第一章 总则
第一条 为加强眉山职业技术学院(以下简称“ 学校 ”)的网络安全与信息化建设,规范网络使用行为,保障信息系统安全稳定运行,根据《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《中华人民共和国计算机信息系统安全保护条例》《信息安全等级保护管理办法》《信息技术服务基本要求》及其它法律法规和政策规定,结合学校实际情况,特制定本办法。
第二条 网络安全指保护网络系统的硬件、软件及其中的数据不受偶然或者恶意的原因而遭到破坏、更改、泄露,确保网络系统可靠和稳定地运行,网络服务不中断。信息化指利用现代信息技术,通过信息资源的深入开发和广泛利用,不断提高生产、经营、管理、决策的效率和水平,进而推动社会经济发展转型的历史进程。信息系统是指由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息为目的的人机一体化系统。
第三条 本办法旨在明确学校网络安全与信息化工作的基本原则、使用规范等方面的内容,为学校网络安全和信息化工作的有序开展提供有效的指导、约束和监督。
第四条 本办法适用于学校所有职能部门、教学单位、教辅机构、群团组织、教职员工、学生及其他使用学校网络和信息系统的单位或个人。
第二章 入网及域名管理
第五条 入网接口、通信线路、带宽、网络设备、IP 地址、域名、通信端口等均为学校的网络资源,由图文信息中心负责统一管理和分配。图文信息中心负责向上级管理单位统一办理申请注册和备案学校一级域名、管理二级域名,负责监督、检查各级域名注册服务情况,负责校园网络域名的日常管理运行和服务维护。
第六条 凡有对外提供网络信息服务需求的校内单位,均须向图文信息中心申请网络资源,经审批后方可部署运行。
第三章 信息化基础设施建设与管理
第七条 图文信息中心是校园网络管理归口管理机构,负责与通信运营商对接,负责网络安全和信息化管理的部门,负责学校网络基础施工标准的制定,负责学校网络的规划、建设、运行、维护与管理等。
第八条 新建、扩建和改建的网络工程项目需由该项目提出单位向图文信息中心进行申报,确定施工方案及施工标准,并随时接受图文信息中心的监督检查。图文信息中心可要求未按标准规范施工的工程部分返工。学校其他各有关部门应当根据部门职责,协同做好校园信息网络基础设施的相关管理工作。
第九条 任何新建或改造的网络教室、计算机机房、办公室等需要接入学校网络的场所,必须提前向图文信息中心提交入网申请。申请中需明确说明接入目的、所需网络资源、安全措施等内容。图文信息中心将根据学校网络规划和安全要求,对申请进行审批,并分配相应的网络资源。
第十条 未经图文信息中心批准,任何部门或个人不得将私有网络设备(包括但不限于路由器、交换机、无线接入点等)接入学校网络。
第十一条 为确保学校网络架构的规范性和安全性,严禁任何部门或个人未经许可私自拉接网线。
第四章 信息化项目建设与等级保护
第十二条 学校各单位根据本单位业务范围及信息化需要,研究提出信息化项目建设申请,拟订项目建设方案。信息化项目涉及多个单位共建的,由相关单位协商确定牵头单位,由牵头单位提出项目建设申请。图文信息中心负责项目前景、信息化规范、技术成熟度、系统数据对接、软硬件资源配套、网络安全配套等相关内容的审核。
第十三条 信息系统安全等级保护定级为第二级及以上的,须预算信息系统等级保护测评费用,测评费用从信息系统建设项目经费中支出,信息安全等级保护测评通过后方可上线运行。
第十四条 批准立项的信息化项目,其申请单位为项目建设单位。项目建设单位负责组织信息化项目的设计、建设和运行维护,对信息化项目的建设质量、投资效益和运维管理等负责。批准立项后应向图文信息中心申请预留网络资源,避免网络资源不足影响项目的实施和运行。
第十五条 信息化项目招标参数应包含国家网络安全和信息化要求及学校信息系统数据对接要求。
