遼寧開放大學(xué)(遼寧裝備制造職業(yè)技術(shù)學(xué)院)網(wǎng)絡(luò)安全和信息化建設(shè)管理辦法
遼開大字〔2026〕18號(hào)
第一章 總則
第一條 為科學(xué)����、規(guī)范���、高效推進(jìn)學(xué)校網(wǎng)絡(luò)安全和信息化建設(shè)工作���,明確管理體制與職責(zé)分工,提高網(wǎng)絡(luò)安全防護(hù)和信息化建設(shè)管理水平���,根據(jù)國(guó)家相關(guān)法律法規(guī)及政策要求��,結(jié)合我校實(shí)際,制定本辦法����。
第二條 本辦法適用于學(xué)校網(wǎng)絡(luò)安全和信息化建設(shè)的組織機(jī)構(gòu)及職責(zé)分工��、技術(shù)管理規(guī)范要求��、全過程管理等事項(xiàng)���。
網(wǎng)絡(luò)安全工作是指為了保護(hù)由學(xué)校建設(shè)或管理的各類信息化網(wǎng)絡(luò)硬件設(shè)施�、軟件平臺(tái)及業(yè)務(wù)系統(tǒng),防止發(fā)生網(wǎng)絡(luò)攻擊����、信息破壞�����、有害程序入侵�����、信息化設(shè)備設(shè)施故障等而開展的相關(guān)管理和技術(shù)工作����,不包括信息內(nèi)容安全管理����、網(wǎng)絡(luò)輿情安全管理、涉密信息系統(tǒng)安全管理等工作����。
信息化建設(shè)工作是指以信息技術(shù)為主要手段,為支撐學(xué)校教學(xué)�����、科研�����、管理等工作���,依托校園網(wǎng)��、學(xué)校域名或校內(nèi)計(jì)算機(jī)設(shè)備����,建設(shè)與運(yùn)維信息化硬件設(shè)施���、軟件平臺(tái)��、業(yè)務(wù)系統(tǒng)�����,提供相關(guān)技術(shù)服務(wù)����,實(shí)現(xiàn)學(xué)校工作的信息化�、智能化、一體化的系統(tǒng)性工作�����。
學(xué)校信息化建設(shè)項(xiàng)目分為基礎(chǔ)性����、通用性信息化項(xiàng)目和業(yè)務(wù)性、專用性信息化項(xiàng)目?jī)深?��。其中基礎(chǔ)性��、通用性信息化項(xiàng)目是指學(xué)校網(wǎng)絡(luò)基礎(chǔ)設(shè)施(校園網(wǎng)���、數(shù)據(jù)中心等網(wǎng)絡(luò)設(shè)施)��、公共計(jì)算機(jī)房����、校級(jí)數(shù)字資源建設(shè)設(shè)施、網(wǎng)絡(luò)安全設(shè)施、基礎(chǔ)軟件系統(tǒng)和通用軟件平臺(tái)建設(shè)項(xiàng)目�����,以及重要業(yè)務(wù)系統(tǒng)的建設(shè)和集成對(duì)接項(xiàng)目����;業(yè)務(wù)性�、專用性信息化項(xiàng)目是指各部門為開展部門負(fù)責(zé)的業(yè)務(wù)而進(jìn)行的各類信息化設(shè)施及業(yè)務(wù)系統(tǒng)軟件、網(wǎng)站等建設(shè)項(xiàng)目�����。
第三條 學(xué)校網(wǎng)絡(luò)安全和信息化建設(shè)遵循“統(tǒng)一領(lǐng)導(dǎo)����、統(tǒng)籌規(guī)劃、歸口管理����、分級(jí)負(fù)責(zé)、共建共享”的原則���。建立學(xué)校網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組(以下簡(jiǎn)稱“領(lǐng)導(dǎo)小組”)統(tǒng)一決策����,網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室(以下簡(jiǎn)稱“網(wǎng)信辦”)統(tǒng)籌協(xié)調(diào)��,信息技術(shù)部門提供技術(shù)支持���,業(yè)務(wù)部門分工負(fù)責(zé)�����,多部門協(xié)同聯(lián)動(dòng)的工作機(jī)制����。
第二章 組織機(jī)構(gòu)與分工
第四條 學(xué)校網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組是學(xué)校網(wǎng)絡(luò)安全和信息化工作的領(lǐng)導(dǎo)與決策機(jī)構(gòu)。其工作職責(zé)如下:
(一)戰(zhàn)略規(guī)劃與決策部署
