郑州职业技术学院
网络信息安全管理规定
第一章 总则
第一条 为了进一步规范各类信息服务行为,切实加强学院校园网信息安全管理工作,维护学院和教职工生的利益,根据《中华人民共和国网络安全法》《中华人民共和国计算机信息系统安全保护条例》《信息安全等级保护管理办法》以及上级有关文件精神要求,特制定本规定。
第二条 学院网络信息安全管理的对象包括:各系、处、部门的网络、网站、计算机应用软件及其运转过程中的数据和相关的软硬件系统,以下简称网络信息系统。
第三条 网络信息安全管理工作主要包括:网络安全管理、网络信息和网站安全管理、信息系统安全管理、数据安全管理、网络信息安全宣传教育等五个方面。
第四条 学院实行“统一领导、分级管理、分工负责”的网络信息安全管理体制,在学院的统一领导下,对学院网络信息安全进行统一管理,信息网络中心负责统筹技术性工作、党委宣传部负责统筹对外信息内容安全工作。各系、处、部门对网络信息系统进行管理。
第五条 学院网络信息安全领导小组是学院网络信息安全工作的协作、保障平台。
第二章 管理机构及职责
第六条 一级管理单位职责。
(一)党委宣传部的职责
1.对向校外发布的网络信息进行监督和管理,制定对外网络信息发布工作规范,审核以学院名义对外发布的网络信息内容。
2.负责学院官方网站、微博、微信等网络信息发布平台的日常管理。
3.作为主要部门参与网络信息安全应急处置工作。
4.代表学院落实上级有关网络宣传、意识形态、舆情管理等有关工作要求。
(二)信息网络中心的职责
1.对全校网络信息安全工作进行监督和管理,制定学院网络信息安全工作规范、网络信息安全事件应急预案和处置流程。对各系、处、部门提供网络安全技术指导,组织开展网络安全事件预防、处置工作。
2.组织开展学院公共网络信息系统的安全管理工作,包括:校园网、数据中心、网站群系统、智慧校园平台、网上办公系统等应用系统。
3.代表学院落实上级有关网络信息安全管理的工作要求。
第七条 二级管理单位职责
(一)负责以本单位名义对外发布的网络信息内容质量管理,确保内容安全、质量合格;
(二)组织开展所管网络信息系统的安全管理工作;
(三)参与所管网络信息系统的安全事件处置工作;
(四)接受一级管理单位的指导、监督和检查。
第三章 校园网络安全
第八条 学院网络及其安全工作由信息网络中心统一管理,对在学院范围内开展互联网接入服务的运营商进行统一管理,开展与运营商网络有关的网络安全协调处置工作。
第九条 各系、处、部门对部署于本单位范围内的学院网络设备、线路具有保护义务。未经学院同意,各系、处、部门和个人不得更改或破坏学院网络设备和线路;不得擅自铺设线路、开通互联网络;不得以代理(proxy)、VPN等形式向校外单位和个人提供接入学院网络的渠道。
第十条 按照国家网络安全法的要求,信息网络中心在校园网络上开展下列安全保护工作,保障学院网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
1.制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
2.采取防范计算机病毒和网络攻击、网络入侵等危害网络安全行为的技术措施;
3.采取记录、跟踪网络运行状态,监测、记录网络安全事件的技术措施,并按照规定留存各种日志;
4.采取数据分类、重要数据备份和加密等措施;
5.对校园网用户实行实名制登记;
6.完成法律、行政法规、上级部门和学院规定的其他网络信息安全工作。
第十一条 任何单位和个人不得在校园网上明文传输具有保密性质的数据。具有保密用途的专用网络应根据保密有关规定采用专用安全设备与校园网进行连接或隔离。
第四章 网络信息和网站安全
第十二条 各系、处、部门负责人为各自网络信息发布的第一责任人,可确定一名管理员负责本单位的信息搜集、整理、制作和发布。开通或关闭网站、微博、微信平台之前需到党委宣传部和信息网络中心履行登记备案手续;如实登记用途,不提供代理和涉嫌侵权的资源服务;一旦开通需做到及时更新、认真管理、注重质量。
