信息安全管理办法
(2022年拟定)
第一章 总则
第一条 为加强信息安全管理,明确信息安全责任,保障信息化建设的稳步发展,促进校园网络的健康发展,为学院教学科研及管理工作提供良好服务,根据《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例》和《信息系统安全管理要求》(GB/T 20269-2006)文件等有关法规,结合学院业务特性和安全现状,特制订本办法。
第二章 管理机构
第二条 校园网络管理实行工作责任制和责任追究制。学院成立网络信息安全工作领导小组,下设网络信息中心,各学院、部门、单位相应成立网络信息安全工作领导小组,各级行政负责人为领导小组组长、常务副组长、副组长及成员,网络信息中心配备安全管理员,负责本单位内网络的信息安全管理工作。
第三条 网络信息安全工作领导小组由党委书记及党委副书记、院长任组长,专职党委副书记任常务副组长,其他副院长为副组长,各党支部、各部门、各二级学院(部,中心)负责人为成员,贯彻落实上级有关部门关于网络信息安全工作的决策部署,组织协调全校网络信息安全重大问题,统筹推进信息安全等级保护工作;研究制定网络信息安全工作发展规划、工作计划、政策制定和工作标准;研究制定网络信息安全工作建设项目的计划立项、经费预算与总结验收;坚持“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,督促各单位落实网络信息安全工作的政策规定,不断提高学校网络信息安全工作水平。
第四条 网络信息安全工作领导小组下设网络信息中心主要负责人为主任,其他工作人员为成员。 网络信息中心工作职责主要为以下几点:
(1)领导西双版纳职业技术学院的网络安全和信息化工作。
(2)组织落实相关部门下达的网络安全和信息化工作的方针、政策和重大部署。
(3)组织研究、审定西双版纳职业技术学院网络与信息安全的发展战略、总体规划、重大政策、管理规范和技术标准。
(4)协调各业务部门间的信息安全工作。
(5)组织编制西双版纳职业技术学院网络与信息安全重大突发事件应急预案,并督促落实。
第五条 相关部门工作职责
办公室(党委巡察办):负责协调相关部门参与信息安全应急响应和处置,负责网络安全与信息化有关保密工作,负责支持建立网络安全和信息化专业队伍。
宣传部:负责校园网站新闻、图片、资源的上传、审核及管理工作,负责网络与信息内容安全。
教务科:负责网络与信息技术安全及提供技术保障,负责相应管理教学和学生活动中的网络安全与信息化发展工作,并做好对学生的媒介素养和网络行为的宣传教育。
财务科:负责安排预算保障网络安全和信息化工作。
学生科(学生工作部、武装部):负责对学生进行网络安全教育和法制教育。
保卫科:负责在校园规划及基础建设方面保障网络安全与信息化发展,保障校园信息网络管道建设和运维;负责管理各实验室的网络安全与信息化发展工作;负责网络与信息安全相关的保卫与消防工作。
科研科:负责管理科研活动和科研设施的网络安全与信息化发展工作。
图书馆:负责图书馆的网络安全与信息化发展工作。
第三章 信息安全事件管理办法
第六条 信息系统安全事件是指因非法入侵或敏感数据泄露等原因,严重影响信息系统正常运行或造成社会不良影响的事件。
第七条 按照信息安全事件造成的后果和影响的严重程度,将信息安全事件分为以下等级:
1、特别重大安全事件,指能够导致特别严重影响或破坏的信息安全事件,包括以下情况:
a)会使特别重要信息系统遭受特别严重的系统损失;
b)产生特别重大的社会影响。
2、重大安全事件,指能够导致严重影响或破坏的信息安全事件,包括以下情况:
a)会使特别重要信息系统遭受严重的系统损失,或使重要信息系统遭受特别严重的系统损失;
b)产生重大的社会影响。
3、较大安全事件,指能够导致较严重影响或破坏的信息安全事件,包括以下情况:
a)会使特别重要信息系统遭受较大的系统损失,或使重要信息系统遭受严重的系统损失、一般信息系统遭受特别严重的系统损失;
b)产生较大的社会影响。
4、一般安全事件,指不满足以上条件的信息安全事件,包括以下情况:
a)会使特别重要信息系统遭受较小的系统损失,或使重要信息系统遭受较大的系统损失、一般信息系统遭受严重或严重以下级别的系统损失;
b)产生一般的社会影响。
第八条 安全事件报告程序:
