长沙商贸旅游职业技术学院
网络安全管理办法
第一章 总 则
第一条 为进一步加强我校网络管理,规范上网行为,有效防范网络风险和计算机病毒,保障我校网络安全和信息化建设可持续发展,根据《中华人民共和国网络安全法》、信息安全技术网络安全等级保护基本要求》、《信息安全等级保护管理办法》等有关法律法规要求,结合我校实际情况,经研究决定,特制订本管理办法。
第二条 本制度适用于使用我校网络和系统的所有部门和个人。
第三条 学校网络安全是指学校网络及信息系统的硬件、软件及系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、篡改、泄露、未经授权访问和使用,保障网络平稳运行,以及信息系统和信息内容的完整性、保密性、可用性、不可否认性和可控性。
第四条 网络安全工作的总体方针是以网络安全法、信息安全等级保护制度等为指导,预防为主、防治结合、综合治理。
第五条 网络安全工作的总体原则如下:
1.主要领导负责原则。学校网络安全工作由学校主要领导总负责。各二级学院(部)、各部门主要领导对本学院、本部门网络安全工作负总责,代表本学院、本部门与实训与信息技术管理处签署《长沙商贸旅游职业技术学院网络安全责任承诺书》(见附件1)。在信息服务和网络应用运行期间,若人员、校外信息系统(网站)发生变更,需重新签署该承诺书。
2.保护重点、适度安全原则。根据信息系统的定级结果,优化网络安全资源配置,做到重要系统重点保护和适度安全相结合。
3.人防与技防并重原则。根据相关网络安全制度和技术规范对信息系统进行分级保护,用规范的管理与安全技术进行综合防范,开展学校网络安全检查,同时接受上级安全部门的监管和指导,全面提高我校信息系统的安全防护能力。
4.分权和授权原则。对相关人员及实体(如用户、管理员、进程、应用或系统)的授权,仅授予该人员及实体完成其任务所必须的权限,避免任何多余权限,防止权限过分集中所带来的隐患。
第二章 网络安全管理组织体系
第六条 学校网络安全与信息化领导小组负责研究处置重大网络安全事件。
第七条 学校网络安全与信息化领导小组下设网络安全和信息化推进办公室作为执行机构,办公室设实训与信息技术管理处,负责制定学校网络安全制度,全校日常网络安全工作的组织与实施。
第八条 网络安全管理组织体系及岗位职责参照长沙商贸旅游职业技术学院网络安全管理组织体系与岗位职责相关文件规定。
第九条 网络安全人员管理参照《长沙商贸旅游职业技术学院网络安全人员管理办法》相关规定。
第三章 网络基础设施安全
第十条 网络基础设施是指构建学校网络及信息系统安全运行所需的各种相关设施,主要包括网络中心机房、校园网、服务器、存储和相关运维管理系统等。网络基础设施安全可靠运行是学校网络安全的基础保障。
第十一条 网络中心机房是集中存放网络设备、信息处理硬件设施的空间,包括学校的网络中心、数据中心等,其安全管理参照《长沙商贸旅游职业技术学院机房安全管理办法》相关规定。
第十二条 校园网基础设施是指构建校园网和校园网运行所需的相关设施,主要包括弱电管道、弱电间、综合布线、网络设备等,其安全管理参照《长沙商贸旅游职业技术学院校园网基础设施管理办法》相关规定。
第十三条 校园网既是学校用户使用互联网的基础条件,又是信息系统的基础条件。校园网管理包括校园网运维管理、网络资源与服务管理、非涉密网络保密管理等。校园网安全管理应符合《中华人民共和国网络安全法》有关网络运行安全的规定并参照《长沙商贸旅游职业技术学院校园网安全管理办法》相关规定。
第四章 信息发布与传播安全
第十四条 学校宣传处负责校园网络信息发布的管理,接受处理网络有害信息举报。各二级学院(部)、各部门须按照“谁主管、谁负责,谁主办、谁负责”原则加强本部门网络信息的发布管理,发现有害信息须及时上报和处理。
第十五条 学校任何部门和个人依托校园网建设网站(含托管在校内非我校网站)提供网络信息发布服务,均须遵照《长沙商贸旅游职业技术学院网站建设与管理办法》执行,不得出现涉密信息和《互联网信息服务管理办法》所禁止的有害信息。
第十六条 学校校园网仅限发布公益性、共享性的网络信息,原则上不允许依托校园网发布经营性互联网信息服务。
第十七条 对于托管在校外,为学校提供服务的“双非”网站和系统,应由网站系统建设部门主要负责人与实训与信息技术管理处签署《长沙商贸旅游职业技术学院校外网站网络安全承诺书》(见附件2),在实训与信息技术管理处申报备案,加强安全管理。
第五章 信息系统安全
第十八条 信息系统指处理业务信息的软件及其相关的和配套的设备与设施。信息系统安全是指保障信息系统的可用性、完整性、机密性。信息系统的生命周期可分为系统建设、系统运行、系统终止三个阶段。根据《信息安全等级保护管理办法》及相关信息安全技术标准规范,学校制定各个阶段相应的安全管理办法以确保信息系统安全。
第十九条 学校信息系统建设安全管理参照《长沙商贸旅游职业技术学院信息系统建设管理办法》相关规定。
第二十条 学校信息系统运行管理包括系统主机管理、系统运行管理、密码管理、信息存储与利用、运维服务外包、系统安全检查与审计等。信息系统运行安全管理参照《长沙商贸旅游职业技术学院信息系统运行安全管理办法》相关规定。
第二十一条 学校信息系统终止安全管理参照《长沙商贸旅游职业技术学院信息系统终止管理办法》相关规定。
第六章 网络安全事件管理
第二十二条 网络安全事件是指由于自然或人为的原因对校园网、各类信息系统或内容造成危害,对学校或社会造成负面影响的事件。网络安全事件包括有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设施故障事件、灾害性事件以及其他安全事件。网络安全事件管理包括安全事件报告与协查、安全事件处置等。
第二十三条 校园网络安全事件的报告和处置参照《长沙商贸旅游职业技术学院网络安全事件报告和处置管理办法》相关规定。
第七章 考核与奖惩
第二十四条 学校网络安全与信息化领导小组根据学校网络安全情况并结合上级部门安排不定期指导开展学校网络安全检查工作。
第二十五条 网络安全工作是学校和各二级学院(部)、各部门的重要工作之一,网络安全工作情况作为学校对各二级学院(部)、各部门年度工作考核一项重要依据,出现重大安全事件的部门不得评为先进。
第二十六条 对于玩忽职守或有意危害学校网络安全而造成网络安全事件的,当事者应尽可能降低损失及消除影响,学校可根据损失情况和不良影响的程度,给予当事者以通报批评直至处分,触犯国家有关法律法规者,移交司法部门处理。
第八章 附 则
第二十七条 本办法及相关配套管理制度由实训与信息技术管理处负责解释。
第二十八条 本办法自印发之日起执行。