导航切换
当前位置: 首页 > 规章制度 > 正文 >

吉林财经大学网络与信息安全管理办法(暂行)

浏览: 日期:2024年10月15日

第一章

第一条为全面强化学校师生网络与信息安全意识,有效防范、控制信息安全风险,形成完备的网络与信息安全保障体系,确保各类信息系统稳定、安全、高效运行,根据《中华人民共和国网络安全法》、教育部《关于加强教育行业网络与信息安全工作的指导意见》等政策文件和技术标准要求,结合学校信息系统运行管理的实际情况,特制定本办法。

第二条本办法中所指的网络与信息安全,包括网络基础设施安全、信息系统及数据安全、网络信息发布内容安全。

第三条本办法所指的信息系统与《中华人民共和国计算机信息系统安全保护条例》中的信息系统定义一致:由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统,包括范围是:信息化公共基础服务、跨部门信息系统、业务部门管理信息系统、教学资源系统等。

第二章职责管理

第四条分级管理、逐级负责

(一)学校成立由党委书记、校长任组长,主管信息管理和宣传部门的校领导担任常务副组长,其他校领导担任成员的网络安全和信息化领导小组,领导小组在学校党委的领导下,统筹部署学校信息系统运维体系的总体规划、建设、监督、管理、宣传教育培训及检查指导等工作,领导小组办公室设在信息管理中心;

(二)学校党委每年至少召开一次专题会议研究部署网络安全工作;分管负责同志至少每季度召集一次会议听取网络安全相关工作汇报,研究网络安全工作;年底要对全年网络安全工作进展情况进行总结;

(三)学校各单位党政负责人是本单位信息系统安全的第一责任人,各单位须指定专人作为信息系统管理员,负责本单位信息系统安全管理工作,并报信息管理中心登记备案。

第五条自主防护、明确责任

学校信息系统管理的原则是“谁主管谁负责、谁运维谁负责、谁使用谁负责”,目标是建立健全信息系统管理组织体系和规范,促进学校各类信息系统安全运行,保障校园网安全和数据安全。

(一)信息管理中心负责学校网络基础设施、信息系统以及数据安全的管理、监督及技术保障;

(二)党委宣传部负责学校官网、官方微信公众平台及各二级网站、微信公众号网络信息内容的安全监管,校级网络信息发布内容的审核和正面宣传工作;

(三)网络与信息系统的使用单位和个人承担信息系统操作、信息系统数据及信息发布内容的直接安全责任。

第三章安全管理

第六条架构安全

(一)学校校园网络和信息系统接入互联网须采取防火墙、身份认证、安全审计、病毒防护及入侵检测等安全技术手段维护网络基础设施及信息系统的安全;

(二)信息管理中心负责校内IP地址、域名及网络账号的分配;

(三)信息管理中心负责保证系统运行的网络结构安全合理、保证关键网络设备的业务处理能力满足系统运行需要、保证接入网络和核心网络的带宽满足系统运行需要;

(四)信息管理中心负责确保系统具有合理的访问控制措施,在网络边界部署访问控制设备,启用访问控制功能,通过访问控制列表对系统资源实现允许或拒绝用户访问;

(五)信息管理中心负责保证系统所用网络设备得到有效防护,对登录网络设备的用户进行身份鉴别,登录密码符合安全要求的长度和复杂程度,当需要对网络设备进行远程管理时,应采取必要措施防止信息在网络传输过程中被截取。

第七条身份安全

凡接入学校校园网的用户必须通过实名认证的方式访问校园网和使用校园网络资源。每人只允许申请一个账号,账号持有人须对账号身份信息的真实性负责。

(一)本校教职工及学生账号的开户、销户工作由信息管理中心根据学校统一身份认证平台的用户信息完成;

(二)其他人员因工作需要接入校园网的,由用人单位统一向信息管理中心申请账号,账号有效期为该人员的聘任期;

(三)信息管理中心根据用户账号角色的不同,赋予不同的账号权限;

(四)信息管理中心按照《互联网安全保护技术措施规定》的相关要求,对校园网用户上网日志进行存档,并至少保存60天用户上网记录备份。

第八条环境安全

(一)各单位信息系统主要运行设施应集中存放于指定的信息机房,加强机房管理,保障信息系统运行环境安全;

