第一章 总则
第一条 为提高学校网络与信息安全防护水平,保障信息化建设工作顺利开展,根据《网络安全法》《数据安全法》《个人信息保护法》等国家相关法律法规,结合学校实际,制定本办法。
第二条 本办法所称网络与信息安全管理,是指对于由学校管理、建设、运维并支撑人才培养、科学研究、校务治理等工作的校园网络及IT基础设施、网站与信息系统、数据与密码密钥以及校园网络接入终端开展的相关安全管理工作,防止发生有害程序入侵、网络攻击、信息破坏、信息化设备设施故障等事件。
第三条 学校按照“谁主管谁负责,谁使用谁负责,谁运维谁负责”的原则,建立健全网络与信息安全责任体系,逐级落实网络与信息安全责任。各单位及全体师生应依照本办法要求及学校相关标准规范履行网络与信息安全的责任和义务。
第二章 管理机构与职责分工
第四条 哈尔滨理工大学网络安全和信息化领导小组是学校网络与信息安全工作的领导机构,网络安全和信息化领导小组办公室(以下简称网信办)负责学校网络与信息安全管理日常事务,开展全校网络与信息安全工作的管理和落实,定期向领导小组汇报网络与信息安全工作,提出工作建议。
第五条 学校各单位是本单位网络与信息安全工作的责任主体,单位主要负责人是本单位网络与信息安全工作第一责任人,指定分管负责人全面负责本单位的网络与信息安全工作,指定专人为单位专(兼)职的网络与信息安全管理员,负责管理和协调本单位的具体网络与信息安全工作。各单位主要职责包括:
(一)负责本单位网络与信息安全管理工作,配合学校开展网络与信息安全建设、检查、整改及培训与宣传工作;
(二)落实学校网络与信息安全管理制度,制定本单位相关管理制度、工作规范及应急预案;
(三)负责建立健全本单位的网络与信息安全责任制,明确岗位及人员的安全责任;
(四)负责本单位业务服务器、网站、信息系统及数据的安全建设、运行、维护和监管;
(五)做好本单位网络信息发布内容的审核和监控;
(六)配合学校处理网络与信息安全事件,积极协助有关部门开展安全调查取证工作等。
第三章 校园网及IT基础设施安全
第六条 校园网与互联网及其他公共网络实行逻辑隔离,由现代教育技术中心统一出口、统一管理和统一防护。未经批准,各单位及个人在校园内不得改变网络结构,不得擅自通过其他渠道接入互联网及其他公共网络。现代教育技术中心对校园网划分网络安全域,并采取必要的安全隔离措施,统筹规划网站与信息系统向外网开放的范围。网信办负责学校通讯设施设备安全管理工作的协调与监督,督促运营商做好设施设备的巡查工作,落实设备运行安全责任。
第七条 IT基础设施安全由网信办统一规划、建设、管理,各单位及个人不得擅自建设、拆卸、更改、损毁、挪用。现代教育技术中心负责学校核心机房的建设、运行、维护和监管,制定使用技术规范和标准,实施准入管理。各单位原则上应依托核心机房开展信息系统建设,遵循机房管理制度,按需申请、有序使用,不得利用机房资源从事与申请项目无关或危害网络与信息安全的活动。使用校外服务器的,须报网信办审批。涉及学校基础数据、师生员工个人信息或敏感信息的信息系统,不得部署在校外服务器。未经批准,严禁使用境外服务器。
第八条 现代教育技术中心负责学校网络与信息安全防护设备和软件的按需配置,多措并举加强和完善学校身份认证威胁识别、入侵检测、漏洞扫描、攻击防护、访问控制、操作审计、灾备恢复等安全技术措施,构建可查、可管、可控的校园网络与信息安全技术支撑环境。
第四章 网站与信息系统安全管理
第九条 学校各单位新建网站,应使用学校互联网域名及IP地址,并纳入站群系统管理。现代教育技术中心统一建设站群系统并负责技术安全管理。学校各类信息系统按照同步规划、同步建设、同步运行的原则,规划、建设、运行、管理信息安全设施,建立健全网络与信息安全防护体系,实施信息系统安全等级保护制度。
第十条 网信办负责统筹学校信息系统安全等级保护工作,组织学校各单位开展相关工作。信息系统建设单位是信息系统安全等级保护的责任主体,负责系统定级、建设整改、安全自查,协助系统备案、等级测评等工作。现代教育技术中心负责信息系统台账管理、等级评审、系统备案、监督检查、安全防护体系建设和等级测评组织工作,协助学校各单位进行系统定级、建设整改工作。
第十一条 各单位应定期对本单位的网站与信息系统的安全状况、安全保护制度及措施的落实情况进行自查、修复等工作,并配合有关部门的安全检查、信息内容检查、保密检查等工作。每年将本单位网站与信息系统安全情况提交网信办备案。
第五章 数据与密码密钥安全管理