1.全面貫徹落實(shí)國(guó)家�����、上級(jí)主管部門關(guān)于網(wǎng)絡(luò)安全和信息化工作的法律法規(guī)���、方針政策、戰(zhàn)略規(guī)劃和重大決策部署�。
2.負(fù)責(zé)制度學(xué)校網(wǎng)絡(luò)安全和信息化工作的中長(zhǎng)期發(fā)展戰(zhàn)略、總體規(guī)劃和重大改革方案��。
3.負(fù)責(zé)統(tǒng)籌協(xié)調(diào)學(xué)校網(wǎng)絡(luò)安全和信息化建設(shè)中的重大建設(shè)項(xiàng)目�����、重要資源配置�����、關(guān)鍵政策制定等事項(xiàng)�。
(二)統(tǒng)籌協(xié)調(diào)與機(jī)制建設(shè)
1.統(tǒng)籌協(xié)調(diào)學(xué)校網(wǎng)絡(luò)安全和信息化建設(shè)全局性工作����,明確校內(nèi)各職能部門����、教學(xué)單位��、直屬機(jī)構(gòu)在網(wǎng)絡(luò)安全和信息化工作中的責(zé)任分工���、協(xié)作關(guān)系和任務(wù)要求�����。
2.協(xié)調(diào)解決網(wǎng)絡(luò)安全和信息化工作推進(jìn)過程中出現(xiàn)的跨部門�、跨領(lǐng)域重大問題和矛盾�。
(三)安全保障與風(fēng)險(xiǎn)管控
1.領(lǐng)導(dǎo)學(xué)校網(wǎng)絡(luò)安全體系建設(shè),制定學(xué)校網(wǎng)絡(luò)安全管理辦法�、應(yīng)急預(yù)案和重大安全防護(hù)措施。
2.對(duì)學(xué)校重大網(wǎng)絡(luò)安全事件的處置與應(yīng)對(duì)進(jìn)行決策指揮�,并根據(jù)相關(guān)法律法規(guī)進(jìn)行信息安全事件的責(zé)任認(rèn)定����。
3.推動(dòng)網(wǎng)絡(luò)安全宣傳教育與培訓(xùn)工作�����,提升全校師生員工的網(wǎng)絡(luò)安全意識(shí)和防護(hù)技能�。
第五條 網(wǎng)信辦是領(lǐng)導(dǎo)小組的日常辦事機(jī)構(gòu),負(fù)責(zé)學(xué)校網(wǎng)絡(luò)安全和信息化建設(shè)的綜合協(xié)調(diào)和歸口管理���,網(wǎng)信辦主任由分管信息化工作的校領(lǐng)導(dǎo)兼任�����,網(wǎng)信辦副主任由信息技術(shù)部門負(fù)責(zé)人兼任,網(wǎng)信辦主要職責(zé)如下:
(一)綜合協(xié)調(diào)管理
1.負(fù)責(zé)處理領(lǐng)導(dǎo)小組的日常事務(wù)��,籌備組織領(lǐng)導(dǎo)小組工作會(huì)議��,落實(shí)會(huì)議決議��。
2.承擔(dān)領(lǐng)導(dǎo)小組與校內(nèi)各單位��、上級(jí)網(wǎng)信部門之間的日常聯(lián)絡(luò)與協(xié)調(diào)工作���。
(二)網(wǎng)絡(luò)安全管理
1.負(fù)責(zé)落實(shí)領(lǐng)導(dǎo)小組關(guān)于網(wǎng)絡(luò)安全工作的決策部署���,具體組織實(shí)施網(wǎng)絡(luò)安全防護(hù)體系建設(shè)����、日常監(jiān)測(cè)�����、漏洞排查��、風(fēng)險(xiǎn)評(píng)估和整改加固�����。
2.建立健全學(xué)校網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警�����、信息通報(bào)��、應(yīng)急響應(yīng)和處置恢復(fù)的工作機(jī)制與流程����,并具體執(zhí)行��。
3.負(fù)責(zé)學(xué)校網(wǎng)絡(luò)與業(yè)務(wù)系統(tǒng)(網(wǎng)站)的登記備案�����、安全檢測(cè)���、等級(jí)保護(hù)定級(jí)備案與測(cè)評(píng)整改工作的具體管理。
(三)信息化項(xiàng)目管理
1.根據(jù)領(lǐng)導(dǎo)小組批準(zhǔn)的發(fā)展規(guī)劃�����,牽頭擬定具體實(shí)施方案并組織實(shí)施�。
2.負(fù)責(zé)學(xué)校信息化項(xiàng)目的統(tǒng)籌管理,包括項(xiàng)目審核����、過程監(jiān)督�、技術(shù)協(xié)調(diào),并參與項(xiàng)目驗(yàn)收��。
3.為全校各部門和單位信息化建設(shè)與應(yīng)用提供技術(shù)指導(dǎo)�����、咨詢服務(wù)和必要的支持。
