各党总支、直属党支部,各教学系(部)、校属各单位:
现将《吕梁学院网络与信息安全管理办法(试行)》印发给你们,请认真贯彻执行。
中共吕梁学院委员会
吕梁学院
2021年5月28日
吕梁学院网络与信息安全管理办法(试行)
第一章 总则
第一条为加强吕梁学院网络与信息安全管理,提高学校信息网络安全防护能力和水平,为全校师生员工和社会公众提供安全、可靠、稳定的网络服务和信息服务,保障学校各项事业健康有序发展,根据《中华人民共和国网络安全法》(中华人民共和国主席令第五十三号)、《中华人民共和国计算机信息系统安全保护条例》等国家法律法规,按照《教育部关于加强教育行业网络与信息安全工作的指导意见》(教技〔2014〕4号)、《教育部 公安部关于全面推进教育行业信息安全等级保护工作的通知》(教技〔2015〕2号)、《高等学校数字校园建设规范(试行)》(教科信函〔2021〕14号),《中共吕梁学院委员会关于调整吕梁学院网络安全和信息化领导小组的通知》(吕院党字〔2020〕72号)等文件精神和具体要求结合我校实际,制定本办法。
第二条吕梁学院校园网是指为我校教学、科研、管理、生活服务的学术性、公益性的计算机网络,包含校园有线网络、无线网络和各种虚拟专网,其服务对象是我校的教学、科研和管理机构、全校师生员工以及其他经学校授权的单位及个人。
第三条网络与信息安全是指校园网络硬件设施、各类信息系统(含网站)及其承载的信息内容受到保护。不因偶然或恶意的原因导致信息数据被攻击、泄露、更改、破坏、未经授权访问和使用,网络服务不中断,信息系统(含网站)连续、可靠、正常地运行,保证信息内容的机密性、完整性、可用性、可控性和不可否认性。
第四条本办法所指学校各单位包括各机关部、处、室、系、直属单位以及有关科研机构。
第五条信息安全等级保护制度是国家提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。学校按照同步规划、同步建设、同步运行的原则,规划、设计、建设、运行、管理网络与信息安全设施,建立健全网络与信息安全防护体系,全面实施信息系统安全(含网站)等级保护制度。
第六条未经批准,任何单位或个人不得将校园网延伸至校外或将校外网络引入至校园内,不得利用校园网危害国家安全、泄露国家秘密,不得侵犯国家、社会、集体利益和个人的合法权益,不得从事违法犯罪活动。未经批准,任何数据业务运营商或代理商不得擅自进入吕梁学院校园内进行工程施工,开展互联网业务。
第七条本办法将根据国家相关法律法规、学校的方针政策变化做出相应调整。
第二章 组织机构
第八条学校按照教育部网络与信息安全工作“分级管理、逐级负责”的指导原则,建立吕梁学院网络与信息安全管理组织体系,明确岗位职责。学校各单位按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则切实落实网络与信息安全义务和责任。
第九条吕梁学院网络与信息安全组织机构和职责、网络与信息安全人员工作职责由《吕梁学院网络与信息安全组织机构和人员管理办法》(附件1)另行规定。
第三章网络通信基础设施环境安全
第十条网络通信基础设施指网络安全运行所需的各种设施,主要包括校园网、信息机房、服务器及网络存储等,以及相关的运维管理系统。基础设施安全可靠运行是保障学校网络与信息安全的基础。
第十一条校园网基础设施是构建校园网和校园网运行所需的相关设施,包括弱电管道、弱电间、综合布线、网络设备等,其安全管理由《吕梁学院校园网基础设施管理办法》(附件2)另行规定。
第十二条信息机房是集中存放信息处理硬件设施的空间,包括学校的网络通信机房、数据中心机房、公共机房等各种专用机房,其安全管理由《吕梁学院信息系统机房安全管理办法》(附件3)另行规定。
第十三条校园网既是用户使用互联网的基础条件,又是依托网络运行的信息系统的基础条件。校园网管理包括校园网运维管理、网络资源与服务管理、非涉密网络保密管理等。校园网安全管理由《吕梁学院校园网安全管理办法》(附件四)另行规定。
第四章信息系统和校园网站安全
第十四条信息系统指处理业务信息的软件及其相关的和配套的设备与设施(含网络)。信息系统安全是指保障信息系统的可用性、完整性、机密性,其管理由《吕梁学院信息系统安全管理办法》(附件5)另行规定。
第十五条校园网站是指网站域名对应IP地址为吕梁学院校园网IP范围的所有网站以及域名后缀为(llhc)llu.edu.cn的网站,包括吕梁学院及其所属单位以学校名义使用校外域名的网站以及使用学校域名的校外IP。学校任何单位和个人依托校园网建设网站提供网络信息发布服务,均须遵照《吕梁学院校园网站安全管理办法》(附件6)执行。
第十六条信息系统和校园网站的生命周期可分为建设、运行、终止三个阶段,必须符合《信息安全等级保护管理办法》相关信息安全技术标准规范,学校和各单位需要根据实际情况制定各个阶段相应的安全管理办法以确保信息系统和网站的安全。
第十七条任何单位和个人在建设和使用信息系统和校园网站时,应当遵守《中华人民共和国网络安全法》(中华人民共和国主席令第五十三号)等国家法律法规,并依法负有法律义务和责任。
第十八条任何单位及个人不得利用信息系统和校园网站制作、复制、查阅和传播涉密信息和《中华人民共和国互联网信息服务管理办法》(国务院令第292号)所禁止的有害信息。
