第一章 总 则
第一条 为提高网络与信息安全防护能力和水平,保证学校网络与信息安全工作顺利进行,现根据《中华人民共和国网络安全法》以及《教育部关于加强教育行业网络与信息安全工作的指导意见》,并结合学校工作实际,特制定本办法。
第二条 本管理办法所指的网络与信息安全工作是指为保障学校信息化建设相关的基础设施、信息系统及数据的完整性、可用性及保密性,而采取的安全检测、防护、处置等措施,以及相关标准规范、管理制度的制定等。网络安全涉及的涉密安全等部分,不在本办法管理范畴内,由学校相关部门根据相关规定进行管理。
第二章 管理体制与工作职责
第三条 学校网络安全和信息化领导小组是我校信息化建设与管理工作的最高领导与决策机构,其下设网络安全和信息化工作小组。工作小组办公室设在信息化建设与管理处。
第四条 学校网络安全和信息化领导小组的主要职责
(一)审议学校网络安全和信息化建设中长期发展规划;
(二)审议学校网络安全和信息化建设规章制度;
(三)审议网络安全和信息化建设部门职责及考核机制;
(四)定期召开工作例会,对学校网络安全和信息化建设中的重大事项进行研究决策。
第五条 学校网络安全和信息化工作小组的主要职责
(一)在领导小组的领导下,定期召集工作会议,对学校网络安全和信息化重大问题进行调研论证并向领导小组提出对策建议;
(二)负责制定学校网络安全和信息化建设规划、标准规范和管理办法等并组织实施;
(三)负责学校各单位网络安全和信息化工作落实情况的考核;
(四)承办领导小组交办的其他工作。
第六条 党委宣传部负责意识形态和网络信息内容的监管,校园网络舆情的监控和处置,网上疏导和正面宣传。在学校主网站上发布全校性重要信息必须经党委宣传部审核后方可发布。
第七条 信息化建设与管理处负责校内网络与信息安全工作的指导、监督和培训工作;负责学校网络与信息系统的日常管理和维护,保障网络与信息系统的正常运行;保存网络运行日志,配合调查取证;负责入网审核与登记手续,并签署相应的安全责任书。
第八条 保卫(处)部负责对网络违规行为进行调查、取证、处理,根据相关证据及事态影响或破坏程度,对违规者按照有关规定进行处理。
第九条 按照“谁主管谁负责,谁主办谁负责,谁使用谁负责”原则,学校各职能部门及二级学院党政一把手为本部门网络安全的第一责任人。应将网络安全和信息化工作应列入单位年度工作计划。分管院(部门)领导具体负责本单位信息安全工作,监督本部门严格按照学校网络安全相关规章制度执行信息管理工作;院(部门)网络与信息系统管理员负责相关业务系统数据和网站信息的更新、维护和安全工作。信息系统的主管部门承担安全监管责任,包括内容安全监管、技术安全保障和监督检查等职责;院(部门)网络与信息系统通过外包服务方式进行维护的,主管部门负责督促外包服务单位做好安全运维工作,网络与信息系统的安全监管责任主体仍为主管部门。
第三章 网络安全
第十条 校园网络和信息系统接入互联网必须采取防火墙、身份认证、安全审计、病毒防护及入侵检测等安全技术手段。校内互联网接入由信息化建设与管理处统一管理,包括IP 地址、域名及网络账号等。
第十一条 各部门自建局域网的立项计划需报信息化建设与管理处审核、会签;购买接入校园网络的网络设备、服务器、存储等设备须符合校园网接入标准;施工过程中应主动接受信息化建设与管理处的技术监督和检查,完工后应提交测试报告和验收文档,验收合格后方可接入校园网。
第十二条 任何部门和个人不得利用联网计算机从事危害校园网路由器、交换机、服务器、网络管理工作站的活动;未经信息化办公室授权,不得擅自安装、拆卸或更换网络设备、线路等网络设施,不得对校园网络设备的设置进行修改、删除等操作。
第十三条 校园网用户须对自己的统一身份认证账号加强管理,账号所有者负有管理责任。
第四章 内容与信息系统安全
第十四条 学校各部门负责其主管信息系统或网站的信息安全、业务系统的权限管理安全和系统内的数据安全,做好漏洞修补、数据维护、安全巡检以及必要的数据备份和归档工作。
第十五条 校内各类信息系统建设需在信息化建设与管理处备案,立项、建设、运行全过程应遵循相关管理制度和安全规范。
第十六条 校内各类信息系统原则上应使用学校域名,将软硬件安置在校内,并登记备案。系统上线之前,应当向信息化建设与管理处提交安全检测报告后方可开通访问权限。
第十七条 对于特殊用途使用非学校域名或在非校园网(即独立网络)环境中建设的信息系统,需经网络安全和信息化领导小组审核后单独备案。部署在校外的网络和信息系统,安全监管责任主体仍为主管部门。
