为深入贯彻落实国家网络安全法规和网络安全等级保护政策要求,规范网络安全管理工作,提高学校信息系统(网站)的网络安全监测预警和防护能力,根据《中华人民共和国网络安全法》、《网络安全技术网络安全等级保护基本要求GB/T22239-2019》、《国家网络安全事件应急预案》等法律、法规,结合学校工作实际,特制定本制度。
第一条 本制度适用于对中南财经政法大学信息系统(网站)相关各要素的网络安全管理,各二级部门在涉及到网络安全时应遵照执行。
第二条 网络安全监测预警工作由学校信息中心管理部负责。
第三条 网络安全监测预警内容主要包括:
(1)网络突然发生中断,如停电、线路故障、网络通信设备损坏等。
(2)学校信息系统(网站)的主机漏洞和网站漏洞
(3)网络异常,系统遭到恶意攻击和破坏,内容被删改或者出现不良、反动等信息迹象
(4)高风险客户端以及各类风险高危漏洞等内容
(5)操作系统、防病毒系统进行升级、打补丁
(6)加强密码设置和保护,设置复杂密码,经常修改密码,经常进行数据备份。
(7)... ...
第四条 网络安全监测预警手段主要借助于学校部署的安全设备,如漏洞扫描设备、防火墙、web应用防火墙、态势感知平台、网站安全监测平台以及上级单位及安全厂商通报的各类安全漏洞等。
第五条 网络安全监测预警周期为网站系统实时监测、每日查看各类安全设备告警信息,每周进行告警信息的汇总,每月至少对所有安全设备进行一次全面巡检,每季度对各类终端进行全面检查,并对发现的各类安全隐患做好记录。
第六条 网络安全检测预警结果以邮件或学校内部通信方式进行下发,结果包括漏洞详情以及修复建议,各单位要对信息系统的风险漏洞处理限期修复。对于通用型网络产品和服务的风险漏洞,应当在厂商和安全机构修复方案公开发布后立即核查整改;对于上级主管部门通报的高危漏洞,应当按照时限要求组织整改。
第七条 网络安全规划应当充分考虑网络安全管理建设的需求和要求,确立安全建设目标和安全指标。必须根据信息密级和安全等级的要求同步进行相应的安全设计。
第八条 信息化项目的建设施工必须符合工程规划,必须对实施过程进行网络安全监督。
第九条 应定期组织进行网络安全专项培训,并对培训进行考核,加强网络安全意识。
第十条 对信息化资产进行分类、分级、登记,指定资产责任人,由资产责任人对所负责资产进行保护。
第十一条 各二级单位应定期开展安全检查工作,及时对发现的安全风险进行整改。
第十二条 重要数据应进行容灾备份,个人信息等敏感数据应部署加密措施,遵循合法、正当、必要的原则进行数据收集和使用。
第十三条 信息化系统应采取技术措施留存重要日志不少于6个月,包含但不限于网络安全运行状态日志、系统运行日志、网络安全事件日志。
第十四条 要加强国家重大节日、重要活动等特殊时期的网络安全保障,从事前检查加固、事中处置修复、事后总结改进等方面保障和提升网络运行安全。
第十五条 校园网由学校信息管理部统一规划、建设并负责运行、管理和维护包括网络设备与安全相关硬件。
第十六条 学校信息管理部负责全校网络及信息的安全工作,建立网络事故报告并定期汇报,及时解决突发事件和问题。
第十七条 建立网络安全事件库,定时更新维护,在应急方案中及时完善更新应急措施。
第十八条 本制度由信息管理部制定,由信息管理部负责归口解释和维护管理。
第十九条 如违反本制度,造成严重不良影响和后果的,将按国家法律、法规和本局管理规章、规定进行问责。
第二十条 本制度自印发之日起施行生效。