4.組織研究制定或修訂學(xué)校信息化相關(guān)技術(shù)標(biāo)準(zhǔn)�����、數(shù)據(jù)標(biāo)準(zhǔn)和管理規(guī)范�,并推動(dòng)實(shí)施。
5.推進(jìn)學(xué)校數(shù)字資源的整合�����、共享�����、開放與利用���,促進(jìn)數(shù)據(jù)治理和服務(wù)創(chuàng)新�。
(四)宣傳與培訓(xùn)
1.組織開展網(wǎng)絡(luò)安全和信息化建設(shè)相關(guān)宣傳教育活動(dòng)�,普及網(wǎng)絡(luò)安全知識(shí),推廣信息化應(yīng)用成果���。
2.關(guān)注網(wǎng)絡(luò)安全和信息化建設(shè)技術(shù)發(fā)展動(dòng)態(tài)���,開展校內(nèi)外調(diào)研交流�,為領(lǐng)導(dǎo)小組決策提供信息支持����。
第六條 學(xué)校設(shè)立網(wǎng)絡(luò)安全和信息化專家組,聘請(qǐng)高校信息技術(shù)部門�、網(wǎng)絡(luò)安全和信息化技術(shù)主流廠商等相關(guān)領(lǐng)域副高級(jí)以上人員,負(fù)責(zé)對(duì)學(xué)校網(wǎng)絡(luò)安全和信息化建設(shè)規(guī)劃�����、項(xiàng)目���、技術(shù)方案和標(biāo)準(zhǔn)等提供技術(shù)咨詢����、論證與審核���。專家由網(wǎng)信辦負(fù)責(zé)聘任�,聘請(qǐng)專家報(bào)酬按學(xué)?���!秾<覉?bào)酬發(fā)放管理辦法(試行)》執(zhí)行��。
第七條 學(xué)校信息技術(shù)部門負(fù)責(zé)網(wǎng)信辦日常工作,負(fù)責(zé)學(xué)?;A(chǔ)性、通用性網(wǎng)絡(luò)安全和信息化項(xiàng)目的建設(shè)工作�。
第八條 學(xué)校各部門是本部門網(wǎng)絡(luò)安全和信息化工作的責(zé)任主體,是部門網(wǎng)絡(luò)安全工作的日常管理機(jī)構(gòu)����,是學(xué)校信息化建設(shè)落地實(shí)施、應(yīng)用推廣的執(zhí)行機(jī)構(gòu)�,工作職責(zé)如下:
(一)遵循“誰(shuí)主管誰(shuí)負(fù)責(zé),誰(shuí)使用誰(shuí)負(fù)責(zé)”原則���,負(fù)責(zé)牽頭開展本部門職責(zé)范圍內(nèi)業(yè)務(wù)所對(duì)應(yīng)的信息化建設(shè)工作���,包括信息化建設(shè)項(xiàng)目的需求調(diào)研、規(guī)劃編制��、立項(xiàng)申報(bào)����、采購(gòu)實(shí)施、應(yīng)用與管理���、日常運(yùn)維等工作��,并對(duì)信息化項(xiàng)目的建設(shè)質(zhì)量��、應(yīng)用成效及網(wǎng)絡(luò)安全負(fù)責(zé)��。
(二)負(fù)責(zé)提供規(guī)范���、準(zhǔn)確�、完整的業(yè)務(wù)系統(tǒng)數(shù)據(jù)���,并配合信息技術(shù)部門開展系統(tǒng)互聯(lián)互通�����、數(shù)據(jù)共享交換工作�����。
(三)負(fù)責(zé)建立本部門網(wǎng)絡(luò)安全和信息化工作責(zé)任體系���,確定一名中層干部負(fù)責(zé)本部門網(wǎng)絡(luò)安全和信息化工作,確定一人擔(dān)任部門網(wǎng)絡(luò)安全員����,具體負(fù)責(zé)部門網(wǎng)絡(luò)安全和信息化日常工作����,并負(fù)責(zé)與學(xué)校信息技術(shù)部門對(duì)接聯(lián)絡(luò)�����,落實(shí)相關(guān)工作要求����。
第三章 網(wǎng)絡(luò)安全建設(shè)與管理
第九條 學(xué)校網(wǎng)絡(luò)基礎(chǔ)設(shè)施(校園網(wǎng)����、數(shù)據(jù)中心等網(wǎng)絡(luò)設(shè)施)由信息技術(shù)部門統(tǒng)一規(guī)劃��、建設(shè)和管理�,各部門及個(gè)人不允許建設(shè)���、更改�����、損毀���、挪用學(xué)校網(wǎng)絡(luò)基礎(chǔ)設(shè)施���;校園網(wǎng)由信息技術(shù)部門統(tǒng)一提供網(wǎng)絡(luò)出口;各部門和個(gè)人不允許私自連接外網(wǎng)出口�����,不允許與運(yùn)營(yíng)商、互聯(lián)網(wǎng)服務(wù)提供商訂立相關(guān)協(xié)議���。
