第一章 总则
第一条 学校网络信息安全管理的目标是按照国家有关网络安全和信息化建设的法律、法规、规章,建立健全网络信息安全管理体系,完善网络安全技术体系和运行体系,不断提高网络信息安全保护能力,确保学校网络信息安全工作规范有序开展,保障学校信息化建设持续发展。为规范安徽艺术学院网络安全管理,提升学校网络信息安全防护能力,提高网络信息安全防护水平,促进学校信息化健康可持续发展,根据《中华人民共和国网络安全法》《中华人民共和国计算机信息系统安全保护条例》《计算机信息网络国际联网安全保护管理办法》《信息安全等级保护管理办法》等国家相关法律法规和《教育部关于加强教育行业网络与信息安全工作的指导意见》等文件精神,特制定本办法。
第二条 本办法所指的网络信息安全,包括安徽艺术学院校园网及网络基础设施、网站、信息系统等方面的网络基础设施安全、数据中心安全、信息系统安全、数据安全、内容安全、终端安全和服务外包安全等多个方面。
第二章 管理体制与职责
第三条 学校网络信息安全管理依据“谁主管谁负责,谁使用谁负责”为原则,逐级落实网络信息安全责任;网络与信息系统的主办单位承担安全监管责任,包括内容安全监管、技术安全保障和监督检查等职责;网络与信息系统的使用单位和个人对系统操作与信息内容的安全监管承担直接责任。网络与信息系统通过外包服务方式进行维护的,主办单位负责督促外包服务单位做好安全运维工作,网络与信息系统的安全监管责任主体仍为主办单位。服务单位开发、外包单位需保密协议,终身负责解决网络安全问题。
第四条 网络安全与信息化工作领导小组是学校网络安全和信息化工作的领导机构,统筹决策学校网络信息安全重大事项工作,包括定期召开网络信息安全工作会议,审议研究学校网络信息安全规划,批准学校网络信息安全基本政策和信息系统安全等级定级等工作,协调处理重大网络信息安全事件。
第五条 网络安全与信息化工作领导小组办公室,负责学校网络信息安全的管理和协调工作,纵向衔接、横向协调。图书信息中心为学校网络信息安全技术管理部门,具体执行国家网络安全部门的相关政策和要求,落实网络安全与信息化工作领导小组的任务要求,组织开展信息系统安全等级保护工作,负责学校网络信息安全工作的技术层面统筹规划、建设、管理,以及技术支持、保障与专业技术培训等日常工作。
第六条 党委宣传部负责学校网络宣传方面工作,包括网站和新媒体建设备案审核,负责网络信息内容的安全监管和检查监督及网络宣传。保卫处负责网络违法违规行为查处工作,包括调查、取证、处置,负责校园网运行和使用场所的安防、消防安全检查监督和视频监控点位安放审核工作。总务处负责学校网络运行场所的电力条件建设和保障,包括参照《信息安全等级保护管理办法》对校园网络核心场所提供双路供电,保障各楼宇弱电间的网络运行的负荷、供电安全。
第七条 学校各单位负责本单位(含本单位及个人)网站及业务信息系统的网络信息安全。各单位党政主要负责人为本单位网络信息安全工作的第一责任人,同时,必须明确分管网络信息安全的领导,并指定专人担任网络信息安全员,负责本单位的网络信息安全具体工作,并与网络安全与信息化工作领导小组办公室对接。
第八条 学校各单位网络信息安全管理员一般应具有相关专业知识背景,在正式上岗前,应当参加网络信息安全培训,掌握网络信息安全相关技术,了解学校网络信息安全体系,理解网络信息安全制度,熟悉本单位网络信息安全措施。人员发生变更,应及时向网络安全与信息化工作领导小组办公室备案。
第三章 网络基础设施安全
第九条 学校网络包括校园网、运营商在学校所建的网络,由图书信息中心归口管理。未经批准,各单位不得擅自敷设内部网络并接入学校网络,不得通过社会运营商接入互联网和其他公共信息网络。
第十条 学校所有基建、修缮、装修工程应将工程范围内校园网络建设纳入工程设计、实施和竣工验收范畴。在进行新建建筑物、室内装修改造、视频监控、电子大屏、机房建设等涉及弱电工程时,在项目实施前,弱电工程部分实施方案应需图书信息中心确认,按学校弱电施工标准及规范进行。在项目完成后,弱电工程部分须由图书信息中心参与工程验收。在维修或拆除涉及校园网络的建筑物时,在维护或开挖涉及校园网络的道路时,须事先通知图书信息中心,以保护校园网络设备设施的安全。
