中国矿业大学文件
中矿大〔2017〕24号
关于印发《中国矿业大学网络信息安全管理
办法(试行)》等两个管理办法的通知
各学院(部),各有关单位:
为推进学校信息发布实行申请审核制,明确各二级单位网络与信息安全责任人,进一步做好学校信息化系统建设,推进全校大数据共享,完善校园信息化功能,结合工作实际,学校研究制定了《中国矿业大学网络信息安全管理办法(试行)》和《中国矿业大学信息化工作管理办法(试行)》。经2017年4月1日学校校务会讨论通过,现予印发,请遵照执行。
特此通知
附件:1.《中国矿业大学网络信息安全管理办法(试行)》
2.《中国矿业大学信息化工作管理办法(试行)》
中国矿业大学
2017年6月19日
中国矿业大学校长办公室 2017年6月19日印发
附件1:
中国矿业大学网络信息安全管理办法(试行)
第一章 总 则
第一条 为加强学校对网络信息安全工作的组织管理,提高网络信息安全防护能力和水平,保障各项事业健康有序发展,根据国家、教育部有关网络信息安全文件要求,结合《中国矿业大学校园网安全管理办法》及近年来实际工作,特制定本办法。
第二条 本办法所称网络信息安全,是指由学校建设、运行、维护或管理的校园网、信息系统的安全。
本办法适用于使用校园网及使用学校信息系统的任何用户,本办法所指学校各单位包括各机关部、处、室,学部、学院、直附属单位以及有关科研机构等。
第三条 按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,建立健全网络信息安全责任体系,学校各单位、全体师生员工应依照本办法要求及相关标准规范履行网络信息安全的义务和责任。
第二章 组织机构与职责
第四条 学校网络安全工作委员会主管全校网络信息安全工作,学校主要负责人是学校网络信息安全的第一责任人,分管信息化工作的校领导协助主要负责人履行学校网络信息安全责任。
第五条 网络与信息中心是学校网络信息安全归口管理、技术支撑单位,负责统筹学校网络信息安全工作。具体职责包括:
(一)制定网络信息安全总体规划,并组织实施;
(二)拟定网络信息安全管理规章制度,组织开展网络安全等级保护工作;
(三)负责学校网络信息安全防护系统的建设、运行维护、技术指导和服务支持;
(四)负责网络信息安全应急管理,协调处理与政府网络信息安全管理部门的关系;
(五)组织网络信息安全宣传和教育培训工作;
(六)负责网络信息安全监督检查工作;
(七)学校网络信息安全的其他工作。
第六条 各学部、学院行政负责人为本单位网络信息安全第一责任人,各机关部、处、直附属单位以及有关科研机构主要负责人为本单位网络信息安全第一责任人,负责落实本单位网络信息安全工作。
各单位应设一名网络信息安全管理员,负责本单位网络信息安全保护措施的落实,对上网人员进行网络信息安全教育和培训,与网络与信息中心协同配合,共同做好本单位网络安全运行、管理和维护工作。
第三章 校园网络安全
第七条 校园网络是指连接学校各单位信息系统及信息终端的计算机网络,包括校园有线网络、无线网络和各种虚拟专网。
第八条 校园网络与互联网及其他公共信息网络实行逻辑隔离,由网络与信息中心统一出口、统一管理和统一防护。未经批准,学校各单位在校园内不得擅自通过其他渠道接入互联网及其他公共信息网络。
第九条 校园各区域的网络设备,其管理、维护等均由网络与信息中心统一负责,未经网络与信息中心批准,不得以任何方式试图登录、修改、设置、破坏校园网内的交换机、路由器和服务器等。
第十条 网络与信息中心应采取访问控制、安全审计、完整性检查、入侵防范、恶意代码防范等措施加强校园网络边界防护。
第十一条 师生员工接入校园网络,实行“实名注册、认证上网”制度;学校非涉密信息系统接入校园网络,实行接入审批和备案登记制度。涉密信息系统不得接入校园网络。
任何单位和个人不得窃取或盗用他人的用户名、口令、IP地址和MAC地址等。
第十二条 接入校园网的机房、电子阅览室等一律不准对社会开放,上网人员必须持有校园“一卡通”或凭学生证、工作证等有效证件登记后,方可上网。机房必须安装管理软件,自动记录上网人员身份和上下网时间、机号、IP地址等,网络使用记录保持时间不得少于6个月。
