河北工业大学网络与信息安全管理办法

第一章  总

第一条 为加强学校网络与信息安全管理,提高我校网络与信息安全防护能力和水平,保障学校各项事业健康有序发展,根据《中华人民共和国网络安全法》、《教育部关于加强教育行业网络与信息安全工作的指导意见》(教技〔2014〕4 号)、《教育部 公安部关于全面推进教育行业信息安全等级保护工作的通知》(教技〔2015〕2 号)等文件要求,参照国际、国内网络与信息安全标准,结合我校实际,制定本办法。

第二条 本办法所称网络与信息安全工作,是指为使学校的网络和信息资产(信息及信息系统)的可靠性、可用性、机密性、完整性、不可抵赖性等得到保持、不被破坏所开展的相关管理和技术工作。

本办法所称学校各单位、部门包括机关各部、处、室,学院、直属教学单位,直属单位以及有关科研机构。

第三条  学校按照“谁主管谁负责、谁运维谁负责、谁使用谁负责” 的原则,建立健全网络与信息安全责任体系,学校各单位、部门及全体师生员工应依照本办法要求及学校相关标准规范履行网络与信息安全的义务和责任。

第二章  组织机构与职责

第四条 学校成立以学校党政主要负责人为组长,分管校领导为副组长,其他校领导为成员的学校网络安全与信息化工作领导小组,负责统一领导、统一谋划、统一部署全校网络安全和信息化建设,统筹制定网络安全和信息化发展规划和规章制度,研究解决网络安全和信息化重要问题。学校党政主要负责人是学校网络与信息安全的第一责任人,分管校领导协助主要负责人履行学校信息技术安全责任。

第五条 信息安全与技术服务中心是学校网络与信息安全归口管理部门,在学校网络安全与信息化工作领导小组的领导下,做好学校网络安全与信息化建设的各项工作。具体管理职责包括:

1、制定网络与信息安全总体规划,并组织实施;

2、拟定网络与信息安全管理规章制度,制定网络与信息安全标准规范;

3、组织开展学校信息系统安全等级保护工作;

4、负责网络与信息安全应急预案的制定,协调处理与政府网络与信息安全管理部门的关系;

5、负责网络与信息安全监督检查工作;

6、学校网络与信息安全的其他工作。

第六条 信息安全与技术服务中心同时是网络与信息安全技术支撑单位,负责学校网络与信息技术安全防护体系的建设、运行维护、技术指导和技术支持。

第七条 学校党委宣传部负责网络意识形态、信息内容安全的管理,负责全校新媒体发布和服务的管理。组织网络与信息安全宣传和教育培训工作;

第八条 学校办公室负责统筹协调校内各单位、部门的网络安全与信息化工作,负责协调网络安全事件应急处置和网络信息保密工作的管理。

第九条 学校安全工作处负责计算机网络违法事件、重大突发事件、网络公共安全的管理和紧急处置,并协助公安部门查处计算机网络违法犯罪案件。

第十条 学校其他部门根据部门职责负责相关的网络安全和信息化工作,保障学校网络安全和信息化工作协调进行。

第十一条 学校各单位、部门是本单位、部门的网络安全和信息化工作的责任主体,各单位、部门主要负责人是本单位、部门网络安全和信息化工作第一责任人,负责按本办法落实网络信息技术安全工作。学校各单位、部门应指定专人(信息化专干)负责本单位、部门的网络安全和信息化工作。

第三章 校园网络管理

第十二条 校园网络是指校园范围内连接各种信息系统及信息终端的计算机网络,包括校园有线网络、无线网络和各种虚拟专网。

第十三条 校园网络规划由信息安全与技术服务中心制定,涉及光缆布线、网络机房、网络设备、网管系统、域名管理、安全防护、认证计费、网络接入与运维等方面,由信息安全与技术服务中心负责建设、运行、维护和管理。其中弱电地下管网的建设需报校园建设与管理处根据学校地下管网统一管理的原则进行审批、并纳入统一规划。学校所有基建、修缮工程应将工程范围内校园网络建设纳入工程设计、实施和竣工验收范畴,验收后交信息安全与技术服务中心进行运行维护。