第十一条 加强各楼宇内弱电间的管理,弱电间只允许安装摆放弱电网络所需设备,并符合消防安全要求。各单位由于工程需要,需进入弱电间施工及安放设备,事先应需图书信息中心确认,接受图书信息中心的指导和监督。
第十二条 师生员工接入校园网络,实行“实名注册、认证上网”制度;学校非涉密信息系统接入校园网络,实行报批备案制度。需要在校园网上开办信息系统的单位,应到图书信息中心办理登记手续,其中开设BBS、论坛、聊天室、博客、微博等公众信息服务系统,以及在微信、QQ等互联网社交平台上开办公众服务号,应到党委宣传部报备批准。未经许可,任何入网单位或个人不得以冠有“安徽艺术学院”或“安艺”中外文字样的任何名义开通信息发布、BBS、论坛、聊天室、博客、微博、微信等公众信息服务系统。
第十三条 学校域名为 ahua.edu.cn,学院建立DNS域名服务器后,各主办单位按信息系统名称的拼音或英文缩写简写设置域名并提出申请,经图书信息中心批准后使用。
第十四条 学校邮箱后缀为 @ahua.edu.cn,邮箱用户须对用户名、密码的安全负责和以其用户名进行的所有活动负责。如因用户名及密码保管不善导致个人邮件等信息资料泄露或丢失,用户应自行承担责任。对于有违反国家法律法规或学校管理规定的行为、或因主观或客观原因给邮件系统的正常运行带来不利影响或后果的用户,图书信息中心有权采取相关措施,锁定或关闭其电子邮箱,终止其继续使用校园电子邮箱的资格。
第四章 数据中心安全
第十五条 数据中心主要包括支撑学校信息系统的物理环境(其中包含机房)、软硬件设备设施、云计算平台、 高性能计算平台、学校中心数据库等信息化基础设施和平台。图书信息中心负责数据中心物理环境、软硬件设备设施和高性能计算平台的建设和安全管理;根据信息系统安全等级的不同,对数据中心进行分区、分域管理,采取必要的技术措施对不同等级分区进行防护、对不同安全域之间实施访问控制。
第十六条图书信息中心负责学校中心数据库、数据共享交换平台的建设和安全管理,各单位负责建设、维护本单位业务应用系统所配套的业务数据库,并对本单位业务数据库及所申请的共享数据的安全负责。
第十七条 各单位根据业务需要申请使用虚拟服务器。申请方对其服务器上的应用和数据的安全性负责。申请方须定期做好系统升级、数据备份、安全措施的优化调整等工作,并承担由于维护不当造成的数据丢失、系统崩溃等安全责任。
第十八条 虚拟服务器申请方对其服务器上的应用和数据的合法性负责。申请方须自行解决服务器上所有版权(许可/使用权)问题以及由此造成的法律纠纷。申请方有责任和义务配合国家信息安全管理相关职能部门的监督和检查。
第十九条 实体服务器托管服务仅限于现行已托管的服务器,图书信息中心原则上不再受理实体服务器托管,仅提供虚拟服务器。图书信息中心负责服务器物理环境安全,托管服务器用户负责系统升级、数据备份、安全措施的优化调整等工作。由于维护不当造成的数据丢失、系统崩溃等情况由用户自行承担相关责任。
第二十条图书信息中心对学校数据中心的使用实施准入管理,负责制定使用数据中心的技术规范和标准,在系统上线前进行安全检测。符合技术规范标准并检测通过的系统方可上线运行。
第五章 信息系统安全
第二十一条 本方法所指的信息系统为使用了学校互联网IP的各类信息系统,学校各信息系统实行网络安全等级保护。信息系统包括各级各类应用业务系统、管理系统,还包括各级各类网站系统。
第二十二条 按照同步规划、同步建设、同步运行的原则,规划、设计、建设、运行、管理信息安全设施,建立健全信息技术安全防护体系,全面实施信息系统安全等级保护制度。
第二十三条图书信息中心组织学校各单位开展信息系统定级、系统备案、等级测评、建设整改,具体负责信息系统台账管理、等级评审、系统备案、监督检查工作。按照“自主定级、专家评审、自主保护”的原则,信息系统建设单位是信息系统安全等级保护的责任主体,具体负责系统定级、建设整改、安全自查,协助系统备案、等级保护测评并接受有关部门监督检查。图书信息中心是信息系统安全等级保护工作的技术支撑保障部门,负责网络信息技术安全防护体系建设和等级测评组织工作,参与监督检查工作,并协助学校各单位进行系统定级、建设整改。