第十條 學(xué)校各部門改變校園內(nèi)現(xiàn)有樓宇或房間用途進(jìn)行改造裝修����,涉及網(wǎng)絡(luò)線路或設(shè)備的,應(yīng)在設(shè)計(jì)���、施工前與信息技術(shù)部門進(jìn)行溝通協(xié)商��,以統(tǒng)籌學(xué)校網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)�,保障校園網(wǎng)安全暢通。
第十一條 校園網(wǎng)入網(wǎng)實(shí)行實(shí)名制,學(xué)校用戶必須通過學(xué)校統(tǒng)一身份認(rèn)證系統(tǒng)接入校園網(wǎng),不允許單獨(dú)建立用戶認(rèn)證系統(tǒng),未經(jīng)登記不允許私自接入校園網(wǎng),嚴(yán)禁盜用賬號(hào)使用校園網(wǎng)���。
第十二條 信息技術(shù)部門負(fù)責(zé)學(xué)校數(shù)據(jù)中心的建設(shè)、運(yùn)行���、維護(hù)和管理��,負(fù)責(zé)數(shù)據(jù)中心的物理安全、網(wǎng)絡(luò)安全和主機(jī)安全;各部門負(fù)責(zé)本部門申請(qǐng)使用的服務(wù)器和人工智能算力資源及其軟件的安全管理����,負(fù)責(zé)本部門管理的業(yè)務(wù)系統(tǒng)數(shù)據(jù)的定期備份��、恢復(fù)測(cè)試及敏感信息的安全管理;各部門應(yīng)規(guī)范本部門人員對(duì)服務(wù)器和人工智能算力資源的使用和管理���,不允許利用申請(qǐng)的服務(wù)器和人工智能算力資源從事任何與申請(qǐng)項(xiàng)目無(wú)關(guān)或危害網(wǎng)絡(luò)系統(tǒng)安全的活動(dòng)。
第十三條 信息技術(shù)部門對(duì)學(xué)校數(shù)據(jù)中心的使用實(shí)施準(zhǔn)入管理,在學(xué)校數(shù)據(jù)中心運(yùn)維的軟件平臺(tái)及業(yè)務(wù)系統(tǒng)應(yīng)按照國(guó)家信息安全等級(jí)保護(hù)要求完成測(cè)評(píng)����;各部門新建的軟件平臺(tái)及業(yè)務(wù)系統(tǒng)應(yīng)進(jìn)行網(wǎng)絡(luò)安全定級(jí)備案并通過相應(yīng)級(jí)別的等級(jí)保護(hù)測(cè)評(píng)才能上線運(yùn)行;未通過測(cè)評(píng)的軟件平臺(tái)和業(yè)務(wù)系統(tǒng)須經(jīng)網(wǎng)信辦批準(zhǔn)才能上線運(yùn)行�����,并在要求期限內(nèi)完成測(cè)評(píng)和整改�����。
第十四條 學(xué)校各類軟件平臺(tái)及業(yè)務(wù)系統(tǒng)應(yīng)依托學(xué)校數(shù)據(jù)中心運(yùn)行,使用學(xué)校IP地址及域名�����,并進(jìn)行登記備案,不得采取校外云服務(wù)方案���;對(duì)于需要使用校外云服務(wù)建設(shè)的信息化項(xiàng)目���,須經(jīng)網(wǎng)信辦批準(zhǔn),由項(xiàng)目建設(shè)部門協(xié)調(diào)云服務(wù)商開展網(wǎng)絡(luò)安全管理并承擔(dān)相應(yīng)網(wǎng)絡(luò)安全責(zé)任���。
第十五條 學(xué)校網(wǎng)站群平臺(tái)由信息技術(shù)部門統(tǒng)一建設(shè)和運(yùn)維;網(wǎng)站群平臺(tái)的技術(shù)安全由信息技術(shù)部門負(fù)責(zé)����,網(wǎng)站群平臺(tái)內(nèi)各站點(diǎn)的管理及其內(nèi)容安全由網(wǎng)站管理部門負(fù)責(zé);未通過網(wǎng)站群平臺(tái)建設(shè)的網(wǎng)站,其技術(shù)安全及內(nèi)容安全均由網(wǎng)站管理部門負(fù)責(zé)�����。
第十六條 各部門應(yīng)按照學(xué)?����!靶畔⒓夹g(shù)安全事件報(bào)告與處置流程”(見附件1)的要求����,做好信息技術(shù)安全事件的報(bào)告與處置工作,及時(shí)公布和更新本部門網(wǎng)絡(luò)安全和信息化管理人員和聯(lián)系方式���。
