西北农林科技大学网络安全管理办法
西北农林科技大学网络安全管理办法
(试行)
第一章 总 则
第一条 为全面加强学校网络安全管理,建立健全网络安全保障体系,落实网络安全责任,提高网络安全防护能力,确保网络安全工作规范、有序进行,根据《中华人民共和国网络安全法》及《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)等相关法规和技术标准,结合学校实际,特制定本办法。
第二条 本办法所称网络安全是指校园网基础设施、网站及信息系统、数字资源系统等所涉及的硬件、软件和信息的安全。信息内容安全、涉密信息安全的管理不在本办法范畴内,由学校相关单位根据相关规定进行管理。
第三条 网络安全管理的基本原则是“谁主管谁负责,谁建设谁负责,谁使用谁负责”,明确主体责任,强化安全意识,规范工作流程。
第二章 组织机构
第四条 学校网络安全和信息化领导小组(以下简称网信领导小组)是学校网络安全工作的领导机构,负责全校网络安全工作的统筹指导以及重大网络安全事件处置的决策指导。
第五条 信息化管理处(网络与教育技术中心)(以下简称信息化处)是学校网信领导小组的办事机构,负责学校网络安全管理和技术防护工作,处置网络安全事件。
第六条 各单位负责本单位建管或使用的信息系统、网站及内部网络的安全运维管理,应结合本单位信息化工作实际,认真落实本办法。
第三章 校园网络建设运行管理
第七条 校园网络包括学校有线网、无线网、物联网,以及一卡通、财务、医疗、安防监控等专网及交换机、光缆等网络设施。
第八条 校园网络由学校统一建设管理,各单位组织新楼建设、旧楼改造及装修时,须商信息化处一并进行网络建设和网络设施保护,严禁私自乱接网络,严禁损坏网络设施。
第九条 校园网出口由信息化处统一管理,任何单位和个人不得私接外网出口,不得引入校外单位进校开展各类互联网业务。
第十条 校园网用户静态IP地址应按申报用途使用,不得私自变更。原则上不开放外网服务,如因特殊需要确实要开放的,须履行审批手续,并由该IP地址用户承担由此引发的网络安全责任。
第十一条 校园网用户实行实名制管理,用户开通网络账号时应提供个人真实身份信息,并通过学校统一身份认证系统接入校园网。
第十二条 校园网用户要文明上网,规范网络行为,不得利用校园网从事或协助进行各种危害国家安全、荣誉和利益的活动;不得从事或协助进行非法入侵校园网信息系统(网站)、干扰校园网正常功能、盗用他人账号口令上网等危害校园网安全的活动;不得设立用于违法犯罪的网站、公众号、通讯组;不得发布违法犯罪活动信息。
第四章 信息系统建设运行管理
第十三条 学校各类信息系统(包括信息系统、平台、网站、教育PP、资源类数据库等)建设要遵循学校网络安全相关制度、技术标准和申报流程。新建或升级的信息系统应在规划设计阶段确定安全保护等级,上网运行前必须进行安全检测,未通过者不得上线运行。
第十四条 学校各类信息系统原则上要依托于校园网建设运行,使用学校IP地址及域名,在校内进行登记备案。
第十五条 对于确实需要在校外部署或使用校外云服务建设的信息系统,应由主管单位报信息化处审批,自行在社会机构登记备案。并要在采购文件和合同中明确规定:由云服务商负责该项目网络安全建设,由主管单位和云服务商共同承担网络安全责任。未按上述要求建设的此类系统,不属于学校官方行为,不得使用校名、校徽等标识,一切网络安全责任由相关单位及参与人员承担。
第十六条 学校各类网站原则上要基于学校网站群系统构建及部署,由学校统一实施网站安全等级保护。未进入站群系统的网站,由建管单位按等级保护二级系统自行进行等级保护备案、测评等工作,所需费用自理。
第十七条 各信息系统建管单位应建立数据录入、审核、发布、备份工作制度,采取必要的安全措施,确保数据安全。未经批准或授权,任何单位和个人不得对外提供学校信息系统中的各类数据。
第十八条 信息化建设项目中凡涉及到个人信息,必须按照国家《个人信息保护法》进行严格保护,不得违规采集、存储、使用、共享、公开、删除个人信息。
第十九条 信息化处要对校园网各类信息系统的运行状态进行监测,定期排查清理无访问、无更新、无运维人员的“三无”僵尸系统,消除安全隐患。各单位要指定专人加强本单位建管信息系统日常运维和安全管理,严格执行网络安全管理措施,保证安全运行。
第五章 网络安全威胁与网络安全事件处置
第二十条 信息化处负责学校网络安全预警类信息的发布,应加强与国家网络安全机构、上级主管部门及相关网络安全企业的联系,多途径跟踪、收集网络安全情报及有关我校的网络安全威胁信息,及时做好校内通报和预防工作,避免网络安全事件发生。
第二十一条 信息化处负责校园网安全威胁监测,应综合利用各种网络安全设备,定期对各类信息系统及其相关设备进行安全隐患排查、安全漏洞扫描和网络攻击分析,指导督促各单位做好安全漏洞修复、加固等工作。
第二十二条 信息化处负责组织校内网络安全事件的处理,按学校《网络安全事件应急预案》组织分级、分类处理和报告。为避免安全事件不良影响扩大,信息化处有权直接对涉事网络及信息系统进行断网、停止服务等应急处理。
第二十三条 信息化处负责组织校内网络安全事件应急演练,检验完善预案、提高应急处置能力。相关单位应积极参与。
第六章 网络安全工作保障与推进
第二十四条 网络安全是学校信息化建设的常规工作, 学校要单列网络安全运维经费,切实保障网络安全等级保护、网络安全监测和检测评估、信息系统安全升级和防护加固、网络安全教育培训、网络安全事件处置等各项网络安全运维工作。
第二十五条 信息化处负责按照国家相关法律法规要求,组织开展学校网络安全等级保护和关键信息基础设施认定及安全运维工作。各单位负责本单位建管信息系统的等级保护定级、测评、整改工作的具体落实。
第二十六条 信息化处牵头组织师生网络安全宣传教育和信息化工作人员网络安全培训,增强广大师生的网络安全意识,提高从业人员网络安全责任意识和操作能力。各单位要组织相关人员积极参与,并做好检查考评工作。
第七章 责任追究
第二十七条 对拒不执行网络安全管理相关制度、漠视网络安全工作以至造成重大事故和案件的单位或个人,学校将追究该单位主要负责人和直接责任人的责任。
第二十八条 违反本管理规定,学校将视情节轻重给予限期整改、暂停网络与信息化服务、封停账号或端口、通报批评、行政纪律处分等处罚措施,触犯法律法规的,移交公安司法机关处理。
第八章 附 则
第二十九条 本办法为学校网络安全管理的基本规定,校内其他涉及网络安全的相关规定应以本办法为依据,如有不同之处以本办法为准。
第三十条 本办法自发布之日起试行,由信息化管理处负责解释。