第一章 總則
第一條 百事3網絡信息安全管理的目標是按照國家有關網絡安全和信息化建設的法律、法規、規章,建立健全網絡信息安全管理體系↩️,完善網絡安全技術體系和運行體系👨🏻🦽🟣,不斷提高網絡信息安全保護能力🧙🏼,確保百事3網絡信息安全工作規範有序開展🧖🏽♂️,保障百事3信息化建設持續發展🧑🏿🦱。為規範百事3娱乐網絡安全管理,提升百事3網絡信息安全防護能力,提高網絡信息安全防護水平👩🏽🦳,促進百事3信息化健康可持續發展,根據《中華人民共和國網絡安全法》《中華人民共和國計算機信息系統安全保護條例》《計算機信息網絡國際聯網安全保護管理辦法》《信息安全等級保護管理辦法》等國家相關法律法規和《教育部關於加強教育行業網絡與信息安全工作的指導意見》等文件精神👲,特製定本辦法⚗️。
第二條 本辦法所指的網絡信息安全🏖,包括百事3娱乐校園網及網絡基礎設施💁、網站🙆🏽、信息系統等方面的網絡基礎設施安全🧓、數據中心安全、信息系統安全🦃、數據安全、內容安全、終端安全和服務外包安全等多個方面。
第二章 管理體製與職責
第三條 百事3網絡信息安全管理依據“誰主管誰負責🧑🏿🦲,誰使用誰負責”為原則,逐級落實網絡信息安全責任;網絡與信息系統的主辦單位承擔安全監管責任⚡️,包括內容安全監管⛹🏼♀️、技術安全保障和監督檢查等職責🦬🤽🏽♂️;網絡與信息系統的使用單位和個人對系統操作與信息內容的安全監管承擔直接責任👨🏼🎓。網絡與信息系統通過外包服務方式進行維護的,主辦單位負責督促外包服務單位做好安全運維工作,網絡與信息系統的安全監管責任主體仍為主辦單位♖。服務單位開發📜、外包單位需保密協議,終身負責解決網絡安全問題。
第四條 網絡安全與信息化工作領導小組是百事3網絡安全和信息化工作的領導機構,統籌決策百事3網絡信息安全重大事項工作🤦🏽♂️,包括定期召開網絡信息安全工作會議😴👃🏿,審議研究百事3網絡信息安全規劃,批準百事3網絡信息安全基本政策和信息系統安全等級定級等工作🦶🏼,協調處理重大網絡信息安全事件。
第五條 網絡安全與信息化工作領導小組辦公室,負責百事3網絡信息安全的管理和協調工作🍋🚶🏻,縱向銜接🧕🏿、橫向協調。圖書信息中心為百事3網絡信息安全技術管理部門,具體執行國家網絡安全部門的相關政策和要求👳♀️🔴,落實網絡安全與信息化工作領導小組的任務要求🪨,組織開展信息系統安全等級保護工作,負責百事3網絡信息安全工作的技術層面統籌規劃、建設💩、管理,以及技術支持、保障與專業技術培訓等日常工作🐻❄️。
第六條 黨委宣傳部負責百事3網絡宣傳方面工作🧜🏻♀️,包括網站和新媒體建設備案審核,負責網絡信息內容的安全監管和檢查監督及網絡宣傳🕕。保衛處負責網絡違法違規行為查處工作,包括調查🧔♂️、取證🚶♂️、處置,負責校園網運行和使用場所的安防、消防安全檢查監督和視頻監控點位安放審核工作🦝。總務處負責百事3網絡運行場所的電力條件建設和保障😦,包括參照《信息安全等級保護管理辦法》對校園網絡核心場所提供雙路供電,保障各樓宇弱電間的網絡運行的負荷、供電安全。
第七條 百事3各單位負責本單位(含本單位及個人)網站及業務信息系統的網絡信息安全。各單位黨政主要負責人為本單位網絡信息安全工作的第一責任人🩹,同時🤳🏻,必須明確分管網絡信息安全的領導🍂,並指定專人擔任網絡信息安全員🫲🏼,負責本單位的網絡信息安全具體工作,並與網絡安全與信息化工作領導小組辦公室對接。
