当前位置:首页 >> 规章制度
 
唐山学院网络与信息安全管理办法
发布时间:2023年10月17日  点击数:
第一章 总 则
第一条 为了进一步加强学校计算机网络与信息安全管理工作,根据《中华人民共和国网络安全法》、《教育部关于加强教育行业网络与信息安全工作的指导意见》和《教育部 公安部关于全面推进教育行业信息安全等级保护工作的通知》以及上级有关文件精神要求,制定本办法。
第二条 学校网络与信息安全管理的对象包括:隶属于学校及校内各级机构的网络、网站、业务系统、计算机应用软件及其运转过程中的数据和相关的软硬件系统,以下简称网络信息系统。
第三条 网络与信息安全管理主要包括:网络安全管理、网络信息和网站安全管理、信息系统安全管理、应急处置等四个方面。
第二章  管理体制和职责
第四条 学校网络安全与信息化工作领导小组负责全校网络与信息安全工作的顶层设计、总体布局、统筹协调、整体推进、督促落实。网络安全与信息化工作领导小组办公室负责网信领导小组日常事务工作,设在现代教育技术中心。
第五条 现代教育技术中心负责网络和信息安全工作的研究规划、建设管理、技术支撑与运维保障工作。
第六条 党委宣传部负责网络信息内容的安全监管,负责校园网络舆情信息的监控和管理,开展网上疏导和正面宣传,做好对外宣传工作。
第七条 按照“谁主管谁负责、谁运维谁负责,谁使用谁负责”的原则,校属各部门对本部门、本单位网络安全工作负主体责任。
第三章  计算机网络安全
第八条 学校计算机网络是指由唐山学院投资建设,由现代教育技术中心运维和管理的计算机网络设备、安全设备、配套的网络线缆设施、供电系统及网络服务器、资源库、工作站等所构成的,服务于我校教学与管理的硬件、软件的集成系统。
第九条 对在学校范围内开展互联网接入服务的运营商由现代教育技术中心统一管理,协调处置与运营商网络有关的网络安全工作。接入学校计算机网络的各单位和个人使用者必须实名认证,由现代教育技术中心负责对其上网行为进行监督、检查和日志审计。
第十条 校属各部门对部署于本部门范围内的学校网络设备、线路具有保护义务。未经学校主管同意,校属各单位和个人不得更改或破坏学校网络设备和线路;不得擅自铺设线路;不得以代理、VPN等形式向校外单位和个人提供接入学校网络的渠道。
第十一条 按照国家网络安全法的要求,为保障学校网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改,现代教育技术中心在学校计算机网络上开展下列安全技术保护工作:
(一)采取防范计算机病毒和网络攻击、网络入侵等危害网络安全行为的技术措施。严禁在学校计算机网络上使用来历不明、引发病毒传染的软件;对于来历不明的可能引起计算机病毒的软件前应使用正版杀毒软件检查、杀毒。
(二)采取记录、跟踪网络运行状态,监测、记录网络安全事件的技术措施,并按照规定留存各种日志。
(三)采取数据分类、重要数据备份和加密等措施。
(四)对学校计算机网络用户实行实名制登记。用户要严格遵守校园网络管理规定和网络用户行为规范,不随意把账号借给他人使用,增强自我保护意识,经常更换口令,保护好上网账号。严禁用各种手段破解他人口令、盗用账号。
(五)完成法律、行政法规、上级部门和学校规定的其他网络信息安全工作。
第十 任何单位和个人不得在学校计算机网络上明文传输具有保密性质的数据。
第十 在网络建设工程、网络设备、网络运维服务采购过程中,采购部门须组织厂家、集成商、供货商、服务商在质保期、服务期内严格履行相关合同,促使其采取对应措施协助保障学校网络安全。
第四章  门户网站和信息内容安全
第十 校属各部门主要负责人是本部门信息发布和网站安全工作第一责任人,可根据实际工作需要指定一名班子成员分工负责,同时可确定一名管理员负责本单位的信息搜集、整理、制作和发布。开通或关闭网站需报党委宣传部审批,到现代教育技术中心履行登记备案手续;如实登记用途,不提供代理和涉嫌侵权的资源服务;一旦开通需做到及时更新、认真管理、注重质量。
第十 校属各部门应按照“统一规范、先审后上、保证质量”的要求严肃开展网络信息发布、转载和链接管理工作。在学校网站平台上发布的网络信息由负责人审核后方可上传,不得发布与学校、部门职责无关的信息内容和外部链接。在校外其他传播平台,不得以学校名义擅自发布信息。
第十 各级网站安全建设、管理要求
(一)校属各部门的网站应使用学校网站群管理系统开发、制作,采用学校域名(tsc.edu.cn)和IP地址,利用学校服务器资源部署于现代教育技术中心管理的中心机房内,以确保安全。特殊情况,须经党委宣传部批准和现代教育技术中心技术审核后方可调整方案。
