第一章 总则
第一条 为保证校园网络的正常运行和健康发展,根据《中华人民共和国网络安全法》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《中国教育和科研计算机网暂行管理办法》及有关法律规定,结合学院实际,制定本管理办法。
第二条 校园网是由学院投资建设,为学院教学、科研、管理、生活服务的现代化信息基础设施。校园网的服务对象是学院各单位、部门,全院教职工和学生,以及其他经学院授权的单位和个人。
第二章 管理机构与职责
第三条 学院网络与信息安全领导小组是学院网络信息安全工作的领导机构,负责学院网络信息安全工作的统筹、组织、协调和重大问题的决策;学院网络与信息安全应急小组是处置校园网络信息安全事件的领导机构,负责落实信息安全责任制及应急处置信息安全突发事件。网络与信息安全领导小组和网络与信息安全应急小组下设办公室,负责相关日常工作,办公室设在信息技术中心。
第四条 院长(党委)办公室是网络信息内容安全的审查和管理部门,负责学院新闻宣传、思想政治教育、校园文化建设等信息内容的审查、监督和信息公开网站的建设和管理。信息技术中心是信息安全的技术支持和保障部门,负责校园网日常运行、管理和维护,同时为校园网络和信息安全提供技术支持和保障。
第五条 各单位、部门的主要负责人是本单位、部门网络信息安全的第一责任人,各单位、部门要明确负责网络信息安全工作的负责人,按照“谁建设谁负责、谁主管谁监督”的原则对本单位、部门建设使用的应用系统、网站、网页、交互式栏目等进行管理和检查,并制定本单位、部门的网络信息安全管理措施,报送学院网络与信息安全领导小组备案。
第六条 未经批准,任何单位、部门或个人不得将校园网延伸至校外或将校外网络引入至校园内。未经批准,任何数据业务运营商或电信代理商不得擅自进入校园内进行工程施工,开展互联网业务。
第三章 信息系统(含网站)管理
第七条 各单位、部门应按照国家信息系统等级保护制度的相关法律法规、标准规范以及《市教委关于印发加强天津市教育行业网络与信息安全工作的指导意见的通知》(津教委[2016]21号)要求,加强对信息系统(含网站)的日常管理,制定信息安全事件应急预案,切实落实信息技术安全工作责任制和信息系统安全等级保护制度。
第八条 各单位、部门要准确掌握本单位、部门信息系统(含网站)建设情况,规范信息维护、信息管理、运行维护等方面的工作流程和机制,指定专人负责系统运行的日常工作,及时补充和更新信息系统的业务数据,确保数据的完整性、时效性和准确性,并做好用户授权等管理服务工作。
第九条 各单位、部门要保证信息系统(含网站)安全,制定重要数据和主要设备的容灾备案措施;记录并保留至少60天系统日志;妥善保管好账号和密码,定期更新密码,防止密码外泄。
第十条 院长(党委)办公室、信息技术中心负责对学院信息系统使用情况进行监督、检查。对存在安全隐患的信息系统,信息技术中心将停止其对外服务。
第十一条 学院信息安全事件等级分为四级:IV级(一般信息安全事件)、III级(较大信息安全事件)、II级(重大信息安全事件)、I级(特别重大的信息安全事件)。I级为最高级别。
(一)IV级:一般信息安全事件,包括信息系统(含网站)遭受系统损失,产生一般的工作和社会影响。较小的系统损失是指造成系统短暂中断,影响系统效率,使系统业务处理能力受到影响,或系统重要数据的保密性、完整性、可用性遭到影响,恢复系统正常运行和消除信息安全时间所需付出的代价较小。
(二)III级:导致较严重影响或破坏的信息安全事件,包括信息系统(含网站)遭受严重的系统损失,产生较大的工作和社会影响。较严重的系统损失是指造成系统中断,明显影响系统效率,使重要信息系统或一般信息系统业务处理能力受到影响,或系统重要数据的保密性、完整性、可用性遭到破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价较大,对于事发组织是可承受的。
(三)II级:导致严重影响或破坏的信息安全事件,包括信息系统(含网站)遭受严重的系统损失,产生重大的工作和社会影响。严重的系统损失是指造成系统长时间中断或局部瘫痪,使其业务处理能力受到极大影响,或系统关键数据的保密性、完整性、可用性遭到破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价巨大,对于事发组织是可承受的。
(四)I级:导致特别严重影响或破坏的信息安全事件,包括信息系统(含网站)遭受特别严重的系统损失,产生特别重大的工作和社会影响。 特别严重的系统损失是指造成系统大面积瘫痪,使其丧失业务处理能力,或系统关键数据的保密性、完整性、可用性遭到严重破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价十分巨大,对于事发组织是不可承受的。