第十三条 各单位应按照“统一规范、先审后上、保证质量”的要求严肃开展网络信息发布、转载和链接管理工作。在学院网站、微博、微信等平台上发布的网络信息由党委宣传部审核后才可发布;不得以学院名义在其他传播平台上擅自发布网络信息;不得发布与学院、部门职责无关的信息内容和外部链接。
第十四条 各级网站安全建设、管理要求
1.各系、处、部门的网站应使用学院站群系统开发、制作、发布,使用学院域名(www.zzy.edu.cn、www.zzyedu.cn)和IP地址,并使用学院服务器资源部署于学院数据中心内,以确保安全。特殊情况下须经党委宣传部和信息网络中心技术审核后方可调整方案。
2.合理设置栏目,公开并及时更新单位概况、职能职责、规章制度、办事指南、工作通知、单位动态等内容;未经批准,不得开设聊天室、论坛等开放式交互栏目,一旦批准开设,需安排人员认真审核留言内容,做到如实反映群众意见、过滤不良信息、积极引导网上舆论。
3.采用安全的网络信息发布技术,避免传播带毒文件;引用、转发外部资讯时做到严格审核,并注明来源。
4.妥善保管网站管理帐户信息,使用高强度的密码,并定期更新;对网站管理人员和用户加强网络安全意识教育和业务培训。
5.关注网站的安全状况,及时联系信息网络中心处置各种安全问题,配合信息网络中心做好网站安全工作。
6.实行读网制度,各级管理部门要安排值班人员每天登录网站(包括微博、微信等网络传播平台)读网,认真查看页面显示状况,查看各项功能的有效性,查看所发布的信息特别是重要信息是否存在错漏,查看是否存在暗链,发现问题立即纠正。关注校园网上发布的各类信息,加强沟通合作,做到学院网站与部门网站、部门网站与学院网站、部门网站与部门网站之间信息的准确性、一致性与恰当性。定期检查网站到其他网站的链接,防止因其他网站失效、被篡改等原因导致不良社会影响。
7.严格落实网站维护管理制度。只在校园网内进行运维管理,若需要远程运维或第三方单位(如网站开发单位)协助运维,需要采用VPN加密、堡垒机登录等安全方式接入,不得直接远程桌面或直接开放管理端口到互联网。
第五章 网络信息系统安全
第十五条 各单位应安排专人负责所管系统的安全管理工作,严格落实《信息安全等级保护管理办法》的要求,准确划分系统安全保护等级,定期开展等级保护测评,按等级对网络信息系统开展网络安全保护工作。
第十六条 学院各类信息系统应统一部署于学院数据中心内,信息网络中心依托校园网数据中心安全体系为信息系统提供运行安全和数据安全所需的基础环境、系统建设和使用单位负责系统的应用安全,并接受信息网络中心的测评、扫描,落实信息网络中心和上级有关部门提出的网络信息安全整改意见。信息网络中心可根据网络安全事件的性质和威胁程度直接采取封堵、隔离、强制下线等措施。
将系统部署于学院数据中心之外的情况,由建设和使用单位负责提出部署方案,信息网络中心负责指导并审定相关内容。
第十七条 各业务系统管理单位须根据学院人员和组织机构变动及时调整系统内的信息,确保系统内用户和机构信息与真实情况一致,做到业务操作能审计、追溯。
第十八条 系统建设和使用单位确保做到不给无关人员授权、授权帐号不外泄、加强人员管理、定期开展安全检查,配合信息网络中心开展网络安全防范和处置工作。
第十九条 定期开展数据备份和系统备份,确保紧急情况下信息系统能够及时恢复。
第二十条 在信息系统的建设、使用、维护、升级过程中,建设主管单位和使用主管单位须组织参与信息系统建设维护的相关单位和人员履行《郑州职业技术学院网络信息系统安全责任协议》,促使对方落实学院数据保密和网络信息系统安全有关要求。
第二十一条 网络信息安全事件
网络信息安全事件是指在校园网和信息系统上发生的服务器病毒感染、安全漏洞、网络攻击、系统侵入、数据篡改、数据泄密等事件。
第二十二条 处置机构及其职责