(二)合理设置栏目,公开并及时更新单位概况、职能职责、规章制度、办事指南、工作通知、新闻动态等内容。未经批准,不得开设聊天室、论坛等开放式交互栏目,经批准开设的,须安排专门人员认真审核留言内容,做到如实反映师生意见、过滤不良信息、积极正确引导网上舆论。
(三)采用安全的网络信息发布技术,避免传播带毒文件;引用、转发外部资讯时做到严格审核,并注明来源。
(四)妥善保管网站管理账户信息,使用高强度的密码,并定期更新;对网站管理人员和用户加强网络安全意识教育和业务培训。
(五)关注网站的安全状况,及时联系现代教育技术中心处置各种安全问题,配合现代教育技术中心做好网站安全工作。
(六)执行检查监测制度。安排专人每天检查监测本单位负责的网站平台,认真查看页面显示状况,查看各项功能的有效性,查看所发布的信息特别是重要信息是否存在错漏,查看是否存在暗链,发现问题立即纠正。关注校园网上发布的各类信息,加强沟通合作,做到学校网站与部门网站、部门网站与部门网站之间信息的准确性、一致性与恰当性。定期检查网站到其他网站的链接,防止因其他网站失效、被篡改等原因导致不良社会影响。
(七)严格落实网站维护管理制度。只在校园网内进行运维管理,若需要远程运维或第三方单位(如网站开发单位)协助运维,需要采用VPN加密、堡垒机登录等安全方式接入,不得直接远程桌面或直接开放管理端口到互联网。
第十 校属各部门应对本部门教职工、学生等各类人员定期开展网络信息安全意识教育,规范各类人员上网行为,营造积极正向的舆论氛围。
第五章  信息系统安全
第十 校属各部门主要负责人是本部门信息系统安全工作第一责任人,各部门应安排专人负责所管系统的安全管理及数据更新工作,由现代教育技术中心根据《信息安全技术 网络安全等级保护基本要求》的文件精神,划分系统安全保护等级,定期开展等级保护测评,按等级对网络信息系统开展网络安全保护工作;定期开展数据备份和系统备份,确保紧急情况下信息系统能够及时恢复。
第十 学校各类信息系统应统一部署于现代教育技术中心中心机房内,现代教育技术中心依托已建网络安全体系为信息系统提供运行安全和数据安全所需的基础环境,系统建设和使用单位负责系统的应用安全,并接受现代教育技术中心的测评、扫描,落实现代教育技术中心和上级有关部门提出的网络信息安全整改意见。现代教育技术中心可根据网络安全事件的性质和威胁程度直接采取封堵、隔离、强制下线等措施。将系统部署于现代教育技术中心中心机房之外的情况,由建设和使用单位负责提出部署方案,现代教育技术中心负责指导并审定相关内容。
二十 各信息系统管理部门须根据学校人员和组织机构变动及时调整系统内的信息,确保系统内用户和机构信息与真实情况一致,做到业务操作能审计、追溯。
第二十 系统建设和使用单位确保做到不给无关人员授权、授权账号不外泄、加强人员管理、定期开展安全检查,配合现代教育技术中心开展网络安全防范和处置工作。
第二十 定期开展数据备份和系统备份,确保紧急情况下信息系统能够及时恢复。
第六章  应急处置
第二十 现代教育技术中心负责学校网络与信息安全应急工作的统筹管理,制定《唐山学院网络与信息安全类突发公共事件应急处置办法》、学校网络与信息安全事件报告与处置流程,网络与信息安全应急工作的技术支撑和保障,相关单位制定相关应急预案可依据《唐山学院网络与信息安全类突发公共事件应急处置办法》。
第二十 现代教育技术中心定期组织网络与信息安全应急演练,评估并适时组织网络与信息安全应急处置办法修订。各单位应组织开展网络与信息安全应急处置办法的宣传、教育和培训,确保相关人员熟悉应急处置办法,网络与信息安全应急处置办法修订后应及时报学校突发公共安全事件处置领导小组备案。
第二十 现代教育技术中心负责组建学校网络与信息安全应急技术支援队伍,完善24小时应急值守制度,提高网络与信息安全事件的预防、预警和应对能力,预防和减轻网络与信息安全事件造成的损失和危害。
第二十 学校各单位应按照学校网络与信息安全事件报告与处置流程,做好事发紧急报告与处置、事中情况报告与处置和事后整改报告与处置工作。做到安全事件早发现、早报告、早控制、早解决。
第二十 学校各单位或师生员工均有义务及时向党委宣传部、现代教育技术中心报告网络与信息安全事件,不得在未授权情况下对外公布或利用所发现的安全漏洞或安全问题。
第七章  附则
第二十 为详实本办法细则,另制定了《信息系统安全运维管理规定》、《数据共享与安全管理规定》等系列配套制度,均属本办法从属文件。
第二十九条 本办法自发布之日起执行,现代教育技术中心负责解释。原2003年6月发布的《唐山学院校园网络管理办法》、《唐山学院校园网安全管理条例》即行废止。