遼寧開放大學(遼寧裝備制造職業(yè)技術學院)
網絡安全管理辦法
遼開大字〔2023〕63號
第一章 總則
第一條 為規(guī)范學校網絡安全管理,提高網絡安全防護能力和水平����,保障學校各項事業(yè)健康有序發(fā)展,根據《中華人民共和國網絡安全法》��、《教育部關于加強教育行業(yè)網絡與信息安全工作的指導意見》���、《教育部��、公安部關于全面推進教育行業(yè)信息安全等級保護工作的通知》等文件要求���,結合學校實際�,特制定本辦法��。
第二條本辦法所稱網絡安全工作,是指為了保護由學校各部門建設或管理的�,支撐學校各項工作開展的信息化設施和軟件平臺及業(yè)務系統(tǒng),防止發(fā)生網絡攻擊���、信息破壞�����、有害程序入侵�、信息化設備設施故障等而開展的相關管理和技術工作���。信息化設施包括但不限于網絡基礎設施���、信息化教學設施、虛擬實訓設施�����、數字資源建設設施、數字平安校園設施�、智慧后勤設施及網絡安全設施等;軟件平臺及業(yè)務系統(tǒng)包括但不限于學校各類基礎軟件系統(tǒng)�、通用軟件平臺�、業(yè)務應用系統(tǒng)、網站�、移動互聯(lián)應用軟件及相關數據信息等。
第二章 組織機構與職責分工
第三條 學校網絡安全與信息化建設領導小組(以下簡稱“領導小組”����,具體組成人員及職責見“關于保留、調整�、撤銷學校部分領導小組及明確成立學校各項任務工作組的通知”(遼開大字〔2021〕41 號))是學校網絡安全工作的決策機構,負責學校網絡安全工作的戰(zhàn)略決策���、實施監(jiān)督及重大網絡安全事件的處理��。
第四條 領導小組下設網絡安全與信息化建設專家小組(以下簡稱“專家小組”)和辦公室(以下簡稱“網信辦”)�,專家小組是學校網絡安全工作的技術咨詢指導機構����,負責為學校網絡安全工作提供技術咨詢��,指導學校開展網絡安全規(guī)劃與技術方案設計���,組長由學校聘請校外信息化專家擔任,學校信息技術中心負責人為總聯(lián)絡人�。網信辦是學校網絡安全工作的綜合管理協(xié)調機構,負責審批網絡安全重要事項�����,指導制定網絡安全管理制度���、建設科學工作機制��;綜合協(xié)調學校各部門推進學校網絡安全工作�����。網信辦設在信息技術中心�,主任由分管信息化工作的校領導兼任����。
第五條 信息技術中心是學校網絡安全工作的日常管理及技術服務機構;負責學校網信辦日常工作��;負責基礎性、通用性信息化設施和軟件平臺及業(yè)務系統(tǒng)的網絡安全管理���;負責學校網絡安全防護體系的建設及網絡安全管理制度的起草與監(jiān)督執(zhí)行�;負責為學校網絡安全工作提供技術支持服務�。
第六條 學校各部門是本部門網絡安全工作的責任主體,是學校網絡安全工作的日常管理機構���;各部門按照“誰使用誰負責,誰管理誰負責”的原則�����,負責本部門管理和使用的信息化設施和軟件平臺及業(yè)務系統(tǒng)的網絡安全工作�����;各部門負責人是本部門網絡安全工作的第一責任人,負責按照本辦法落實網絡安全工作���;各部門應指定專人負責網絡安全工作�,并指定各軟件平臺及業(yè)務系統(tǒng)的運行維護責任人,并將人員名單報信息技術中心備案,人員變動時應及時調整并報備����。
第七條 學校全體師生作為校園網的使用者����,同時也是學校網絡安全工作的參與者���,有責任和義務遵守學校網絡安全的相關規(guī)定����,積極參與網絡安全建設和管理���。
第三章 網絡安全建設與管理
第八條 學校網絡基礎設施(校園網���、數據中心等網絡設施)由信息技術中心統(tǒng)一規(guī)劃、建設和管理�����,各部門及個人不允許建設����、更改、損毀��、挪用學校網絡基礎設施�。
第九條 校園網由信息技術中心統(tǒng)一提供網絡出口�����;各部門和個人不允許私自連接外網出口��,不允許與運營商����、互聯(lián)網服務提供商訂立相關協(xié)議����。
第十條 校園網入網實行實名制,學校用戶必須通過學校統(tǒng)一身份認證系統(tǒng)接入校園網�����,不允許單獨建立用戶認證系統(tǒng)�,未經登記不允許私自接入校園網�,嚴禁盜用賬號使用校園網。
第十一條 學校各部門改變校園內現(xiàn)有樓宇或房間用途進行改造裝修��,涉及到網絡線路或設備的���,應在設計�、施工前與信息技術中心進行溝通協(xié)商,以統(tǒng)籌學校網絡基礎設施建設���,保障校園網安全暢通。
