第一条 为规范系统信息化及计算机网络安全管理,促进信息化建设,提高工作效率,确保信息网络、计算机设备和信息化系统安全、有效运行,特制定本制度。
第二条 信息化及计算机网络管理工作在学校网络安全和信息化领导小组组长的统一领导下,由网络安全和信息化领导小组所有成员按管理职责具体组织实施。
第三条 各单位计算机信息网络安全管理工作实行“一把手”负责制。
第四条 本制度所称计算机信息网络安全管理工作包括信息化办公设备管理、网络安全管理、网络数据管理、安全保密管理、计算机病毒防治、信息资料管理等内容。
第二章 信息化办公设备管理
第五条 信息化办公设备管理责任到人。
第六条 凡使用信息化办公设备的教职工应自觉遵守相关法律法规和制度规定。对违反规定使信息化办公设备不能正常工作和造成重大事故者,追究其相应责任,后果严重的,依法追究法律责任。
第七条 严禁在信息化办公设备上安装与工作无关的、未经广泛验证为安全的软件程序。严禁带电拔插计算机内部配件。移动非便携式信息化办公设备应断电后进行。离开工作场所前,须关闭计算机,切断电源。如有特殊情况不能关闭的,须征得本部门负责人同意。
第八条 非指定的技术人员不得擅自打开信息化办公设备外壳。不得擅自将信息设备(包括报废设备)的配件私自拆卸,移植到其它设备。
第九条 未经本单位负责人批准,任何人不得随意更换信息化办公设备,不得随意外借、处置信息化办公设备。外部人员如需使用本单位的信息化办公设备,需经本单位主管领导同意,并在现场监督的情况下进行。
第十条 对计算机进行硬盘格式化和删除操作系统文件,须事先做好数据备份工作。
第十一条 各单位信息化办公设备的使用人、保管人、责任人等情况的变更,应及时报主管部门登记备案。
第十二条 重要的信息化办公设备,由本单位办公室集中统一管理。如需要使用时,应办理相关借用手续。
第十三条 为防止计算机病毒造成严重后果,对外来移动存储介质(软盘、光盘、U盘、移动硬盘等)要严格管理,原则上不允许外来移动存储介质在内部计算机上使用。确因工作需要使用的,事先必须进行防(杀)毒处理,经技术人员证实无病毒感染后,方可使用。
第十四条 本单位信息管理员应定期对本单位信息化办公设备进行系统维护及必要的数据备份,并安装指定的杀毒软件,进行定期杀毒、系统漏洞修补、杀毒软件升级。
第十五条 信息网络设备报废或调拨时,须进行必要的清理工作,防止资料泄密。
第十六条 为保障信息化办公设备安全、稳定、持续运行,发挥最优性能,设备必须按照技术人员制定的方案和要求进行统一配置,设备的使用者不得拒绝,并不得随意更改设备已配置好的参数。
第三章 网络安全管理
第十七条 网络使用与管理应遵守以下规定:
1.全校教职工均有义务维护工作用计算机网络的正常运行,并严格遵照有关的规定入网。
2.在工作用网络上只允许进行与业务工作有关的操作,不得进行非法操作。一经发现,将依照有关规定进行处理。
3.不得在工作用网络上传播计算机病毒,造成损失的,将依照国家法律,移交有关部门处理。
4.不得通过工作用网络系统进行营利性的商业行为及散发任何垃圾邮件。
5.要严格遵守国家关于网络管理的相应法律,不得在网上传播和散布反动、淫秽信息,也不得散布攻击他人的言论。
6.任何人不得对工作用网络系统软件设施和信息文件有意破坏和攻击,对于采取破坏手段,无论是否造成不良后果的,追究其个人及所在单位领导责任。
7.工作用涉密网络与国际互联网要完全物理隔离,严禁把工作用涉密网络以任何方式连接到国际互联网上。
8.个人的入网口令应注意保密,防止其他用户侵入网络设备,保证数据资料安全。
第十八条 网络信息安全事件应按照以下流程处理:
1.发现情况
网络中心、学校各单位、各部门要严格执行网络信息巡检制度,做好校园网信息系统安全的日常巡查及其日志保存工作,以保障最先发现网络信息安全事件并及时处置网络信息安全突发性事件。
2.启动应急预案
一旦网络信息安全事件发生,根据事件的严重程度,立即启动应急预案,进入应急预案的处置程序。
第四章 网络数据管理
第十九条 数据安全管理