第二十四条 为确保项目质量,图书信息中心在立项阶段组织需求、技术、预算等方面的专家论证。信息系统建设单位在立项阶段应确定安全保护等级,由图书信息中心对建设方案进行单独的安全论证和等级评审。对于安全等级第二级以上(含第二级)的信息系统,由图书信息中心组织等级保护测评。
第二十五条 信息系统在建设阶段应按已确定的安全保护等级,同步落实安全保护措施。信息系统上线运行前须通过由图书信息中心组织的安全检测。检测未通过的信息系统需进行安全整改,检测通过后方可上线运行。
第二十六条 涉及学校基础数据、重要业务或大量师生员工信息的信息系统以及安全等级第二级以上(含第二级)的信息系统,原则上应部署在图书信息中心数据中心。
第二十七条 信息系统建设单位应通过有效方式,组织开展信息系统安全巡检、漏洞修补工作,通过安全审计,通过记录、检查系统和用户活动信息,及时发现系统漏洞,处置异常访问和操作。
第二十八条 信息系统建设单位应制定信息系统使用与维护的管理制度,规范信息系统使用者和维护者的操作行为。
第二十九条 对于安全等级第二级以上的信息系统,图书信息中心将定期组织开展等级测评,查找、发现并及时整改安全问题、漏洞和隐患。根据国家和教育行业有关标准规范,三级系统每年进行一次测评。
第三十条 现有信息系统由网络安全与信息化工作领导小组办公室参照国家标准《信息系统安全等级保护基本要求》,提出校园网内各信息系统的安全等级建议并报领导小组批准。
第三十一条 校园移动应用app提供者应当严格落实信息安全管理责任,按照“后台实名、前台自愿”的原则,对注册用户进行真实身份信息认证;建立健全用户信息安全保护机制;建立健全信息内容审核管理机制,对发布违规信息内容的,视情采取警示、限制功能、暂停更新、关闭账号等处置措施;未向用户明示并经用户同意,不得开启手机地理位置、读取通讯录、启用录音等功能;不得开启与服务无关的功能,不得捆绑安装无关应用程序。
第六章 数据安全
第三十二条 本办法所涉及的数据是指各类信息系统所覆盖的相关业务数据。
第三十三条 学校数据管理部门包括数据统筹管理部门、数据生产部门、数据使用部门三部分。
第三十四条图书信息中心是学校数据资产的统筹管理部门,负责公共数据库、数据共享平台的安全管理,负责制订全校范围内数据安全的标准和规范,规范数据服务流程,确保数据流向清晰,实现数据可控、可管、可查。
第三十五条 数据生产部门为权威数据的单一来源部门,负责数据收集、维护、使用、备份、归档等全程安全,需遵循学校信息标准规范及数据服务规范。
第三十六条 数据使用部门根据实际需求向数据生产部门提出申请,获得批准后,图书信息中心或数据生产部门向数据使用部门开放数据接口。数据使用部门有义务和责任保护所获得数据的安全,未经允许,不得将数据用于其他用途。
第三十七条 学校各单位负责本单位网络信息系统的数据安全,具体包括数据存储安全和使用安全,保证数据的完整性、机密性和可用性。
第三十八条 未经批准,任何单位或个人不得擅自提供信息系统产生的内部数据。对于非法泄露或擅自提供数据的单位或个人,依照相关法律法规予以处理。
第七章 内容安全
第三十九条 任何单位和个人必须遵守《中华人民共和国计算机信息网络国际互联网络管理暂行规定》、国家有关法律法规和学校的有关管理规定,严格执行信息安全保密制度,并对所提供和发布的信息负责。
第四十条 禁止使用互联网(包括但不限于邮箱、即时通信工具、社交网络工具等)处理、传递、转发涉密、敏感信息及涉及个人隐私信息。
第四十一条 学校各单位通过网络信息系统向网络发布信息时,应确保信息的真实有效,并采取身份鉴别、访问控制等防护技术措施,加强信息安全监控,防止出现内容篡改等安全事件。
第四十二条 学校各单位的网络信息发布工作需严格遵循内容审核机制,规范信息发布审批流程,应由该单位主管领导分管,专人负责执行,并做到先审查后发布。学校各单位主管领导对本单位所发布的内容负责。