第十三条 校园网络接入单位负责提供本单位所需的网络设备间和电源保障,负责其安防和消防安全管理。
第四章 信息系统及其数据安全
第十四条 信息系统数据是指信息系统收集、存储、传输、处理和产生的各种电子数据,包括但不限于网站内容、业务数据、网络课程、图书资源、日志记录等。
第十五条 信息系统数据的所有者是数据安全管理的责任主体,应当落实管理和技术措施,规范数据的收集、存储、传输和使用,确保数据安全。
第十六条 信息系统数据收集应遵循“最少够用”原则,不得收集与信息系统业务服务无关的个人信息。按照“谁收集,谁负责”的原则,收集个人信息的单位是个人信息保护的责任主体,应当对其收集的个人信息严格保密,并建立健全相关保护制度。
第十七条 网络与信息中心负责学校核心信息系统的备份与恢复管理,制订备份与恢复计划,根据业务实际需要对重要数据和信息系统进行备份,定期测试备份与恢复计划,并确保备份数据和备用资源的有效性。
第十八条 任何单位和个人,不得私自设立互联网服务器或自建联网的应用系统。根据教学和科研实际工作需求,确实需要建立应用系统的,经网络与信息中心批准后方可联网运行。
第十九条 需要开设联网信息服务的单位,须向网络与信息中心提出书面申请,由网络与信息中心进行技术评估、备案后方可对外提供服务;服务器必须具有保持日志记录功能,历史记录保持时间不得低于6个月。
第二十条 接入互联网的服务器及应用系统,应该采取必要的网络安全防护措施、安装防护软件,并将防护措施上报网络与信息中心备案。
第二十一条 网络与信息中心有权对各单位服务器和应用系统进行必要的安全检查和评测,对达不到安全要求的,关闭对外服务,整改合格后系统方可上线运行。
第五章 互联网网站安全
第二十二条 学校各单位开办互联网网站,应使用学校互联网域名和互联网IP地址,并遵守《中国矿业大学互联网网站管理办法》及相关规章制度。
第二十三条 网络与信息中心统一建设学校网站集群平台并负责纳入该平台网站的技术安全。未纳入学校网站集群平台的网站,其技术安全由网站开办单位负责。
第二十四条 学校各单位开办互联网网站应优先选择学校网站集群平台,集群平台不能满足需求时可委托其他供应商管理。网站投入试运行后,通过网络与信息中心组织的安全检查方可正式上线。
第二十五条 互联网网站运行维护单位应建立网站值守制度,制订应急处置流程,组织专人对网站进行监测,发现网站运行异常及时处置。
第二十六条 互联网网站的内容安全由网站开办单位负责。互联网网站开办单位应建立完善的网站信息发布与审核制度,确定负责内容编辑、内容审核、内容发布的人员名单,明确审核与发布程序,保存相关操作记录。
第二十七条 原则上,学校各单位不得提供电子公告服务。确有需要,经批准备案后方能提供电子公告服务。提供电子公告服务的互联网网站开办单位承担电子公告服务内容管理的主体责任,并按国家有关规定落实专项安全管理和技术措施。
第六章 电子邮件安全
第二十八条 网络与信息中心为学校各单位和师生员工提供电子邮箱服务,并负责学校电子邮件的安全管理。学校各单位和师生员工使用学校电子邮箱应遵守学校电子邮箱管理等相关规章制度。
第二十九条 网络与信息中心应采取必要的技术和管理措施,加强电子邮件系统安全防护,减少垃圾邮件、病毒邮件侵袭。
第三十条 全校师生员工须对使用其电子邮件帐号开展的所有活动负责,应妥善保管本人使用的电子邮箱账号和密码,确保密码具有一定强度并定期更换。师生员工如发现他人未经许可使用其电子邮箱,应立即通知网络与信息中心处理。
第七章 终端计算机安全
第三十一条 终端计算机是指由学校师生员工使用并从事学校教学、科研、管理等活动的各类计算机及附属设备,包括台式电脑、笔记本电脑及其他移动终端。
第三十二条 终端计算机使用人按照“谁使用,谁负责”的原则,对其终端负有保管和安全使用的责任。网络与信息中心对终端计算机的安全管理提供技术支持和指导。
第三十三条 终端计算机设备上安装、运行的软件应为正版软件。在终端上使用盗版软件带来的安全和法律责任由终端使用人承担。
第三十四条 终端计算机应当设置系统登录账号和密码,登录密码应具有一定强度并定期更改。
第三十五条终端计算机使用人应做好数据日常管理和保护,定期进行数据备份。非涉密计算机不得存储和处理涉密信息。