第十四条 校园网络与互联网及其他公共信息网络实行逻辑隔离,由信息安全与技术服务中心统一出口、统一管理和统一防护。未经批准,学校各单位、部门在校园内不得擅自通过其他渠道接入互联网及其他公共信息网络。

第十五条 信息安全与技术服务中心应采取访问控制、安全审计、完整性检查、入侵防范、恶意代码防范等措施不断完善和加强校园网络边界防护。

第十六条 师生员工接入校园网络,实行“实名注册、认证上网”制度;网络接入实名管理制度由信息安全与技术服务中心负责实施。学校非涉密信息系统接入校园网络,实行接入审批和备案登记制度。涉密信息系统不得接入校园网络、互联网及其它公共信息网络。

第十七条 校园网络接入单位负责提供本单位所需的网络设备间和电源保障,协助解决网络布线和设备安装所需空间,负责安防和消防安全管理。

第十八条 严禁任何单位和个人利用校园网络及设施开展经营性活动。

第四章 网络信息服务管理

第十九条 网络信息服务是指所有通过河北工业大学校园网入网计算机,针对校内、校外非特定个人所提供的的信息检索、查询、获取、发布、传递、转发、交换、存储、代理、广播等信息服务和以河北工业大学(含所属单位、部门)的名义在校外互联网入网计算机上提供的上述信息服务。

第二十条 河北工业大学的网络信息服务,应当服务于学校的教学、科研、管理和社会服务工作,不得用于营利目的(相关企业除外),不得包含违法内容,不得影响校园网络的正常运行。

第二十一条 开展网络信息服务的单位、部门是该项服务的责任主体,开通前需依法取得国家相关部门的批准,使用校外服务平台(含免费平台)的要核实其服务资质并签署安全协议,使用校内资源的需要报信息安全与技术服务中心进行安全和技术审核。

第二十二条 校内各单位、部门开展网络信息服务必须报学校网络安全与信息化领导小组办公室备案,其中:使用校园网及数据中心资源的报信息安全与技术服务中心;使用校外平台的(含官方微博、微信公众号、企业号和其他信息服务平台)报党委宣传部。学校网络安全与信息化领导小组办公室负责汇总后向上级主管部门备案。

第五章 数据中心管理

第二十三条 数据中心主要包括支撑学校信息系统的物理环境(其中包含机房)、软硬件设备设施、云计算平台、学校中心数据库(其中包含基础数据库)、数据共享交换平台、统一身份认证平台及统一信息门户等信息化基础设施和平台。信息安全与技术服务中心负责数据中心的建设、运行、维护和管理。

第二十四条 信息安全与技术服务中心根据信息系统安全等级的不同,对数据中心进行分区、分域管理,采取必要的技术措施对不同等级分区进行防护、对不同安全域之间实施访问控制。

第二十五条 信息安全与技术服务中心负责学校中心数据库、数据共享交换平台的建设和安全管理,负责基础数据库与各单位、部门业务数据库之间数据交换和共享。各单位、部门负责建设、维护本单位业务应用系统所配套的业务数据库,并对本单位业务数据库及所申请的共享数据的安全负责。

第二十六条 统一身份认证平台为学校信息系统提供统一的身份管理、安全的认证机制、审计及标准接口。学校各单位、部门建设面向师生服务的应用系统时,应使用统一身份认证平台进行身份认证。信息安全与技术服务中心负责统一身份认证平台的安全,学校各单位、部门负责本单位应用系统的权限管理及安全。