第十九条任何单位及个人应尊重和保护知识产权和版权,不得进行任何形式的网上侵权活动。
第二十条规范信息技术外包服务管理。学校及各单位须与信息技术外包服务提供商签订网络与信息安全保密协议,或在服务合同中明确网络与信息安全保密责任,并且在外包服务过程中不得将自己的数据提交给境外机构,协议需在信息化与现代技术教育中心备案。
第二十一条加强网络与信息安全应急管理。学校及各单位须制定网络与信息安全应急预案,明确应急处置流程和权限,组建应急处置技术支撑队伍,配备必要的备机、备件等应急物资,并定期开展安全应急演练,提高应对和处置网络与信息安全突发事件的能力。
第二十二条为保障学校及各单位信息系统和网站的安全运行,网络安全与信息化领导工作组须研究制定网络信息安全技术防护方案,推动软件正版化和优先釆用具有自主知识产权和自有核心技术的软硬件产品,通过提供标准的计算机机房、安全的虚拟服务器、统一的站群平台和信息化平台、高速的网络接入环境、可靠的信息安全保护设备等一系列措施,提供可信、可控、可查的信息系统和网站运行环境。
第五章数据中心管理
第二十三条数据中心主要包括支撑学校信息系统的物理环境、软硬件设备设施、云计算平台、学校中心数据库包含基础数据库和多模态生物信息库(照片、指纹、虹膜等个人生物信息)、数据共享交换平台、统一身份认证平台及统一信息门户等信息化基础设施和平台。信息化与现代教育技术中心负责数据中心的建设、运行、维护和管理。
第二十四条信息化与现代教育技术中心负责数据中心物理环境、软硬件设备设施和云计算平台的建设和安全管理;根据信息系统安全等级的不同,对数据中心进行分区、分域管理,采取必要的技术措施对不同等级分区进行防护、对不同安全域之间实施访问控制。
第二十五条信息化与现代教育技术中心负责学校中心数据库、数据共享交换平台的建设和安全管理,负责基础数据库与各单位业务数据库之间完成数据交换和共享。各单位负责建设、维护本单位业务应用系统所配套的业务数据库,并对本单位业务数据库及所申请的共享数据的安全负责。
第二十六条原则上,学校各单位应依托学校数据中心开展信息系统建设。需使用校外数据中心的,须报信息化管理领导组审批并在信息化与现代教育技术中心备案。涉及学校基础数据、师生员工个人信息或敏感信息的信息系统,不得部署在校外数据中心。未经批准,严禁使用境外数据中心。
第二十七条信息化与现代教育技术中心对学校数据中心的使用实施准入管理,负责制定使用数据中心的技术规范和标准,符合技术规范标准并检测通过的系统方可上线运行。
第二十八条数据中心的使用单位应遵循数据中心相关管理制度和技术标准,按需申请、有序使用,不得利用数据中心资源从事任何与申请项目无关或危害信息技术安全的活动,其管理由《吕梁学院数据中心资源使用管理办法》(附件七)另行规定。
第六章安全监督
第二十九条任何单位及个人出现或发现网络与信息安全事故时,应按照《吕梁学院网络与信息安全事件应急预案》(附件八)所规定的流程,第一时间报告党委宣传部和信息化与现代教育技术中心,根据安全事件的级别进行相应处置;同时,根据网络与信息安全事故类型,向学校保卫处报告网络违法犯罪行为,向学校宣传部报告有害信息发布行为,向学校信息化领导组报告涉及国家与学校秘密泄露行为。
第三十条任何单位及个人应当接受并配合国家有关安全部门依法进行的监督检查。
第三十一条学校各单位、各安全岗位人员应当遵照《吕梁学院网络与信息安全组织机构和人员管理办法》(附件1)中的有关规定履行网络与信息安全监督职责。
第三十二条信息化与现代教育技术中心定期组织开展对学校及各单位主办的信息系统和网站进行恶意代码、安全漏洞等技术检测,并形成工作台帐提交学校信息化领导小组,对存在高安全风险的信息系统和网站下达限期整改通知书,责令有关单位限期完成安全整改,并在整改完成后进行安全复查。
第三十三条在紧急情况下,信息化与现代教育技术中心可以釆取特别技术措施以维护校园网的网络信息安全。
第七章 安全教育培训
第三十四条学校及各单位须制定网络与信息安全教育培训规划,组织开展形式多样、针对性强的全员安全教育,不定期举办面向全员的普及性安全培训,提高全校师生员工的网络信息安全与防范意识。
第三十五条为提升管理和技术人员的安全管理水平和安全防范能力,学校及各单位每年须定期举办网络信息安全管理人员和技术人员专业培训。
第八章 处罚办法
第三十六条对各单位所主办的信息系统和网站在学校下达限期整改通知书后,整改不力的单位,学校将给予通报批评。
第三十七条对所主办网站监管不力造成有害信息传播或秘密信息泄露的单位,学校将给予通报批评,情节严重的追究单位负责人的领导责任。
第三十八条任何单位或个人利用网络从事危害国家安全、泄露国家秘密等活动,违反国家法律的,依法交由相关国家机关,依照有关法律法规予以处罚。
第三十九条对于其它违反本管理办法的个人行为,学生由学生工作部按《吕梁学院学生违纪处分条例》的相关规定进行处理;教工由人事处按《吕梁学院教职工处分规定》的相关规定进行处理。
第四十条对于其它违反本管理办法的单位行为,由学校网络安全和信息化领导小组按相关规定进行处理。
第九章 附则
第四十一条涉及国家秘密的信息系统,执行国家保密工作 的相关规定和标准,由学校两办监督指导。
第四十二条本办法经党委常委会、校长办公会讨论通过,自公布之日起实施,由吕梁学院信息化与现代教育技术中心负责解释。
第四十三条原有规定与本办法不一致的,以本办法为准。