1.数据采集:在进行数据采集时,需明确数据来源,并确保数据的准确性和完整性。对敏感数据的采集,需进行脱敏处理,以保障数据的安全性。
2.数据存储:对学校的重要数据,需存储在安全可靠的数据中心,并定期进行备份。对于敏感数据,需进行加密处理,以防止数据泄露。
3.数据传输:在数据传输过程中,需采用安全的传输方式,如加密传输,以防止数据被窃取。
4.数据使用:学校教职工在使用数据时,需遵循相关的数据使用规定,并确保数据的合法使用。
5.数据销毁:在数据不再需要使用时,需进行销毁处理,以确保数据不会被恢复。
第二十条 数据安全责任
1.各级领导:各级领导需对数据安全负总责,确保数据安全制度的实施和执行。
2.教职工:教职工需遵守数据安全制度,并对自己的数据安全负责。
3.数据安全事故处理:发生数据安全事故时,需立即报告,按照应急预案进行处理,并对事故的责任人,进行相应的责任追究。
第二十一条 数据资产管理
1.数据备份:学校需定期对重要数据进行备份,并确保备份数据的可用性和完整性。
2.数据恢复:在发生数据丢失或灾难事件时,需及时进行数据恢复,以确保业务的连续性。
3.数据保护:对重要数据,需进行加密和访问控制,以防止数据被非法使用。
4.数据监控:需对学校的数据进行实时监控,以发现异常数据访问和流动,及时进行处理。
第二十二条 外包服务安全管理
1.外包服务商选择:选择外包服务商时,需进行严格的审核和评估,以确保外包服务的安全性和可靠性。
2.外包服务合同:在签订外包服务合同时,需明确双方的数据安全责任,并确保合同的合法性和合理性。
3.外包服务监控:需对外包服务进行实时监控,以确保外包服务的稳定性和安全性。
第二十三条 开发运维管理
1.开发环境隔离:开发环境和使用环境需进行隔离,以防止使用环境受到开发环境的影响。
2.代码审查:在进行代码开发时,需进行严格的代码审查,以确保代码的安全性和稳定性。
3.系统测试:在进行系统开发时,需进行全面的系统测试,以确保系统正常运行。
4.系统维护:需定期对系统进行维护和升级,以确保系统的稳定性和安全性。
第二十四条 新应用上线评估
1.应用评估:在新应用上线前,需进行全面的应用评估,以确保应用的安全性和稳定性。
2.风险评估:需进行风险评估,以评估新应用上线可能带来的风险隐患和影响。
3.应急预案:需制定新应用上线的应急预案,以应对可能发生的风险和事故。
第二十五条 重大数据安全事件处置
1.报告流程:在发生重大数据安全事件时,相关责任人需立即报告,并按照应急预案进行处理。
2.处理措施:在处理重大数据安全事件时,需采取快速、有效的措施,以减少损失。
3.事件通报:在重大数据安全事件处理完毕后,需进行事件通报,并总结经验教训,以防止类似事件再次发生。
第五章 安全保密管理
第二十六条 学校网络安全和信息化领导小组负责对全校计算机信息系统安全和保密工作进行指导和督促检查。各单位相关人员要密切配合,共同做好计算机信息系统安全和保密工作。
第二十七条 加强保密意识教育,提高教职工保密观念,增强防范意识,自觉执行保密规定。
第二十八条 学校应与重点岗位的计算机使用人员签订安全保密责任书,明确安全和保密要求与责任。
第二十九条 计算机使用人员离岗离职,有关部门应当即时取消其计算机信息系统访问授权,收回计算机、移动存储设备等相关物品。
第三十条 加强内部计算机信息系统安全和保密管理情况的监督,定期开展自我检查、自我评估,发现问题及时纠正。
第三十一条 计算机信息系统使用管理人员违反本规定,情节较轻的,由本单位予以批评教育;情节严重,造成安全和泄密隐患的,按有关规定处理。
第三十二条 违反本规定泄露国家秘密的,按照有关规定给予直接责任人和有关领导行政或者党纪处分;构成犯罪的,依法追究刑事责任。
第三十三条 学校各单位要结合实际,制定完善本单位计算机信息系统安全和保密管理的具体办法。
第三十四条 涉密计算机或其它涉密终端一律禁止连接国际互联网。如有特殊需求,必须事先提出申请报主管领导批准后方可实施,并由技术主管人员全程介入,在相关工作完成后立即切断与外部网络连接。
