当前位置: 首页 > 规章制度 > 正文

南京工程学院网络与信息安全管理办法

浏览:发布时间:2020-10-22

第一章  总则

第一条 为进一步加强学校网络与信息安全的管理,规范学校各级网络与信息平台建设,保障学校网络与信息安全,根据《中华人民共和国网络安全法》、《中华人民共和国密码法》、《计算机信息网络国际联网安全保护管理办法》(公安部令第33号)、《互联网新闻信息服务管理规定》(国家互联网信息办公室令第1号)、《教育部关于加强行业与信息安全工作的指导意见》(教技〔2014〕4号)、《教育部关于进一步加强直属高校直属单位信息技术安全工作的通知》(教技〔2015〕1号)、《信息安全技术 信息系统安全管理要求》和《信息安全技术 网络安全等级保护基本要求》等文件要求,结合我校的实际情况,特制定本办法。

第二条 本办法所称网络与信息安全工作,是指为使由学校建设、运行、维护或管理并支撑学校教学、科研和管理等各项事业的信息资产(信息及信息系统)的机密性、完整性、可用性等得到保持、不被破坏所开展的相关管理和技术工作。

第三条 学校按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,建立健全网络与信息安全责任体系,明确责任、加强引导、突出重点、保障安全。学校各单位及全体师生员工应依照本办法要求及学校相关标准规范履行网络与信息安全的义务和责任。

第二章 管理机构与职责

第四条 学校党政主要负责人是学校网络与信息安全的第一责任人,分管网络与信息安全工作的校领导协助主要负责人履行学校网络与信息安全责任。

第五条 网络与信息中心负责人是学校网络与信息安全的直接责任人。网络与信息中心是学校网络与信息安全归口管理部门,负责统筹学校网络与信息安全工作。

第六条 学校各二级单位是本单位网络与信息安全的责任主体,各单位主要负责人是本单位网络与信息安全的第一责任人,网络(系统)管理员是直接责任人;各单位主要负责人需要与学校签订《南京工程学院网络与信息安全责任书》,负责履行本单位网络与信息安全责任。

第三章 校园网络安全管理

第七条 本管理办法所称的校园网络,是指由学校投资购买、由网络与信息中心负责维护和管理的校园网络主、辅节点设备、配套的网络线缆设施及网络服务器、工作站所构成的,为校园网络应用及服务的硬件、软件的集成系统,包括校园有线网络、无线网络和各种虚拟专网。

第八条 校园网络的安全运行和系统设备管理维护工作由网络与信息中心负责,网络与信息中心可以委托相关单位指定人员代为管理子节点设备。任何单位和个人,未经校园网负责单位同意、不得擅自安装、拆卸或改变网络设备。

第九条 校园内的施工建设,不得危害校园网络的安全。严禁各单位和个人未经校园网络负责单位同意,从事校园网络施工、建设。

第十条 各单位及个人接入校园网络,实行“实名注册、认证上网”制度;学校非涉密信息系统接入校园网络,实行接入审批和备案登记制度;涉密信息系统不得接入校园网络。

第十一条 各校园网用户不得利用互联网危害国家安全、泄露国家秘密,不得侵犯国家的、社会的、集体的利益和公民的合法权益,不得从事违法犯罪活动。不得利用网络与信息平台制作、下载、复制、查阅、发布、传播违法违规和有违社会公德的信息。

第四章 信息系统安全管理

第十二条 学校按照同步规划、同步建设、同步运行的原则,规划、设计、建设、运行、管理信息安全设施,建立健全信息技术安全防护体系,全面实施信息系统安全等级保护制度。

第十三条 信息系统建设单位应制定信息系统使用与维护的管理制度,规范信息系统使用者和维护者的操作行为。定期清查服务器漏洞或病毒,以防止服务器中的重要信息文件被破坏或窃取,以防止服务器中的病毒程序到处传播,避免造成重大网络安全事故。

第十四条 信息系统正式使用前,建设单位必须向网络与信息中心提出使用申请。使用申请内容包括信息系统基本信息、技术支持外包公司情况和学校网络(系统)管理员信息等,经建设单位负责人审批后,由网络与信息中心授权的第三方专业安全服务公司进行扫描检测。根据扫描报告,无“中等危险”以上漏洞方可接入互联网运行;有“中等危险”和“高等危险”漏洞的,禁止接入互联网。

