您所在位置: 网站首页 > 规章制度 > 学校规章 > 正文
学校规章
重庆科技学院网络安全管理办法
发布时间:2020年06月01日 10:56       来源:信息化中心    点击:


第一章 总则

第一条  为保证学校网络安全与信息化工作的健康有序发展,规范校内网络安全建设和管理工作,确保校内网络安全,根据《中华人民共和国网络安全法》等法律法规要求,制定本办法。

第二条  本办法所称网络安全工作是指为保障学校网络安全与信息化相关基础设施、信息系统及数据的完整性和可用性,而采取的网络安全检测、防护、处置等技术措施,以及相关标准规范、管理制度的制定、执行等。

本办法主要是技术方面的管理,学校网络安全工作中涉及的意识形态、涉密安全等内容,由学校相关职能部门根据有关规定另行制订具体管理办法。

第二章 组织机构及职责分工

第三条  学校网络安全与信息化领导小组为学校网络安全工作的领导机构,负责学校网络安全工作的战略决策、实施监督及重大网络安全事件处理的决策指导。

第四条  信息化办公室为学校网络安全工作的技术管理机构,负责学校网络安全的日常规划及建设工作、组织协调与管理监督信息化项目中的网络安全建设工作、校园网安全建设与管理、网络安全管理制度的起草与执行、网络安全技术培训,以及其他与学校网络安全相关事务的处理。

第五条  校内各单位按照谁主管谁负责、谁运维谁负责、谁使用谁负责的原则,分别负责本单位主管、运维、使用的各信息系统及内部网络的安全工作。校内各单位应根据本单位信息化建设和应用情况,建立本单位的网络安全管理制度和应急处置预案。

第六条  校内各单位党政负责人为本单位网络安全的第一责任人,负责规划、监督本单位的网络安全工作,并安排专人负责本单位网络安全具体工作的落实与执行。

第七条  信息化项目建设单位为该项目网络安全工作的责任单位,负责该项目网络安全工作的具体落实与实施。

第八条  全校师生员工为校园网的使用者、信息化建设的参与者,同时也是网络安全工作的参与者,有责任和义务遵守学校网络安全相关规定,积极参与网络安全建设和管理。

第三章  系统安全

第九条  各单位在建设信息系统时,须同步建立网络安全体系,在技术方案、经费预算及运行维护等方面予以落实,以确保安全,并报学校相关职能部门备案。

第十条  信息系统上线前,需进行专业安全检测,检测未通过的信息系统需进行安全整改,检测通过后方可上线运行。

第十一条  各单位对外开放的信息系统,要按照《信息系统安全等级保护基本要求》(GB/T22239-2019)规定的二级或二级以上安全等级要求进行建设及管理。

第十二条  信息化办公室负责组织全校各类信息系统的等保定级、备案和测评工作,各单位负责本单位信息系统的等保整改工作,确保等级保护工作按照国家法律法规要求正常开展。

第十三条  信息化办公室负责学校网络安全的整体监管和技术防范,定期对全校信息系统开展安全检查,对检查不合格的网站或信息系统,视其漏洞级别暂停网络访问,并通知责任单位限期整改并提交安全整改报告。整改完成并经复查合格后,方可恢复正常访问。

第十四条  各单位负责本单位网站及信息系统的日常巡检、系统防护和安全整改等工作,并做好信息系统巡检记录。对校外开放的信息系统,至少每月巡检一次;仅对校内开放的信息系统,至少每学期巡检一次。

第四章  数据安全

第十五条  本办法所涉及的数据是指各类信息系统所覆盖的相关业务数据,包括但不限于学校办公系统、人事系统、财务系统、资产系统、教务系统、科研系统、学工系统以及其他各类信息系统产生的数据。

第十六条  学校数据管理部门包括数据统筹管理部门、数据生产部门、数据使用部门三部分。

第十七条  信息化办公室是学校数据资产的统筹管理部门,负责学校主数据中心、数据仓库平台、数据共享平台的安全管理,并规范数据服务流程,确保数据流向清晰,实现数据可控、可管、可查。

第十八条  数据生产部门为权威数据的单一来源部门,负责数据收集、维护、使用、备份、归档等全程安全,需遵循学校信息标准规范及数据服务规范。

第十九条  数据使用部门可根据实际需求向信息化办公室提出数据申请,获得批准后,由信息化办公室向数据使用部门开放数据接口。数据使用部门有义务和责任保护所获得数据的安全,未经学校允许,不得将数据用于其他用途。

第二十条  未经批准,任何单位或个人不得擅自提供信息系统产生的内部数据。对于非法泄露或擅自提供数据的单位或个人,依照相关法律法规予以处理。

第五章 队伍建设及经费保障

第二十一条  人事处负责学校网络安全机构及人员岗位设置等保障工作。

第二十二条  财务处负责网络信息安全的经费保障。依据上级有关规定,建立稳定的网络与信息安全经费投入机制,用于学校信息安全等级保护、安全防护能力建设、信息安全服务、人员培训等工作。

第六章 网络安全应急响应

第二十三条  网络安全事件分为紧急事件和普通事件。

第二十四条  紧急事件是指:

(一)可由校外访问的页面发生篡改或被替换成非法信息的事件,尤其是发生在学校主页、新闻网站、招生信息网等访问量高的系统或网站的事件。

(二)影响学校系统正常运转的攻击事件,如与信息门户、教务系统、财务系统、办公系统等相关的攻击事件。

(三)可能造成师生隐私信息被窃取、丢失、损坏的漏洞。

(四)其他可能对社会公共安全、学校造成危害或不良影响的事件或漏洞。

第二十五条  普通事件是指:

(一)对校内开放系统或网站的页面发生无害篡改或有隐藏漏洞。

(二)影响不大的攻击事件或可能造成中低隐患的漏洞。

(三)其他不构成公共危害或社会不良影响的安全事件或漏洞。

第二十六条  网络安全事件应急响应程序如下:

(一)信息化办公室接到安全事件的通报后,通过沟通协调,结合技术手段,获取事件截图等相关证据。

(二)信息化办公室核实事件类别,发起处理流程。

(三)若事件为紧急事件,信息化办公室第一时间向分管网络安全与信息化工作的校领导汇报,同时通报责任单位相关情况及事件证据,并关闭相关网站或信息系统的访问权限,以降低不良影响。

(四)信息化办公室指导分析事件原因,提供整改建议。

(五)责任单位对网站或信息系统进行安全修复,并提交安全整改报告。

(六)信息化办公室对修复后的网站或信息系统进行安全复查,复查通过后恢复其访问权限。

第二十七条  信息化办公室负责制定学校网络安全应急预案,各单位负责制定本单位的网站及信息系统安全应急预案,并定期进行安全应急演练。

第七章 网络安全责任处理与追究

第二十八条  对于违反本办法及有关网络安全制度的校内单位及个人,由信息化办公室组织认定并上报学校网络安全与信息化领导小组进行处理。

第二十九条  对于违反本办法的校内单位及个人,学校取消其当年在校内的各类评优资格。

第三十条  对于违反法律、法规,造成国家、学校和个人损失的,学校依法依规进行处理。

第八章 附则

第三十一条  本办法由学校授权信息化办公室负责解释。

第三十二条  本办法自202061日起执行。