第三十五条 坚持“谁上网,谁负责”的原则,本单位主要领导负责审查本单位人员计算机上网的资格。
第三十六条 国际互联网须与涉密计算机实行物理隔离。
第三十七条 在与国际互联网相连接的信息设备上不得存储、处理和传输任何涉密信息。
第三十八条 涉密计算机维护管理应遵循以下原则:
1.涉密计算机系统进行维护检修时,须保证所存储的涉密信息不被泄露,对涉密信息应采取涉密信息转存、删除、异地转移存储媒介等安全保密措施。无法采取上述措施时,网络中心技术人员须在维修现场监督,并对维修人员、维修对象、维修内容、维修前后情况做好详细记录。
2.应将本单位设备的故障现象、故障原因、扩充情况记录在设备的维修档案记录本上。
3.凡需外送修理的涉密设备,必须经主管领导批准,并将涉密信息进行不可恢复性删除处理后方可实施。
4.学校指定专人负责各涉密单位计算机软件的安装和设备的维护维修工作,严禁擅自安装计算机软件和擅自拆卸计算机设备。
5.涉密计算机的报废须由主管领导同意,专人监督、专人负责定点销毁。
第六章 计算机病毒管理
第三十九条 涉密计算机必须安装经过国家安全保密部门许可的查、杀病毒软件。
第四十条 每周定期升级计算机病毒软件的病毒样本,确保查杀病毒软件始终处于最新版本。
第四十一条 严禁涉密计算机在线升级防病毒软件病毒库。采用离线方式升级的,要对其升级包来源进行登记。
第四十二条 每周对计算机进行一次病毒查杀。
第四十三条 计算机应限制信息入口,如软盘、光盘、U盘、移动硬盘等的使用。
第四十四条 对必须使用的外来介质(磁盘、光盘、U盘、移动硬盘等),必须先进行计算机病毒的查、杀处理,方可使用。
第四十五条 对于因未经许可而擅自使用外来介质导致严重后果的,要严格追究相关人员的责任。
第七章 信息资料管理
第四十六条 电子文件资料(指在计算机系统中生成、存储、处理的机密、秘密和内部的文件、图纸、程序、数据、声像资料等)管理应遵循以下原则:
1.涉密电子文件资料须在具有安全保障措施的涉密计算机上处理和存放。
2.电子文件的密级按其所属项目的最高密级界定,其生成者应按密级界定要求标定其密级,并将文件存储在相应的目录下。
3.电子文件要有密级标识,电子文件的密级标识不能与文件的正文分离,一般标注于正文前面。
4.电子文件必须定期、完整、真实、准确地存储到不可更改的介质上,并集中保存。
5.学校自用信息资料要定期做好备份,备份介质必须标明备份日期、备份内容以及相应密级,严格控制知悉此备份的人数,做好登记后进保密柜保存。
6.学校要对备份电子文件进行规范的登记管理。备份可采用磁盘、光盘、移动硬盘、U盘等存储介质。
7.备份文件和资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施,并进行异地备份。
第四十七条 信息化软件资料(包括程序软件、信息化办公设备附带光盘、说明资料、保修卡等)管理应遵循以下原则:
1.随设备附带的软件资料,原则上随所配备的设备一起使用,由设备使用人负责保管。
2.如果软件资料的保管人发生变更,必须及时向网络中心备案登记。
3.软件资料遗失,需及时向网络中心报告,并视责任情况进行赔偿。
4.信息化办公设备移交时,必须将软件资料一起移交,并办理相关移交手续。
5.未经单位领导批准,任何软件资料都不得外借、复制和分发。
6.对于重要的软件资料,应指定专人进行统一保管。
第四十八条 严禁将接入外部网络的计算机设定为网络共享,严禁将机内文件设定为网络共享文件。
第四十九条 数据备份管理遵循以下原则:
1.数据备份由使用单位负责,各单位、各部门负责本单位、本部门应用系统(含网站)数据备份工作。
2.网络中心负责系统平台和各应用系统备份工作。每周对系统进行备份。
3.各单位、各部门应安排专人负责数据备份工作。
4.数据备份周期:每天进行一次增量备份;每周进行一次整体备份。
5.备份数据保留周期为6个月。
6.数据备份到本地计算机的专用文件夹,并注意备份数据安全管理。
第八章 附则
第五十条 本规定由网络中心负责解释。
第五十一条 本规定自发文之日起施行。