合肥职业技术学院
信息与网络安全保密管理办法
第一条 为了加强学校校园网络信息安全管理,维护信息系统安全,保障学校校园信息化健康发展,根据国家有关规定,结合我校实际,制定本规定。
第二条 本规定适用于学校所有部门、二级学院和个人及所有基于校园网络的信息系统与网站。
第三条 按照“谁主管谁负责、谁运行谁负责、谁审批谁负责”的原则,校内各单位党政一把手是本单位网络信息安全工作主要责任人,全面负责本单位所属网站、服务器和应用系统的信息安全工作。
第四条 各部门、二级学院应当设置信息安全管理岗位,配备信息安全管理人员。信息安全管理人员具体负责本单位公用的网络账号、固定IP地址、邮箱、VPN账号、网络基础设施、网站及应用系统的信息安全管理及日常检查等工作。信息安全管理人员信息应当在现代教育技术中心登记备案,当人员发生变化时,应当及时完成工作交接并更新备案信息。
第五条 各部门、二级学院要根据本单位实际,建立健全网络信息安全管理制度,做到领导负责、制度明确、责任到人。各部门、二级学院要建设应急技术支撑队伍,保障网站及业务系统等重要信息化设施的稳定运行。要建立网络信息安全工作应急预案,明确应急处置流程,保证应急预案的可操作性。
第六条 各部门、二级学院使用的电子邮件、上网账号、固定IP地址、网站、服务器等网络资源应当在现代教育技术中心申请并备案,网站或服务器资源原则上应当部署在学校核心数据机房,接受统一管理。部署在学校核心数据机房以外的网站、业务系统和服务器应当采取必要的防护手段确保安全运行,并接受学校的检查和监督。
第七条 校园网账号、邮箱账号等校园网资源应当专人专用,不得转让或借用,严格禁止不明身份人员擅自使用校园网资源。盗用、破坏网络资源的单位和个人,将依照国家和学校的有关规定严肃处理。
第八条 校园网内用户应当使用真实IP地址,不允许利用代理技术访问网络。若发生因使用代理技术造成信息安全事故无法追查的情况,学校将追究使用代理技术人员的责任。
第九条 按照国家相关规定,校园内所有单位与师生必须统一接入校园网。各单位要定期排查办公、教学、科研场所及学生公寓的网络接入情况,清理非校园网络的接入。如确因工作需要或特殊原因需要其它接入方式,应当书面报现代教育技术中心。
第十条 各二级学院管理的公共计算机房要严格管理联网计算机,做好使用记录,落实机房上机日志留存制度,留存时效不得少于6个月。杜绝未经身份认证的人擅自使用校园网络。
第十一条 校内各部门、二级学院要加强网站、交互栏目等信息安全管理。严格规范信息采集、审核和发布流程,配备专人负责网站内容的审核、更新与监测,杜绝有害信息,确保网站信息的真实性和时效性。网站交互栏目要严格实行“实名注册”、“校内发布”和“先审后发”的规定,必须指定专人进行管理和内容审核,相关信息须在现代教育技术中心备案。以上管理人员或交互栏目发生变化时应及时在现代教育技术中心更新信息。
第十二条 按照国家有关规定,网站及应用系统的操作日志和服务器的访问日志(包括访问时间、源IP地址、账号信息等)应当保存6个月以上。
第十三条 各部门、二级学院要积极开展重要信息系统等级保护工作,现代教育技术中心负责全校等级保护工作的统筹安排,并提供有关协调、咨询和技术支持工作。已完成等级保护定级的重要信息系统,要由专人落实等级保护工作标准中规定的信息安全工作要求,积极开展后续的测评和整改;未定级的信息系统应根据其业务和数据的重要性及社会影响程度,主动开展等级保护定级工作;新建信息系统应当在系统需求分析、建设和验收等阶段,须通过信息系统安全等级保护测评。
第十四条 各部门、二级学院及网络用户应当强化安全防范意识,主动为网络终端或服务器安装必要的防攻击、防病毒、防篡改、防窃密软件并及时更新,提高网站、信息系统及网络终端的安全性。
第十五条 信息应用系统及网站的管理部门应当及时更新和升级系统,有效减少系统漏洞。应加强信息系统及网站账户和密码的管理,采取定期检查及更换密码的方式,杜绝弱密码及关键信息泄露现象。
第十六条 校内各部门、二级学院网站或信息系统因业务需要,委托校外单位进行建设和维护工作时,应当与其签订包括系统安全及信息数据安全条款的委托协议,明确校外单位的安全责任和义务,保障学校的合法权益。校外单位维护人员进行远程维护时,通过由委托单位在现代教育技术中心申请的VPN专用账号进行操作。
第十七条 涉及国家保密信息的单位和个人要严格执行计算机信息安全保密制度。涉及国家保密信息的单位要严格管理涉密人员、设备、介质、网络和数据,杜绝网络泄密事件发生。
第十八条 对于信息安全管理工作不力、对学校造成不良影响或损失的单位,学校将追究相关责任人的责任。
第十九条 对于违反本规定并引发安全事故的网站、应用系统等,根据事故的严重程度、损失大小,学校将采取暂时关闭其网站、封存账号、直至通报批评等必要措施,在整改完成后重新开放。
第二十条 各单位年度信息安全工作情况与其年度考核挂钩,对于出现网络信息安全事故的单位,在单位评估中实行“一票否决”。
第二十一条 本办法由现代教育技术中心负责解释,自发布之日起施行。