关于印发《包头轻工职业技术学院 网络与信息安全管理办法》的通知

  • 发布时间:2020-10-02
  • 来源:党政办公室
  • 点击:[]次

各党总支、直属党支部,院属各部门:

《包头轻工职业技术学院网络与信息安全管理办法》经学院党委会议审定通过,现予以印发,请遵照执行。

附件:包头轻工职业技术学院网络与信息安全管理办法

中共包头轻工职业技术学院委员会

2020年10月2日


包头轻工职业技术学院

网络与信息安全管理办法

第一章 总则

第一条为规范学院校园网络与信息系统的安全管理,提高网络与信息安全防护能力和水平,保障学院各项事业健康有序发展,根据《中华人民共和国网络安全法》《中华人民共和国计算机信息系统安全保护条例》《教育部关于加强教育行业网络与信息安全工作的指导意见》,结合学院实际,制定本办法。

第二条网络与信息安全包括支持学院教学、科研、管理和服务工作的各类管理信息系统、业务应用系统、媒体资源系统、网站以及网络基础设施等所涉及的硬件、软件和信息的安全。

第三条学院按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,建立健全网络与信息技术安全责任体系,学院各部门、全体师生应依照本办法要求及相关标准规范履行网络与信息安全的义务和责任。

第二章 组织机构和工作职责

第四条学院网络与信息安全领导小组负责统筹协调学院网络与信息安全重大问题,讨论决定网络与信息安全重大事项。

第五条网络信息技术中心负责学院网络与信息安全防护体系的建设、运行维护、技术指导和服务支持。

第六条宣传统战部负责网络信息内容的监管,负责网站群系统和新媒体平台公众服务号内容舆情信息的监控和管理,开展网上疏导和正面宣传,做好对外宣传工作。

第七条学院各部门是本单位网络和信息安全工作的责任主体,其主要负责人为第一责任人,各部门应指定专人负责本部门网络与信息安全工作。

第三章 校园网络安全管理

第八条校园网络是指校园范围内连接各种信息系统及信息终端的计算机网络,包括校园有线网络、无线网络和各种虚拟专网。

第九条校园网络安全所涉及的光缆布线、网络机房、网络设备、网管系统、域名管理、安全防护、认证计费、网络接入与运维等方面,由网络信息技术中心负责管理。

第十条校园网络与互联网及其他公共信息网络实行逻辑隔离,由网络信息技术中心统一出口、统一管理和统一防护。未经批准,学院各部门不得擅自通过其他渠道接入互联网及其他公共信息网络。校企合作单位要自行接入互联网,与校园网络隔离。

第十一条网络信息技术中心应采取访问控制、安全审计、完整性检查、入侵防范、恶意代码防范等措施加强网络防护。

第十二条学院各部门及师生员工接入校园网络,实行“实名注册、认证上网”制度;学校非涉密信息系统接入校园网络,实行接入审批和备案登记制度。网络接入实名管理制度由网络信息技术中心负责实施。涉密信息系统不得接入校园网络。

第十三条严禁任何部门和个人利用校园网络及设施开展经营性活动。

第四章 数据中心安全管理

第十四条数据中心主要包括支撑学院信息系统的物理环境、软硬件设备设施、存储平台、中心数据库、数据共享交换平台、统一身份认证平台及统一信息门户等信息化基础设施和平台。

第十五条网络信息技术中心负责数据中心物理环境、软硬件设备设施和存储平台的建设和安全管理;根据信息系统安全等级的不同,对数据中心进行分区、分域管理,采取必要的技术措施对不同等级分区进行防护、对不同安全域之间实施访问控制。

第十六条网络信息技术中心负责学院中心数据库、数据共享交换平台的建设和安全管理,负责基础数据库与各部门业务数据库之间完成数据交换和共享。各有关部门负责建设、维护本部门业务应用系统所配套的业务数据库,并对本部门业务数据库及所申请的共享数据的安全负责。

第十七条统一身份认证平台为学院信息系统提供统一的身份管理、安全的认证机制、审计及标准接口。学院各部门建设面向师生服务的应用系统时,应使用统一身份认证平台进行身份认证。

第十八条学院各部门应依托数据中心开展信息系统建设。需使用校外数据中心的,须经网络与信息安全领导小组批准。涉及学院基础数据、师生员工个人信息或敏感信息的信息系统,未经批准不得部署在校外数据中心。

第十九条网络信息技术中心对利用学院数据中心部署的信息系统实施准入管理,负责制定使用数据中心资源的技术规范和标准,在系统上线前进行安全检测。符合技术规范标准并检测通过的系统方可上线运行。

