第一章 总则
第一条:为了保障湖南中医药高等专科学校校园网络与信息系统的安全稳定、促进学校信息化健康发展,根据国家相关法律法规并结合我校实际情况,制定本办法。
第二条:网络与信息安全是指:网络基础设施、网站、信息系统及数据内容等受到保护,保证网络、信息及内容的安全性、完整性、可用性、可控性。
第三条:网络与信息安全管理的基本原则是“谁主管、谁负责,谁运营、谁负责,谁使用,谁负责”,明确责任、突出重点、保障安全。
第四条:网络与信息安全管理的总体方针是以《中华人民共和国网络安全法》、《信息系统安全等级保护基本要求》(GB/T 22239-2008)为指导,预防为主、综合防范。
第五条:网络与信息安全管理的目标是建立健全网络与信息安全保障体系,提高安全防护能力,确保学校网络与信息安全工作规范、有序开展,保障学校信息化可持续发展。
第二章 组织架构
第六条:网络安全与信息化建设工作领导小组负责制定学校网络与信息安全相关政策,研究处理重大网络与信息安全事件,定期召开网络与信息安全工作会议,统筹指导学校网络与信息安全建设。
第七条:学校网络安全与信息化建设工作领导小组下设办公室,办公室设在图书信息中心。图书信息中心是学校信息化建设与网络信息安全管理的职能部门,负责学校网络与信息安全的日常工作。
第八条:学校各二级部门负责本部门网站及应用系统的建设、管理及安全运维。各部门主要负责人是本部门网络与信息安全工作的第一责任人,同时,各部门须设置网络信息管理员,负责本部门网络与信息安全具体工作。
第三章 网络与信息安全建设
第九条:学校各部门在制作网站或信息系统的项目预算时,须包含网络与信息安全的专项经费,用于该网站或信息系统的安全建设及运维。
第十条:各部门须明确网站或信息系统是否需要对校外开放,对校外开放的网站或信息系统,须满足国家标准《信息系统安全等级保护基本要求》规定的二级(或以上)安全等级要求,各单位明确其网络及信息安全需求,提供安全策略,由图书信息中心进行防火墙设置。
第十一条:各部门网站或信息系统在上线前,须开展安全自查工作,提供安全自查报告,并填写《网站及信息系统情况记录表》(附件1),由本部门主要负责人签字确认后,提交图书信息中心备案。
第十二条:图书信息中心采用专业技术手段对网站或信息系统进行安全检测。检测未通过的须进行安全整改,直至通过检测,网站或信息系统方可上线运行。
第四章 网络与信息安全管理
第十三条:图书信息中心代表学校为各部门、各用户提供网络接入、信息发布、即时通讯等服务,在确认提供服务时,应当要求用户提供真实身份信息进行实名制认证。用户不提供真实身份信息的,学校有权不为其提供相关服务。
第十四条:严格按照《信息系统安全等级保护基本要求》管理和维护学校中心机房及各类信息系统、网络基础设施。管理人员应定期检查网络设备及信息系统是否正常运行,要建立完整、规范的校园网设备运行情况档案及网络设备账目,认真做好各项资料(软件)的记录、分类和妥善保存工作。
第十五条:校园网由学校图书信息中心统一管理及维护。校园网各类服务器或信息系统中开设的帐号和口令不得向任何单位和个人泄露。
第十六条:财务、资产、校园一卡通等重要信息系统或者数据,建议在专网内传输,不接入互联网工作。
第十七条:各部门须定期对本部门的网站及信息系统开展安全巡检,并做好巡检记录,填写《网站及信息系统巡检记录表》(附件2)。对校外开放的网站或信息系统,要求每周巡检一次,对校内开放的网站或信息系统,要求每月巡检一次。
第十八条:各部门须定期对网站及信息系统进行漏洞修补,包括主机系统漏洞、WEB应用漏洞、中间件漏洞、数据库漏洞等。
第十九条:各部门须定期对网站及信息系统进行数据备份,对极为重要的数据要采取在线自动备份,光盘离线备份等措施。
第二十条:学校将定期对全校的网站及信息系统开展安全检查,检查不合格的网站或信息系统,视其漏洞级别暂停其外网访问,同时通知责任部门限期整改,要求提供整改报告,并提交图书信息中心备案。经安全复查合格后,方可恢复该网站或信息系统的正常访问。
第二十一条:特殊时期,各部门须加强网站及信息系统的安全监管工作,安排专人值守,加强安全巡检,做好安全整改。
第五章 校园网络用户守则
第二十二条:使用校园网的全体师生必须对所提供的信息负责。任何个人和部门发送的电子信息、提供的应用软件,不得设置恶意程序,不得含有法律 法规禁止发布或者传输的信息。
第二十三条:任何个人和部门使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。
第二十四条:任何个人和部门不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。
第二十五条:严禁在校园网内使用来历不明的软件或文件。应使用合格的杀毒软件定期对个人计算机进行杀毒、清理。校园网用户发现校园网存在违法行为和有害的、不健康的信息时,应及时向学校(或图书信息中心)报告。
第二十六条:校园网上任何用户不得建立任何形式的代理服务器供其他用户上网使用,否则图书信息中心将终止该用户的使用。
第二十七条:学校按照“一人一号,专人专用,谁使用,谁负责”的原则,对校园网所有上网用户实行实名制管理,对用户的上网行为和日志进行记录和备案。用户使用账号上网时,应自觉遵守国家的相关法律法规和学校的有关规定,对此账号上网产生的一切行为负责,并承担相应法律责任。用户不得擅自转借、转让账号,应妥善保管账号和密码,并且及时修改初始密码,以免被盗用。否则,造成的一切后果由账号持有人负责。
第二十八条:校园网宽带用户应及时支付上网费用,逾期一个月未支付上网费用,图书信息中心有权暂停该用户的使用;逾期三个月未支付上网费用,将终止该用户的使用,如再次使用将作新用户对待,需重新申请。校园网宽带(含有线、无线网)收费标准应符合湖南省财政厅、物价局相关文件标准。
第六章 处罚办法
第二十九条:违反本制度规定,有下列行为之一者,学校可提出警告、停止其上网,情节严重者给予行政处分,或提交司法部门,依据国家相关法律法规处理。
1、查阅、复制或传播下列信息者:
(1)煽动分裂国家、破坏国家统一和民族团结;
(2)煽动抗拒、破坏宪法和国家法律、行政法规的实施;
(3)捏造或者歪曲事实,故意散布谣言,扰乱社会秩序;
(4)公然侮辱他人或者捏造事实诽谤他人;
(5)宣扬封建迷信、淫秽、色情、暴力、凶杀、恐怖等。
2、破坏、盗用计算机网络中的信息资源,故意制作、传播计算机病毒等破坏性程序者。
3、盗用他人帐号或私自转借、转让用户帐号造成危害者。
4、使用任何工具破坏网络正常运行或窃取他人信息、泄露他人信息者。
5、违反国家网络安全法或其他网络安全相关法律法规者。
第七章附则
第三十条:涉密网络信息系统的运行安全保护工作不适用本管理办法。
第三十一条:本管理办法自发布之日起施行。
附件1:网站及信息系统情况记录表
附件2:网站及信息系统巡检记录表
湖南中医药高等专科学校图书信息中心