第三十六条 终端使用人应做好终端计算机的安全防范,如发现终端计算机出现可能由病毒或攻击导致的异常系统行为或其他安全问题,应立即断网后进行处置。
第八章 存储介质安全
第三十七条 存储介质是指存储数据的载体,主要包括硬盘、存储阵列、磁带库等不可移动存储介质,以及移动硬盘、U盘等等可移动存储介质。
第三十八条 原则上,存储阵列、磁带库等大容量介质应托管在学校数据中心,并由网络与信息中心统一运行、维护和管理。网络与信息中心应采取必要技术措施防范数据泄漏风险,确保存储数据安全。
第三十九条 学校各单位应建立移动介质管理制度,记录介质领用、交回、维修、报废、损毁等情况。介质使用人按照“谁使用,谁负责”的原则,对其移动介质负有保管和安全使用的责任。
第四十条 非涉密移动存储介质不得用于存储涉密信息,不得在涉密计算机上使用。
第四十一条 移动存储介质在接入终端计算机和信息系统前,应当查杀病毒、木马等恶意代码。
第四十二条 介质使用人应注意移动存储介质的内容管理,对送出维修或销毁的介质应事先清除敏感信息。
第四十三条 网络与信息中心应配备必要的电子信息消除和销毁设备。存储介质履行必要的审批程序后,可由网络与信息中心集中销毁。
第九章 人员安全管理
第四十四条 学校各单位应建立健全本单位的岗位信息安全责任制度,明确岗位及人员的信息安全责任。关键岗位的计算机使用和管理人员应签订信息安全与保密协议,明确信息安全与保密要求和责任。
第四十五条 学校各单位应加强人员离岗、离职管理,严格规范人员离岗、离职过程,及时终止相关人员的所有访问权限,收回学校提供的软硬件设备,并签署安全保密承诺书。
第四十六条 学校各单位应定期对网络信息安全岗位的人员进行安全知识和技能的考核,并对考核结果进行记录和保存。
第四十七条 学校各单位应建立外部人员访问机房等重要区域的审批制度,外部人员须经审批后方可进入,并安排工作人员现场陪同,对访问活动进行记录和保存。
第四十八条 学校各外包服务需求单位应与网络信息系统开发和运维服务提供商签订网络信息安全与保密协议,明确网络信息安全与保密责任,要求服务提供商不得将服务转包,不得泄露、扩散、转让服务过程中获知的敏感信息和各类电子数据,不得占有服务过程中产生的任何信息资产,不得以服务为由强制要求委托方购买、使用指定产品。各单位签署外包服务合同时,应将学校统一制定的网络信息安全与保密协议作为合同附件。
第十章 网络信息安全应急管理
第四十九条 网络与信息中心负责学校网络信息安全应急工作的统筹管理,制定学校网络信息安全事件报告与处置流程,以及安全应急工作的技术支撑和保障。
第五十条 网络与信息中心定期组织网络信息安全应急演练,评估并适时组织网络信息安全应急预案修订。学校各单位应组织开展网络信息安全应急预案的宣传、教育和培训,确保相关人员熟悉应急预案。
第五十一条 网络与信息中心负责组建学校信息安全应急队伍,完善24小时应急值守制度,提高信息安全事件的预防、预警和应对能力,预防和减轻信息安全事件造成的损失和危害。
第五十二条 学校各单位应按照学校网络信息安全事件报告与处置流程,做好事发紧急报告与处置、事中情况报告与处置和事后整改报告与处置工作。做到安全事件早发现、早报告、早控制、早解决。
第五十三条 学校各单位及师生员工均有义务及时向网络与信息中心报告信息安全事件,不得在未授权情况下对外公布、尝试或利用所发现的安全漏洞或安全问题。
第十一章 网络信息安全教育培训
第五十四条 网络与信息中心负责组织学校网络信息安全宣传和教育培训工作,建立健全相关制度;
第五十五条 网络与信息中心定期组织开展针对师生员工的网络信息安全教育,提高师生员工的安全和防范意识。
第五十六条 网络与信息中心定期开展针对网络信息安全管理人员和技术人员的专业技能培训,提高网络信息安全工作能力和水平。
第十二章 网络信息安全检查监督
第五十七条 学校各单位定期对本单位信息系统的安全状况、安全保护制度及措施的落实情况进行自查,并配合有关部门的网络信息安全检查、信息内容检查、保密检查与审批等工作。
第五十八条 网络与信息中心对学校各单位的网络信息安全工作落实情况进行检查,对发现的问题下达限期整改通知书,责成相关单位制订整改方案并落实到位。
