武汉城市职业学院网络与信息安全管理办法

发布者:金燄发布时间:2018-03-12浏览次数:98


第一章    总  

        第一条    根据《教育部关于加强教育行业网络与信息安全工作的指导意见》(教技[2014]4号)、《教育部公安部关于全面推进教育行业网络与信息安全等级保护工作的通知》(教技[2015]2号)、《湖北省教育厅湖北省公安厅关于加强全省教育行业网络与信息安全工作的指导意见》(鄂教科[2015]1号)等文件要求,为切实做好我校网络与信息安全工作,全面提高我校防范和控制网络信息安全风险能力,增强预警、应急处置与灾难恢复能力,整体提高学校网络与信息系统安全水平,为智慧校园提供根本支撑,结合我校实际制定本办法。

        第二条   本办法所称网络与信息系统涵盖所有由学校投资或第三方投资建设的校园内、外所有网络设施、线缆、各类服务器、路由及交换设备、防火墙设备、主机系统、安全软件、应用系统、数据库及各类图文资源等。

  

第二章 组织领导

       第三条    学校建立党政一把手负责的网络与信息安全工作领导机构,主要负责同志任第一责任人。

       第四条    学校设立保障有力的技术支撑部门,建立健全内部管理协调机制,与上级教育行政主管部门、网络与信息安全管理部门、公安部门等建立沟通协调与信息反馈机制。

       第五条    各部门要按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则压实网络与信息安全责任。

  

第三章 人员安全

       第六条    学校制定网络与信息安全培训规划,选拔具有网络与信息系统管理经验与专业技能的人员从事网络与信息安全管理工作。

       第七条    安全岗位人员要将网络信息安全意识与政治意识、责任意识、保密意识相结合,学校落实安全岗位责任与考核机制,逐步实现网络安全管理人员和技术人员持证上岗。

       第八条    学校通过各种形式整体提升领导干部、管理人员、技术人员、教师队伍的网络信息安全意识与防范意识,定期开展信息化应用能力培训,提升师生员工信息素养和应用能力水平。

  

第四章 基础设施安全

       第九条    校园网络基础设施包括校园内及两校区间的光纤、通讯主干、各运营商接入装置、无线网络设施等。

       第十条    全校所有教职员工均有保护网络基础设施的责任与义务。任何部门或个人均不得侵占、拆卸、损坏校园网络基础设施,不得随意改动网络管线和设备配置。

        第十一条    凡可能影响学校信息网络基础设施的施工项目,相关部门均需要提前向学校网络管理中心备案。

  

第五章 网络设备安全

       第十二条    本管理办法中的网络设备主要指网络中心机房设备及户内外各关键结点交换设备。网络中心机房部署了南北两校区各类平台系统,同时提供对内对外出口,其主要设备包括防火墙、接入设备、服务器集群(含托管设备、寄存设备)、存储、UPS、恒温装置、物理隔绝设备、消防设备等;关键结点交换设备包括:接入设备、汇聚设备、核心设备。

       第十三条    网络设备安全问题包括:设备损坏、设备及线路老化、电源故障、主机故障、接入及交换设备故障、恒温装置故障、系统异常宕机等。关键结点交换设备安全问题包括:被盗、人为损坏、随意接插、强弱电混搭等。

        第十四条    为确保学校网络中心机房的高可用性,机房设计应采用冗余结构,包括提供硬件、线路、存储冗余。来访人进入中心机房,应经过申请和审批流程,并限制和监控其活动范围。重要的网络设施设备区域应配置监控设备、门禁设备,控制、鉴别和记录进入人员。

       第十五条    全校教职员工均有责任及义务保护学校关键结点交换设备,其技术维护由网络管理中心负责。

        第十六条    学校网络中心机房设备安全由网络管理中心负责。

  

第六章 信息系统建设与运维安全

         第十七条  信息系统指部署在网络中心机房主机、学校私有云、第三方公有云的各类操作系统、数据库系统、官网系统、全校各部门各学院有关管理系统、教学系统、资源库系统等。

         第十八条  信息系统建设与运维安全包括:新建系统未统筹考虑安全防护策略、所部署主机操作系统存储漏洞或木马病毒、数据库遭受攻击、应用系统存在漏洞、管理员及普通用户账号密码泄露等。