第十七條 信息化建設(shè)中所涉及的個(gè)人信息�����,必須按照國(guó)家相關(guān)法律法規(guī)進(jìn)行嚴(yán)格保護(hù)��,任何部門及個(gè)人不允許違法違規(guī)采集��、存儲(chǔ)�����、使用和處理各類個(gè)人信息����。
第十八條 信息技術(shù)部門負(fù)責(zé)組織開展學(xué)校網(wǎng)絡(luò)安全技術(shù)培訓(xùn)工作,各部門應(yīng)安排相關(guān)人員參加�����,并在本部門開展培訓(xùn)�,共同提高全校教職工的網(wǎng)絡(luò)安全防范意識(shí)和水平,培養(yǎng)良好的網(wǎng)絡(luò)安全素養(yǎng)����。
第四章 信息化項(xiàng)目建設(shè)與管理
第十九條 項(xiàng)目申報(bào)
(一)項(xiàng)目申報(bào)部門根據(jù)學(xué)校信息化發(fā)展規(guī)劃和自身業(yè)務(wù)需求,編制項(xiàng)目申報(bào)材料并提交至學(xué)校項(xiàng)目管理部門����,由學(xué)校項(xiàng)目管理部門根據(jù)項(xiàng)目歸口管理分工,將信息化項(xiàng)目劃分給信息技術(shù)部門初審��。各部門在申報(bào)信息化項(xiàng)目時(shí)還需提交《信息化項(xiàng)目申報(bào)內(nèi)容確認(rèn)表》(見附件2)。
(二)信息技術(shù)部門根據(jù)信息化項(xiàng)目審核內(nèi)容與要求�,
對(duì)申報(bào)項(xiàng)目進(jìn)行初審,并將通過初審的項(xiàng)目提交網(wǎng)信辦審核���。
(三)網(wǎng)信辦根據(jù)信息化項(xiàng)目審核內(nèi)容與要求�����,對(duì)申報(bào)項(xiàng)目進(jìn)行審核,對(duì)通過審核的項(xiàng)目進(jìn)行排序�����,將相關(guān)材料上報(bào)領(lǐng)導(dǎo)小組審批����。
(四)網(wǎng)信辦將領(lǐng)導(dǎo)小組審批通過的項(xiàng)目及排序情況提交學(xué)校項(xiàng)目管理部門,納入學(xué)校項(xiàng)目總體安排�����。
第二十條 項(xiàng)目采購(gòu)與實(shí)施
(一)項(xiàng)目建設(shè)部門根據(jù)《遼寧開放大學(xué)(遼寧裝備制造職業(yè)技術(shù)學(xué)院)招標(biāo)采購(gòu)管理辦法(試行)》要求進(jìn)行采購(gòu)與實(shí)施���,經(jīng)網(wǎng)信辦審核后�,由項(xiàng)目建設(shè)部門部門開展招標(biāo)采購(gòu)��。
(二)項(xiàng)目建設(shè)部門負(fù)責(zé)項(xiàng)目的具體實(shí)施管理。
第二十一條 項(xiàng)目驗(yàn)收
網(wǎng)信辦安排人員參與學(xué)校信息化項(xiàng)目的驗(yàn)收���,根據(jù)《遼寧開放大學(xué)(遼寧裝備制造職業(yè)技術(shù)學(xué)院)采購(gòu)項(xiàng)目履約驗(yàn)收管理辦法(試行)》進(jìn)行實(shí)施��,負(fù)責(zé)審核信息化項(xiàng)目相關(guān)要求的落實(shí)情況����。
第二十二條 審核內(nèi)容與要求
(一)戰(zhàn)略規(guī)劃符合性審核
信息化項(xiàng)目應(yīng)符合國(guó)家教育系統(tǒng)及學(xué)校信息化發(fā)展規(guī)劃要求�����,未列入學(xué)校信息化發(fā)展規(guī)劃的項(xiàng)目原則上不列入建設(shè)計(jì)劃���。
(二)項(xiàng)目建設(shè)重復(fù)性審核
申報(bào)項(xiàng)目的建設(shè)內(nèi)容如與學(xué)校已有或在建項(xiàng)目的內(nèi)容類似�����,需說明與上述項(xiàng)目的關(guān)系�����,避免功能重疊或重復(fù)投資�����。
(三)技術(shù)架構(gòu)符合性審核
項(xiàng)目技術(shù)方案須明確能夠?qū)崿F(xiàn)與學(xué)校統(tǒng)一身份認(rèn)證中心���、主數(shù)據(jù)平臺(tái)��、統(tǒng)一門戶等公共技術(shù)平臺(tái)的對(duì)接����,原則上業(yè)務(wù)系統(tǒng)不得另行建立身份認(rèn)證體系��;涉及電子審批流程的�,應(yīng)優(yōu)先通過學(xué)校統(tǒng)一服務(wù)大廳實(shí)現(xiàn)���,不得另行建設(shè)或應(yīng)用審批系統(tǒng)���;移動(dòng)應(yīng)用須集成至學(xué)校官方移動(dòng)平臺(tái),原則上不得另行建設(shè)APP�;采取的軟硬件架構(gòu)應(yīng)與學(xué)校已有架構(gòu)匹配,不得采用學(xué)校尚未建設(shè)但需要大量基礎(chǔ)設(shè)施支持才能運(yùn)行的技術(shù)架構(gòu)���。