第五十九条 网络与信息中心对年度安全检查情况进行全面总结,按照要求完成检查报告并报学校网络安全工作委员会。
第十三章 网络信息安全责任追究
第六十条 学校建立网络信息安全责任追究和倒查机制。
第六十一条 有关单位在收到网络信息安全限期整改通知书后,整改不力的,学校给予通报批评;玩忽职守、失职渎职造成严重后果的,依纪依法追究相关人员的责任。
第六十二条 学校各单位应按照网络信息安全事件报告与处置流程及时、如实报告和妥善处置网络信息安全事件。如有瞒报、缓报、处置和整改不力等情况,学校将对相关单位责任人进行约谈或通报。
第六十三条 师生员工违反本办法规定的,由网络与信息中心责令改正,并通报批评;拒不改正或者导致危害网络信息安全等严重后果的,根据学校有关规定给予以纪律处分。触犯法律的,移交司法机关处理。
第十四章 其 它
第六十四条 涉及国家秘密的信息系统,执行国家保密工作的相关规定和标准,由校党委保密委员会办公室监督指导。
第六十五条 本办法在实施中若与国家有关法律、法规有不一致的,以国家法律、法规为准。
第六十六条 本办法经中国矿业大学校务会议研究通过,自下发之日起实施,由网络与信息中心负责解释。学校原有相关规定与本办法不一致的,按本办法执行。
附件2:
中国矿业大学信息化工作管理办法(试行)
第一章 总 则
第一条为加强学校信息化工作的组织管理,避免无序、重复建设造成的资源浪费,确保信息化建设的可持续发展,促进学校信息资源的交流共享,全面提升信息化工作水平,根据国家、教育部相关指导意见,结合学校工作实际,特制定本办法。
第二条 学校信息化工作实行统一领导、统筹规划、集中管理、分级负责的基本原则,为学校教学、科研和管理保障提供有力支撑。
第二章 组织机构与工作职责
第三条 数字化校园建设领导小组是学校信息化工作的最高领导与决策机构,负责审议学校信息化建设规划、信息化工作相关规章制度,确定信息化建设中学校各二级单位的责任分工及考核机制。领导小组下设数字化校园建设办公室,挂靠网络与信息中心,负责落实领导小组的各项决策,统筹协调学校各二级单位推进信息化建设工作。
第四条 数字化校园建设专家组是学校信息化建设咨询机构,专家组由校内外相关领域专家组成,成员由数字化校园建设领导小组择优选聘。
第五条 网络与信息中心是学校负责信息化建设管理工作的职能部门,负责组织编制学校信息化发展规划与经费预算,制定学校信息化工作的规章制度与相关标准;负责校园网、数据中心、校级信息系统的建设与管理;为学校各单位信息化建设项目提供方案咨询服务,参与项目技术要求审核与项目验收,确保各单位新建信息系统在学校层面的互通与共享;负责各通信运营商进驻校园的归口管理,会同总务部落实学校对运营商的相关要求。
第六条 信息系统建设单位分管领导负责本单位信息化工作,按本办法落实本单位信息化工作。
第三章 信息化基础设施建设
第七条 网络与信息中心负责组织学校数据中心、园区骨干网络的建设与升级改造项目的立项、调研、采购、建设和验收等工作。具体采购招标工作按照学校相关规定,组织学校数字化校园建设专家小组进行相应的咨询、论证和评审工作。
第八条 自筹经费新建或改造的楼宇弱电项目,建设单位应提前向网络与信息中心提出网络基础设施建设项目技术可行性评估申请,并填写《网络基础设施建设项目技术评估表》。网络与信息中心负责对项目技术可行性进行评估,组织审核网络架构、安全防护、设备性能、布线标准等技术要求,并填写技术评估意见。
第九条 弱电项目建设单位在向学校基建修缮部门提交相关材料时,需附带《网络基础设施建设项目技术评估表》,未提交技术评估表或评估意见为不合格的,基建修缮部门不得办理项目立项手续;弱电项目建设完成后,项目建设单位需提交由网络与信息中心出具的《网络基础设施建设项目技术验收表》,未提交技术验收表的,基建修缮部门不得办理验收及付款手续。未按网络基础设施建设技术评估表中的要求实施建设,经检测不符合入网条件的,待项目建设单位整改后并经网络与信息中心验收合格方能接入校园网。
第四章 校级综合平台与业务系统建设
