确本单位的网站或信息系统是否需要对外网开放,如需要对外网开放,则需按照《信息系统安全等级保护基本要求》(GB/T 22239-2008)规定的二级(或以上)安全等级要求进行建设及管理。
第十条 各单位网站或信息系统上线前,需开展安全自查工作,并填写《网站及信息系统情况记录表》(附件2),由本单位网络信息安全分管领导签字确认后,提交信推办备案。信推办负责上线前的专业安全检测,检测未通过的网站或信息系统需进行安全整改,检测通过后方可上线运行。
第十一条 各单位应定期对本单位的网站及信息系统开展安全巡检、漏洞修补,并填写《网站及信息系统巡检记录表》(附件3)。对校外开放的网站或信息系统,每月巡检一次;对校内开放的网站或信息系统,每季度巡检一次。
第十二条 信推办定期对全校的网站及信息系统开展安全检查,检查不合格的网站或信息系统,视其漏洞级别暂停其外网访问,同时通知责任单位限期整改并提交《网站及信息系统安全整改报告》(附件4)。整改完成并经复查合格后,方可恢复正常访问。
第十三条 切实加强网站及信息系统的安全管理工作。信推办加强整体安全监管,做好整体技术防范;各单位加强本单位网站及信息系统的安全巡检工作,做好系统防护、安全整改等工作。
第四章 数据安全
第十四条 本办法所涉及的数据是指各类信息系统所覆盖的相关业务数据,包括但不限于:校园门户、综合人事系统、OA系统、学生管理系统、教务管理系统、研究生管理系统以及其他各类信息系统产生的数据。
第十五条 西南科技大学数据管理部门包括数据统筹管理部门、数据生产部门、数据使用部门三部分。
第十六条 信推办是学校数据资产的统筹管理部门,负责主数据中心、数据仓库平台、数据共享平台的安全管理,并规范数据服务流程,确保数据流向清晰,实现数据可控、可管、可查。
第十七条 数据生产部门为权威数据的单一来源部门,负责数据收集、维护、使用、备份、归档等全程安全,需遵循学校信息标准规范及数据服务规范。
第十八条 数据使用部门根据实际需求向数据生产部门提出书面申请,获得批准后,信推办或数据生产部门向数据使用部门开放数据接口。数据使用部门有义务和责任保护所获得数据的安全,未经允许,不得将数据用于其他用途。
第十九条 未经批准,任何单位或个人不得擅自提供信息系统产生的内部数据。对于非法泄露或擅自提供数据的单位或个人,依照相关法律法规予以处理。
第五章 内容安全
第二十条 任何单位和个人必须遵守《中华人民共和国计算机信息网络国际互联网络管理暂行规定》、国家有关法律法规和学校的有关管理规定,严格执行信息安全保密制度,并对所提供和发布的信息负责。
第二十一条 任何单位和个人不得利用校园网及经学校备案的公有云系统制作、复制、传播下列信息:
1.煽动抗拒、破坏宪法和法律、法规实施的;
2.煽动颠覆国家政权,推翻社会主义制度的;
3.煽动分裂国家、破坏国家统一的;
4.煽动民族仇恨、民族歧视,破坏民族团结的;
5.煽动非法集会、结社、游行、示威、聚众扰乱社会秩序的;
6.捏造或者歪曲事实,散布谣言,扰乱社会秩序的;
7.宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;
8.公然侮辱他人或者捏造事实诽谤他人的;
9.损害国家荣誉和利益的;
10.以非法民间组织名义组织活动的;
11.其他违反宪法和法律、行政法规的。
第二十二条 需严格遵循内容审核机制,规范信息发布审批流程,加强信息安全监控,防止出现内容篡改等安全事故。
第二十三条 宣传部负责网站及信息系统内容审查及监管,信推办负责技术支持和保障。
第六章 队伍建设及经费保障
第二十四条 人事处负责网络信息安全机构及人员岗位设置等保障工作。
第二十五条 财务处负责网络信息安全的经费保障。依据上级有关规定,建立稳定的网络与信息安全经费投入机制,重点用于学校信息安全等级保护、安全防护能力建设、信息安全服务、人员培训等工作。
第二十六条 信推办负责学校范围内的网络信息安全宣传、教育及专业技术培训等工作。
第七章 应急响应
第二十七条 网络信息安全事件分为紧急事件和普通事件。
第二十八条 紧急事件是指:
1.可由校外访问的页面发生篡改或被替换成非法信息的事件,尤其是发生在主页、新闻网站、招生信息网等访问量高的系统或网站的事件。
2.影响学校系统正常运转的攻击事件,如与服务门户、教务系统、财务系统、办公自动化系统等相关的攻击事件。
3.可能造成师生隐私信息被窃取、丢失、损坏的漏洞。
4.其它可能对社会公共安全或学校造成危害或不良影响的事件或漏洞。
第二十九条 普通事件是指:
1.对校内开放系统或网站的页面发生无害篡改或有隐藏漏洞。
2.影响不大的攻击事件或可能造成中低隐患的漏洞。
3.其他不构成公共危害或社会不良影响的安全事件或漏洞。
第三十条 网络信息安全事件应急响应如下:
1.信推办接到安全事件的通报后,通过沟通协调,结合技术手段,获取事件截图等相关证据。 2.信推办核实事件类别,发起处理流程。
3.若事件为紧急事件,信推办第一时间向分管信息化工作的校领导汇报,同时通报责任单位相关情况及事件证据,并关闭相关网站或信息系统的访问权限,以降低不良影响。若事件为普通事件,则此环节略过。
4.信推办指导分析事件原因,并提供整改建议。
5.责任单位对网站或信息系统进行安全修复,并提交《网站及信息系统安全整改报告》(附件3)。
6.信推办对修复后的网站或信息系统进行安全复查,复查通过后恢复其访问权限。
第三十一条 信推办负责制定学校网络信息安全应急预案,各单位负责制定本单位的网站及信息系统安全应急预案,并定期进行安全应急演练。
第八章 附则
第三十二条 依据《中华人民共和国网络安全法》第六章“法律责任”的规定,因网络信息安全导致的事故,由网站或信息系统所属单位和责任人承担相应的经济处罚、民事责任、治安管理处罚或刑事责任。
第三十三条 网络信息失泄密事件按照国家和学校相关法律法规和规章制度处理。
第三十四条 本办法由学校信息化工作领导小组负责解释。