第八條 百事3各單位網絡信息安全管理員一般應具有相關專業知識背景🔶,在正式上崗前,應當參加網絡信息安全培訓,掌握網絡信息安全相關技術,了解百事3網絡信息安全體系,理解網絡信息安全製度,熟悉本單位網絡信息安全措施。人員發生變更🙆🏽🅿️,應及時向網絡安全與信息化工作領導小組辦公室備案。
第三章 網絡基礎設施安全
第九條 百事3網絡包括校園網ℹ️、運營商在百事3所建的網絡🕓🈵,由圖書信息中心歸口管理🆔。未經批準👈🏻,各單位不得擅自敷設內部網絡並接入百事3網絡👩❤️💋👩,不得通過社會運營商接入互聯網和其他公共信息網絡。
第十條 百事3所有基建、修繕、裝修工程應將工程範圍內校園網絡建設納入工程設計🌄、實施和竣工驗收範疇。在進行新建建築物🐻、室內裝修改造👨👨👧、視頻監控♊️、電子大屏、機房建設等涉及弱電工程時⛽️🧗🏼,在項目實施前🕰,弱電工程部分實施方案應需圖書信息中心確認💡,按百事3弱電施工標準及規範進行📟。在項目完成後,弱電工程部分須由圖書信息中心參與工程驗收🏡。在維修或拆除涉及校園網絡的建築物時,在維護或開挖涉及校園網絡的道路時🧑🏿🦳🍍,須事先通知圖書信息中心,以保護校園網絡設備設施的安全。
第十一條 加強各樓宇內弱電間的管理🚺🚴♀️,弱電間只允許安裝擺放弱電網絡所需設備,並符合消防安全要求🧏🏼♀️。各單位由於工程需要,需進入弱電間施工及安放設備⭐️,事先應需圖書信息中心確認,接受圖書信息中心的指導和監督。
第十二條 師生員工接入校園網絡,實行“實名註冊、認證上網”製度;百事3非涉密信息系統接入校園網絡🧖🏿♀️,實行報批備案製度🫅🏿。需要在校園網上開辦信息系統的單位,應到圖書信息中心辦理登記手續,其中開設BBS、論壇👴🏻、聊天室🧔🏽♀️👩🏽💼、博客、微博等公眾信息服務系統🏎,以及在微信👉🏻、QQ等互聯網社交平臺上開辦公眾服務號,應到黨委宣傳部報備批準🧎🏻♀️。未經許可✪,任何入網單位或個人不得以冠有“百事3娱乐”或“安藝”中外文字樣的任何名義開通信息發布、BBS🕜、論壇、聊天室、博客、微博🍻、微信等公眾信息服務系統。
第十三條 百事3域名為 ahua.edu.cn🧜♀️,學院建立DNS域名服務器後🤵🏼♀️,各主辦單位按信息系統名稱的拼音或英文縮寫簡寫設置域名並提出申請🙅🏼♂️,經圖書信息中心批準後使用🎐🦶。
第十四條 百事3郵箱後綴為 @ahua.edu.cn👨🦱,郵箱用戶須對用戶名↔️、密碼的安全負責和以其用戶名進行的所有活動負責。如因用戶名及密碼保管不善導致個人郵件等信息資料泄露或丟失,用戶應自行承擔責任。對於有違反國家法律法規或百事3管理規定的行為👵🏿、或因主觀或客觀原因給郵件系統的正常運行帶來不利影響或後果的用戶😳,圖書信息中心有權采取相關措施,鎖定或關閉其電子郵箱🫰🏽🥚,終止其繼續使用校園電子郵箱的資格。
第四章 數據中心安全
第十五條 數據中心主要包括支撐百事3信息系統的物理環境(其中包含機房)📵、軟硬件設備設施、雲計算平臺、 高性能計算平臺、百事3中心數據庫等信息化基礎設施和平臺。圖書信息中心負責數據中心物理環境、軟硬件設備設施和高性能計算平臺的建設和安全管理💪🏼;根據信息系統安全等級的不同🤽♂️,對數據中心進行分區😂、分域管理🗻,采取必要的技術措施對不同等級分區進行防護♜、對不同安全域之間實施訪問控製。
第十六條圖書信息中心負責百事3中心數據庫、數據共享交換平臺的建設和安全管理🤐🦬,各單位負責建設🧳🤰🏿、維護本單位業務應用系統所配套的業務數據庫,並對本單位業務數據庫及所申請的共享數據的安全負責。