(二)各单位应编制并保存与信息系统相关的设施清单,根据设施特点制定相应的日常巡查管理办法,通过巡查及时发现相关设施安全隐患并及时排除,保障信息系统相关设施安全运行;

(三)信息管理中心负责对信息系统相关存储介质进行控制和保护,对介质存放环境、使用、维护和销毁等制定具体安全管理要求,并对介质的归档和查询等进行登记记录。

第九条系统安全

(一)信息系统相关的网络设备、服务器设备、网络操作系统、数据库管理系统在安装、调试完毕后,必须有准确无误的系统安装、配置文档,该文档由信息系统管理员统一妥善保管;

(二)信息系统管理员在修改和调整以上设备和系统的配置参数后,要及时、准确地做好操作记录,并妥善保管;

(三)信息系统管理员应定期修改和更换以上设备和系统的系统口令和管理口令,并做好记录,妥善保管;

(四)信息系统管理员要经常检查设备和系统的漏洞,及时升级系统和安装补丁程序,消除系统和设备的潜在安全隐患。

第十条应用安全

(一)信息系统的设计、开发要确保系统的用户访问权限、账号和口令具有可管理性。信息系统管理员要确保用户权限分配合理,账号口令设置严密,并定期对账号、口令进行更改,以增加应用系统的安全性;

(二)信息系统管理员要定期对应用系统的管理员账号、用户账号进行检查,确保账号设置的有效性和唯一性,确保访问权限的资源分配合理、正确。

第十一条数据安全

(一)信息系统管理员是数据安全管理的责任主体,应当落实管理和技术措施,规范数据的收集、存储、传输和使用,确保数据安全;

(二)信息系统数据收集应遵循“最少够用”原则,不得收集与信息系统业务服务无关的个人信息。按照“谁收集,谁负责”的原则,收集个人信息的单位是个人信息保护的责任主体,应当对其收集的个人信息严格保密,并建立健全相关保护制度;

(三)信息系统管理员应根据数据的重要性及其对系统运行的影响,制定数据的备份策略和恢复策略,备份策略指明备份数据的放置场所、文件命名规则、介质替换频率和数据传输方法,对备份过程进行记录,所有文件和记录应妥善保存。

第十二条技术安全

(一)信息系统应采用密码技术确保重要数据和信息在传输过程中的完整性、在系统中的可用性以及符合特定要求的保密性;

(二)信息系统应提供自动保护功能,当故障发生时自动保护当前所有状态,保证系统能够进行恢复;

(三)信息管理中心应根据信息系统的备份技术要求,制定相应的应急预案与灾难恢复计划,并对其进行测试以确保各个恢复规程的正确性和计划整体的有效性,测试内容包括运行系统恢复、人员协调、备用系统性能测试、通信连接等,根据测试结果,对不适用的规定进行修改或更新;

(四)信息系统应该按照相关规定留存相关的网络日志不少于六个月。

第十三条资料安全

(一)各单位要落实专人对管理信息系统的技术文挡、资料、程序代码等进行集中、妥善保管,资料的内部借阅和使用要履行部门主管审批手续,并做好借阅和使用记录;

(二)技术文挡、资料的对外借阅必须报部门领导的审批。

第十四条防病毒安全

(一)信息系统要具备网络防病毒能力,保证网络杀毒软件和病毒特征库的及时更新;

(二)服务器在安装操作系统时应遵循最小安装的原则,按需安装组件和应用程序,并保持系统补丁及时得到更新;

(三)信息管理中心要及时检查和跟踪网络杀毒软件的运行效果。

第十五条终端安全

(一)信息系统终端设备,如:办公计算机、移动设备等,应专人专用,不得转借或共享密码,使用人不使用计算机时应锁定计算机;

(二)对于涉密计算机,要保持断开其网络连接,并且不允许连接移动存储设备。有外来人员接触到涉密终端时,要进行监督并做好操作记录。

第十六条行为安全

任何单位和个人不得从事下列危害网络与信息安全的行为:

(一)攻击、入侵、破坏校园网络、信息系统及设备设施;

(二)故意阻塞、中断校园网络,恶意占用网络资源、影响校园网络正常运行;

(三)故意制作、传播、使用计算机病毒等破坏性程序;

(四)盗用他人账号、盗用他人IP地址;

(五)私自转借、转让用户账号造成危害;

(六)违背他人意愿、冒用他人名义发布信息;

(七)故意泄露、窃取、篡改校园网用户信息,擅自利用网络收集、使用、提供、买卖学校公共数据和校园网用户信息;

(八)私自开设二级代理和路由接纳网络用户;

(九)以端口扫描和私搭DHCP服务器等方式,破坏网络正常运行;

(十)其他违反法律法规或危害网络信息安全的行为。

第四章信息系统备案和审查

第十七条各单位应建立完备的信息系统台账。新建信息系统时,须填写《吉林财经大学网络信息服务备案申请表》,签署《吉林财经大学校园网络信息安全责任承诺书》,报党委宣传部和信息管理中心审批备案,并确定安全保护等级。

第十八条各单位新建信息系统从立项到上线应遵守学校的信息化项目管理制度。新建信息系统时,为保证新建信息系统的安全稳定,新建信息系统应经过网络安全论证,提供相应的网络安全论证报告报信息管理中心审批、报党委宣传部备案,方可立项。新建信息系统验收则需要经过网络安全检测合格,并提供网络安全检测报告报党委宣传部和信息管理中心审批备案,方可开展验收付款。

第十九条学校对各单位建立的信息系统执行年审制度。各单位每年度须填写《吉林财经大学网络信息服务年审备案表》,提交信息系统网络安全年度审查报告,由党委宣传部和信息管理中心审查备案,未备案或年审未通过的信息系统将暂停运行服务。

第五章信息系统安全等级保护

第二十条信息管理中心负责统筹学校信息系统安全等级保护工作,组织各单位开展信息系统定级、系统备案、等级测评、建设整改,具体负责信息系统台账管理、等级评审、系统备案、监督检查工作。同时,信息管理中心也是信息系统安全等级保护工作的技术支撑保障部门,负责信息技术安全防护体系建设和等级测评组织工作,参与监督检查工作,并指导、协助各单位进行系统定级、建设整改。

第二十一条各单位原则上应在校园网内开展信息系统建设。信息系统的建设管理单位为安全等级保护的责任主体,部署在校外的信息系统,安全监管责任主体为主办单位。

第二十二条信息系统实行安全等级保护制度,等级确定的原则标准、各级别安全保护和管理内容,按照国家和吉林省有关规定执行。学校根据国家涉密信息保护的基本要求,按照保密工作部门有关涉密信息系统分级保护管理规定和技术标准,对涉密信息进行保护。

第二十三条按照“自主定级、自主保护”的原则,信息系统建设和使用单位是信息系统安全等级保护的责任主体,应当按照国家有关法律法规、标准规范以及《教育行业信息系统安全等级保护定级工作指南》(教育厅函[2014]74号)要求,落实信息系统安全等级保护制度,建设符合该安全保护等级要求的信息安全设施。具体负责系统定级、建设整改、安全自查,协助系统备案、等级测评并接受有关部门监督检查。安全保护等级为二级以上的信息系统,须完成在公安部门的安全等级备案工作。

第六章网络信息发布内容的安全管理

第二十四条未经许可,任何单位和个人不得以冠有“吉林财经大学”“古林财经”“吉财经”“吉财大”或“吉财”等中外文字样的任何名义开通公众号、微信、QQ、微博、博客、短视频等公众信息服务系统。确因工作需要开通的,须由相关单位提出开通申请,本单位负责人及运行工作人员在申请单签字后提交所在基层党组织进行签字审批,再由主管校领导或联系校领导签字审批同意后,报党委宣传部备案。

第二十五条任何单位和个人在校园网发布网络信息时须按照《吉林财经大学党委意识形态工作责任制实施细则》《吉林财经大学党委网络意识形态工作责任制实施细则》的相关要求落实相关责任,不得利用校园网制作、复制、查阅、传播含有下列内容的信息:

(一)从事危害国家安全、荣誉和利益的;

(二)煽动颠覆国家政权、推翻社会主义制度的;

(三)煽动分裂国家、破坏国家统一的;

(四)宣扬恐怖主义、极端主义的;

(五)煽动民族仇恨、民族歧视,破坏民族团结的;

(六)破坏国家宗教政策,宣扬邪教和封建迷信的;

(七)传播暴力、淫秽色情信息的;

(八)编造、传播虚假信息扰乱经济秩序和社会秩序的;

(九)侵害他人名誉、隐私、知识产权和其他合法权益的;

(十)其他违反宪法和法律、行政法规的。

第七章安全事件应急处理

第二十六条信息系统的建设管理单位应当制定重大突发事件应急处置预案。发生重大突发事件时,应当按照《吉林财经大学网络安全事件应急预案》的要求采取相应的处置措施。

第八章网络与信息安全检查

第二十七条网络安全和信息化领导小组每年组织2次安全检查,了解各单位网络与信息安全现状:

(一)架构安全:各单位所用信息系统接入互联网是否采取防火墙、身份认证、安全审计、病毒防护等安全技术手段维护网络基础设施及信息系统的安全;

(二)身份安全:各单位接入学校校园网的账号持有人能否做到对账号身份信息的真实性负责;

(三)环境安全:各单位信息系统主要运行设施是否存放于指定的信息机房,是否保存与信息系统相关的设施清单,是否按照设施特点进行日常巡查;

(四)系统安全:各单位信息系统是否有准备无误的系统安装、配置文档,该文档是否由信息系统管理员统一妥善保管;系统管理员在修改和调整设备和系统的配置参数后,是否及时、准确做好操作记录;信息系统管理员是否定期修改和更改系统口令和管理口令,并做好记录;

(五)应用安全:信息系统管理员是否经常检查设备和系统的漏洞,及时升级系统和安装补丁程序;是否定期对应用系统的管理员账号、用户账号进行检查,确保账号设置的有效性和唯一性;

(六)数据安全:按照“谁收集、谁负责”的原则,是否建立了相关保护制度,对其收集的个人信息严格保密;系统管理员是否制定数据备份策略和恢复策略,并对数据备份过程进行记录;

(七)资料安全:各单位是否落实专人管理信息系统的技术文档、资料、程序代码等,资料的借阅和使用是否履行部门领导(对外)、部门主管(对内)审批,并做好借阅使用记录;

(八)终端安全:信息系统终端设备能否做到不转借或共密码,对涉密计算机保持断开网络连接、不连接移动存储设备;

(九)行为安全:各单位是否有违反法律法规或危害网络信息安全的行为;

(十)备案工作:各单位是否在新建信息系统时填写《吉林财经大学网络信息服务备案申请表》,并报党委宣传部和信息管理中心审批备案;

(十一)应急预案:各单位是否制定了信息系统相关应急处理预案。

第九章责任追究

第二十八条学校所有校园网用户使用账号上网时,应自觉遵守国家颁布的有关法律和规定,必须对因使用账号上网产生的一切行为负责,并承担由此产生不良后果的法律责任。

第二十九条任何单位和个人应自觉接受并积极配合国家有关部门和学校依法依规进行的网络与信息安全检查,发现有利用校园网从事违规违纪行为的现象,须及时向学校报告。

第三十条学校相关管理部门可根据实际情况对违反本办法者作以下处理:

(一)警告、责令改正;

(二)中断网络连接;

(三)注销账号;

(四)关闭信息系统;

(五)给予相应的行政和纪律处分;

(六)触犯国家法律法规的,移送公安、司法部门追究其法律责任。

第三十一条凡违反本规定,由信息管理中心做出警告、限期整改或者停机整顿处理。构成违法行为的,依照《中华人民共和国网络安全法》的有关规定追究法律责任。

第十章附则

第三十二条本办法由信息管理中心负责解释。

第三十三条本办法自发布之日起执行,同时,原《吉林财经大学网络与信息安全管理办法》(吉财大发〔2020〕204号)文件废止。