当前位置: 首页 >  规章制度
关于印发《台州技师学院(筹)网络与信息安全管理制度(试行)》的通知
2019-05-09 08:51:13 | 来源: | 阅览量:68 【关闭】

台州技师学院(筹)网络与信息安全管理制度(试行)

第一章 总则

第一条 为提高网络与信息安全防护能力和水平,保证学院网络与信息安全工作顺利进行,保障学院各项事业正常有序开展,根据《中华人民共和国网络安全法》《教育部关于加强教育行业网络与信息安全工作的指导意见》(教技〔2014〕4号)和有关法律规定,结合学院实际,制定本办法。

第二条 学院网络与信息安全,包括校园计算机网络(以下简称校园网络)与信息系统(含网站,下同)的运行安全和信息内容的安全。

第三条 学院按照国家有关网络安全和信息化建设的法律、法规、规章,制定网络与信息安全规划方案,加强安全管理与技术研究,建立健全相关规章制度。

第二章 管理体制和职责

第四条 学院成立网络与信息安全领导小组,负责协调全院网络与信息安全保障体系建设。处(室)负责人是本部门网络与信息安全工作责任人,并指定专人担任信息安全员落实具体工作。

第五条 办公室负责网络与信息系统的日常管理,统一协调相关部门的网络与信息安全。办公室负责办理入网单位和个人入网登记手续,签署相应的安全责任书;保存网络运行日志,配合调查取证。

第六条 办公室负责网络信息内容安全监管,负责监控和管理校园网络舆情信息,开展网上疏导和正面宣传,做好对外宣传工作。

第七条 坚持“谁主管谁负责,谁主办谁负责,谁使用谁负责”原则。网络与信息系统主办部门承担安全监管责任,包括内容安全监管、技术安全保障和监督检查等职责;网络与信息系统的使用单位和个人对系统操作与信息内容的安全监管承担直接责任。网络与信息系统通过外包服务方式进行维护的,主办部门负责督促外包服务单位做好安全运维工作,安全监管责任主体仍为主办部门。

第三章 安全秩序

第八条 校园网络和信息系统接入互联网必须采取防火墙、身份认证、MAC 地址绑定、安全审计、病毒防护及入侵检测等安全技术手段。校内互联网的接入由办公室统一管理,包括IP 地址、域名及网络账号等。各处(室)和个人不得私自接入各类外部网络。

第九条 政务内网、政务外网与校园网须独立运行,严禁互联。

第十条 校园网络实行信息系统报批备案制。需在校园网开办信息系统的部门,应到办公室办理登记注册等手续,其中,在微信QQ等互联网社交平台上注册、开通公众号,须经学院办公室批准。未经许可,任何入网部门或个人不得以冠有“台州技师学院(筹)”中外文字样的名义发布信息。

第十一条 经批准建立的公众信息服务系统应有相应的管理员并进行规范管理,实行管理人员岗位责任制,负责信息发布审核登记、信息监视保存清除备份、不良信息报告和协助查处等工作。

第十二条 各处(室)应建立健全信息发布、信息审查、应急处置机制,指定人员负责审查上网信息和信息系统保密管理,负责涉及学院或本部门舆情的处置、引导等工作。

  第十三条 严禁在校园网络上制作、复制、查阅或传播下列息:

(一) 煽动抗拒、破坏宪法和国家法律、行政法规实施;

    (二) 危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一;

    (三) 损害国家荣誉和利益;

    (四) 煽动民族仇恨、民族歧视,破坏民族团结,或者侵害民族风俗习惯;

    (五) 宣扬恐怖主义、邪教、封建迷信,违反国家宗教政策;

    (六) 捏造或者歪曲事实,散布谣言,扰乱社会秩序,破坏社会稳定;

    (七) 侮辱他人或者捏造事实诽谤他人;

    (八) 含有淫秽、色情、赌博、暴力、欺诈等内容;

    (九) 含有法律、法规禁止的其他内容。

第十四条 严禁在校园网络上进行下列行为:

    (一) 破坏、盗用、篡改计算机网络中的信息资源;

    (二) 故意泄露、窃取、篡改个人电子信息,擅自利用网络收集、使用个人电子信息,出售或者非法向他人提供个人电子信息;

    (三) 违背他人意愿、冒用他人名义发布信息;

    (四) 攻击、入侵、破坏计算机网络、信息系统及设备设施;

(五) 故意阻塞、中断校园网络,恶意占用网络资源;

    (六) 故意制作、传播、使用计算机病毒、木马、恶意软件等破坏性程序;

    (七) 故意发送大量垃圾电子邮件、垃圾短信等,干扰正常网络秩序;

    (八) 盗用他人帐号、盗用他人 IP 地址;

    (九) 私自转借、转让用户帐号造成危害;

    (十) 私自开设二级代理和路由接纳网络用户;

    (十一) 以端口扫描和私搭 DHCP 服务器等方式,破坏网络正常运行;

