第一章 总 则
第一条 为保障学校网络安全与信息化建设工作有序进行,确保校园网络环境安全稳定,根据《中华人民共和国网络安全法》等相关法律法规要求,结合学校工作实际,特制定本办法。
第二条 本办法所称的网络安全管理是指采取技术、管理等措施,保护学校网络与信息化建设基础设施、信息系统及数据的安全,使其不受到破坏、更改、泄露等。
第三条 网络安全工作是学校信息化建设的重要工作。校内各相关部门、单位应通力合作,在人员、资金、技术、设备等方面提供充足的支持与保障。
第二章 组织机构及职责分工
第四条 学校网络技术安全和信息化工作领导小组是学校网络安全工作的领导机构,负责网络安全工作的战略决策、监督检查以及重大网络安全事件的处理。
第五条 信息技术中心是学校网络安全工作的日常管理和技术支撑部门,负责网络安全公共防护体系的建设、运行、维护及监督与管理。
第六条 学校相关部门、单位应按照“谁主管谁负责、谁主办谁负责、谁运行谁负责、谁使用谁负责”的原则,做好主机、信息系统及数据的安全管理工作,建立本部门、单位的应急处置预案。
第七条 各部门、单位主要负责人是本部门、单位网络安全管理的第一责任人。各部门、单位应建立“主要负责人亲自抓、分管负责人具体抓”的领导责任制,将网络安全工作纳入全年重点工作予以研究部署,切实落实网络安全保障工作,对发现和反馈的问题及时做好整改。
第八条 校内师生应遵守学校网络安全管理的相关规定,不得从事危害国家安全、泄露国家秘密、侵犯知识产权、传播不良信息等违法犯罪活动,主动学习网络安全相关知识,培养科学健康用网习惯,配合做好宣传工作,积极参与网络安全的建设和管理。
第三章 校园网络安全管理
第九条 温州医科大学校园网络(以下简称“校园网”)是接入学校内网的有线和无线网络。校园网络基础设施是指承载校园网正常运行的光纤通信线路、弱电设施设备、网络设备等基础设施设备。
第十条 校园网及相关基础设施由信息技术中心统一规划、建设、管理,并提供统一网络出口。部门、单位或个人不得擅自建设、拆卸、更改、损毁、挪用校园网及相关基础设施,不得改变网络结构,私接外网出口。
第十一条 校园网主要服务于学校教学、科研及校务管理等,部门、单位或个人不得将校园网用于其他用途。严禁利用校园网开展各类未经许可的活动。
第十二条 校园网入网实行实名认证,校内用户必须通过学校统一身份认证接入校园网。未经登记不得以任何方式私接校园网,严禁盗用其他用户的上网账号。
第十三条 校园网用户应文明上网,规范网络行为,并做好个人信息安全防范。严禁利用校园网入侵、破坏、窃取、修改存储设备和信息系统中的数据资源,不得利用校园网以任何形式攻击校内外网络。
第十四条 信息技术中心对内网IP、公网IP和域名的使用进行统一规划、分配和管理,并定期审查其使用情况,有权禁用涉嫌违法违规的IP和域名。
第十五条 信息技术中心有权根据运行情况对校园网进行适时调整与优化,对流量过高及挤占带宽资源严重的流量、应用进行限时、限速或封停操作。
第十六条 信息技术中心负责对校园网的安全进行监测管理,对散布病毒、木马等危害校园网安全的用户,信息技术中心有权对其进行封停。
第四章 机房安全管理
第十七条 机房安全管理是指通过技术和管理手段,保护校园机房网络设备、服务器存储设备、动力环境设备等硬件设施免遭自然灾害、人为操作错误或失误造成的破坏。
第十八条 信息技术中心应制定机房安全管理制度,严控进出人员,规范机房各项管理操作。
第十九条 学校电力维护部门应确保机房用电不间断。确须停电维护的,经机房所属部门同意后方可实施。
第二十条 全校弱电间及通信线路由信息技术中心统一规划、建设、运维和安全管理。未经信息技术中心允许,任何单位或个人不得擅自对弱电间设备设施和校园通信线路进行操作。增加、安装、调试、更换、拆除弱电间的设备设施或通信线路时,必须做好相关操作记录,并向信息技术中心报备。
第二十一条 信息技术中心应做好机房动力环境工作,落实防火、防盗、防雷、防电磁、恒温、恒湿等安全措施,定期巡检,做好记录,发现异常及时处理,避免安全事故发生。
第五章 主机安全管理
第二十二条 主机安全管理是指通过一系列安全技术和安全管理措施,保证服务器、存储等主机设备(包括虚拟主机)在数据存储和处理的保密性、完整性、可用性,以及主机硬件、固件和系统软件的自身安全。
第二十三条 各部门、单位应指派专人负责本部门、单位各类主机的安全维护和管理,包括对各类主机进行安全检查、漏洞修复和病毒扫描,及时发现、解决软硬件系统故障。
