当前位置: 首页 > 规章制度 > 学校规范 > 正文

东莞理工学院网络与信息安全管理办法(试行)

发布时间:2021-06-28发布者:网信办、网络中心

第一章 总则

第一条为进一步提高我校的网络与信息安全防护能力和水平,保障网络与信息安全工作顺利进行,根据《教育部关于进一步加强直属高校直属机构信息技术安全工作的通知》(教技〔2015〕1号)等相关文件精神,结合我校实际,制定本办法。

第二条学校网络与信息安全包括校园网络与信息系统(含网站)的运行安全和信息内容的安全。

第三条学校按照国家有关网络安全和信息化建设的法律、法规、规章,制定网络与信息安全总体规划,加强安全管理与技术研究,建立健全相关规章制度,并在实际工作中予以落实。

第二章 管理体制和职责

第四条网络安全与信息化建设工作领导小组是学校网络信息安全工作的领导决策机构,负责学校网络安全工作的战略决策、实施监督及重大网络安全事件处理的决策指导。CIO是学校网络与信息安全的第一责任人。

网络安全与信息化办公室负责协调全校网络与信息安全保障体系建设,统筹推进网络安全和信息化法治、标准建设;负责处理相关违法违规网站平台,清理网上违法有害信息。

各二级组织机构是本单位信息资产(信息及信息系统)网络安全工作的责任主体,各二级组织机构的主要负责人为本单位信息资产网络安全工作第一责任人,负责按本办法落实网络安全工作。

网络与教育技术中心负责学校网络与信息系统的日常管理和维护,保障网络与信息系统的正常运行;保存网络运行日志,配合学校和执法机关进行调查取证;负责入网机构和个人办理入网登记手续,签署相应的安全责任书。

党委宣传部负责网络宣传阵地建设。负责校内网络平台信息发布内容的监管,校园二级组织机构新媒体平台备案监管,开展网络舆情监测和舆论引导工作。网信办配合宣传部开展舆情数据分析,并提供技术支持。

坚持“谁主管谁负责,谁主办谁负责,谁使用谁负责”原则。网络与信息系统的主办机构(信息系统的建设部门和资产归属部门)承担网络与信息安全主体责任;网络与信息系统的管理使用机构和个人对系统业务承担直接责任;网络与信息系统通过外包服务方式进行维护的,业务主管机构承担直接责任。

第三章 网络安全管理秩序

校园网络和信息系统接入互联网必须采取防火墙、中央认证、安全审计、病毒防护及入侵检测等安全技术手段。校内互联网接入由信息系统的建设单位提出申请,由网络安全与信息化办公室统一核准准入,网络与教育技术中心实施准入。

第十各主办机构按信息系统名称的拼音或英文缩写简写设置域名并提出申请,经网络安全与信息化办公室审核后使用。任何机构和个人均须落实实名登记网络帐号信息,并对网络帐号安全使用负责。

第十为保障内网重要信息系统的安全,任何机构和个人不得私自与校外机构联网。

第十根据国家有关法律法规及相关要求,校园网络实行信息系统报批备案制。需要在校园网上开办信息系统的机构,应到网络安全与信息化办公室办理登记注册手续。

第十各二级组织机构原则上应依托校园网开展信息系统建设。涉及学校基础数据、师生员工个人信息或敏感信息的信息系统,不得部署在校外。如有特殊原因需要在校外开办信息系统的机构,应到网络安全与信息化办公室办理备案手续。部署在校外的网络和信息系统,安全监管责任主体仍为主办机构。

第十经审核建立的公众信息服务系统应明确专门的管理员和制订相应管理制度,包括安全保护技术措施、信息发布审核登记制度、信息监视保存清除备份制度、不良信息报告和协助查处制度、管理人员岗位责任制。

第十各二级组织机构应建立健全信息发布、信息审查、应急处置机制,指定人员负责审查上网信息和信息系统保密管理,负责涉及学校或本机构舆情的处置引导,以及监管本机构师生开设的博客、微博、微信等自媒体平台。