第二十七条 原则上,学校各单位、部门应依托学校数据中心环境开展信息系统建设。需使用校外数据中心的,须报信息安全与技术服务中心审批。涉及学校基础数据、师生员工个人信息或其他敏感信息的信息系统,不得部署在校外数据中心。未经批准,严禁使用境外数据中心。

第二十八条 信息安全与技术服务中心对学校数据中心的使用实施准入管理,负责制定使用数据中心的技术规范和标准,在系统上线前进行安全检测。符合技术规范标准并检测通过的系统方可上线运行。

第二十九条 数据中心的使用单位应遵循数据中心相关管理制度和技术标准,按需申请、有序使用,不得利用数据中心资源从事任何与申请项目无关或危害网络信息及技术安全的活动。

第六章 信息系统建设、运行和维护管理

第三十条 学校按照同步规划、同步建设、同步运行的原则,规划、设计、建设、运行、管理信息安全设施,建立健全网络信息技术安全防护体系,全面实施信息系统安全等级保护制度。

第三十一条 信息安全与技术服务中心负责制定学校信息系统项目规划和顶层设计。学校各单位、部门根据本单位业务需求,提出信息系统建设申请,纳入学校规划的核心信息系统建设需求将获学校信息化建设经费的优先支持。

第三十二条 按照“自主定级、自主保护”的原则,信息系统建设单位是信息系统安全等级保护的责任主体,具体负责系统定级、建设整改、安全自查,协助系统备案、等级测评并接受有关部门监督检查。信息安全与技术服务中心负责统筹学校信息系统安全等级保护工作,组织学校各单位、部门开展信息系统定级、系统备案、等级测评、建设整改;并具体负责信息系统台账管理、等级评审、系统备案、技术安全防护体系建设、等级测评组织和监督检查工作。

第三十三条 信息系统在建设阶段应按已确定安全保护等级,同步落实安全保护措施。信息系统投入试运行后,由建设单位初步验收,出具初步验收报告。对于安全等级第二级以上(含第二级)的信息系统,由信息安全与技术服务中心组织等级测评。信息系统通过初步验收和信息安全保护等级测评后,由信息安全与技术服务中心组织竣工验收。

第三十四条 正式运行的安全等级第二级以上(含第二级)的信息系统,信息安全与技术服务中心将按照相应等级定期组织开展测评,查找、发现并及时整改安全问题、漏洞和隐患。根据国家和教育行业有关标准规范,四级系统应每年进行两次测评,三级系统每年进行一次测评,二级系统每两年进行一次测评。

第三十五条 信息系统开发环境、测试环境和运行环境应严格隔离,信息安全与技术服务中心负责上述环境的建设、运行、维护和管理。

第三十六条 学校鼓励建设单位优先采购安全可靠、技术成熟和服务优质的成品软件用于信息系统建设。没有相应成品软件或成品软件不适应实际需求的,可按照学校采购与招标相关管理办法和程序,委托资质和信誉良好的软件开发商开发。

第三十七条 信息系统建设单位应定期对终端计算机和承担网络与信息系统运行的关键设备(服务器、安全设备、网络设备)进行安全审计,通过记录、检查系统和用户活动信息,及时发现系统漏洞,处置异常访问和操作。

第三十八条 信息系统建设单位应制定信息系统使用与维护的管理制度,规范信息系统使用者和维护者的操作行为。涉及重要业务或大量师生员工信息的核心信息系统以及安全等级第二级以上(含第二级)的信息系统,原则上应存放在学校数据中心机房,由网络与信息技术中心统一组织维护。

第七章 信息系统数据安全管理

第三十九条 信息系统数据是指信息系统收集、存储、传输、处理和产生的各种电子数据,包括但不限于网站内容、业务数据、 网络课程、图书资源、日志记录、视频监控数据和其他校内物联网传感器收集的信息等。

第四十条 信息系统数据的所有者是数据安全管理的责任主体,应当落实管理和技术措施,规范数据的收集、存储、传输和使用,应用系统数据原则上不能存储在校外网盘或云盘上,特殊需要应签署相应协议,确保数据安全。