1.组织机构及工作职责
(1)网络安全与信息化领导小组
网络安全与信息化领导小组直接负责学院网络与信息安全工作,对学院的网络与信息安全工作进行全面的分析研究,制定工作方案,提供人员和物质保证,指导和协调校内各单位实施网络与信息安全工作预案,处置各类危害校园网络与信息安全的突发事件。
(2)领导小组下设两个工作组
1)网络安全协调组
由信息网络中心、各部门负责人组成。其职责是:当校园网中出现网络与信息安全事件时,负责组织协调有关部门及时清理有害信息,会同有关部门积极查找非法信息的来源,关注事件处置动向,及时上报处置情况,完成事件处置工作报告。
2)网络安全技术组
由信息网络中心、有关部门的技术人员组成。其职责是:当发生网络安全事件时,做到及时发现并紧急处置,保留事件现场及记录,尽快查出原因和处理问题,尽早恢复网络正常运行。
2.应急处置流程
紧急事件发生后,在领导小组的统一领导下,各应急工作小组迅速到位并进入工作状态,按照以下应急处置流程开展工作。
(1)在确认发生网络与信息安全事件后,第一时间向学院网络安全与信息化领导小组(以下简称领导小组)汇报。
(2)领导小组获悉网络与信息安全事件后迅速了解和掌握事件情况,根据情况确定事件的性质,启动相应的工作机制。
(3)在领导小组的统一指挥下,各网络安全处置小组按职责分工和工作程序迅速开展工作:
1、网络安全技术组
1)断开网络连接。如在学院的网站等服务器上发现有害信息或其数据被篡改,要立即切断服务器的网络连接,防止有害信息的扩散。
2)保留有关记录。对事件现场进行保护,完整保留有关记录内容。
3)查找根源,解决问题。使用各种网络管理工具对事件原因进行分析,确定事故产生的根源,按相关程序进行处理,彻底清除网络安全问题。
4)恢复系统运行。采取措施尽快恢复系统的正常运行,有条件的启用备用服务系统,没有条件的一定要等解决问题后才可以做系统恢复。
5)恢复网络运行。在网络安全问题解决后,逐步恢复网络运行,监控安全问题是否彻底解决,直至网络运行正常。
6)提升网络安全防护能力。针对此次事件总结经验,采取相应网络安全措施,提升网络安全防御能力。
2、网络安全协调组
(1)迅速掌握情况。协调组人员应迅速赶到现场,了解事情的详细情况。情况内容包括:时间地点、简要经过、事件类型与分级、影响范围、危害程度、初步原因和已采取的应急措施。
(2)紧急报告。协调组把掌握的情况如实向领导小组汇报,领导小组认为情况严重时,应立即向省教育厅科技处进行口头报告,涉及人为主观破坏事件时,应同时报告当地公安机关。
(3)关注处置进程。对事件的处置过程进行跟踪,密切关注事件发展动向,出现新的重大情况及时补报。进一步掌握事件造成损失情况、查找和分析事件原因,修复系统漏洞,恢复系统服务,尽可能减少安全事件对正常工作带来的影响。
(4)写出事中报告。在安全事件发现后8小时内,以书面报告的形式向教育厅科技处进行报送(报送内容和格式见附件1)。报告由学院信息技术安全分管责任人组织信息技术安全管理部门、系统使用单位和运维单位共同编写,由学院主要负责人审核后,签字并加盖公章报送省教育厅科技处。
(5)协助调查取证。如果涉及人为主观破坏的安全事件应积极配合公安部门开展调查。高度重视事件的调查取证,协调有关部门供必要的保障条件,协助公安部门开展事件调查和取证工作。
(6)提出整改措施。进一步总结事件教训,研判信息安全现状、排查安全隐患,进一步加强制度建设,提升学院网络与信息安全防护能力。
(7)写出整改报告。事后整改报告应在安全事件处置完毕后5个工作日内,以书面报告的形式进行报送(报送内容和格式见附件2)。事后整改报告由学院信息技术安全分管责任人组织信息技术安全管理部门、系统使用单位和运维单位共同编写,由本单位主要负责人审核后,签字并加盖公章报送省教育厅科技处。
3、一般安全事件报告与处置
发生一般安全事件时,应在学院领导小组领导下,及时开展应急处置工作。在事件处置完毕后5日内向省教育厅科技处报送整改报告(报告内容和格式见附件2)