(四)技術(shù)標(biāo)準(zhǔn)統(tǒng)一性審核
項(xiàng)目所采用的數(shù)據(jù)編碼����、接口規(guī)范須符合學(xué)校相關(guān)技術(shù)標(biāo)準(zhǔn)或與學(xué)校技術(shù)標(biāo)準(zhǔn)對(duì)接,確保系統(tǒng)能夠互聯(lián)互通����。
(五)數(shù)據(jù)共享性審核
軟件及平臺(tái)類項(xiàng)目應(yīng)要求供應(yīng)商提供詳盡的數(shù)據(jù)字典并配合進(jìn)行數(shù)據(jù)對(duì)接和共享;原則上業(yè)務(wù)系統(tǒng)應(yīng)通過學(xué)校數(shù)據(jù)共享平臺(tái)獲取數(shù)據(jù)�����,杜絕重復(fù)采集或系統(tǒng)獨(dú)立形成數(shù)據(jù)孤島�����。
(六)信息化設(shè)施集約使用性審核
學(xué)校信息化項(xiàng)目所需的服務(wù)器�、存儲(chǔ)、網(wǎng)絡(luò)等基礎(chǔ)設(shè)施由信息技術(shù)部門統(tǒng)一采購(gòu)并提供服務(wù)�����;業(yè)務(wù)系統(tǒng)原則上均應(yīng)部署于學(xué)校數(shù)據(jù)中心并使用數(shù)據(jù)中心虛擬化資源�����,未經(jīng)網(wǎng)信辦和領(lǐng)導(dǎo)小組批準(zhǔn)不得采取校外云服務(wù)方案�。
(七)網(wǎng)絡(luò)安全合規(guī)性審核
項(xiàng)目申報(bào)單位須根據(jù)項(xiàng)目應(yīng)用范圍和數(shù)據(jù)情況���,在項(xiàng)目招標(biāo)時(shí)明確要求中標(biāo)方產(chǎn)品須滿足國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)相應(yīng)級(jí)別要求,并須免費(fèi)配合學(xué)校完成信息系統(tǒng)網(wǎng)絡(luò)安全定級(jí)備案����、等級(jí)保護(hù)測(cè)評(píng)與整改工作,確保系統(tǒng)符合國(guó)家網(wǎng)絡(luò)安全規(guī)定要求�����。
(八)運(yùn)維保障持續(xù)性審核
項(xiàng)目預(yù)算中須包含不低于三年的軟件和硬件的維保費(fèi)用����,維保范圍至少涵蓋故障修復(fù)、性能優(yōu)化�����、安全漏洞修補(bǔ)�����、系統(tǒng)升級(jí)等技術(shù)服務(wù)���;信息化項(xiàng)目須在立項(xiàng)時(shí)明確系統(tǒng)管理員��。
(九)自主研發(fā)適用性審核
對(duì)于功能相對(duì)簡(jiǎn)單�、業(yè)務(wù)流程明確����、不涉密的業(yè)務(wù)系統(tǒng)建設(shè)需求,適合采用校內(nèi)自有開發(fā)平臺(tái)或站群系統(tǒng)開發(fā)的����,優(yōu)先采用學(xué)校自主開發(fā)方式建設(shè)。
第二十三條 項(xiàng)目運(yùn)維與終止
(一)業(yè)務(wù)系統(tǒng)管理部門須安排人員及時(shí)更新軟件系統(tǒng)與服務(wù)器補(bǔ)丁���,定期做好數(shù)據(jù)備份與內(nèi)容更新����,并按學(xué)校要求做好運(yùn)維保障工作���。
(二)因技術(shù)淘汰�����、業(yè)務(wù)變更等原因停止使用的軟硬件系統(tǒng)��,系統(tǒng)管理部門須做好必要的數(shù)據(jù)遷移或備份���,及時(shí)關(guān)閉系統(tǒng)��,通知信息技術(shù)部門回收相關(guān)資源����,并按學(xué)校相關(guān)規(guī)定進(jìn)行資產(chǎn)處置�����。
第五章 附則
第二十四條 本辦法由網(wǎng)信辦負(fù)責(zé)解釋�����。
第二十五條 本辦法自發(fā)布之日起施行�。原《遼寧開放大學(xué)(遼寧裝備制造職業(yè)技術(shù)學(xué)院)信息化建設(shè)管理辦法(試行)》(遼開大字〔2021〕99號(hào))、《遼寧開放大學(xué)(遼寧裝備制造職業(yè)技術(shù)學(xué)院)網(wǎng)絡(luò)安全管理辦法》(遼開大字〔2023〕63號(hào))同時(shí)廢止��。