需开通外网访问权限的信息系统,除满足上述要求外,还需经建设单位分管校领导批准,方可上线运行。

第十五条 信息系统的密码体系必须满足高复杂度的要求,即包含大写字母、小写字母、数字、特殊字符等三种组合以上,且密码位数至少为八位。弱密码口令属于信息系统“中等危险”以上安全漏洞。弱密码口令被盗取所造成的网络信息安全事件,密码持有者应负相应安全责任。

第十六条 信息系统在建设阶段应按已确定的安全保护等级,同步落实安全保护措施。对于安全等级二级以上的信息系统,网络与信息中心将定期组织开展等级测评,查找发现并及时整改安全问题、漏洞和隐患。

三级系统每年需进行一次测评。

第五章 互联网网站安全管理

第十七条 学校各单位建设互联网网站,应使用学校互联网域名和互联IP地址,并遵循学校二级域名管理规定。

第十八条 网络与信息中心统一建设学校网站集群管理平台并负责该平台的技术安全。所有网站上线前需经网络与信息中心审核确认。未接入学校网站集群管理平台的网站,其技术安全由网站建设单位负责。

第十九条 互联网网站运行维护单位和使用单位应建立网站值守制度和完善的网站信息发布与审核制度,制订应急处置流程,组织专人对网站进行监测。

第二十条 对于使用频度不大或阶段性使用的网站,网站建设单位可在节假日或寒暑假等非工作时间暂停网站运行。对于无人管理、无力维护或长期不更新的网站,网站建设单位应关闭网站以降低安全风险,网络与信息中心负责监督管理。

第六章 终端计算机安全管理

第二十一条 终端计算机是指由学校师生员工使用并从事 学校教学、科研、管理等活动的各类计算机及附属设备,包括台式电脑、笔记本电脑及其他移动终端。

第二十二条 终端计算机设备上安装、运行的软件须为正版软件。使用盗版或来历不明的软件带来的安全风险和法律责任由终端计算机使用人承担。

第二十三条 网络使用者不得利用终端计算机从事用户账户及口令的侦听、盗用活动。

第二十四条 校园网各类服务器中开设的账户和密码只为个人用户所拥有,网络与信息中心对用户密码保密,不得向任何单位和个人提供这些信息。

第二十五条 终端计算机使用人应做好安全防范工作,如发现终端计算机出现可能由病毒或攻击导致的异常系统行为或其他安全问题,应立即断网后进行处置。对于已发现安全问题的终端计算机未进行整改,仍接入学校校园网造成学校网络异常或其他用户不能正常使用等网络安全事件时,网络与信息中心将采取技术手段禁止此终端计算机接入互联网,由其所在单位责令整改,并通报批评。

第七章 网络与信息安全应急管理

第二十六条 网络与信息中心负责按照网络与信息安全应急预案组织应急工作。

第二十七条 学校各单位应按照网络与信息安全事件报告与处置流程,做好事发紧急报告与处置,事中情况报告与处置和事后整改报告与处置工作。做到安全事件早发现、早报告、早控制、早解决。

第二十八条 学校各单位或师生员工均有义务及时向网络与信息中心报告安全事件,不得在未授权情况下擅自对外发布学校的安全漏洞或安全事件。

第八章 网络与信息安全监督检查

第二十九条 学校各单位定期对本单位信息系统的安全状况、安全保护制度及措施的落实情进行自查,并配合有关部门做好信息安全检查、信息内容检查、保密检查及审批等工作。

第三十条 网络与信息中心联合学校有关部门对各单位的网络与信息安全工作落实情况进行检查,对发现的问题下达限期整改通知书,责成相关单位制定整改方案并落实到位。

第九章 网络与信息安全责任追究

第三十一条 学校各单位应按照网络与信息安全事件报告与处置流程,及时、如实地报告和妥善地处置网络与信息安全事件。如有瞒报、缓报、处置或整改不力等情况,学校将对相关单位责任人进行约谈和通报。

第三十二条 师生员工违反本办法规定的,由其所在单位责令改正,并通报批评;拒不改正或导致危害网络与信息安全等严重后果的,根据学校有关规定给予以纪律处分。对情节严重、触犯国家法律的,依法追究法律责任。

第十章 附则

第三十三条 本办法由网络与信息中心负责解释。

第三十四条 本办法自本文印发之日起执行。

上一篇: 南京工程学院信息化建设项目管理办法(暂行)
下一篇: 南京工程学院学生公寓计算机网络管理规定

地址:南京市江宁科学园弘景大道1号   邮编:211167  邮箱:nic@njit.edu.cn   

电话:025-86118681   版权所有 Copyright © 2010 -2017

苏ICP备05007116号-1 苏公网安备 32011502010453号

南京工程学院·信息化建设与管理处(网络中心)