信息技术安全工作管理办法.docx

《信息技术安全工作管理办法.docx》由会员分享，可在线阅读，更多相关《信息技术安全工作管理办法.docx（7页珍藏版）》请在第一文库网上搜索。

1、信息技术安全工作管理办法第一章总则第一条为全面加强学校网络与信息安全管理，保证网络与信息系统持续稳定可靠运行，防范各种网络攻击和破坏行为，保障学校工作有序开展，根据中华人民共和国网络安全法中华人民共和国数据安全法教育部关于加强教育行业网络与信息安全工作的指导意见等法规和文件精神，并结合学校实际，制定本办法。第二条信息技术安全工作遵循“谁主管谁负责，谁运维谁负责，谁使用谁负责”的原则，建立健全网络与信息安全责任体系，学校各二级单位和全体师生员工应遵行本办法要求及学校相关规范要求，履行网络与信息系统安全的义务和责任。第三条信息技术安全，包括由学校建设、运行、维护或者管理的校园计算机网络与信息系统（

2、含网站）的运行安全和信息内容的安全。本办法适用于学校所有网络与信息系统。第二章组织机构与职责第四条网络安全和信息化领导小组全面负责全校网络与信息安全工作。学校主要负责人是学校网络与信息安全的第一责任人，分管信息化工作的校领导协助主要负责人履行学校网络与信息安全责任。网络安全和信息化领导小组办公室（以下简称“网信办”）负责协调全校网络与信息安全管理、检查、通报和应急处置等管理事项。第五条信息化办公室（以下简称“信息办”）负责校园网络与信息系统安全基础设施建设；开展安全监测预警、入网登记、网络安全等级保护测评、端口管理等日常安全工作；保障学校网络和信息安全，对突发网络安全事件进行技术应急处置；按照

3、上级要求，在不同时段开展安全值守与监控、安全监测与检查、安全培训与演练。党委宣传部负责网络信息内容的安全审查，负责校园网络舆情信息的监控和管理，开展网上疏导和正面宣传工作。第六条各二级单位负责本单位所辖网络与信息系统的安全。各二级单位主要负责人是本单位网络安全和信息化工作第一责任人，与学校签订网络与信息安全责任书，负责落实本单位网络与信息系统的安全工作。各二级单位指定专人担任本单位网络与信息安全员，具体负责本单位及下属单位的网络与信息安全管理工作。信息系统通过外包服务方式进行维护的，本单位需负责督促外包服务单位做好安全运维和保密工作。第三章网络安全管理第七条师生员工接入校园网实行实名认证管理，

4、有线网、无线网等终端设备采用统一身份账号认证上网，个人均须对网络账号安全使用负责。二级单位申请使用静态IP地址、域名、系统端口、虚拟服务器、网站群等网络和信息资源时按规定流程审批，IT资源在保证安全的基础上进行统一分配，由信息办按照校园网管理办法进行管理。检查、通报和应急处置等管理事项。第五条信息化办公室（以下简称“信息办”）负责校园网络与信息系统安全基础设施建设；开展安全监测预警、入网登记、网络安全等级保护测评、端口管理等日常安全工作；保障学校网络和信息安全，对突发网络安全事件进行技术应急处置；按照上级要求，在不同时段开展安全值守与监控、安全监测与检查、安全培训与演练。党委宣传部负责网络信息

5、内容的安全审查，负责校园网络舆情信息的监控和管理，开展网上疏导和正面宣传工作。第六条各二级单位负责本单位所辖网络与信息系统的安全。各二级单位主要负责人是本单位网络安全和信息化工作第一责任人，与学校签订网络与信息安全责任书，负责落实本单位网络与信息系统的安全工作。各二级单位指定专人担任本单位网络与信息安全员，具体负责本单位及下属单位的网络与信息安全管理工作。信息系统通过外包服务方式进行维护的，本单位需负责督促外包服务单位做好安全运维和保密工作。第三章网络安全管理第七条师生员工接入校园网实行实名认证管理，有线网、无线网等终端设备采用统一身份账号认证上网，个人均须对网络账号安全使用负责。二级单位申请