第二十四条 各部门、单位可向信息技术中心申请主机托管服务。信息技术中心应为托管的主机提供良好的机房环境,完备的机房保障设施,并负责设备物理位置的摆放、IP地址的分配、网段的划分和网络的畅通。各部门、单位应配合信息技术中心做好主机安全标识工作,按照资产分类和用途功能对主机设备进行标识,内容包括:主机的用途、承载的服务、使用单位、IP地址、系统管理员及联系方式等,若有修改应及时向信息技术中心报备。
第二十五条 托管主机的软硬件维护以及内部系统、软件的安装及安全管理由托管部门、单位自行负责。
第二十六条 信息技术中心有权对托管主机进行必要的监控,以保证学校网络线路的正常运行。若托管部门、单位违反校内网络安全相关制度,或托管服务器出现中毒、被黑客侵入等异常情况出现时,信息技术中心有权终止服务器运行。
第六章 信息系统安全管理
第二十七条 学校信息系统建设及使用应遵循校内网络安全相关制度、技术、规范和流程开展。各信息系统上线前必须经过信息技术中心安全监测审核;新建二级以上信息系统,须通过等级保护测评后,才能正式上线运行。
第二十八条 各部门、单位应对本部门、单位的信息系统和互联网站的安全状况、安全保护制度及措施的落实情况进行自查、修复等工作,并配合有关单位的信息安全检查、信息内容检查、保密检查与审批等工作。信息系统和网站等信息应提交信息技术中心备案,内容包括:系统名称、域名、IP地址、使用单位、系统管理员及联系方式等。
第二十九条 各部门、单位建设的面向在校师生开放的各类信息系统原则上使用学校统一身份认证。
第三十条 信息技术中心对校内的信息系统进行安全监测,对长期无人管理、内容不做更新、存在安全隐患、管理制度缺失或无固定的管理和维护人员的信息系统,有权予以清理和关闭。
第三十一条 各部门、单位应落实信息系统安全等级保护制度。按照教育部的要求进行信息系统的定级和备案工作。新建、改建、扩建信息系统应在设计阶段确定安全保护等级并同步建设安全防护措施。
第三十二条 涉密信息系统不得直接或者间接地与国际互联网或其它公共信息网络相联接,必须实行物理隔离。
第七章 数据安全管理
第三十三条 各部门、单位利用信息系统收集数据应遵循最小化原则,并明确收集依据、范围、数量和用途。
第三十四条 数据原则上须存储在校内,所有数据不得保存至境外服务器。因业务原因确需保存至公有云端储存的,应事先开展安全评估并在通过国家云计算服务安全评估的公有云平台进行储存。
第三十五条 信息技术中心负责各类公共服务平台的数据建设、运维和安全管理,并为其他部门、单位的数据安全管理提供技术支持。各部门、单位负责本单位业务系统的数据建设、运维和安全管理。
第三十六条 各部门、单位应加强本单位数据安全管理,及时做好业务数据的备份、容灾和恢复等工作。各部门、单位信息化分管领导应定期检查工作责任的落实情况。
第三十七条 为应对网络安全紧急事件,各部门、单位应预留一定的冗余设备,保证重要数据在受到破坏后可紧急恢复。
第八章 检测预警与网络安全事件的处置
第三十八条 信息技术中心对校内各类信息系统、网络、其他网络相关设备开展网络安全检测工作,并通过工作群、邮件等不同方式发布检测报告。各部门、单位应根据检测报告,及时落实网络安全自查和问题修复,避免网络安全事件发生。
第三十九条 校内网络安全事件的处理由信息技术中心负责组织实施,按照学校网络安全漏洞和事件处置规定进行处理。安全事件相关单位及人员应积极配合,认真落实网络安全事件处置工作。为避免安全事件不良影响扩大,信息技术中心有权直接对安全事件相关的网络及信息系统进行断网、停止服务等应急处理。
第四十条 各部门、单位应制定本部门、单位的网络安全应急预案,提高网络安全事件处置能力,发现网络安全问题应及时向信息技术中心报告并进行必要的应急处理。
第四十一条 信息技术中心负责组织校内网络安全处置应急演练,相关部门、单位应积极参与,通过演练提高校内网络安全事件处置能力。
第九章 责任追究
第四十二条 网络安全事件的责任认定,由信息技术中心提交网络技术安全和信息化工作领导小组讨论处理。
第四十三条 对于违反法律、法规,造成国家、学校和个人损失的单位或个人,学校将依据《中华人民共和国网络安全法》等法律法规,配合公安、网信等主管部门进行处理。
第十章 附 则
第四十四条 本办法为校内网络安全建设和管理的基本规定,校内其他涉及网络安全的相关规定应以本办法为依据,如有不同之处以本办法为准。
第四十五条 本办法自发布之日起施行,由网络技术安全和信息化工作领导小组负责解释。《温州医科大学网络信息安全管理办法》(温医大党〔2019〕11号)同步废止。
温州医科大学办公室
2023年2月15日