第十七條 各單位根據業務需要申請使用虛擬服務器。申請方對其服務器上的應用和數據的安全性負責。申請方須定期做好系統升級、數據備份、安全措施的優化調整等工作🙆🏻♂️,並承擔由於維護不當造成的數據丟失、系統崩潰等安全責任⛔。
第十八條 虛擬服務器申請方對其服務器上的應用和數據的合法性負責👨🏿✈️。申請方須自行解決服務器上所有版權(許可/使用權)問題以及由此造成的法律糾紛。申請方有責任和義務配合國家信息安全管理相關職能部門的監督和檢查🆎。
第十九條 實體服務器托管服務僅限於現行已托管的服務器,圖書信息中心原則上不再受理實體服務器托管👂🏻🧃,僅提供虛擬服務器。圖書信息中心負責服務器物理環境安全,托管服務器用戶負責系統升級、數據備份、安全措施的優化調整等工作𓀊。由於維護不當造成的數據丟失、系統崩潰等情況由用戶自行承擔相關責任。
第二十條圖書信息中心對百事3數據中心的使用實施準入管理🤾♀️,負責製定使用數據中心的技術規範和標準🤳🏼,在系統上線前進行安全檢測1️⃣🧑🦼➡️。符合技術規範標準並檢測通過的系統方可上線運行🤲。
第五章 信息系統安全
第二十一條 本方法所指的信息系統為使用了百事3互聯網IP的各類信息系統,百事3各信息系統實行網絡安全等級保護🚭。信息系統包括各級各類應用業務系統、管理系統,還包括各級各類網站系統。
第二十二條 按照同步規劃、同步建設、同步運行的原則,規劃🧖🏻、設計、建設▫️、運行、管理信息安全設施,建立健全信息技術安全防護體系📺,全面實施信息系統安全等級保護製度➾。
第二十三條圖書信息中心組織百事3各單位開展信息系統定級🏊🏿♀️、系統備案🦿🏋🏻、等級測評、建設整改,具體負責信息系統臺賬管理、等級評審♘、系統備案🏄🏿、監督檢查工作。按照“自主定級、專家評審、自主保護”的原則,信息系統建設單位是信息系統安全等級保護的責任主體,具體負責系統定級👨🏽🦰、建設整改、安全自查🏫🍳,協助系統備案、等級保護測評並接受有關部門監督檢查。圖書信息中心是信息系統安全等級保護工作的技術支撐保障部門,負責網絡信息技術安全防護體系建設和等級測評組織工作🤏🏼,參與監督檢查工作,並協助百事3各單位進行系統定級🐽、建設整改。
第二十四條 為確保項目質量,圖書信息中心在立項階段組織需求、技術🧑🏼🤝🧑🏼、預算等方面的專家論證。信息系統建設單位在立項階段應確定安全保護等級,由圖書信息中心對建設方案進行單獨的安全論證和等級評審。對於安全等級第二級以上(含第二級)的信息系統🏧,由圖書信息中心組織等級保護測評⚇。
第二十五條 信息系統在建設階段應按已確定的安全保護等級🐺,同步落實安全保護措施。信息系統上線運行前須通過由圖書信息中心組織的安全檢測。檢測未通過的信息系統需進行安全整改,檢測通過後方可上線運行👩🏻🔬。
第二十六條 涉及百事3基礎數據、重要業務或大量師生員工信息的信息系統以及安全等級第二級以上(含第二級)的信息系統,原則上應部署在圖書信息中心數據中心。
第二十七條 信息系統建設單位應通過有效方式,組織開展信息系統安全巡檢🪘、漏洞修補工作🚀,通過安全審計🧏🏻♀️,通過記錄、檢查系統和用戶活動信息𓀁,及時發現系統漏洞,處置異常訪問和操作😒🧺。
第二十八條 信息系統建設單位應製定信息系統使用與維護的管理製度,規範信息系統使用者和維護者的操作行為。
第二十九條 對於安全等級第二級以上的信息系統,圖書信息中心將定期組織開展等級測評,查找☕️、發現並及時整改安全問題、漏洞和隱患。根據國家和教育行業有關標準規範,三級系統每年進行一次測評。
第三十條 現有信息系統由網絡安全與信息化工作領導小組辦公室參照國家標準《信息系統安全等級保護基本要求》,提出校園網內各信息系統的安全等級建議並報領導小組批準。