第四十三条 全校师生员工应当遵守各种相关法律法规,不得制作、复制、发布和传播违反相关法律法规的内容。
第四十四条 党委宣传部负责网站等内容审查及监管,图书信息中心负责网站群技术支持和保障,各单位负责本单位所开办的信息系统内容安全。
第四十五条 以“安徽艺术学院”、“安艺”冠名的各类二级网站原则上必须在学校网站群平台建设,同时使用安徽艺术学院域名。新建网站、不在学校网站群平台上开设的网站,在校外空间建设的网站,需报党委宣传部审批。
第八章 终端设备安全
第四十六条 终端设备是指由学校师生员工使用并从事学校教学、科研、管理等活动的各类计算机及附属设备,包括台式电脑、笔记本电脑、移动设备及其他物联网接入终端。
第四十七条 终端设备使用人按照“谁使用,谁负责”的原则,对其终端设备负有保管和安全使用的责任。图书信息中心对终端设备的安全管理提供技术支持和指导。
第四十八条 学校提供常用正版软件下载,终端设备上安装、运行的软件须为正版软件。在终端设备上使用盗版软件带来的安全和法律责任由终端设备使用人承担。
第四十九条 终端设备应当设置系统登录账号和密码,禁止自动登录,登录密码应具有一定强度并定期更改。
第五十条 终端计算机使用人应做好数据日常管理和保护,定期进行数据备份。
第五十一条 终端计算机使用人应做好终端计算机的安全防范,如发现终端计算机出现可能由病毒或攻击导致的异常系统行为或其他安全问题,应立即断网后进行处置。
第九章 服务外包安全
第五十二条 学校信息技术外包服务包括:咨询服务、运行维护服务、驻场服务以及技术培训,外包服务过程中,服务提供商应遵循国家和学校的相关安全规定,保证学校信息系统运行环境的稳定。
第五十三条 各单位应与外包服务方签订安全保密协议或合同,明确符合安全管理机器相关制度的要求,并对服务人员进行安全保密教育。
第五十四条 各单位配备专人负责安全保密工作,负责日常信息安全监督、检查、指导工作。对服务方提供的服务进行安全性监督与评估,采取安全措施对访问实施控制,出现问题应遵照合同规定及时处理和报告,确保其提供的服务符合单位的内部控制要求。
第五十五条 对外包服务的业务应用系统运行的安全状况应定期评估,当出现重大安全问题或隐患是应进行重新评估,提出改进意见,直至停止外包服务。
第五十六条 在重要安全区域,对外部服务方的每次访问进行风险控制,必要时应对外部服务方的访问进行限制、审计及监督。
第十章 应急处置
第五十七条 网络安全与信息化工作领导小组办公室按照规定通报网络安全监测预警信息。各单位应当根据国家、地方网络安全部门、网络安全与信息化工作领导小组办公室发布的预警信息及时做好相应防范工作,做好相应处置工作。
第五十八条 网络安全与信息化工作领导小组办公室制定网络安全事件应急预案。网络安全事件应急预案应当按照事件发生后的危害程度、影响范围等因素对网络安全事件进行分级,并规定相应的应急处置措施。
第五十九条 各单位网络信息安全管理人员必须熟悉本单位网络信息安全事件应急处置措施。
第六十条 校园网内发生网络信息安全事件,应当立即启动网络信息安全事件应急预案,各单位和相关人员须按照应急预案规定进行处置。
第十一章 奖惩
第六十一条 网络安全与信息化工作领导小组办公室定期开展全校网络信息安全工作的检查,每年向学校网络安全与信息化工作领导小组汇报各单位网络安全工作汇总信息。对违反网络信息安全管理制度、网络信息安全工作存在不足和隐患且逾期不改的单位,学校给予通报。
第六十二条 对拒不执行网络信息安全管理相关制度、漠视网络安全工作以至造成重大事故和案件的单位,学校将追究该单位主要负责人和直接责任者的责任。对触犯法律的,将移送公安司法机关处理。对损坏校园网络系统或信息系统设备设施的个人,学校将视其情节轻重追究责任,如触犯法律应移交公安司法机关处理。
第十二章 附则
第六十三条 对于涉及国家秘密的网络系统或信息系统,应按照国家保密工作部门的相关规定和标准进行保护。
第六十四条 本办法自发布之日起施行,由网络安全与信息化工作领导小组办公室负责解释。
安徽艺术学院图书信息中心
2020年3月6日