第一章 总 则
第一条 为做好我校网络与信息安全工作,提高网络与信息安全防护能力和水平,保障我校各项事业健康有序地发展,根据《中华人民共和国网络安全法》《中华人民共和国保守国家秘密法》《计算机信息系统国际互联网保密管理规定》等有关法律法规和《济南工程职业技术学院网络信息安全管理办法》(济工院字[2018]10号),结合我校工作实际,特制定本办法。
第二章 网络信息安全责任人制度
第二条 学校党政主要负责人为学校网络与信息安全第一责任人,分管校领导为网络与信息安全主要责任人,学校网络安全和信息化领导小组办公室主任为直接负责的主管责任人,学校网络安全联系人为具体责任人。
第三条 学校各单位(部门)的党政负责人是本单位(部门)网络与信息安全的第一责任人,本单位(部门)分管此项工作的领导为主要责任人,信息管理员为具体责任人。
第三章网络安全等级保护制度
第四条 学校网络安全等级保护执行国家网络安全等级保护制度2.0标准。网络安全等级保护的工作流程主要包括定级、备案、安全建设、等级测评、监督检查五个阶段。
第五条 各单位(部门)在信息技术中心的指导下确定网络安全等级保护工作的作用对象(主要包括网络基础设施、重要信息系统、网站、大数据中心、云计算平台、物联网、公众服务平台等),由信息技术中心依据定级指南的要求进行定级,并对二级以上(含二级)的等保对象向当地网安部门办理备案手续。
第六条 信息技术中心定期对二级以上(含二级)的等保对象进行等级测评工作。根据测评结果,对不符合要求的等保对象,由归属单位限期整改到位。
第七条 学校将网络安全等级保护建设、测评、培训等各项费用纳入年度预算,每年度按网络安全等级保护制度要求开展相关工作。
第四章基础设施及联网设备管理制度
第八条 任何单位和个人不得私自变动所有已入网的设备和线路,如有更动必须办理手续,经信息技术中心负责人批准后,才能更改网络的物理状况,重要更改必须报学校分管领导批准。
第九条 任何单位和个人、不得利用联网计算机从事危害校园网及本地局域网服务器、工作站的活动,不得危害或侵入未授权的服务器、工作站。
第十条 信息技术中心数据中心机房是重点安全保护场,严格出入制度和安全制度,未经信息技术中心负责人同意,非工作人员任何人不得擅自入内。
第十一条 各单位(部门)的公用机房和公用上网计算机要严格管理,对所有联网计算机及上网人员要及时、准确登记备案。公用机房上网人员必须出示有效证件,机房工作人员记录上网人员身份和上下网时间、机号、机器IP地址。公用机房使用网络的记录保持时间不得低于6个月。
第十二条 在建筑物管线设计过程中,相关部门应征求信息技术中心对光缆铺设的意见,图纸设计方案须经信息技术中心认定;在拆迁、维修校内建筑物以及修缮道路时,应通知信息技术中心有关人员参与,以保护光缆的安全。校园内任何施工单位和个人不得破坏网络设施,对损坏网络设施的单位或个人学校将追究责任,依法依规处理。
第五章网络信息监控与上报制度
第十三条 校园网的各类软件与信息数据要实行分级保密措施,可分级为:(1)可向Internet公开的;(2)可向校内公开的;(3)可向本部门(单位)公开的;(4)可向有关单位或个人公开的;(5)仅限于本单位内使用的;(6)仅限于个人使用的。
第十四条 信息技术中心作为落实网络安全和信息化管理制度与技术规范的职能部门,负责监控、封堵、清除网上有害信息。为了有效地防范网上非法活动,校园网统一出口管理、统一用户管理,进出校园网访问信息均须使用信息技术中心提供的统一服务。任何单位和个人一律不得私自向电信商服务提供商申请出口或其他代理服务。