         第十九条  网络管理中心要按照上级要求做好等级保护工作,按照二级标准要求完成信息系统安全加固工作。

         第二十条  学校各类新建信息系统均应向信息办报备,并在建设方案中明确信息安全建设技术方案。

         第二十一条  学校信息系统常规运维安全由网络管理中心负责,包括主机操作系统安全、数据库系统、应用系统安全。网络管理中心要加强漏洞扫描工作、要通过安全软件防止木马、病毒入侵,绝对禁止管理账号密码泄露。寄存于中心机房运行的有关部门主机及系统,其安全责任由寄存方负责,包括可能存在的漏洞、账号密码泄露、数据丢失等。

  

第七章 门户安全

         第二十二条  本校信息门户主要包括官网系统(含各部门主页系统)及智慧校园项目中的统一信息门户平台,其本质是一套WEB应用框架,它以统一界面向用户提供本校官方资讯、有关数字资源及在线业务,既是本校的网上舆论阵地,同时也是本校的网上服务入口。

         第二十三条  门户安全主要包括页面篡改、网页挂马、管理员及用户账号密码泄漏、SQL注入、后台数据泄露,内容缺乏过滤及审核机制等。

         第二十四条  学校应加强门户安全管理,包括各部门主页安全管理,除加强人员管理外,还要不断提升技术管理手段,包括加装WEB防火墙、加强系统及应用补丁升级等,确保门户的完整性、可用性、保密性达到要求,保障门户安全,尤其要关注重要和敏感时间节点的门户安全,确保学校形象及社会公信力不受影响。

  

第八章 数据及应用安全

         第二十五条  本校数据及应用包括全校中心数据平台、各应用系统,此外还包括以独立电子、纸质形式存在于各职能部门、各院系的有关图文信息资源等。

         第二十六条  数据及应用安全包括因管理不善、黑客攻击、病毒攻击、系统缺陷及其他人为因素、自然因素导致的数据泄露、备份丢失或失效、核心、敏感数据被未授权用户阅读、主机管理员及应用系统管理员账号密码泄露、用户账号密码泄露、信息资源未经许可公开等。

         第二十七条  学校应加强数据及应用安全管理,各单位及相关责任人应按有关规程做好数据及应用系统安全工作,在通过等级保护加强数据与应用系统安全防护能力基础上,还要加强数据及应用系统安全教育与培训,明确各单位数据及应用系统安全责任,确保数据的机密性、完整性、可用性得到充分保障。

        第二十二条  网络管理中心要负责做好部署于中心机房(学校私有云)的数据及应用系统备份工作(寄存主机及系统除外),通过定期、定时双机备份、差异备份、整体备份,加密存储等方式确保数据与应用系统安全。各部门要做好本部门相关应用系统数据备份工作、必要的加密工作及常规管理工作,确保备份数据及介质安全,同时要做好各类分散存储的图文信息资源安全工作,未经许可的信息资源不得随意公开。

         第二十九条      网络管理中心对整体部署的系统安全及恢复负总责(不含单独寄存系统),各相关部门及院系对本单位系统数据丢失或损坏负全责。相关岗位责任人员要按照操作规程完成数据库备份操作,要确保备份介质性安全可靠,备份数据要异地多套加密保存。

  

第九章 网络与信息安全事件处置

         第三十条      学校统一发布各部门信息网络安全职责,各部门应全面承担相应网络信息安全责任。

         第三十一条      学校提供网络信息系统安全操作规范,各部门要参照操作规范实施,包括账号与密码管理、木马病毒防范、补丁更新、数据备份、数据加密、台帐记录等。各相关部门要结合本部门工作制定相应的网络信息安全预案,要有清晰完整的台帐记录等。

         第三十二条      各相关部门发生相关网络信息安全事件时,要参照应急处置程序及时采取措施,降低损害程度,防止事件扩大,对相关安全事件应立即报学校信息办,学校信息办应根据其事件性质及影响程度,经学校领导批准后报上级有关主管部门,要做到应急处置迅速、报告及时。

         第三十三条      信息办要负责编撰年度网络安全报告,并向学校各相关部门统一发布,报告年度安全事项,提出整改意见及重点防范措施。

  

第十章 责任追究

         第三十四条      本校任何员工不得利用本校或非本校信息网络系统或通道传播有害信息。凡因本人原因造成负面影响,导致学校声誉受损的,学校将严肃追究相关当事人及部门负责人责任。

         第三十五条      本校所有部门都应强化网络信息安全意识。凡履行网络信息安全主体责任不到位、操作不规范、密码泄露、台帐记录不健全,出现系统故障、木马、病毒入侵、数据备份丢失、系统无法恢复正常运行,对学校事业造成严重影响的,学校将根据情况严肃追究相关部门及有关责任人的责任。

       本办法自发布之日起执行,相关条款由学校信息办负责解释。