6、使用静态IP地址、域名、系统端口、虚拟服务器、网站群等网络和信息资源时按规定流程审批，IT资源在保证安全的基础上进行统一分配，由信息办按照校园网管理办法进行管理。第八条学校各单位在数据的采集、存储、交换和共享时须符合数据管理办法的相关要求和规定。第九条各二级单位依托校园网或学校上级主管单位（教育部或上海市教委）系统平台开展信息系统建设，必须制定相应的二级单位网络与信息安全管理制度，明确安全责任和管理职责。凡涉及学校基础数据、师生员工个人信息或敏感信息的信息系统，要求部署在校内。如因特殊原因需部署在校外，建设单位须到网信办办理申请、备案、审批流程，提交安全等级保护测评报告等相关资料，建设单位承担

7、网络安全主体责任。第十条尽可能选用自主可控和国产可替代网络与信息系统的软、硬件，保障网络与信息系统核心设备的供应链安全。第四章网络安全防护第十一条为加强校级网络和信息系统安全基础设施建设，学校保障资金和人员投入，不断提高安全防范等级，提升网络与信息安全的预测、预警和网络远程管控能力，提高学校针对突发安全事件处理的及时性和有效性。第十二条信息办定期组织网络与信息安全应急演练，评估并适时组织网络安全事件应急预案修订。学校各二级单位应组织开展网络与信息安全应急预案的宣传、教育和培训，确保相关人员熟悉应急预案。第十三条一旦出现网络安全事件，学校即刻启动网络安全应急预案，学校各单位应按照网络安全事件应急

8、预案进行报告与处置，做好事发紧急报告与处置、事中情况报告与处置和事后整改报告与处置工作。第十四条信息办负责组建学校网络与信息安全相关工作小组，完善24小时应急值守制度，保障日常网络安全；做好重要时段对外开放的校级平台和信息系统7x24小时安全保障值守和安全监控、平安上报。二级单位在重要时段需对外开放的信息系统，由信息办按照上级要求落实报备等相关管理工作，二级单位遵照执行。第十五条学校定期开展网络与信息安全培训、普及网络与信息安全知识，提高安全防护水平。党委宣传部通过不同媒介开展网络与信息安全宣传，提高全校教职工和学生的网络安全防范意识。第十六条各二级单位对已建、在用的信息系统安全负责，建立本单

9、位信息安全巡查机制，做到安全事件早发现、早报告、早处置。严防入侵、篡改、泄露等事件发生，一旦发现网络与信息系统安全事件，须在第一时间向信息办报告。第五章信息系统和网站建设、运维管理和防护第十七条信息办负责制定学校信息系统项目规划、顶层设计，统筹学校信息化建设经费的使用。学校各单位依据信息化建设项目暂行管理办法开展信息化项目建设工作。第十八条各二级单位新建、在建信息系统，应当在规划、设计、部署等阶段同步落实网络与信息安全保障措施。签订合同时必须包括以下内容：（一）遵守数据管理办法中相关的数据安全及隐私保护条例；（二）基础数据必须符合学校信息规范标准，标准代码必须使用学校的“统一代码表”；（三）业

10、务信息系统必须与学校统一身份认证、公共数据中心、服务大厅、企业微信、统一通讯平台等校级平台实现无缝集成与对接。新系统上线前，建设方需提交符合相关格式要求的数据库结构文档、部署文档、需求文档等材料；（四）提供第三方安全检测机构出具的检测报告，开展相关等保测评工作。学校非涉密信息系统需备案登记并由信息办审核评估通过后方可上线。涉密信息系统不得接入校园网络。第十九条对于学校公共平台和二级单位信息（网站）系统，依照信息安全等级保护管理办法和信息安全技术：网络安全等级保护基本要求等国家信息系统安全等级保护（以下简称“等保”）的管理规定，按照同步规划、同步建设、同步运行的原则，建立健全信息技术安全防护体系