第十条 学校数字化校园综合平台与校级业务系统项目由网络与信息中心负责组织立项、调研、采购、建设和验收等工作,具体采购招标工作需遵守学校相关规定,并按要求组织学校数字化校园建设专家组进行相应的咨询、论证和评审工作。
第十一条 学校各二级单位应用于教学、科研和管理服务的业务系统建设项目立项、调研、采购、建设和验收等工作由业务主管单位负责组织。各二级单位每年12月底之前集中向学校报送下一年业务系统建设计划,未纳入计划的项目下一年原则上不予考虑。在向学校招标部门提交采购申请书之前,应向网络与信息中心提出信息化建设项目技术可行性评估申请,并填写《信息系统建设项目技术评估表》。网络与信息中心负责对项目技术可行性进行评估,组织审核网络安全、软硬件环境、数据标准、信息共享、服务集成等技术要求,并填写技术评估意见。对于各建设单位提出的大型信息化项目(项目预算三十万元及以上),需经学校数字化校园建设专家组对技术可行性进行评估与论证。
第十二条 信息系统建设单位在向学校财务部门提交付款申请时须附带《信息系统建设项目技术评估表》,未提交技术评估表或评估结果不合格的,财务部门不得办理招标手续。在项目建设完成后,项目建设单位需提交由网络与信息中心出具的《信息系统建设项目技术验收表》,未提交技术验收表的,财务部门不得办理付款手续。
第五章 数据中心管理
第十三条 网络与信息中心负责学校数据中心物理环境、软硬件设备设施和云平台的规划、建设、运维与管理。
第十四条 学校各单位原则上应依托学校数据中心开展信息系统建设,需使用校外数据中心的,须报网络与信息中心审批。涉及学校基础数据、师生员工个人信息或敏感信息的信息系统,不得部署在校外数据中心。未经批准,严禁使用境外数据中心。
第十五条 网络与信息中心对学校数据中心的使用实施准入管理,负责制定使用数据中心的技术规范和标准,在系统上线前进行安全检测。符合技术规范标准并检测通过的系统方可上线运行。
第十六条 数据中心的使用单位应遵循数据中心相关管理制度和技术标准,按需申请、有序使用,不得利用数据中心资源从事任何与申请项目无关或危害信息技术安全的活动。
第十七条 网络与信息中心负责全校数据的集成与整合,各单位应积极配合,及时提供相应数据,并协调业务系统厂商开展数据集成;负责学校中心数据库、数据共享交换平台的建设、运维与管理,负责基础数据库与各单位业务数据库之间完成数据交换和共享。
第十八条 各单位负责建设、维护本单位业务应用系统所配套的业务数据库,并对本单位业务数据库及所申请的共享数据的安全负责。各单位应注意业务系统信息资料和数据存储介质的存放、运输安全和保密管理,保证存储介质的物理安全,存放数据的介质必须具有明确的标识。各单位必须对数据进行定期备份,并确保可以随时使用。
第十九条 学校各业务系统所产生的数据,均为学校所有。未经许可,任何单位和个人不得擅自使用或泄露数据。任何存放业务数据的设备或介质的调拨、转让、维修、废弃或销毁必须严格按照学校规定程序审批。
第二十条 学校统一身份认证平台为学校信息系统提供统一的身份管理、安全的认证机制、审计及标准接口。学校各单位建设面向师生服务的应用系统时,应使用统一身份认证平台进行身份认证。网络与信息中心负责统一身份认证平台的安全,学校各单位负责本单位应用系统的权限管理及安全。
第六章 知识产权保护
第二十一条 学校各有关单位在开展信息化建设工作过程中,凡涉及到软件使用的,应主动使用正版软件,在经费限制的情况下,应主动选择免费或开源软件,避免使用未经合法授权的软件。
第二十二条 学校各有关单位在各自负责管理的信息服务网站上,不得提供任何未经合法授权的资源,包括但不限于软件、影视、音乐作品等。
第二十三条 学校将定期对学校各单位在信息化建设和管理中的知识产权保护工作进行检查,对违反上述规定的行为予以通报批评,并督促各单位进行整改。
第二十四条 由于违反本章规定导致知识产权诉讼并给学校带来的一切损失,由发生违规行为的单位或个人自行承担,同时将视具体情节,给予相关单位和负责人相应的处罚。
第七章 其 它
第二十五条 本办法在实施中若与国家有关法律、法规有不一致的,以国家法律、法规为准。
第二十六条 本办法经中国矿业大学校务会议研究通过,自下发之日起实施,由网络与信息中心负责解释。学校原有相关规定与本办法不一致的,按本办法执行。