第十二條 信息技術中心負責學校數據中心的建設��、運行�、維護和管理,負責數據中心的物理安全�、網絡安全和主機安全;各部門負責申請使用的操作系統(tǒng)��、數據庫�����、業(yè)務應用系統(tǒng)和數據等信息資源的安全���;各部門應規(guī)范本部門信息資源的使用和管理,不允許利用申請的信息資源從事任何與申請項目無關或危害網絡系統(tǒng)安全的活動��。
第十三條 學校各類軟件平臺及業(yè)務系統(tǒng)原則上依托學校數據中心建設�����,使用學校IP地址及域名,并進行登記備案�;涉及學校基礎數據���、師生個人信息或敏感信息的軟件平臺及業(yè)務系統(tǒng)�����,不允許放置在校外數據中心(含云計算平臺)��;對于必須使用校外云服務建設的特殊信息化項目���,須經網信辦批準,由學校項目主管部門負責協(xié)調云服務商開展網絡安全管理并承擔網絡安全責任��。
第十四條 信息技術中心對學校數據中心的使用實施準入管理�����,在學校數據中心運維的軟件平臺及業(yè)務系統(tǒng)應逐步按照國家信息安全等級保護要求完成測評��;各部門新建的軟件平臺及業(yè)務系統(tǒng)應進行網絡安全定級備案并通過相應級別的等級保護測評才能上線運行����;急用的或暫時不具備測評條件的軟件平臺及業(yè)務系統(tǒng)須經網信辦批準后才能上線運行。
第十五條 學校網站群平臺由信息技術中心統(tǒng)一建設����、運維和管理;網站群平臺的技術安全由信息技術中心負責����,網站群平臺內各站點的管理及其內容安全由網站主管部門負責;未通過網站群平臺建設的網站��,其技術安全及內容安全均由網站主管部門負責����。
第十六條 各部門須在軟件平臺及業(yè)務系統(tǒng)項目入庫時向信息技術中心提交系統(tǒng)備案及等級保護測評申請���,信息技術中心負責統(tǒng)一開展學校信息系統(tǒng)定級備案和等級保護測評工作�����。
第十七條 信息化建設中所涉及到的個人信息��,必須按照國家相關法律法規(guī)進行嚴格保護�����,任何部門及個人不允許違法違規(guī)采集���、存儲����、使用和處理學校各類個人信息���。
第十八條 信息技術中心負責組織開展學校網絡安全技術培訓工作����,各部門應安排專人參加���,并在本部門開展培訓�,共同提高全校教職工的網絡安全防范意識和水平��,培養(yǎng)良好的網絡安全素養(yǎng)�。
第十九條 學校每年提供必要的網絡安全建設資金支持信息技術中心開展網絡安全定級備案�����、等級保護測評、重要時期安全護網�����、安全設備更新等工作��。
第四章 監(jiān)測與處置
第二十條 信息技術中心負責學?����;A性����、通用性信息化設施和軟件平臺及業(yè)務系統(tǒng)的網絡安全監(jiān)測和管理;各部門負責本部門管理和使用的信息化設施和軟件平臺及業(yè)務系統(tǒng)的監(jiān)測和管理�;各部門負責配合信息技術中心開展全校網絡安全監(jiān)測、值守和應急演練等工作���,做到早發(fā)現(xiàn)��、早報告����、早控制、早解決�。
第二十一條 各部門應按照學校“信息技術安全事件報告與處置流程”(見附件1)的要求,做好信息安全事件的報告與處置工作���。
第五章 責任追究
第二十二條 對于違反本辦法及相關網絡安全制度的部門及個人����,取消當年評優(yōu)資格�;對于違反本辦法而發(fā)生的信息安全事件的處理及安全責任的認定,應提交領導小組處理�。
第二十三條 對于違反法律、法規(guī)�����,造成國家����、學校或個人損失的�,學校將依法配合公安部門進行處理。
第六章 附則
第二十四條 本辦法為學校網絡安全建設和管理的基本規(guī)定�����,學校其他涉及網絡安全的規(guī)定應以本辦法為依據,如有不同之處以本辦法為準��。
第二十五條 本辦法所指網絡安全不涉及信息內容安全����、網絡輿情安全����、涉密信息系統(tǒng)安全等,其管理由學校相關部門另行規(guī)定�。
第二十六條 本辦法由學校網信辦負責解釋和修訂,自發(fā)布之日起開始執(zhí)行�����。
附件:
1.遼寧開放大學(遼寧裝備制造職業(yè)技術學院)信息技術安全事件報告與處置流程(試行)
1.1.信息安全技術-信息安全事件分類分級指南
1.2.信息技術安全事件情況報告
1.3.信息技術安全事件整改報告