    (十二)私自将外网串接到校园网络。

    (十三) 其它违反法律法规或危害校园网络与信息安全的行为。

第四章 安全防护

第十五条 各处(室)作为安全等级保护的责任主体,应当按照国家信息安全等级保护的管理规范、技术标准确定信息系统的安全保护等级,并报学院办公室审核。

第十六条 各处(室)对于新建、改建、扩建的信息系统,应当在规划、设计阶段同步建设网络信息安全保障措施,严防入侵、篡改、泄露等事件发生。

第十七条 各处(室)应建立检查巡查机制,定期或不定期组织开展信息系统安全演练,查找安全漏洞和隐患;对机房、网络设备、服务器等设施定期开展安全检查;检查中发现安全漏洞和隐患,应及时填发《隐患告知书》,逾期未采取措施和提交处理报告的,检查部门应及时填发《隐患整改通知书》。对于一时难以修复或整改落实的,应当立即采取措施进行隔离,直至修复完成。

第十八条 各处(室)对于主办的重点信息系统,应当采取措施重点防护,保障系统和重要数据安全。每月至少进行1次安全检查,并填写检查台账。重点信息系统包括:

(一) 学院 WWW 门户网站;

    (二) 学院重要办公网站和办公信息系统;

    (三) 统一身份认证、校园卡等校级重要公共服务平台;

    (四) 教学、科研、人事、财务、设备等学院重要业务信息系统及相关重要数据库。

第十九条 建立网络安全监测预警和信息通报制度。办公室负责信息收集、分析和通报工作,按照规定向全院统一发布网络安全监测预警信息。

第二十条 建立健全学院网络与信息安全类突发公共事件应急工作机制,提高应对网络与信息安全类突发公共事件的能力,预防和减少由此造成的损失和危害,维护学院安全和稳定。

第五章 责任追究

第二十一条 对于私自占用网络资源,破坏网络和信息系统,违反网络用户行为规范,根据事件涉及范围、严重程度进行查处,并根据国家和学院相关规定作出处理。

第二十二条  各处(室)和个人应当履行安全职责。如因未尽职责或管理不善而造成严重后果的,将依法依规追究其相应责任。

 

第六章 附则

第二十三条 本办法由办公室负责解释。

第二十四条 本办法自发文之日起施行。

 

附件:台州技师学院(筹)校园网络与信息安全应急预案

 

 

 

 

 

 

 

 

台州技师学院(筹)校园网络与信息安全应急预案

    为切实做好学院网络突发事件的防范和应急处理工作,进一步提高预防和控制网络突发事件的能力和水平,减轻或消除突发事件的危害和影响,确保网络与信息安全,结合我院网络实际工作,特制定本预案。

一、组织机构及职责

(一)校园网络与信息安全应急处置领导小组

 长:分管宣传工作的院领导

 员:各处(室)负责人

(二)主要职责

1.统一领导全院信息网络灾害应急工作,全面负责学院信息网络可能出现的各种突发事件、重大问题处置工作。

2.充分利用各种渠道进行网络安全知识宣传教育组织指导全院网络安全常识的普及教育,广泛开展网络安全和有关技能训练,不断提高广大师生的防范意识和基本技能。

3.采取一切必要手段,组织力量全面进行网络安全事故处理,把不良影响与损失降到最低。

4.做好各项物资保障,严格按照预案要求积极配备网络安全设施设备,强化管理,使之保持良好工作状态。

5.调动一切积极因素,全面保证和促进校园网络安全稳定运行。

二、处置流程

(一)网站不良信息事故处理流程

1.发现校园网络上出现不良信息(或被黑客攻击修改了网页),应立即报告校信息安全员,信息安全员接到报告后立即通知网络安全员,同时向领导小组成员或组长口头报告。

2.网络安全员在接到通知后须立刻切断防火墙、关闭网站服务器外网网络连接、暂停网站服务。

3.网络安全员在处理过程中须及时记录、保存不良信息及IP地址、HTTP连接日志、网络连接日志、打印不良信息页面留存。

4.校信息安全员协同网络安全员以书面的形式向组长报告领导小组组长视情况向上级主管部门汇报或向公安机关报案。

5.网络安全员负责删除不良信息,清查网站所有内容。在网站服务器内网测试确认正常后重启防火墙和外网网络连接,重新测试网站外网运行。

6.追查不良信息的源头,提出下一步改进措施。

(二)网络恶意攻击事故处理流程

1.网络安全员及相关人员发现网络恶意攻击,应紧急切断校园网服务器及公网网络连接,保护重要数据及信息。

2.立即向副组长或组长口头报告。

3.查出对方IP地址、启用防火墙拦截,并留存攻击原始记录。

4.网络安全员以书面的形式向组长报告,领导小组组长视情况向上级主管部门汇报或向公安机关报案。

5.网络险情排除后,经校园网络与信息安全应急领导小组组长同意后,重启网络设备,恢复网络通信。

三、应急处置工作要求和纪律

  1.网络安全员、信息安全员及相关人员在接到案情报告或通知后,应立即行动,及时采取处置措施。

  2.处置工作中,工作人员必须忠于职守,认真履行职责,严格执法。

  3.严格执行报告制度,及时上报情况。

  4.严格落实工作责任制,对工作不落实、行动迟缓、措施不力以及清查处理后,网站仍存留相关有害信息的,按有关规定追究有关系部和相关人员的责任。