为加强我校网络与信息系统安全日常管理工作,依照国家法律法规和《我校网络与信息系统安全管理办法》,制定本实施细则。
一、人员管理
各单位主管信息化工作的领导担任本单位网络与信息系统安全责任人,并指定专人担任网络与信息系统安全管理员,负责本单位网络与信息系统安全管理工作。
各单位网络与信息系统安全责任人应签订《我校网络与信息系统安全责任书》,并报信息化建设与管理办公室登记备案。各单位网络与信息安全相关重点岗位人员,如网站与系统管理员、网络管理员、网络与信息安全管理员等,须签订《我校网络与信息系统安全保密承诺书》。
非管理人员访问机房等重要区域,须经过网络与信息系统安全管理员批准,由管理人员陪同,并做好进出记录。
二、资产和采购
各信息系统建设和管理单位应重视信息化资产的管理工作,遵守国家相关法律法规,以及我校国有资产管理的相关规定和制度,指定专人负责信息化资产管理工作。
信息化相关软硬件设备的采购须严格遵守国家相关法律法规,以及我校采购管理的相关规定和制度,选择经过国家有关权威部门的安全测评和认证的产品。
信息化相关软硬件应在测试环境下经过运行测试和安全检测,未经测试、验收或验收不合格的不得交付使用。
三、外包管理
采取信息技术外包的单位,应重视外包服务的安全管理工作,选择具有国家专业资质认证的外包服务提供商,与其签订网络与信息系统安全保密协议,并在外包服务合同中明确安全与保密责任。
外包服务原则上不得采用远程在线方式,确需远程服务时须采取书面审批、访问控制、在线监测、日志审计等安全防护措施。现场服务过程中也须安排专人管理,并记录服务过程。
外包开发的系统、软件上线前,必须通过网络信息中心的安全测评。
四、教育培训
各单位应加强网络与信息系统安全教育,信息系统管理人员应主动参加信息化建设与管理办公室组织的安全类专业培训。
信息化建设与管理办公室每年组织一次网络与信息系统安全管理人员和技术人员专业培训,不定期邀请校内海家家开展网络与信息系统安全讲座。
网络信息中心不定期面向校园网全体用户开展网络安全形势与警示教育、基本技能培训等活动。
五、安全等级保护
学校各网络信息系统的建设管理单位作为安全等级保护的责任主体,应当按照国家等级保护相关管理规范、技术标准确定网络信息系统的安全等级,以及各级别安全和管理的内容。涉密信息系统应当根据国家涉密信息保护的基本要求,按照学校保密工作部门有关涉密信息系统分级保护管理规定和技术标准进行保护。
对新建、改建、扩建的网络信息系统,建设管理单位应当在规划、设计阶段确定信息系统的安全等级,并同步建设符合该安全等级要求的信息安全设施。
新建的网络与信息系统,其建设管理单位应当在系统投入运行后30日内到信息化建设与管理办公室办理备案手续。已运行的网络信息系统,其建设管理单位应当到信息化建设与办公室补办理备案手续并确定安全等级。对于二级及以上的计算机信息系统由信息化建设与管理办公室统一上报至公安等相关部门。
信息系统建设管理单位应当建立信息系统安全状况日常检测工作制度,应当按照国家有关管理规范和技术标准,定期对信息系统安全状况、安全制度及措施的落实情况进行自查,学校信息化建设与管理办公室将定期进行检查。三级以上的信息系统需由公安部门进行系统评测。对于计算机信息系统安全状况未达到安全等级要求的,建设管理单位应当制定方案进行整改。
信息系统建设管理单位应当建立并落实以下安全制度:
(一)安全责任制度和安全培训制度;
(二)核实、登记并及时更新用户注册信息制度;
(三)信息发布审核、登记、保存、清除和备份制度;
(四)网络信息安全处置制度;
(五)违法案件报告和协助查处制度;
(六)国家和江苏省规定的其他安全制度。
信息系统建设管理单位应当落实以下安全技术措施:
(一)系统重要数据管理、备份、容灾恢复措施;
(二)计算机病毒等破坏性程序的防治措施,防范网络入侵、攻击破坏等危害网络安全行为的措施;
(三)系统运行和用户使用日志备份并保存六十日以上的措施;
(四)密钥、密码安全管理措施;
(五)国家和江苏省规定的其他安全技术措施。
六、隐患排查
网络信息中心定期对校园网出口对外发送大量报文的服务器或终端进行分析,发现异常通知校园网用户进行处理。
网络信息中心定期对我校核心应用服务器进行漏洞扫描,发现安全漏洞通知建设管理单位尽快进行修复和补丁的完善。
网络信息中心负责跟踪各类安全漏洞平台公布的涉及我校的安全漏洞及安全问题,第一时间封闭网站的外网访问及出校访问权限,并通知用户单位进行紧急处理,同时报送信息化建设与管理办公室。
信息化建设与管理办公室每季度发布一次网络与信息系统安全检查季报,督促各相关单位进行排查和安全整改。
七、其他
任何单位或者个人不得从事下列危害网络与信息系统安全的行为:
(一)擅自进入、使用他人计算机信息网络;
(二)擅自增加、修改、删除、复制、利用他人计算机信息网络的数据;
(三)擅自增加、修改、删除、干扰、利用他人计算机信息网络的功能;
(四)擅自接入、安装、拆卸或改变计算机信息网络运行环境、设备设施;
(五)窃取、盗用、篡改、破坏他人网络资源;
(六)故意制作、传播、使用计算机病毒、恶意软件等破坏性程序,或者制作、发布、复制、传播含破坏性程序或其机理、源程序的信息;
(七)故意阻塞、阻碍、中断计算机信息网络的信息传输,恶意占用网络资源;
(八)利用网络大量或者多次发送电子邮件、短信息等,干扰他人正常生活秩序或者网络秩序;
(九)利用网络违背他人意愿、冒用他人名义发布信息;
(十)明知本单位或本人的网络地址、主机空间等资源已被他人利用,从事可能危害网络信息安全的活动而不予制止;
(十一)擅自利用网络收集、使用、提供、买卖学校公共数据和他人专有信息;
(十二)其他危害网络与信息系统安全的行为。
任何单位或者个人不得利用网络制作、发布、传播含有下列内容的信息:
(一)反对宪法基本原则的;
(二)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
(三)损害国家荣誉和利益的;
(四)煽动民族仇恨、民族歧视,破坏民族团结,或者侵害民族风俗习惯的;
(五)破坏国家宗教政策,宣扬邪教、封建迷信的;
(六)散布谣言,扰乱社会秩序,破坏社会稳定的;
(七)鼓动公众恶意评论他人、公开发布他人隐私或者通过暗示、影射等方式对他人进行人身攻击的;
(八)公然侮辱他人或者捏造事实诽谤他人的;
(九)以非法社团名义活动的;
(十)买卖法律、法规禁止流通的物品的;
(十一)非法买卖法律、法规限制流通的物品,对公共安全构成威胁的;
(十二)含有淫秽、色情、赌博、暴力、欺诈等内容,或者教唆犯罪、传授犯罪方法的;
(十三)含有法律、法规禁止的其他内容的。
学校相关管理部门对违反本办法的可根据情况作以下处理:
(一)警告、勒令改正;
(二)中断网络3至60天;
(三)关闭信息系统;
(四)给予相应的行政和纪律处分;
(五)对情节严重的,学校向公安部门报告,追究其法律责任。
本实施细则自发布之日起实施,由信息化建设与管理办公室负责解释。