通师高专党〔2020〕21 号
关于印发《南通师范高等专科学校网络与信息安全管理办法》的通知
各学院、各单位:
为加强学校网络与信息安全管理,提高学校网络与信息安 全防护能力和水平,保障学校信息化建设可持续发展,根据国 家《信息安全等级保护管理办法》、《网络安全法》等有关法律法规 和教育部、江苏省教育厅有关文件精神要求,学校发布了《南通 师范高等专科学校网络与信息安全管理相关规章制度》(通师高专 校发〔2020〕17号),现制定《南通师范高等专科学校网络与信息 安全管理办法》,予以发布,请遵照执行。
中共南通师范高等专科学校委员会
2020年6月10日
附件:
南通师范高等专科学校网络与信息安全管理办法
为加强学校网络与信息安全管理,提高学校网络与信息安全防 护能力和水平,保障学校信息化建设可持续发展,维护学校信息 化相关各方的合法权益,根据《信息安全等级保护管理办法》(公 通字[2007]43号)、《中华人民共和国网络安全法》(主席令第53号 )等有关法律法规和教育部、江苏省教育厅有关文件精神要求,制 定本办法。
第一章 总 则
第一条 学校网络与信息安全是指学校网络信息基础设施、各 类 信息系统(含网站)及其承载的信息内容受到保护,不因偶 然的或者恶意的原因而受到泄露、篡改、破坏、未经授权访问 和使用,保证信息系统和信息内容的机密性、完整性、可用性 、可控性和 不可否认性。
第二条 网络与信息安全管理的总体目标是建立健全学校网络 与信息安全保障体系,提高网络与信息安全防护能力和水平, 确保学校网络与信息安全工作规范、有序开展,保障学校网络 信息化可持续发展。
第三条 网络与信息安全工作的总体方针是以信息安全等级 保护制度、网络安全法为指导,预防为主、综合防范。
第四条 网络与信息安全工作的总体原则:
1.主要领导负责原则。学校网络与信息安全工作由学校 主要领导总负责,从学校全局出发制定网络信息安全政策、调 动并优化配置必要的资源,协调网络与信息安全管理工作与各 部门工作的关系,确保学校网络与信息安全管理制度得到有效 落实。各学院、各单位主要领导对本学院、本单位网络信息安 全工作负总责,代表本学院、本单位与学校网络安全与信息化 领导小组办公室签署《南通师范高等专科学校网络与信息安全责 任承诺书》(见附件一)。
2.保护重点、适度安全原则。根据信息系统安全等级保 护制度要求,结合信息系统具体情况,对信息系统进行定级, 优化信息安全资源配置,做到重要系统重点保护和适度安全。
3.管理与技术并重原则。根据相关网络信息安全制度和技 术 规范对信息系统进行分级保护,将科学管理与安全技术结合起 来进行综合防范,同时接受上级安全部门的监管和指导,全面 提高信息系统安全防护能力。
4.分权和授权原则。根据特定职能或责任领域的管理工 作需要对相关人员及实体(如用户、管理员、进程、应用或系统 )进行授权,仅授予该人员及实体完成其任务所必须的权限,限 制其享有任何多余权限,避免权限过分集中所带来的隐患。
第二章 网络与信息安全管理组织体系
第五条 学校网络安全与信息化领导小组负责制定学校网络 与信息安全政策,研究处置重大网络信息安全事件,定期召开网 络信息安全工作例会等。
第六条 学校网络安全与信息化领导小组下设网络与信息安 全工作处室作为执行机构,负责全校日常网络安全工作的组织实 施。
第七条 网络与信息安全管理组织体系及岗位职责参照南通师 范高等专科学校网络与信息安全管理组织体系与岗位职责相关文 件规定。
第八条 网络与信息安全人员管理参照《南通师范高等专科学 校网络与信息安全人员管理办法》相关规定。
第三章 网络信息基础设施安全
第九条 学校网络信息基础设施指信息系统安全运行所需的各 种设施,主要包括网络信息机房、校园网、服务器及网络存储等 ,以及相关的运维管理系统。网络信息基础设施安全可靠运行 是保障学校网络信息安全的基础。
第十条 网络机房是集中存放信息处理硬件设施的空间,包括 学校的网络与数据中心、公共机房、各种专用机房等,其安 全 管理参照《 南通师范高等专科学校网络 机房安全管理办法》 相关 规定。
第十一条 校园网基础设施是指构建校园网和校园网运行 所需的相关设施,包括弱电管道、弱电间、综合布线、无线频 道、网络设备等,其安全管理参照《南通师范高等专科学校校园 网基础设施管理办法》相关规定。
第十二条 校园网既是用户使用互联网的基础条件,又是依托 网络运行的信息系统的基础条件。校园网管理包括校园网运维 管理、网络资源与服务管理、非涉密网络保密管理等。校园网 安全管理应符合《中华人民共和国网络安全法》有关网络运行安 全的规定并参照《南通师范高等专科学校校园网安全管理办法》相 关规定。
