第一章总则
第一条为做好我校网络与信息技术安全工作,提高网络与信息技术安全防护能力和水平,保障我校各项事业健康有序发展,根据《教育部关于加强教育行业网络与信息安全工作的指导意见》(教技(2014) 4号)、《教育部关于进一步加强直属高校直属单位信息技术安全工作的通知》(教技 (2015) 1号)等文件,结合学校实际,制定本办法。
第二条本办法所称网络与信息技术安全工作,是指对于由校内单位建设或管理,服务于我校教学、科研或管理的校园信息网络、数据中心、应用系统和互联网站,为防止发生网络攻击、信息破坏、有害程序入侵、信息化设备设施故障等发生而开展的预防和防御工作。
第三条学校按照国家有关网络安全和信息化政策法规,制定网络与信息技术安全总体规划,加强安全管理与技术研究,建立完善相关规章制度,并在实际工作中予以落实。
第二章管理体制与责任
第四条学校成立党委书记任组长,分管网络安全和信息化工作(常务)、宣传工作、教学工作的校领导任副组长的网络安全和信息化领导小组,贯彻落实上级有关部门关于网络安全和信息化工作的决策部署;统筹决策学校网络安全和信息化发展战略、宏观规划和重大政策;研究解决网络安全和信息化建设重大问题。
第五条网络安全和信息化领导小组办公室设在信息管理部,是网络安全和信息化领导小组常设办事机构,负责网络与信息技术安全管理与监督工作。同时信息管理部也是网络与信息安全技术支撑单位,负责学校网络与信息安全防护体系的建设与运行维护,负责为全校各单位网络与信息技术安全工作提供技术指导与服务支持。
第六条学校各二级单位是本单位网络安全和信息化工作的责任主体,各单位主要负责人是本单位网络安全和信息化工作第一责任人,负责按本办法落实网络与信息技术安全工作,推进本单位信息化发展。
各单位应明确指定本单位各应用系统和互联网站的安全联络员,并将责任人名单报备网络与信息化办公室,人员变动时应及时调整并报备。
第七条按照“谁主管谁负责、 谁运维谁负责、谁使用谁负责”的原则,全校各单位及全体师生员工应依照本办法及其相关标准规范履行网络与信息技术安全的义务和责任。
第三章校园信息网络建设管理
第八条 校园信息网络包括校园计算机网络、公用通信网络和专用通信网络,统一归口信息管理部管理。
第九条校园信息网络管道由信息管理部负责需求制定和使用管理;校园规划管理部门和建设部门负责在学校地下管网统一管理的原则下,进行规划、建设和运行维护。
第十条校园计算机网络包括校园有线网络和无线网络,涉及光缆、网络机房、网络设备、域名管理、安全防护、认证计费、网络接入与运维等,由信息管理部负责建设和运行维护管理。
第十一条 校园计算机网络接入互联网遵循“统一出口、统一管理”的规定,由信息管理部负责实施。学校各单位在校园内不得擅自通过社会网络资源接入互联网。
第十二条 师生员工接入校园计算机网络,实行实名注册认证上网的制度。网络接入实名制由信息管理部负责实施。
第十三条 学校所有基建、修绥工程应将工程范围内校园计算机网络建设纳入工程设计、实施和竣工验收范畴。
第十四条 严禁任何单位和个人利用校园计算机网络及其网络设施开展经营活动。
第四章数据中心建设管理
第十五条数据中心主要包括支撑各类应用系统运行的软硬件基础设施、学校基础数据库、统一数据交换平台、统一身份认证系统及统一信息门户。信息管理部负责数据中心的建设和运行维护管理。
第十六条 信息管理部负责数据中心的物理安全、网络安全和主机安全。数据中心的资源使用单位负责所使用的操作系统、业务数据库系统、应用系统和数据的安全。
第十七条 信息管理部负责学校基础数据库和统一数据交换平台的建设和安全管理,负责各单位业务数据与基础数据库之间完成数据交换和共享。
各单位对本单位业务数据库的系统安全、数据安全及所申请的共享数据的安全负责。
第十八条统一身份认证系统为校内信息系统提供统一的身份管理、安全的认证机制、审计及标准接口。校内各单位建设面向师生服务的应用系统时,应与统一身份认证系统进行认证集成并备案系统信息。
信息管理部负责统一身份认证系统的安全,各单位负责本单位应用系统的权限管理及安全。
第十九条全校各单位应依托校内数据中心实施本单位信息化建设(包括建设应用系统或互联网站),需要使用校外数据中心的须报网络与信息化办公室审批;严禁使用设置在境外的数据中心。涉及学校基础数据、师生个人信息或敏感信息的应用系统和互联网站,严禁放置在校外数据中心(含云计算平台)。
第二十条 信息管理部对学校数据中心的使用实施准入管理。
信息管理部负贵制定使用数据中心的技术规范和标准,在系统上线前进行安全检测。符合技术规范标准并检测通过的系统方可上线运行。
第二十一条 各数据中心的使用单位应做好以下工作:
(一)遵循数据中心相关管理制度和技术标准,按需申请、有序使用。