第十各二级组织机构和个人应认真落实《计算机信息网络国际互联网安全保护管理办法》、《网络安全管理制度》及《信息审核管理制度》等文件精神,严禁在校园网络上制作、查阅、复制或传播国家法律法规禁止的内容。

第十在校园网络上严禁下列行为:

(一)破坏、盗用、篡改计算机网络中的信息资源;

(二)故意大量发送垃圾电子邮件、垃圾短信等,干扰正常网络秩序;

(三)盗用他人帐号、盗用他人IP地址;

(四)私自转借、转让用户帐号造成危害;

(五)私自开设二级代理和路由接纳网络用户;

(六)上网信息审查不严,造成严重后果;

(七)以端口扫描和私搭DHCP服务器等方式,破坏网络正常运行;

(八)私自将外网串接到校园网络。

(九)其它违反法律法规或危害网络与信息安全的行为。

第四章 网络安全防护

第十各二级组织机构作为安全等级保护的责任主体,网站统一迁入本校的网站群平台,并按照国家信息安全等级保护的管理规范、技术标准确定信息系统的安全保护等级。网络安全与信息化办公室按国家相关法律和法规要求,监督二级及以上信息系统进行等级测评,若信息系统安全状况未达到安全保护等级要求的,信息系统的主办机构应根据符合资质的安全等保测评机构制定的整改方案进行整改并落实到位。

二十各二级组织机构对于新建、改建、扩建的信息系统,应当在规划、设计阶段同步建设网络信息安全保障措施,并报网络安全与信息化办公室审查监督。

第二十各二级组织机构对于主办的信息系统,应当采取必要的安全措施,严防入侵、篡改、泄露等事件发生。信息系统的主办方和运维方要各司其职,各负其责。

第二十各二级组织机构应积极配合网络安全与信息化办公室开展相关的工作,若被通知存在安全漏洞和隐患的应积极配合整改。对于一时难以修复或整改落实的,应当立即采取措施进行隔离,直至修复完成。

第二十各二级组织机构应建立本机构信息安全值守制度, 做到安全事件早发现、早报告、早控制、早解决。

第二十各二级组织机构对于主办的信息系统,每学期至少进行1次全面性的网络安全检查。

第二十五条建立网络安全监测预警和信息通报制度。网络安全与信息化办公室负责信息收集、分析和通报工作,按照规定向全校统一发布网络安全监测预警信息。各二级组织机构机构应做好网络与信息安全事件的风险评估和隐患排查工作,及时采取有效措施,避免和减少网络与信息安全事件的发生及其危害。

第二十六条建立健全学校网络与信息安全类突发公共事件应急工作机制,提高应对网络与信息安全类突发公共事件的能力,预防和减少由此造成的损失和危害,维护学校的安全和稳定。

第五章 责任追究

第二十七条依据《GB\Z 20985-2007信息安全技术信息网络攻击事件管理指南》、《GB\Z 20986-2007信息安全技术信息网络攻击事件分类分级指南》等法律和法规文件规定,学校信息安全事件划分为四个级别:特别重大事件(I级)、重大事件(Ⅱ级)、较大事件(Ⅲ级)和一般事件(Ⅳ级)。各二级组织机构和个人应当认真履行网络安全职责。凡违反网络用户行为规范的行为,由网络安全与信息化办公室根据事件的涉及范围、严重程度与校内有关部门进行调查,并根据国家和学校相关规定上报学校作出处理决定。

二十八各二级组织机构在收到网络安全限期整改通知书后,整改不力的,学校应给予通报批评;玩忽职守、失职渎职造成严重后果的,依纪依法追究相关人员的责任。

二十九各二级组织机构应按照网络安全事件报告与处置流程及时、如实地报告和妥善处置网络安全事件。如有瞒报、缓报、处置和整改不力等情况,学校将对相关组织机构责任人进行约谈或通报处理。

三十师生员工违反本办法规定的,由网络安全与信息化办公室责令改正,并通报批评;拒不改正或者导致危害网络安全等严重后果的,上报网络安全与信息化建设工作领导小组研究,由学校做出处理决定。

第六章 附则

三十一本办法由学校网络安全与信息化办公室负责解释。