第十二条 对IV级信息安全事件,由信息系统(含网站)所属部门负责应急处置,并将有关情况向院长(党委)办公室、安全保卫部和信息技术中心报告。对III级、II级、I级的信息安全事件,由学院网络与信息安全应急小组调配应急资源,协助信息系统(含网站)所属部门进行处置。发生II级、I级的信息安全事件,由学院网络与信息安全领导小组向上级主管部门报告。
第十三条 将信息收集、记录和分析贯穿于信息安全事件应急处置全过程。校园网络与信息安全事件发生报警后,信息系统(含网站)所属部门要协助学院网络与信息安全应急小组全面、准确收集与事件相关信息,如采取现场快照或设备日志快照等,详细记录事件细节信息,了解事件造成的损失和影响;对信息安全事件的起因、性质、影响、责任、经验教训和恢复重建等问题进行调查评估;根据暴露的问题和调查评估结果,对信息安全事件应急预案进行相应的调整。
第四章 信息管理
第十四条 校园网所有用户必须遵守《中华人民共和国网络安全法》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《中华人民共和国保守国家秘密法》及国家有关法律法规和学院管理规定,严格执行信息安全保密制度,对所提供和发布的信息负责。
第十五条 校园网严禁下列行为,凡违反规定的信息技术中心将提出警告或停止其使用校园网;情节严重者,提交学院相关职能部门或有关司法部门处理;造成经济损失的,视情节承担经济损失的费用。
(一)利用校园网制作或传播下列信息:
1.违反国家宪法所确定的基本原则的;
2.危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
3.损害国家荣誉和利益的;
4.煽动民族仇恨、民族歧视,破坏民族团结的;
5.破坏国家宗教政策,宣扬邪教和封建迷信的;
6.散布谣言,扰乱社会秩序,破坏社会稳定的;
7.散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;
8.侮辱或者诽谤他人,侵害他人合法权益的;
9.含有国家法律、行政法规禁止的其他内容的。
(二)破坏、盗用校园网网络中的信息资源和危害校园网网络安全的活动:
1.未经信息技术中心批准,采用各种手段切断学院、部门或他人网络连接的。
2.通过扫描、侦听、破解口令、安置木马、远程接管、利用系统缺陷等手段获取他人信息的。
3.冒用他人和信息技术中心名义从事网上活动的。
(三)盗用校园网资源、他人帐号或IP地址的。
(四)故意制作、传播计算机病毒等破坏性程序的。
(五)上网信息审查不严,造成严重后果的。
对以上不能涵盖的所有违反学院相关规定的情况,将参照以上条款,视情节予以处罚和处理。
第十六条 各单位、部门要按照国家及学院有关规定,严格信息发布审核制度,未经审核的信息内容不得发布。凡涉及国家秘密和工作秘密的信息严禁上网。
第十七条 校园网用户须自觉配合上级有关部门和学院的监督、检查。用户若发现违法有害信息,应及时向学院有关管理部门报告。
第五章 电子邮件管理
第十八条 电子邮箱开户实行实名制,学院正式教职工均可申请邮箱帐户。一个用户只能开设一个电子邮箱帐户。帐户不再使用时,须通知信息技术中心进行注销。
第十九条 电子邮箱用户须自觉配合上级有关部门和学院的监督、检查。用户须对帐户和密码的安全负责,并对以其帐户进行的所有活动负责。用户若发现任何非法使用其帐户或存在安全漏洞的情况,应立即报告信息技术中心。
第二十条 信息技术中心负责对校园网电子邮件系统使用情况进行监督、检查。有违反本办法第十五条规定及发送垃圾广告邮件、存在安全漏洞情况的帐户,信息技术中心将停止该帐户使用。
第六章 交互式栏目管理
第二十一条 需要在校园网站开设交互式栏目(如论坛、贴吧等)的网站须向院长(党委)办公室审批,未经批准,一律不得开设。
第二十二条 学院师生员工在交互式栏目(如论坛、贴吧等)中制作、复制、发布不良信息,造成严重后果者,将依据相关规定给予责任人相应的纪律处分,违反法律的承担相应的法律责任。
第二十三条 设有交互式栏目的服务器必须进行日志备份,记录用户名、信息发布时间等详细信息,日志至少保存1年,以备上级有关部门和学院查询。
第七章 附则
第二十四条 各单位、部门要经常性的开展互联网信息安全和文明上网的宣传,加强对广大师生的教育和引导,增强法制意识、责任意识、政治意识、自律意识和安全意识,形成共同抵制网上有害信息的良好氛围。
第二十五条 对违反本管理办法的,学院将予以警告、限期整改、封帐户(端口)直至安全问题排除;情节严重的,将追究相关单位、部门人员的责任;对违反有关法律、法规的,将依法追究法律责任。
第二十六条 本办法由信息技术中心负责解释。
第二十七条 本办法自发布之日起施行。
天津商业大学宝德学院
2017年4月12日
津公网安备 12011102000232号