第十六条 信息化项目建设过程中,建设单位不得自行购置服务器、存储资源等配套资源,应向图文信息中提交信息化建设硬件资源需求申请,图文信息中心对申请进行审批,并分配相应的硬件资源。如硬件资源不足,须待学校采购硬件资源后再行分配。
第十七条 项目建设单位应加强信息化项目的组织保障工作,实行单位主要负责人负责制,建立健全项目管理责任制,并严格执行政府采购、工程监理、合同管理、保密等相关制度。
第十八条 信息化项目的建设经费应严格遵守财务和审计相关管理规定,实行包干制,按规定的履行审批程序。
第十九条 信息资源(数据)产权归学校所有,各单位必须保证本单位的基础数据真实、准确、完整,坚持“一校一库、一 数一源、一数多用、动态更新 ”的原则,做好数据的统一采集、归集、共享和使用。
第二十条 学校对信息系统数据实施统一安全管理策略,具体包括行政管理和技术管理等两方面。行政管理主要包括安全管理机构、制度、人员、责任和监督机制等内容。技术管理贯穿信息系统建设、运行和维护的各环节,如开发、试用、验收和推广各阶段上的安全管理,设备网络特别是安全设备和口令的安全管理等。
第二十一条 图文信息中应根据信息安全等级保护要求对数据建立相关的流程和管理要求,信息系统应严格在流程管理和制度管理的约束下实施。
第二十二条 项目建设单位应根据国家关于信息安全等级保护的有关规定,提前和图文信息中心沟通确定信息系统等级保护定级,进行信息系统等级保护备案,填写《信息系统安全等级保护备案表》。信息系统的信息安全等级保护工作,应与信息系统同步规划、同步建设、同步使用。
根据信息系统安全等级保护实施指南,结合学校的实际情况,现学校信息系统的信息安全等级保护等级为第一级和第二级。具体流程如下图:
图 1 信息系统安全等级保护定级流程
第二十三条 信息系统安全等级保护备案后,信息系统的运维应符合国家信息安全等级保护管理规范和技术标准;信息系统变更信息安全等级保护等级时,应当按照本办法及时重新备案;
第二十四条 等级保护备案为第二级的信息系统须每两年对信息系统安全等级状况开展等级测评,测评所需费用由图文信息中心统一规划预算。
第二十五条 项目通过验收后即进入运维阶段,项目建设单 位应收回项目承建单位所有系统权限;信息化项目的运行管理实 行项目建设单位负责制,项目建设单位应制定和完善相应的管理 制度,加强日常运行和维护管理,落实运行维护费用;各单位负 责本单位信息系统的日常运行维护与管理,包括业务层面的维护 与管理、系统使用和推广、系统安全的漏洞修复等工作。
第五章 网络安全应急响应
第二十六条 图文信息中心定期或不定期组织网络安全培训,覆盖全校师生及所有网络使用人员。培训内容应包括网络安全基础知识、安全操作规范、应急响应流程等,旨在提高全员网络安全意识和防护能力。
第二十七条 建立健全安全事件预警预报体系,严格执行网络与信息安全管理制度。遇突发的网络与信息安全事件,应及时控制事态,限制在最短时间、最小范围内,使影响和损失减少到最低程度,并尽快恢复学校正常的教学、科研和生活秩序。落实工作责任和责任追究制度。凡在执行预案过程中,因工作延误、渎职或不服从指挥、不及时处理,产生严重后果的,要追究相关人员责任。
第二十八条 发生网络与信息安全事件后,图文信息中心和突发安全事件的信息系统建管部门应尽最大可能收集事件相关信息,鉴别事件性质,确定事件来源,弄清事件范围,评估事件带来的影响和损害,确认突发事件的类别和等级,并参照下述响应机制对突发事件进行处置。
图 2 网络与信息安全事件处置流程
第二十九条 学校应建立定期与不定期相结合的网络安全检 查机制。图文信息中心应负责组织实施网络安全检查,包括但不 限于网络基础设施、信息系统、数据资源等方面的安全检查,及时发现并协调相关部门、单位消除安全隐患。
第三十条 为检验和提高全校应对网络安全事件的能力,图文信息中心应定期组织网络安全应急演练。演练内容应模拟真实 的网络安全攻击场景,通过实战演练,提升学校网络安全应急响 应的效率和效果。
第六章 附则
第三十一条 本办法由图文信息中心负责解释和修订。
第三十二条 本办法自发布之日起施行。