第四章 信息发布与传播安全
第十三条 学校任何单位和个人依托校园网建设网站提供 网 络信息发布服务,均须遵照《南通师范高等专科学校网站建设 与管理办法》执行,不得出现涉密信息和《互联网信息服务管理办 法》(国务院令第292号)所禁止的有害信息。
第十四条 南通师范高等专科学校党委组宣部负责校园网 络信息发布的管理,接受处理网络有害信息举报。各单位须按 照“谁主管、谁负责,谁主办、谁负责”原则加强本单位网络信 息的发布管理,发现有害信息须及时上报和处理。
第十五条 学校校园网仅限发布公益性、共享性的网络信息 ,如依托校园网进行经营性互联网信息服务,须按《互联网信息 服务管理办法》(国务院令第292号)到电信主管部门办理登记注册 续。
第十六条 对于托管在校内非我校网站,或托管在校外,使用 我校校名或域名或为学校提供服务的“双非”网站和系统,应 由网站系统建设单位主要负责人与学校信息化工作办公室签署 《南通师范高等专科学校校外网站网络安全承诺书》(见附件二) ,在信息化工作办公室申报备案,加强安全管理。 第五章 信息系统安全
第十七条 信息系统指处理业务信息的软件及其相关的和 配套的设备与设施。信息系统安全是指保障信息系统的可用性 、完整性、机密性。信息系统的生命周期可分为系统建设、系统 运行、系统终止三个阶段,学校根据《信息安全等级保护管理办 法》及相关信息安全技术标准规范制定各个阶段相应的安全管理 办法以确保信息系统安全。
第十八条 学校信息系统建设安全管理参照《南通师范高等专 科学校信息系统建设管理办法》相关规定。
第十九条 学校信息系统运行管理包括系统运行监控管理、系 统主机管理、软件运行管理、密码管理、信息存储与利用、运 维服务外包、系统安全检查与审计等,信息系统运行安全管理 参照南通师范高等专科学校信息系统运行安全管理办法相关规定 。
第二十条 学校信息系统终止安全管理参照《南通师范高等专 科学校信息系统终止管理办法》相关规定。
第六章 信息安全事件管理
第二十一条 信息安全事件是指由于自然或人为的原因对校 园网、各类信息系统或信息内容造成危害,对学校或社会造成 负面影响的事件。信息安全事件包括有害程序事件、网络攻击事 件、信息破坏事件、信息内容安全事件、设施故障事件、灾害 性事件以及其他安全事件。信息安全事件管理包括应急预案管 理、安全事件报告与协查、安全事件处置等。
第二十二条 学校信息化工作办公室组织制定学校网络信息 安全应急预案并指导演练。
第二十三条 校园信息安全事件的报告和处置参照《南通师 范高等专科学校网络信息安全事件报告和处置管理办法》相关规 定。
第七章 信息化文档管理
第二十四条 本办法中信息化文档专指校园网及各类信息系 统建设、运行、使用、终止过程中产生的各种文档与历史数据 ,具体内容包括各类建设方案、采购与维护服务合同、设备资 料、配置文件、运行维护日志、需求说明书、验收材料、使用 手册、安全检查数据、系统定级与测评报告、历史数据、总结 报告、管理制度、管理部门文件等,保存形式分纸质文档和电子 文档。
第二十五条 信息化文档与信息系统密切相关,信息化文档 管理事关信息系统安全。信息化工作办公室负责根据《南通师范 高等专科学校校园信息化文档管理办法》规定,对各类信息化文档 进行扎口管理,其它业务单位自行管理的重要信息系统产生的 信息化文档,除根据管理办法自行管理外,须另交信息化工作 办公室一份统一存档。信息化工作办公室定期对过期且失去保 存价值的文档进行清理。
第二十六条 各类信息化文档中对学校和社会有保存价值的 ,由信息化工作办公室按照学校档案管理办法和电子文件归档与 管理相关规定进行存档管理。
第八章 考核与奖惩
第二十七条 学校网络安全与信息化领导小组根据学校网络 安全情况并结合上级部门安排不定期指导开展学校网络安全检 查工作,并对网络信息安全工作成绩突出的单位和个人给予表 彰奖励。
第二十八条 网络与信息安全工作是学校及各单位的重要工 作之一,网络与信息安全工作情况作为学校对各单位年度工作 考核、先进集体评选的一项重要依据,出现重大安全事件的单 位不得评为先进集体。
第二十九条 对于玩忽职守或有意危害学校网络与信息安全而造 成信息安全事件的,学校将根据损失情况和不良影响的程度给 予当事者以通报批评直至处分,构成犯罪的移交司法部门处理。
第九章 附 则
第三十条 本办法由学校网络安全与信息化领导小组组织 制定,学校信息化工作办公室负责解释。
第三十一条 本办法自印发之日起执行。