南京晓庄学院网络信息安全管理办法

发布者:管理员发布时间:2017-12-21浏览次数:117

南京晓庄学院网络信息安全管理办法

第一章 总则

第一条 为了保障南京晓庄学院校园网络及信息系统的安全稳定,提高网络与信息技术安全防护能力和水平,保障和促进教育教学健康有序发展,根据《中华人民共和国网络安全法》等相关法律法规并结合学校实际,制定本办法。

第二条 网络与信息安全,是指为防止发生信息化设备设施故障、网络攻击、有害程序入侵、信息破坏和窃取等而开展的风险预防和整治工作,以保证我校各单位在校园网内或经学校备案在公有云上构建的网络基础设施、网站、信息系统及数据内容的安全性、完整性、可用性、可控性。

第三条落实多主体安全责任,依据“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,逐级落实网络与信息安全责任,突出重点、自主防护、保障安全。

第二章 管理体制

第四条 南京晓庄学院网络安全和信息化领导小组统一领导、统一谋划、统一部署全校网络安全和信息化发展,统筹制定网络安全和信息化发展战略、宏观规划和重大政策,研究解决网络安全和信息化重要问题。

第五条 信息化建设与管理办公室(以下简称信息办)负责学校网络与信息技术安全管理和监督工作; 负责网络安全检查,防范风险,找出漏洞,通报结果,督促整改;负责处理校园网突发故障,为全校各单位网络与信息安全工作提供技术指导和服务支持。

第六条 完善“分级管理,逐级负责”的网络安全责任机制,学校二级单位和职能部门是本单位网络安全和信息化工作的责任主体,二级单位主要负责人是网络安全工作共同第一责任人,党政班子中的一名成员为直接责任人。网络安全第一责任人代表单位签订网络安全责任书,负责按本办法落实网络与信息安全工作。各单位应明确指定负责本单位信息网络、互联网站和应用系统运行维护的信息管理员,并报备至信息办。

第七条 全校各单位及师生员工应依照本办法及其相关标准规范履行网络与信息安全的责任和义务。

第三章  数据安全

第八条本办法所涉及的数据是指学校各类信息系统在建设和使用过程中产生和积累的相关业务数据,数据管理部门包括数据统筹管理部门、数据生产部门和数据使用部门。

第九条信息办是学校数据资产的统筹管理部门,负责主数据中心的安全管理,并规范数据服务流程,确保数据流向清晰,实现数据可控、可管、可查;数据生产部门为权威数据的单一来源部门,负责数据收集、维护、使用、备份、归档等全程安全,需遵循学校信息标准规范及数据服务规范;数据使用部门根据实际需求向数据生产部门提出书面申请,获得批准后,信息办或数据生产部门向数据使用部门开放数据接口。数据使用部门有义务和责任保护所获得数据的安全,未经允许,不得将数据用于其他用途。

第十条 未经批准,任何单位或个人不得擅自提供信息系统产生的内部数据。对于非法泄露或擅自提供数据的单位或个人,依照相关法律法规予以处理。

第十一条全校各单位应依托校内数据中心实施本单位信息化建设,需要使用校外数据中心的需报信息办审批,严禁使用部署在境外的数据中心。涉及学校基础数据、师生个人信息或敏感信息的应用系统和互联网站,严禁部署在校外数据中心。

第十二条信息办对学校数据中心的使用实施准入管理,负责制定使用数据中心的技术规范和标准,在系统上线前进行安全检测,符合技术规范标准并检测通过的系统方可上线运行。

第十三条 数据中心的使用单位应遵循数据中心相关管理制度和技术标准,按需申请、有序使用;规范本单位数据中心资源的使用和管理,不得利用数据中心资源从事任何与申请项目无关或危害计算机信息系统安全的活动。

第四章 系统安全

第十四条 各单位在建设网站或信息系统时,须同步建立网络信息安全体系,在技术方案、经费预算及运行维护等方面予以落实,以确保安全,并报送信息办备案。

第十五条切实加强网站及信息系统的安全管理工作。信息办加强整体安全监管,做好整体技术防范;各单位应定期对本单位的网站及信息系统开展安全巡检、漏洞修补,做好系统防护、安全整改等工作。