第四十一条 信息系统数据收集应遵循“最少够用”原则,不得收集与信息系统业务服务无关的个人信息,进行个人信息收集前应告知并征得本人同意。按照“谁收集,谁负责”的原则,收集个人信息的单位是个人信息保护的责任主体,应当对其收集的个人信息严格保密,并建立健全相关保护制度。

第四十二条 信息安全与技术服务中心负责学校核心信息系统的备份与恢复管理;各应用系统的主管单位负责应用系统的备份与恢复管理。包括制订备份与恢复计划,根据业务实际需要对重要数据和信息系统进行备份,定期测试备份与恢复计划,并确保备份数据和备用资源的有效性。

第八章 互联网网站安全管理

第四十三条 学校各单位、部门开办互联网网站,应使用学校互联网域名和互联网 IP 地址,并遵守《河北工业大学互联网网站管理办法》 及相关规章制度。

第四十四条 信息安全与技术服务中心统一建设学校网站集群平台并负责纳入该平台网站的技术安全。未纳入学校网站集群平台的网站,其技术安全由网站开办单位负责。

第四十五条 学校各单位、部门开办互联网网站应优先选择学校网站集群平台,集群平台不能满足需求时可委托其他供应商管理。网站投入试运行后,通过信息安全与技术服务中心组织的安全检查方可正式上线。

第四十六条 互联网网站运行维护单位应建立网站值守制度, 制订应急处置流程,组织专人对网站进行监测,发现网站运行异常及时处置。

第四十七条 互联网网站的内容安全由网站开办单位负责。 互联网网站开办单位应建立完善的网站信息发布与审核制度,确定负责内容编辑、内容审核、内容发布的人员名单,明确审核与 发布程序,保存相关操作记录。

第四十八条 原则上,学校各单位、部门不得提供电子公告服务。 确有需要,经批准备案后方能提供电子公告服务。提供电子公告服务的互联网网站开办单位承担电子公告服务内容管理的主体责任,并按国家有关规定落实专项安全管理和技术措施。

第四十九条 对于使用频度不大、阶段性使用的网站,互联网网站开办单位可采取非工作时间或寒暑假、节假日关闭的方式运行。对于无人管理、无力维护、长期不更新的网站,互联网网站开办单位应关闭网站以降低安全风险。

第九章 电子邮件安全管理

第五十条 信息安全与技术服务中心为学校各单位、部门和师生员工提供电子邮箱,并负责学校电子邮件的安全管理。学校各单位、部门及师生员工使用学校电子邮箱应遵守学校电子邮箱管理等相关规章制度。

第五十一条 信息安全与技术服务中心应采取必要的技术和管理措施,加强电子邮件系统安全防护,减少垃圾邮件、病毒邮件侵袭。

第五十二条 师生员工须对使用其电子邮箱帐号开展的所有活动负责,应妥善保管本人使用的电子邮箱账号和密码,确保密码具有一定强度并定期更换。

师生员工如发现他人未经许可使用其电子邮箱,应立即通知信息安全与技术服务中心处理。

第十章 终端计算机安全管理

第五十三条 终端计算机是指由学校师生员工使用并从事学校教学、科研、管理等活动的各类计算机及附属设备,包括台式电脑、笔记本电脑及其他移动终端。

第五十四条 终端计算机使用人按照“谁使用,谁负责”的原 则,对其终端计算机负有保管和安全使用的责任。信息安全与技术服务中心对终端计算机的安全管理提供技术支持和指导。