4、整改类安全问题的报告与处置
在接收到教育部、省教育厅、省公安厅、省工业和信息化委员会、省互联网应急办公室等信息安全部门发布的漏洞整改类信息问题时,应在学院领导小组指导下,由信息技术安全主管部门及时组织开展应急处置工作,并按要求将整改报告同时报送省教育厅科技处和省教育信息安全监测中心。(报送内容和格式见附件3)
5、工作要求
在安全事件应急行动中,各有关部门和人员要服从指挥,密切配合,确保政令畅通和各项工作的落实。
第二十三条 处置过程
1.信息网络中心做好日常网络信息安全事件预防和监测工作。其他单位或个人发现或怀疑网络安全事件时,应尽早与信息网络中心联系。
2.发生网络信息安全事件时,信息网络中心组织网络安全厂家将对应服务和系统从学院网络上隔离开,以控制安全事件影响的进一步扩大。视遭受影响的业务情况通知建设单位和使用部门,视事件性质和影响程度向学院网络信息安全领导小组和其他部门汇报,必要时直接向公安局报案。
3.各单位接到通知后,应尽快安排人员参与事件处置,所需安排的人员包括:协助开展业务系统处置的人员、处理业务问题的人员。根据业务遭受影响的程度,妥善进行业务处置,可发布通知停办业务或调整为其他业务受理方式。信息网络中心负责通知业务系统集成商或厂家参与事件处置,负责业务影响程度评估。
4.业务系统集成商或厂家与学院信息网络中心共同开展技术处置,进行安全事件处置。
5.安全事件处置后信息网络中心负责组织人员总结评估安全事件的处置过程、结果、损失情况,提出进一步整改和处置措施,报有关部门和领导。
6.安全事件整改责任部门按要求落实整改工作并制定长效预防机制,形成整改报告报送信息网络中心。
保守机密是信息网络中心工作人员的义务和职责,中心工作人员要牢固树立“保守机密、慎之又慎”的观念,认真落实各项保密制度,确保计算机网络系统和信息网络中心不发生泄密情况。
第二十四条 对具有保密或隐私性质计算机数据,在数据所属业务单位的统一管理下实行使用人员(以下简称责任人)责任制。责任人包括本部门接触保密数据的人员、系统维护厂家及其工作人员、因实际工作需要能接触本单位所管业务数据的其他部门工作人员。
第二十五条 责任人履行如下保密义务
1.责任人必须严格遵守学院相关管理规定,合理、规范、安全地使用计算机、网络、数据和信息资源。责任人承诺在工作过程中,视所接触到的资料、数据和项目信息为保密内容,承担保密责任。
2.来源于学院的所有资料、数据和项目信息,包括但不限于教职工、学生个人身份信息、学院组织架构信息、教学、科研、管理、服务等相关业务信息。
3.责任人未经允许,不得访问、删除、修改、增加、复制、备份、摄录、摘抄、打印数据和资料,不得擅自传播保密信息。
4.责任人必须妥善保管数据和资料的存储介质(云盘、U盘、终端存储等),严防丢失,更不可交由其他人使用或作其它用途。
5.责任人未经允许,不得进行影响系统运行的操作,如关闭主机(设备)、关闭关键服务、查询大量数据、修改数据库、修改系统配置等。
6.责任人对自己管理的帐号,必须加强密码管理,要求管理员帐号使用字符、数字、符号组合的复杂密码,长度不小于8位,口令30天定期更换。
7.存有保密信息的介质(硬盘、U盘、磁盘、闪存、光盘等)如需送到单位外维修时,要将涉密资料备份后,对介质进行技术处理(如低级格式化、写零处理等),以防泄密。
8.责任人在承担项目工作完成以后,不得保留保密信息的副本,一切关于保密信息的资料销毁或返还信息提供部门,保证信息不会外流;责任人承诺若中途不再从事项目有关工作,仍对保密信息承担保密责任。
9.若违反本承诺书内容,一经发现,学院可视责任人行为严重程度进行行政处分或经济处罚。后果严重者,学院将通过法律途径向责任人索赔,或向司法机关报案处理。
10.责任人的保密义务至保密信息公开或被公众知悉时终止。
第二十六条 涉及国家保密法和其他行政法律法规所规定情形应遵照对应法律法规执行。