第十二条 网信办负责学校基础数据库和数据共享交换平台的建设和安全管理,负责制订全校范围内数据安全的标准和规范,规范数据服务流程,确保数据流向清晰,实现数据可控、可管、可查。同时指导监督各单位数据的安全保障工作,组织开展数据安全风险评估和安全管理审查,确保数据安全。
第十三条 各单位负责建设、维护本单位信息系统的数据库,并对数据库及所申请的共享数据的安全负责,不得篡改共享数据,不得将共享数据公开、泄露给其他单位或个人使用或用于申请授权范围以外的用途。应明确责任人,落实安全管理责任,按照要求落实数据安全管理相关制度,规范数据的收集、存储、传输和使用,确保数据安全。及时做好数据的备份、容灾和恢复等工作。
第十四条 各单位对账号密码与密钥使用进行管理,做好账号的权限设置、密码设置等安全管理工作。账号采用分级授权管理,根据用户角色创建相应级别账号,对重要账号建立AB角工作责任制。设置复杂度高的密码,并定期更换密码,不得共享、公开账号密码。
第六章 安全秩序与行为规范
第十五条 校园网接入实行审批和备案登记制度,校园网访问实行实名认证上网制度。校园网用户必须严格遵守国家相关法律法规,上网行为不得危害到网络与信息安全,并对上网行为负责,不得任何形式进行虚拟货币“挖矿”活动及其他未经许可的活动。对危害校园网安全的用户,网信办有权对其进行断网处理。
第十六条 校园网终端设备使用人对设备负有保管和安全使用的责任。终端设备应设置系统登录账号和密码,禁止自动登录,登录密码应具有一定强度并定期更改。终端设备上应安装、运行正版软件,做好数据日常管理和保护,定期进行数据备份。做好安全防范,如发现终端设备出现可能由病毒或攻击导致的异常系统行为或其他安全问题,应立即断网后进行处置。
第十七条 各单位和师生在使用学校电子邮箱时需严格遵守学校电子邮箱管理相关规定,对使用其电子邮箱账号开展的所有活动安全负责,应妥善保管电子邮箱账号和密码,确保密码具有一定强度并定期更换。
第十八条 各单位对本单位网络信息发布的内容安全负责,需严格遵循国家及学校有关规定,建立内容审核机制,规范信息发布审批流程。党委宣传部负责对学校网站等内容审查、监管及合规处置,现代教育技术中心负责网站的技术支持和保障。
第十九条 各单位关键岗位的计算机使用和管理人员应签订信息安全保密协议,明确信息安全与保密要求和责任,及时终止离岗、离职人员的所有访问权限。各单位应与外包服务方签订安全保密协议或合同,明确其服务所涉及的设施设备、软件系统、信息数据安全责任要求,对人员进行安全保密教育,采取安全措施对访问实施控制,并对服务进行安全性监督与评估,确保其服务过程符合学校网络与信息安全管理要求。
第七章 检测预警与应急处置
第二十条 网信办定期对校内网站、信息系统、网络及相关设备开展网络安全检测工作,并发布检测报告。各单位应根据检测报告,及时落实网络安全自查和问题修复,避免网络安全事件发生。网信办对双非网站与信息系统(非学校IP地址、非学校域名)及使用频率低、长期未更新、无专人运维的“僵尸”网站与信息系统,有权进行关闭和清退处理。
第二十一条 网信办负责组织校内网络与信息安全处置应急演练,相关单位应积极参与。各单位应制定网络与信息安全应急预案,定期开展应急演练,提高网络安全事件处置能力。发现网络安全问题应及时向网信办报告并进行必要的应急处理。各单位必须熟悉本单位网络与信息安全事件应急处置措施。做好事发紧急报告与处置、事中情况报告与处置和事后整改报告与处置工作。
第二十二条 校内网络安全事件的处置由网信办负责组织实施,形成学校网络与信息安全突发事件应急预案(见附件),进行分级、分类处理。网信办有权直接对安全事件相关的网络及信息系统进行断网、停止服务等应急处理。网络安全事件相关单位及人员应积极配合,认真落实网络安全事件处置相关工作。学校各单位与师生员工均有义务及时向网信办报告网络与信息安全事件,不得在未授权情况下对外公布或利用所发现的网络安全问题或安全漏洞。
第八章 责任追究
第二十三条 网信办定期开展全校网络与信息安全工作的检查,每年向学校网络安全和信息化领导小组汇报。对违反网络与信息安全管理制度、网络与信息安全工作存在不足和隐患且逾期不改的单位,学校给予通报。
第二十四条 网络安全事件的责任认定,由网信办提交学校网络安全和信息化领导小组研究处理。对拒不执行网络与信息安全管理相关制度、漠视网络安全工作以至造成重大事故和案件的单位,学校将追究该单位主要负责人和直接责任者的责任。对损坏校园网络系统或信息系统设备设施的个人,学校将视其情节轻重追究责任。如触犯法律,将移交公安司法机关处理。
第九章 附则
第二十五条 本办法由网信办负责解释,自发布之日起施行。
附件:哈尔滨理工大学网络与信息安全突发事件应急预案