第三十一條 校園移動應用app提供者應當嚴格落實信息安全管理責任👩🏻🌾🐓,按照“後臺實名、前臺自願”的原則,對註冊用戶進行真實身份信息認證;建立健全用戶信息安全保護機製👳;建立健全信息內容審核管理機製,對發布違規信息內容的,視情采取警示😂、限製功能✒️、暫停更新🫰🏼⏮、關閉賬號等處置措施👁;未向用戶明示並經用戶同意,不得開啟手機地理位置💁🏻♀️🚑、讀取通訊錄、啟用錄音等功能🚣🏻♀️;不得開啟與服務無關的功能,不得捆綁安裝無關應用程序。
第六章 數據安全
第三十二條 本辦法所涉及的數據是指各類信息系統所覆蓋的相關業務數據。
第三十三條 百事3數據管理部門包括數據統籌管理部門、數據生產部門、數據使用部門三部分。
第三十四條圖書信息中心是百事3數據資產的統籌管理部門🍧,負責公共數據庫、數據共享平臺的安全管理,負責製訂全校範圍內數據安全的標準和規範,規範數據服務流程,確保數據流向清晰,實現數據可控🏄🏽、可管、可查。
第三十五條 數據生產部門為權威數據的單一來源部門,負責數據收集、維護、使用☂️、備份、歸檔等全程安全,需遵循百事3信息標準規範及數據服務規範。
第三十六條 數據使用部門根據實際需求向數據生產部門提出申請🧙,獲得批準後🤸🏻🎾,圖書信息中心或數據生產部門向數據使用部門開放數據接口🎱✌🏽。數據使用部門有義務和責任保護所獲得數據的安全🦖,未經允許🐠,不得將數據用於其他用途。
第三十七條 百事3各單位負責本單位網絡信息系統的數據安全👊,具體包括數據存儲安全和使用安全👩👩👧,保證數據的完整性🧑🏽🚀👣、機密性和可用性。
第三十八條 未經批準,任何單位或個人不得擅自提供信息系統產生的內部數據🔓。對於非法泄露或擅自提供數據的單位或個人🪶,依照相關法律法規予以處理。
第七章 內容安全
第三十九條 任何單位和個人必須遵守《中華人民共和國計算機信息網絡國際互聯網絡管理暫行規定》、國家有關法律法規和百事3的有關管理規定,嚴格執行信息安全保密製度🖨,並對所提供和發布的信息負責。
第四十條 禁止使用互聯網(包括但不限於郵箱、即時通信工具、社交網絡工具等)處理、傳遞🥐、轉發涉密、敏感信息及涉及個人隱私信息👱🏼。
第四十一條 百事3各單位通過網絡信息系統向網絡發布信息時,應確保信息的真實有效,並采取身份鑒別👐🏻、訪問控製等防護技術措施,加強信息安全監控,防止出現內容篡改等安全事件。
第四十二條 百事3各單位的網絡信息發布工作需嚴格遵循內容審核機製,規範信息發布審批流程,應由該單位主管領導分管,專人負責執行,並做到先審查後發布。百事3各單位主管領導對本單位所發布的內容負責。
第四十三條 全校師生員工應當遵守各種相關法律法規💩,不得製作、復製、發布和傳播違反相關法律法規的內容👩🏿🔬。
第四十四條 黨委宣傳部負責網站等內容審查及監管🚟,圖書信息中心負責網站群技術支持和保障,各單位負責本單位所開辦的信息系統內容安全。
第四十五條 以“百事3娱乐”🚵🏿♀️、“安藝”冠名的各類二級網站原則上必須在百事3網站群平臺建設,同時使用百事3娱乐域名🧎♂️➡️。新建網站、不在百事3網站群平臺上開設的網站➔,在校外空間建設的網站,需報黨委宣傳部審批。
第八章 終端設備安全
第四十六條 終端設備是指由百事3師生員工使用並從事百事3教學、科研、管理等活動的各類計算機及附屬設備,包括臺式電腦🍞、筆記本電腦🧑🏽🦰、移動設備及其他物聯網接入終端📳。