第五十五条 信息安全与技术服务中心建立终端计算机统一管理平台,实现常用正版软件下载分发、系统补丁安装、病毒软件安装升级及漏洞管理等功能。

第五十六条 终端计算机设备上安装、运行的软件须为正版软件。在终端计算机上使用盗版软件带来的安全和法律责任由终端计算机使用人承担。

第五十七条 终端计算机应当设置系统登录账号和密码,禁止自动登录,登录密码应具有一定强度并定期更改。

第五十八条 终端计算机使用人应做好数据日常管理和保护,定期进行数据备份。非涉密计算机不得存储和处理涉密信息。

第五十九条 终端计算机使用人应做好终端计算机的安全防范,如发现终端计算机出现可能由病毒或攻击导致的异常系统行为或其他安全问题,应立即断网后进行处置。

第六十条 终端计算机使用人应对终端计算机妥善保管。 若发生损坏丢失,按学校仪器设备相关管理规定处理。

第十一章 存储介质安全管理

第六十一条 存储介质是指存储数据的载体,主要包括硬盘、 存储阵列、磁带库等不可移动存储介质,以及移动硬盘、U 盘等可移动存储介质。

第六十二条 原则上,存储阵列、磁带库等大容量介质应托管在学校数据中心,并由信息安全与技术服务中心统一运行、维护和管理。信息安全与技术服务中心应采取必要技术措施防范数据泄漏风险,确保存储数据安全。

第六十三条 学校各单位、部门应建立移动介质管理制度,记录介质领用、交回、维修、报废、损毁等情况。介质使用人按照“谁使用,谁负责”的原则,对其移动存储介质负有保管和安全使用的责任。

第六十四条 非涉密移动存储介质不得用于存储涉密信息, 不得在涉密计算机上使用。

第六十五条 移动存储介质在接入终端计算机和信息系统前,应当查杀病毒、木马等恶意代码。

第六十六条 介质使用人应注意移动存储介质的内容管理, 对送出维修或销毁的介质应事先清除敏感信息。

第六十七条 信息安全与技术服务中心应配备必要的电子信息消除和销毁设备。存储介质履行必要的审批程序后,可由网络与 信息技术中心集中销毁。

第十二章 人员安全管理

第六十八条 学校各单位、部门应建立健全本单位的岗位信息安全责任制度,明确岗位及人员的信息安全责任。关键岗位的计算机使用和管理人员应签订信息安全与保密协议,明确信息安全与保密要求和责任。

第六十九条 学校各单位、部门应加强人员离岗、离职管理,严格规范人员离岗、离职过程,及时终止相关人员的所有访问权限, 收回各种身份证件、钥匙、徽章以及学校提供的软硬件设备,并签署安全保密承诺书。

第七十条 学校各单位、部门应定期对网络信息技术安全岗位的人 员进行安全知识和技能的考核,并对考核结果进行记录和保存。

第七十一条 学校各单位、部门应建立外部人员访问机房等重要区域的审批制度,外部人员须经审批后方可进入,并安排工作人员现场陪同,对访问活动进行记录和保存。

第十三章 外包服务安全管理

第七十二条 信息技术外包服务是指信息系统开发和运维的外包。

第七十三条 外包服务需求单位应与信息技术外包服务提供商签订服务合同和信息安全与保密协议,明确信息安全与保密责任,要求服务提供商不得将服务转包,不得泄露、扩散、转让服务过程中获知的个人信息及其他敏感信息,不得占有服务过程中产生的任何信息资产,不得以服务为由强制要求委托方购买、使用指定产品。信息技术外包服务合同和信息安全与保密协议应按学校合同管理办法的有关要求,报信息安全与技术服务中心审核。

第七十四条 信息技术现场服务过程中,外包服务需求单位应安排专人陪同,并详细记录服务过程。

第七十五条 外包开发的系统、软件上线应用前,外包服务需求单位应组织安全检查,要求开发方及时提供系统、软件的升级、漏洞等信息和相应服务。

第七十六条 信息安全与技术服务中心负责远程在线运维管理设备的统一购置、运维和管理。信息系统运维如需采用远程方式进行,必须通过远程在线运维管理设备统一进行管理。

第十四章 信息安全应急管理

第七十七条 学校办公室负责统筹、协调各单位、部门网络安全事件的应急管理,制定学校网络信息技术安全事件报告与处置流程。

第七十八条 信息安全与技术服务中心负责制订学校网络信息技术安全应急预案和学校信息安全应急工作的技术支撑和保障工作。若学校网络信息技术安全应急预案不能满足需求, 相关单位、部门应制订本单位、部门网络信息技术安全应急预案,网络信息技术安全应急预案修订后应及时报信息安全与技术服务中心备案。