第十六条 各单位网站或信息系统上线前,需开展安全自查工作,并报信息办备案。信息办负责定期对全校的网站及信息系统开展安全检查,检查不合格的网站或信息系统整改完成并经复查合格后,方可恢复正常访问。

第十七条 鼓励优先采购安全、成熟和售后服务优良的商业软件。没有相应商业软件,或商业软件不适应我校实际需求的,可以按照学校采购与招标相关规定委托资质和信誉良好的软件开发商进行开发。业务管理部门与信息办共同组织对技术方案进行论证和审批,并确定拟建应用系统信息安全保护等级;应用系统按照相应等级的规范要求进行建设。

第十八条 业务管理部门为应用系统的主管部门,应指定专门人员负责系统的建设、运行维护和安全管理,组织软件提供商并会同信息办制定应用系统运维和安全管理方案。应用系统原则上由业务管理部门运维。

第十九条 应用系统投入试运行后,由业务管理部门初步验收,出具初步验收报告,并向信息办申请开展信息安全保护等级测评、形成测评报告。该报告为应用系统竣工验收的重要依据。

第五章  内容安全

第二十条 任何单位和个人必须遵守我国《计算机信息网络国际联网管理暂行规定》等有关法律法规和学校的有关管理规定,严格执行信息安全保密制度,并对所提供和发布的信息负责。

第二十一条任何单位和个人不得利用校园网及经学校备案的公有云系统制作、复制、传播下列信息:

1.煽动抗拒、破坏宪法和法律、法规实施的;

2.煽动颠覆国家政权,推翻社会主义制度的;

3.煽动分裂国家、破坏国家统一的;

4.煽动民族仇恨、民族歧视,破坏民族团结的;

5.煽动非法集会、结社、游行、示威、聚众扰乱社会秩序的;

6.捏造或者歪曲事实,散布谣言,扰乱社会秩序的;

7.宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;

8.公然侮辱他人或者捏造事实诽谤他人的;

9.损害国家荣誉和利益的;

10.以非法民间组织名义组织活动的;

11.其他违反宪法和法律、行政法规的。

第二十二条需严格遵循内容审核机制,规范信息发布审批流程,加强信息安全监控,防止出现内容篡改等安全事故。

第二十三条宣传部负责网站内容审查及监管,信息办负责技术支持和保障。

                    第六章 监测与处置

第二十四条我校各应用系统和互联网站,由信息办按照国家信息安全等级保护制度要求确定安全保护等级,按相关规定对信息安全等级状况开展等级评测。未达到安全保护等级要求的,应用系统或互联网站的主管单位应制定整改方案并落实到位。

第二十五条各单位定期对本单位应用系统和互联网站安全状况、安全保护制度及措施的落实情况进行自查,并配合有关部门的信息安全检查、信息内容检查、保密检查与审批等工作。

第二十六条各单位应按照我校网络与信息安全应急处置预案暂行规定,做好事发紧急报告与处置、事中情况报告与处置和事后整改报告与处置工作。

第二十七条各单位应建立本单位信息安全值守制度,做到安全事件早发现、早报告、早控制、早解决。同时建立健全本单位安全事件应急处置机制,制定安全事件应急预案,定期组织应急演练。

第二十八条信息办联合相关单位定期对全校各单位网络与信息技术安全工作落实情况进行检查,对发现的问题下达限期整改通知书,对网络与信息技术安全事件进行调查处理。

第七章 责任追究

第二十九条各单位应按照网络与信息安全应急处置预案暂行规定,及时、如实地报告和妥善处置网络与信息安全事件。工作不力的,学校给予通报批评;玩忽职守、失职渎职造成严重后果的,依纪依法追究相关人员的责任。

第三十条 师生员工违反网络与信息安全相关管理规定、造成不良后果的,视情节轻重,分别由人事管理或学工部门按相关规定给予批评教育或纪律处分;触犯法律时,由相关国家机关依法追究法律责任。

                       第八章 附则

第三十一条 对于涉及国家秘密的信息系统,按照国家保密工作部门的相关规定和标准以及我校《关于进一步加强保密工作的通知》进行保护。

第三十二条 本办法自发布之日起实施,由信息办负责解释。