(二)规范本单位数据中心资源的使用和管理,不得利用数据中心资源从事任何与申请项目无关或危害计算机信息系统安全的活动。
第五章应用系统建设管理
第二十二条 鼓励优先采购安全、成熟和售后服务优良的商业软件或优秀软件开发商用于应用系统建设。
没有相应商业软件,或商业软件不适应我校实际需求的,可以按照学校采购与招标相关办法委托资质和信誉良好的软件开发商进行开发。
对于业务管理部门具有应用系统开发维护能力并能够保证其信息安全的,可在学校顶层设计和软硬件配置框架内自行组织开发。
第二十三条软件的采购、开发与维护管理。
各二级单位根据本单位业务需要撰写需求分析报告,明确详细的功能和性能需求。
信息管理部负责软件所需的数据中心资源,包括硬件、运行平台软件和基础数据等,协助制定技术方案。
信息管理部组织对技术方案进行论证和审批,并确定拟建应用系统信息安全保护等级;应用系统按照相应等级的规范要求进行建设。
对于购买商业软件或委托软件开发的,各二级单位根据论证和审批通过后的方案,按照学校采购与招标相关办法进行采购。
各二级单位为应用系统的主管部门,应指定专门人员负责系统的建设、运行维护和安全管理,组织软件提供商并会同信息管理部制定应用系统运维和安全管理方案。应用系统原则上由各二级单位运维,特殊情况可委托信息管理部运维。
第二十四条 应用系统移动客户端软件视同为应用系统,参照第二十三条执行。
第六章互联网站建设管理
第二十条 学校各单位设立互联网站,应使用学校互联网络域名或学校互联网IP地址,并遵守《中南财经政法大学网站管理办法》及相关规章制度。
第二十六条 各单位设立互联网站,可基于学校网站群平台建设,也可委托软件开发商建设;各单位应按信息安全保护等级的相应规范落实信息安全防护。
未运行在学校网站群平台的网站,网站主办者对其技术和内容安全负责。
第二十七条 各互联网站的主管单位应建立网站应急值守制度,规范应急处置流程,由专人对网站进行监测,发现网站运行异常及时处置。
对于使用频度不大、阶段性使用的网站,可采取非工作时间或寒暑假、节假日关闭的方式运行。
第七章监测与处置
第二十八条我校各应用系统和互联网站,由信息管理部按照国家信息安全等级保护制度要求确定安全保护等级,由信息管理部按相关规定对信息安全等级状况开展等级评测。
经评测,信息安全状况未达到安全保护等级要求的,应用系统或互联网站的主管单位应制定整改方案并落实到位。
第二十九条各单位定期对本单位应用系统、互联网站安全状况、安全保护制度及措施的落实情况进行自查,并配合有关部门的信息安全检查、信息内容检查、保密检查与审批等工作。
第三十条 各单位应按照《中南财经政法大学网络安全事件应急预案》规定,协助信息管理部做好网络安全事件的应急响应和处置工作。
第三十一条 各单位应建立本单位信息安全值守制度,做到安全事件早发现、早报告、早控制、早解决。
第三十二条信息管理部联合相关单位对全校各单位网络与信息技术安全工作落实情况进行检查,对发现的问题下达限期整改通知书,对网络与信息技术安全事件进行调查处理。
第八章保障措施
第三十三条 学校保障网络安全与信息化发展所需的人员编制,采取有效措施建立高水平的网络与信息技术安全管理专职队伍和技术支撑专业队伍。
第三十四条 学校保障网络安全与信息化发展的经费投入和物理空间需求。
第三十五条学校切实开展人员培训和安全教育工作。各单位制定网络与信息安全教育培训规划,开展面向全员的普及型培训和宣传教育,提高安全和防范意识,培养良好的媒介素养和规范的网络行为。信息管理部组织开展信息化管理和技术人员专业培训,逐步实行信息化管理和技术人员持证上岗。
第三十六条学校建立完善的网络与信息技术安全工作检查考核,责任追究和倒查机制。网络与信息安全工作为各单位领导班子和领导干部目标管理、业绩评定、年度考核、奖励惩处和干部选拔任用的重要内容和依据。
第九章责任追究
第三十七条有关单位在收到网络与信息技术安全限期整改通知书后,整改不力的,学校给予通报批评;玩忽职守、失职渎职造成严重后果的,依纪依法追究相关人员的责任。
第三十八条 各单位对发生的重大网络安全事件如有瞒报、缓报、处置和整改不力等情况,由信息管理部联合纪检、监察部门对相关单位进行约谈或通报。
第三十九条师生员工违反网络与信息安全相关管理规定,造成不良后果时,视情节轻重,分别由人事部或学工部按相关规定给予批评教育或纪律处分;触犯法律时,由相关国家机关依法追究法律责任。
第十章附则
第四十条 对于涉及国家秘密的信息系统,按照国家保密工作部门的相关规定和标准进行保护,接受党委保密委员会办公室监督指导。
第四十一条 紧急情况下,经学校网络安全和信息化领导小组批准,信息管理部等单位可以采取特别措施以维护学校网络与信息安全。
第四十二条 本办法自发布之日起实施,由信息管理部负责解释。学校此前发布的管理规定,凡与本办法不一致的,按本办法执行。