第二十条数据中心的用户单位应遵循相关管理制度和技术标准,按需申请、有序使用,不得利用数据中心资源从事任何与申请业务无关的活动。

第五章 信息系统安全管理

第二十一条建立健全网络与信息技术安全防护体系,全面实施信息系统安全等级保护制度。

第二十二条网络信息技术中心组织各有关部门开展系统备案、等级测评整改。各有关部门是自建信息系统等级保护工作的责任主体,在建设时必须同步落实安全保护措施,并协助系统备案、接受检查测评,开展自查整改。

第二十三条有关部门托管在学院中心机房的服务器应在操作系统、数据库、应用系统及业务数据等方面采取监测防护措施,并按照规定留存相关日志不少于六个月。网络信息技术中心应对支撑信息系统的公共基础设施及应用系统进行安全防护,确保系统安全运行。

第二十四条信息系统建设部门应制定信息系统的安全管理制度,规范信息系统使用者和维护者的操作行为,落实专人负责,加强信息系统账号和密码管理,严禁使用弱密码,密码应定期更改。

第二十五条信息系统数据是指信息系统收集、存储、传输、处理和产生的各种电子数据,包括但不限于网站内容、业务数据、网络课程、图书资源、日志记录等。

第二十六条信息系统的所有者是数据安全管理的责任主体,应当落实管理和技术措施,规范数据的收集、存储、传输和使用,确保数据安全。

第二十七条信息系统数据收集应遵循“最少够用”原则,不得收集与信息系统业务服务无关的个人信息。按照“谁收集,谁负责”的原则,收集个人信息的部门是个人信息保护的责任主体,应当对其收集的个人信息严格保密,并建立健全相关保护制度。

第二十八条信息系统的归属部门负责系统的备份与恢复管理,制订备份机制与恢复计划,根据业务实际需要对重要数据和信息系统进行备份,定期测试备份与恢复计划,并确保备份数据和备用资源的有效性。

第六章 网站安全管理

第二十九条为了确保网络安全,学院门户网站、专题网及各部门网站必须依托学院网站群系统进行建设和管理,各部门不得使用其他方式建设子站。未纳入学院网站群系统的网站,其安全由网站开办部门负责。

第三十条学院各部门在微博、微信、抖音等新媒体平台开设的公众号、服务号或订阅号,须经宣传统战部审核批准后方可开通。未经许可,任何部门或个人不得以冠有“包头轻工职业技术学院”“BTQY”等中外文字样的任何名义开通新媒体公众服务。

第三十一条网站开办部门应建立网站值班制度,制订应急处置流程,组织专人对网站进行监测,发现网站运行异常及时处置。

第三十二条网站的内容安全由网站开办部门负责,各部门应建立完善的网站信息发布与审核制度,确定负责内容编辑、内容审核、内容发布的人员名单,明确审核与发布程序,保存相关操作记录。

第三十三条对于使用频度不大、阶段性使用的网站,网站开办部门可采取非工作时间或寒暑假、节假日关闭的方式运行。对于无人管理、无力维护、长期不更新的网站,网络信息技术中心有权关停网站以降低安全风险。

第七章 运维人员的管理

第三十四条学院各部门应建立健全本部门岗位信息安全责任制度,明确岗位及人员的信息安全责任。关键岗位的计算机使用和管理人员应签订信息安全与保密协议,明确信息安全与保密要求和责任。信息系统通过外包服务形式进行运维的部门,应与信息技术外包服务提供商签订服务合同和信息安全与保密协议,明确信息安全与保密责任。

第三十五条各部门应加强人员离岗、离职管理,严格规范人员离岗、离职过程,及时终止相关人员的所有信息系统和设备访问权限并签署离岗安全保密承诺书。

第三十六条学院各部门应定期对网络与信息技术安全岗位的人员进行安全知识和技能的培训与考核,并对结果进行记录和保存。

第三十七条网络信息技术中心应建立外来人员访问中心机房等重要区域的审批制度,外来人员进入中心机房要安排工作人员现场陪同,对访问活动进行记录和保存。

第三十八条对于危害公共安全、国家安全、泄露国家秘密以及其他违反法律、法规的行为,按照有关规定处理及追究相关责任。

第八章 附则

第三十九条本办法由网络信息技术中心负责解释。

第四十条本办法自发布之日起施行。

上一条:关于建设“双带头人”党支部书记工作室的通知
下一条:关于成立包头轻工职业技术学院 “十四五”发展规划编制领导小组的通知

关闭

Baidu
map