第十五条 所有信息系统服务器必须保持日志记录功能,历史记录保持时间不得低于6个月。信息技术中心不定期地检查各开通服务器日志记录。
第十六条 信息技术中心以外的其他单位和个人不得以任何方式登录进入校园网主、辅节点、服务器等设备进行修改、设置、删除等操作;任何单位和个人不得以任何借口盗窃、破坏网络设施,这些行为被视为对校园网安全运行的破坏行为。
第十七条 任何单位和个人不得在校园网及其联网计算机上传播危害国家安全的信息、录阅传播淫秽、色情等非法资料。
第十八条 任何单位和个人严禁在校园网上使用来历不明、引发病毒传染的软件。对于来历不明的可能引起计算机病毒的软件,应使用由信息技术中心提供的杀毒软件进行查杀,并及时向信息技术中心进行报告。
第六章账号专用和系统权限管理制度
第十九条 需要接入校园网的单位和个人应到信息技术中心办理登记手续,并签署相关的安全协议,自觉遵守有关规定。任何单位和个人未经允许不得擅自接入校园网。
第二十条 校园网各类服务器中开设的账户和口令为个人用户所拥有,信息技术中心对用户口令保密,不得向任何单位和个人提供。
第二十一条 用户对个人的口令、账号保密,并确保符合密码复杂度的要求,因本人不慎被他人盗用,后果自负。用户不得利用各种网络设备或软件技术从事用户账户及口令的侦听、盗用活动,干扰其他用户,该活动被认为是对网络用户权益的侵犯。用户不得非法进入未经授权的网络系统。
第二十二条 任何单位和个人都不得盗用他人IP地址上网,不得私设代理服务器,一经发现将视情节轻重报学校网络安全和信息化领导小组处理。
第二十三条 任何单位和个人不得利用网络私自进行有商业行为的活动,必须遵纪守法,严守国家机密,接受配合国家安全部门的监督检查。
第二十四条 为确保校园网的正常运行与安全,信息技术中心有权对校园网内结点采取必要的技术措施。因不可抗拒的因素(对外线路、设备故障)造成信息延误或损失,用户不得要求信息技术中心承担责任。
第七章案件报告和协助查证制度
第二十五条 校园网主、辅节点设备及服务器遭到攻击后,信息技术中心必须立即向学校网络安全和信息化领导小组报告,行为一经查实,学校网络安全和信息化领导小组将根据相关规定对有关责任人,视情节给予相应的处理;造成重大影响和损失的将向市公安部门报告,由个人依法承担相关责任。
第二十六条 违反有关规定在校园网上进行侦听、盗用行为一经查实,将提请学校给予责任人行政处分,并在校园网上公布;对他人造成经济损失的,按有关规定由责任人赔偿受害人损失,关闭其拥有的各类服务账号;行为恶劣、影响面大、造成他人重大损失的,将向公安部门报案。
第二十七条 受到干扰及破坏的联网设备,工作人员应保留现场,积极配合相关部门的调查取证,公用上网机房需提供完整的上网记录。
第八章网络信息安全责任追究制度
第二十八条 网络安全事故责任认定实行“谁主管谁负责、谁使用谁负责”的原则。
第二十九条 发生网络安全事故后,应根据安全事件造成的影响及相关责任主体的态度进行处理。
第三十条 责任追究应当坚持公平公正、有责必究、过罚相当、教育与惩戒相结合的原则。责任追究过程采用层层负责制,下级责任追究主体对上级责任追究主体负责。
第三十一条 对网络与信息安全事故的调查和对事故责任的初步定性由学校网络安全和信息化领导小组办公室及相应的主管部门共同负责,并对调查报告进行审核。
第三十二条 对责任主体的处理,由学校网络安全和信息化领导小组决定。对责任主体的责任追究决定的执行,由学校纪检、组织、人事、财务等职能部门分别负责实施。
第九章其他
第三十三条 本办法自公布之日起施行,由信息技术中心负责解释。