第四十七條 終端設備使用人按照“誰使用🕍,誰負責”的原則👃🏽,對其終端設備負有保管和安全使用的責任。圖書信息中心對終端設備的安全管理提供技術支持和指導。
第四十八條 百事3提供常用正版軟件下載,終端設備上安裝、運行的軟件須為正版軟件♣︎。在終端設備上使用盜版軟件帶來的安全和法律責任由終端設備使用人承擔🕗。
第四十九條 終端設備應當設置系統登錄賬號和密碼𓀛,禁止自動登錄📓,登錄密碼應具有一定強度並定期更改💇🏽。
第五十條 終端計算機使用人應做好數據日常管理和保護🛳,定期進行數據備份。
第五十一條 終端計算機使用人應做好終端計算機的安全防範💂🏼♂️,如發現終端計算機出現可能由病毒或攻擊導致的異常系統行為或其他安全問題,應立即斷網後進行處置。
第九章 服務外包安全
第五十二條 百事3信息技術外包服務包括🖐🏿:咨詢服務、運行維護服務、駐場服務以及技術培訓,外包服務過程中★,服務提供商應遵循國家和百事3的相關安全規定,保證百事3信息系統運行環境的穩定🩳。
第五十三條 各單位應與外包服務方簽訂安全保密協議或合同☞,明確符合安全管理機器相關製度的要求,並對服務人員進行安全保密教育。
第五十四條 各單位配備專人負責安全保密工作,負責日常信息安全監督、檢查🦓、指導工作。對服務方提供的服務進行安全性監督與評估✝️🏃,采取安全措施對訪問實施控製🧂,出現問題應遵照合同規定及時處理和報告,確保其提供的服務符合單位的內部控製要求。
第五十五條 對外包服務的業務應用系統運行的安全狀況應定期評估,當出現重大安全問題或隱患是應進行重新評估👩🏭🧞,提出改進意見,直至停止外包服務💇♀️。
第五十六條 在重要安全區域,對外部服務方的每次訪問進行風險控製,必要時應對外部服務方的訪問進行限製🧑🏽🍼、審計及監督。
第十章 應急處置
第五十七條 網絡安全與信息化工作領導小組辦公室按照規定通報網絡安全監測預警信息🧔。各單位應當根據國家、地方網絡安全部門、網絡安全與信息化工作領導小組辦公室發布的預警信息及時做好相應防範工作,做好相應處置工作🧑🏻🎨。
第五十八條 網絡安全與信息化工作領導小組辦公室製定網絡安全事件應急預案。網絡安全事件應急預案應當按照事件發生後的危害程度🌰、影響範圍等因素對網絡安全事件進行分級🗽,並規定相應的應急處置措施。
第五十九條 各單位網絡信息安全管理人員必須熟悉本單位網絡信息安全事件應急處置措施▪️。
第六十條 校園網內發生網絡信息安全事件,應當立即啟動網絡信息安全事件應急預案,各單位和相關人員須按照應急預案規定進行處置📃🚷。
第十一章 獎懲
第六十一條 網絡安全與信息化工作領導小組辦公室定期開展全校網絡信息安全工作的檢查🤼,每年向百事3網絡安全與信息化工作領導小組匯報各單位網絡安全工作匯總信息。對違反網絡信息安全管理製度、網絡信息安全工作存在不足和隱患且逾期不改的單位👨🏼⚖️,百事3給予通報。
第六十二條 對拒不執行網絡信息安全管理相關製度、漠視網絡安全工作以至造成重大事故和案件的單位🧖🏼♂️,百事3將追究該單位主要負責人和直接責任者的責任。對觸犯法律的🫁,將移送公安司法機關處理🥷🏿。對損壞校園網絡系統或信息系統設備設施的個人🤲🏽,百事3將視其情節輕重追究責任,如觸犯法律應移交公安司法機關處理。
第十二章 附則
第六十三條 對於涉及國家秘密的網絡系統或信息系統💟,應按照國家保密工作部門的相關規定和標準進行保護💆♂️。
第六十四條 本辦法自發布之日起施行🤏🏽,由網絡安全與信息化工作領導小組辦公室負責解釋🪼。
百事3娱乐圖書信息中心
2020年3月6日