11、，全面实施信息系统安全等级保护制度。信息办是信息系统安全等级保护工作的技术支撑保障部门，负责信息技术安全防护体系建设和等级测评组织工作，参与监督检查工作，并协助学校各单位进行系统定级、备案、测评、建设整改和监督审查等相关等保工作。按照“自主定级、自主保护”的原则，信息系统建设单位是信息系统安全等级保护的责任主体，具体负责系统定级、建设整改、安全自查、协助备案和等级测评并接受有关部门监督检查。第二十条学校各二级单位开设网站，应使用学校域名和工P地址，优先选择学校网站群平台，网站群平台不能满足需求时，可委托其他供应商管理。网站群平台由信息办统一建设并维护。未纳入学校网站集群平台的网站，其技术安全由

12、网站开办单位负责。第二十一条网站内容安全由网站开办单位负责，网站开办单位应建立完善的网站信息发布与审核制度，确定负责内容审核和发布人员名单，明确审核与发布程序，保存相关操作记录。网站应建立网站值守制度，制订应急处置流程，专人对网站进行监测，发现网站运行异常及时处置。定期对网站内容和外链进行检查，对于无人管理、长期不更新的网站，开办单位应及时关闭网站以降低安全风险。第六章终端设备和存储介质安全管理第二十二条终端计算机是指由学校师生员工使用并从事学校教学、科研、管理等活动的各类计算机及附属设备，包括台式电脑、笔记本电脑及其他移动终端。存储介质是指存储数据的载体，主要包括硬盘、存储阵列、磁带库等不可

13、移动存储介质，以及移动硬盘、U盘等可移动存储介质。第二十三条终端计算机使用人按照，谁使用，谁负责”的原则，对其终端计算机负有保管和安全使用的责任，安装、运行的软件须为正版软件。在终端计算机上使用盗版软件带来的安全和法律责任由终端计算机使用人承担。非涉密计算机不得存储和处理涉密信息。第二十四条终端计算机使用人应做好终端计算机的安全防范，如发现终端计算机出现可能由病毒或攻击导致的异常系统行为或其他安全问题，应立即断网并进行处置。第二十五条学校关键核心应用的存储阵列、磁带库等大容量介质由信息办统一运行、维护和管理，应采取必要技术措施防范数据泄漏风险，确保存储数据安全。第二十六条学校各单位应建立移动介

14、质管理制度，记录介质领用、交回、维修、报废、损毁等情况。介质使用人按照“谁使用，谁负责”的原则，对其移动介质负有保管和安全使用的责任。介质使用人应注意移动存储介质的内容管理，对送出维修或销毁的介质应事先清除敏感信息。第二十七条移动存储介质在接入终端计算机和信息系统前，应当查杀病毒、木马等恶意代码。第二十八条非涉密移动存储介质不得用于存储涉密信息，不得在涉密计算机上使用。第七章人员安全管理第二十九条学校各二级单位应建立健全本单位的岗位信息安全责任制度，明确岗位及人员的信息安全责任。关键岗位的计算机使用和管理人员应签订信息安全与保密协议，明确信息安与保密要求和责任。第三十条学校各单位应加强人员离岗

15、、离职管理，严格规范人员离岗、离职过程，及时终止相关人员的所有访问权限，收回学校提供的软硬件设备。第三十一条学校各单位应定期对信息技术安全岗位的人员进行安全知识和技能的考核，并对考核结果进行记录和保存。第三十二条学校各单位应建立外部人员访问机房等重要区域的审批制度，外部人员须经审批后方可进入，并安排工作人员现场陪同，对访问活动进行记录和保存。第八章外包服务安全管理第三十三条外包服务需求单位应与信息技术外包服务提供商签订服务合同和信息安全与保密协议，明确信息安全与保密责任，要求服务提供商不得将服务转包，不得泄露、扩散、转让服务过程中获知的敏感信息，不得占有服务过程中产生的任何信息资产，不得以服务为由强制要求委托方购买、使用指定产品。第三十四条为了保障外包信息系统的安全稳定运行，外包服务单位应与学校签订信息系统运维安全责任书，报信息办审核备案，外包单位应配合需求单位提供相关验收文档、及时做好操作系统补丁更新、软件升级、漏洞修复、等保测评整改等服务。第三十五条信息办