附件1:信息技術(shù)安全事件報(bào)告與處置流程(試行)
附件2:信息化項(xiàng)目申報(bào)內(nèi)容確認(rèn)表
附件1
信息技術(shù)安全事件報(bào)告與處置流程(試行)
為了加強(qiáng)學(xué)校網(wǎng)絡(luò)安全工作�,及時(shí)掌握和處置信息安全事件,協(xié)調(diào)相關(guān)力量做好應(yīng)急響應(yīng)處理�,降低安全事件帶來的損失與影響����,維護(hù)正常工作秩序和營(yíng)造健康的網(wǎng)絡(luò)環(huán)境�,根據(jù)國(guó)家相關(guān)文件��,結(jié)合學(xué)校實(shí)際�,制定本流程。
第一章 總則
第一條 信息技術(shù)安全事件的定義�����。根據(jù)《信息安全事件分類分級(jí)指南》(GB/Z209862007��,以下簡(jiǎn)稱《指南》)��,本流程中所稱的信息技術(shù)安全事件(以下簡(jiǎn)稱安全事件)是指《指南》中除信息內(nèi)容安全事件以外的有害程序事件����、網(wǎng)絡(luò)攻擊事件、信息破壞事件����、設(shè)備設(shè)施故障、災(zāi)害事件等信息安全事件���。
第二條 適用范圍���。本流程適用于在我校管理的軟硬件設(shè)施中發(fā)生的信息安全事件的報(bào)告與處置工作����。
第二章 安全事件等級(jí)劃分與判定
第三條 安全事件等級(jí)劃分��。根據(jù)《指南》��,將安全事件劃分為四個(gè)等級(jí):特別重大事件(I級(jí))���、重大事件(Ⅱ級(jí))�、較大事件(Ⅲ級(jí))和一般事件(Ⅳ級(jí))���。
第四條 安全事件判定����。我校各部門一旦發(fā)生安全事件�,應(yīng)根據(jù)《指南》,視信息系統(tǒng)重要程度�����、損失情況以及對(duì)工作和社會(huì)造成的影響自主判定安全事件等級(jí)并報(bào)告學(xué)校信息技術(shù)部門網(wǎng)絡(luò)安全聯(lián)系人(具體聯(lián)系方式見相關(guān)通知)���。
信息技術(shù)部門在接到報(bào)告后�,根據(jù)事件情況做出進(jìn)一步判定�,必要時(shí)應(yīng)及時(shí)報(bào)告網(wǎng)信辦和領(lǐng)導(dǎo)小組判定。
第三章 安全事件的報(bào)告與處置
第五條 Ⅰ至Ⅲ級(jí)安全事件的報(bào)告與處置��。報(bào)告與處置分為三個(gè)步驟:事發(fā)緊急報(bào)告與處置�、事中情況報(bào)告與處置和事后整改報(bào)告與處置。
(一)事發(fā)緊急報(bào)告與處置
1.學(xué)校教職工一旦發(fā)現(xiàn)上述安全事件�����,應(yīng)根據(jù)實(shí)際情況第一時(shí)間采取斷網(wǎng)等有效措施進(jìn)行處置��,將損害和影響降到最小范圍�����,保留現(xiàn)場(chǎng)�����,并報(bào)告本部門網(wǎng)絡(luò)安全管理人員(各部門網(wǎng)絡(luò)安全管理人員包括部門負(fù)責(zé)人��、部門負(fù)責(zé)網(wǎng)絡(luò)安全的中層干部和網(wǎng)絡(luò)安全員����,聯(lián)系方式由各部門負(fù)責(zé)通知本部門全體人員)�����。
2.各部門網(wǎng)絡(luò)安全管理人員接到報(bào)告后���,應(yīng)立即組織相關(guān)人員趕赴現(xiàn)場(chǎng)進(jìn)行緊急處置,同時(shí)以口頭通信的方式將相關(guān)情況報(bào)告信息技術(shù)部門�,并書面記錄安全事件發(fā)現(xiàn)過程及口頭匯報(bào)過程,涉及人為主觀破壞事件應(yīng)同時(shí)報(bào)告學(xué)校保衛(wèi)部門���。
3.信息技術(shù)部門接到報(bào)告后����,應(yīng)做好書面記錄�����,并進(jìn)一步判定安全事件等級(jí)�,對(duì)確認(rèn)屬Ⅰ至Ⅲ級(jí)安全事件的,應(yīng)報(bào)告網(wǎng)信辦�,并由網(wǎng)信辦確定是否報(bào)告領(lǐng)導(dǎo)小組。
4.緊急報(bào)告內(nèi)容包括:①時(shí)間地點(diǎn)�;②簡(jiǎn)要經(jīng)過;③事件類型與分級(jí);④影響范圍���;⑤危害程度���;⑥初步原因分析���;⑦已采取的應(yīng)急措施�����。