第七十九条 信息安全与技术服务中心定期组织网络信息技术安全应急演练,评估并适时组织网络信息技术安全应急预案修订。学校各单位、部门应组织开展网络信息技术安全应急预案的宣传、教育和培训,确保相关人员熟悉应急预案。

第八十条 信息安全与技术服务中心负责组建学校信息安全应急技术支援队伍,完善24小时应急值守制度,提高信息安全事件的预防、预警和应对能力,预防和减轻信息安全事件造成的损失和危害。

第八十一条 学校各单位、部门应按照学校网络信息技术安全事件报告与处置流程,做好事发紧急报告与处置、事中情况报告与处置和事后整改报告与处置工作。做到安全事件早发现、早报告、早控制、早解决。

第八十二条 学校各单位、部门及师生员工均有义务及时向相关部门报告信息安全事件,不得在未授权情况下对外公布、尝试或利用所发现的安全漏洞或安全问题。

第十五章 信息安全教育培训

第八十三条 党委宣传部负责组织学校信息安全宣传和教育培训工作,建立健全相关制度。

第八十四条 信息安全与技术服务中心配合宣传部定期组织开展针对师生员工的信息安全教育,提高师生员工的安全和防范意识。

第八十五条 信息安全与技术服务中心定期开展针对信息安全管理人员和技术人员的专业技能培训,提高信息安全工作能力和水平。

第十六章 信息安全检查监督

第八十六条 学校各单位、部门定期对本单位信息系统的安全状况、 安全保护制度及措施的落实情况进行自查,并配合有关部门的信息安全检查、信息内容检查、保密检查与审批等工作。

第八十七条 信息安全与技术服务中心对学校各单位、部门的网络信息技术安全工作落实情况进行检查,对发现的问题下达限期整改通知书,责成相关单位制订整改方案并落实到位。

第八十八条 信息安全与技术服务中心对年度安全检查情况进行全面总结,按照要求完成检查报告并报有关信息安全主管部门。

第十七章 网络和信息技术安全责任追究

第八十九条 学校建立信息安全责任追究和倒查机制。

第九十条 有关单位在收到网络与信息安全限期整改通知书后应立即进行整改,整改不力的,学校给予通报批评;玩忽职守、失职渎职造成严重后果的,依纪依法追究主管人员和直接责任人员责任。

第九十一条 学校各单位、部门应按照网络信息技术安全事件报告与处置流程及时、如实地报告和妥善处置网络信息技术安全事件。如有瞒报、缓报、处置和整改不力等情况,学校将对相关单位责任人进行约谈或通报。

第九十二条 师生员工违反本办法规定的,由信息安全与技术服务中心责令改正;拒不改正或者导致危害网络信息技术安全等严重后果的,报请有关单位根据学校有关规定给予以纪律处分。涉嫌违法犯罪的,依法移交公安司法机关。

第十八章 附则

第九十三条 涉及国家秘密的信息系统,执行国家保密工作 的相关规定和标准,由学校保密办公室监督指导。

第九十四条 官方微博、官方微信和微信公众号、企业号等依靠公共平台建设的新媒体服务和学校相关信息服务的管理办法由党委宣传部另行制定。

第九十五条 学校各单位、部门可参照本办法制订本单位、部门的实施细则。

第九十六条 本办法自发布之日起实施,由信息安全与技术服务中心负责解释。学校原有相关规定与本办法不一致的,按本办法执行。