第十八条 校内各二级部门、各级群团组织、各学生团体组织的微博、微信、QQ空间、贴吧、新媒体账号应到党委宣传部报备批准。未经许可,任何部门或个人不得以冠有“南京医科大学”或“南医大”中外文字样的任何名义开通信息发布、论坛、聊天室、博客、微博、微信等公众信息服务系统。
第十九条 校园网用户有维护校园网信息安全的责任和义务,一旦在校园网上发现不良信息,应及时向党委宣传部举报。对学校网站、二级网站、各种互动版块出现涉及意识形态安全和相关校园舆情的不良信息,各部门网络信息员根据国家相关法律、管理制度、技术规范以及学校规定,及时取证和删除。
第二十条 在校园网络上严禁制作、查阅、复制或传播下列信息:
(一)煽动抗拒、破坏宪法和国家法律、行政法规实施的;
(二)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
(三)损害国家荣誉和利益的;
(四)煽动仇恨、民族歧视,破坏民族团结,或者侵害民族风俗习惯的;
(五)宣扬恐怖主义、邪教、封建迷信,违反国家宗教政策的;
(六)捏造或者歪曲事实,散布谣言,扰乱社会秩序,破坏社会稳定的;
(七)侮辱他人或者捏造事实诽谤他人的;
(八)含有淫秽、色情、赌博、暴力、欺诈等内容的;
(九)含有其他违反法律、法规等内容的。
第二十一条 学校主站、各二级网站应在统一的网站群系统上建设,并指定专人负责其管理和维护。各部门申请网站、域名应在信息化建设与管理处申请备案。网站不得用于申请目的以外的其他用途。
第二十二条 各网站责任部门要加强网络信息发布管理,严格审核信息发布内容。在进行内容审核时,重点审核信息来源是否符合要求、有无涉密敏感信息、是否涉及其他部门或个人隐私、内容是否完整准确、发布时机是否适宜等。
第五章 数据安全
第二十三条 信息化建设与管理处是南京医科大学数据归口管理的责任部门,负责学校统一数据平台建立及管理,根据全校应用系统的数据需求,规划数据库结构和内容,统一异构数据源,对外提供统一的访问接口和数据服务。
第二十四条 数据使用部门需根据自己的需求向数据生产部门提出数据使用申请,获得数据生产部门批准后由信息化建设与管理处提供数据交换接口给数据使用部门。数据交换应由信息化建设与管理处通过自动接口线上完成,不允许系统之间通过线下文件传输。数据使用部门有义务保护数据的隐秘性,不得将数据信息用于申请用途外的活动。
第二十五条 未经批准,任何部门和个人不得擅自提供信息系统的内部数据。对于违反规定、非法披露、提供数据的部门和个人,应依照相关规定予以处罚。
第六章 网络安全事件及处理
第二十六条 根据网络安全事件的性质,可分为紧急事件和普通事件。其中,紧急事件包括:网页发生篡改或被替换成非法信息的事件,影响学校系统正常运转的攻击事件,可能造成师生隐私信息被窃取、丢失、损坏的漏洞,其它可能对社会公共安全或学校造成危害或不良影响的事件或漏洞。普通事件包括:对校内网页发生无害篡改或有隐藏漏洞,影响不大的攻击事件或可能造成中低隐患的漏洞,其他不构成公共危害或社会不良影响的安全事件或漏洞。
第二十七条 网络信息安全事件应急响应流程如下:
(一)信息化建设与管理处接到安全事件通报,通过沟通协调,结合技术手段,获取事件截图等相关证据,并对网站或系统进行屏蔽处理。
(二)信息化建设与管理处核实事件类别,启动处理流程。
(三)若为紧急事件,信息化办公室第一时间向网络安全和信息化工作小组通报,同时按照工作小组要求通报责任部门,并进行相关步骤的处理。
(四)信息化建设与管理处协同责任部门分析事件原因,并提供整改建议。
(五)责任部门对网站或信息系统进行安全修复,并提交整改报告。
(六)信息化建设与管理处对修复后的网站或信息系统进行安全复查,在三天内将事件处理情况录入上级部门系统,并在确认系统正常后,恢复网络访问。
(七)事件处理完成后,信息化建设与管理处将网络信息安全事件处理报告备案存档。
第二十八条 对于私自占用网络资源,破坏网络和信息系统,违反网络用户行为规范的行为,学校将根据事件涉及范围、严重程度,根据国家和学校相关规定进行处理。
第二十九条 对于因未尽职责或管理不善而造成严重后果的,将依法依规追究其相应责任。包括:
(一)中断网络连接;
(二)关闭网站或信息系统;
(三)警告并勒令改正;
(四)通报批评;
(五)情节严重的,给予相应处分;
(六)触犯国家有关法律法规的,移交公安、司法部门处理。
第七章 附则
第三十条 本办法由信息化建设与管理处负责解释。
第三十一条 本办法自公布之日起施行。