5.對(duì)確認(rèn)屬Ⅰ至Ⅲ級(jí)安全事件的��,信息技術(shù)部門應(yīng)立即組織相關(guān)技術(shù)力量趕赴現(xiàn)場(chǎng)進(jìn)行協(xié)助處置工作�����。
涉及人為主觀破壞事件的��,學(xué)校保衛(wèi)部門應(yīng)組織人員赴現(xiàn)場(chǎng)協(xié)助處置����,并協(xié)助公安機(jī)關(guān)做好相關(guān)取證和處置工作�����。
6.各部門應(yīng)及時(shí)跟進(jìn)事件發(fā)展情況,出現(xiàn)新的重大情況應(yīng)及時(shí)補(bǔ)報(bào)��。
(二)事中情況報(bào)告與處置
1.事中情況報(bào)告應(yīng)在安全事件發(fā)現(xiàn)后6小時(shí)內(nèi)以書面報(bào)告的形式進(jìn)行報(bào)送(具體內(nèi)容見附件1.1)����。
2.事中情況報(bào)告由事件發(fā)生部門組織編寫,由部門負(fù)責(zé)人簽字并加蓋公章報(bào)送信息技術(shù)部門�����。涉及人為主觀破壞事件的���,事中情況報(bào)告應(yīng)抄送給保衛(wèi)部門�����。
3.安全事件的事中處置包括:及時(shí)掌握損失情況�����,查找和分析事件原因����,修復(fù)系統(tǒng)漏洞,恢復(fù)系統(tǒng)服務(wù)�����,盡可能減少安全事件對(duì)正常工作帶來的影響�。如果涉及人為主觀破壞的安全事件應(yīng)由保衛(wèi)部門聯(lián)系、配合公安部門和學(xué)校保衛(wèi)部門開展調(diào)查����。
(三)事后整改報(bào)告與處置
1.事后整改報(bào)告(具體內(nèi)容見附件1.2)應(yīng)在安全事件處置完畢后4個(gè)工作日內(nèi)以書面報(bào)告的形式進(jìn)行報(bào)送����。
2.事后整改報(bào)告由事件發(fā)生部門組織編寫,由部門負(fù)責(zé)人審核后��,簽字并加蓋公章報(bào)送信息技術(shù)部門����。
3.安全事件事后處置包括:進(jìn)一步總結(jié)事件教訓(xùn),研判安全現(xiàn)狀��、排查安全隱患����,進(jìn)一步加強(qiáng)制度建設(shè)���,提升安全防護(hù)能力。如涉及人為主觀破壞的安全事件應(yīng)繼續(xù)配合公安部門和學(xué)校保衛(wèi)部門開展調(diào)查�。
第六條 一般安全事件(Ⅳ級(jí))報(bào)告與處置。各部門發(fā)生一般安全事件��,應(yīng)及時(shí)�、自主組織應(yīng)急處置工作;需要信息技術(shù)部門協(xié)助的����,聯(lián)系信息技術(shù)部門予以協(xié)助。在事件處置完畢后6天內(nèi)向信息技術(shù)部門報(bào)送整改報(bào)告����。
第七條 預(yù)警類信息的報(bào)告與處置。
各部門要及時(shí)完成國(guó)家���、地方信息安全部門以及學(xué)校信息技術(shù)部門通報(bào)的預(yù)警類信息的處置工作�。
第四章 配套制度與機(jī)制
第八條 人事變更報(bào)告���。為保障聯(lián)絡(luò)通暢���,各部門負(fù)責(zé)網(wǎng)絡(luò)安全工作的中層干部�、網(wǎng)絡(luò)安全員及聯(lián)絡(luò)方式發(fā)生變更的����,應(yīng)及時(shí)向信息技術(shù)部門報(bào)備。
第九條 相關(guān)配套機(jī)制����。各部門應(yīng)根據(jù)實(shí)際建立本部門的值守制度,做到安全事件早預(yù)警�、早發(fā)現(xiàn)、早報(bào)告�、早控制、早解決��。各部門應(yīng)建立健全本部門安全事件應(yīng)急處置機(jī)制�。
第十條 問責(zé)制度�。各部門應(yīng)按照流程及時(shí)、如實(shí)地報(bào)告和妥善處置安全事件�����。如有瞞報(bào)�����、緩報(bào)、處置和整改不力等情況�,學(xué)校將進(jìn)行問責(zé)處理。
第十一條 整改落實(shí)機(jī)制�����。發(fā)生安全事件后����,要認(rèn)真做好整改落實(shí)工作,堅(jiān)持做到事故原因不查清不放過�、整改措施未落實(shí)不放過、責(zé)任人員未受到教育或處理不放過����,盡力杜絕類似事件再次發(fā)生。
第五章 附則
第十二條 本流程自發(fā)布之日起施行�,由網(wǎng)信辦負(fù)責(zé)解釋。
附件1.1:信息技術(shù)安全事件情況報(bào)告
附件1.2:信息技術(shù)安全事件整改報(bào)告