1、发现一般安全事件时,由网络信息中心安全事件管理相关负责人受理并记录归档、安全事件处理人员进行处理;
2、发现较大安全事件时,首先报网络信息中心,网络信息中心组织人员进行事件处理;
3、发现重大安全事件或特别重大安全事件时,应报西双版纳职业技术学院领导及网络信息中心,联系维护支撑单位协助处理安全事件。
第九条 网络信息中心负责人组织、跟踪信息安全事件的处理和完成情况,并针对安全事件进行原因分析,针对安全缺陷进行统计分析,并对事件及缺陷采取纠正、预防等措施。
第四章 机房安全管理办法
第十条 网络信息中心负责机房安全管理制度的落实和实施,对制度的执行过程进行监督和检查。机房管理员负责机房的日常维护、日常监控和日常管理。
第十一条 严禁第三方工作人员进入机房,如因工作需要进入机房需经网络信息中心相关人员批准并由相关人员带入。
第十二条 进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品。
第十三条 进入机房的人员必须完整填写《机房出入登记表》,以备检查。
第十四条 操作人员应随时监视设备运行状况,发现异常情况时应立即按照预案规程进行操作,并及时上报和做好详细记录。
第十五条 任何人员未经许可不得擅自上机操作和对运行设备的各种配置进行更改。
第十六条 机房工作人员应恪守保密制度,不得擅自泄露机房中的各种信息资料和资料数据。
第十七条 不定期对机房内的消防器材、监控设备进行检查,以确保其有效性。
第十八条 严格按照有关操作流程对业务系统进行操作,对新上线业务及特殊情况需要变更流程的,应事先进行详细安排并书面报相关负责人批准签字后方可执行;所有操作必须记录存档。
第十九条 网络信息中心不定期对制度的执行情况进行检查,督促各项制度的落实。
第五章 内网安全管理办法
第二十条 本管理办法的内容包括:网络管理、终端管理、用户管理、介质管理和安全事件报告。
第二十一条 内网必须与国际互联网实行物理隔离。
第二十二条 内网进行分级、分层、分域管理,对内网信息系统及相应的局域网(业务专网)划分为独立可管理和控制的安全域。不同的安全域应采取相应的安全策略和保护手段。
第二十三条 建设内网安全与应用支撑平台,实行内网用户、资源的统一注册管理,并为单位信息系统的安全和安全域防护提供身份鉴别、授权管理、边界防护等公共安全技术手段。
第二十四条加强对内网信息上网前的保密审查和对已上网信息的保密检查,防止涉及国家秘密的信息上网。
第二十五条 内网应配置独立的交换机,内网综合布线须满足《涉及国家秘密的信息系统分级保护技术要求》中的相关要求。
第二十六条 内网信息系统利用公网(PSTN、ISDN、ADSL、DDN、X.25、帧中继、ATM、SDH 等)进行远程传输时,必须使用VPN技术和IP密码机实行加密处理。
第二十七条 内网因工作需要与其他网络进行连接,连接方式和设备必须满足国家保密部门的要求。
第二十八条 内外网因工作需要进行数据交换时,必须采用符合国家保密部门要求的方式(如:刻录光盘)或设备(如:保密部门认可的安全移动存储介质管理系统)。
第二十九条 通过部署统一的补丁升级系统、防病毒系统、漏洞扫描系统、网页防篡改系统、存储备份系统、容灾系统,建立与应用相适应的安全策略,全面加强主机和应用系统安全。
第三十条 建立监控、备份恢复、应急处理、安全审计、安全事件报告等工作制度。网络信息中心通过监控机房、网络、主机、应用、数据等运行状态,主动发现安全隐患,及时采取相应措施,尽快恢复受影响或被中断的应用服务。
第三十一条 内网计算机必须安装保密部门认可的违规上互联网监控软件。
第三十二条 严禁在内网发布涉密信息,内网计算机不得存储、处理、传输国家秘密信息,非涉密移动存储介质不得存储国家秘密信息。
第三十三条 严禁在内网计算机上连接手机、相机、USB存储介质等一切非授权的可存储或连接其他网络的外置设备。
第三十四条 内网计算机须启用屏幕保护程序并设置恢复密码,屏幕保护的闲置时间设置为10分钟以内。
第三十五条 内网计算机必须保证密码安全。内网计算机和应用系统密码需定期修改,密码长度不少于8位,并由字母、数字和特殊字符混合组成。
第三十六条 及时对内网计算机操作系统补丁和防病毒软件病毒库进行更新,定期对计算机进行全盘扫描、杀毒。
第三十七条 内网用户应定期接受保密教育和培训,建立完善的人员安全监管制度。
第三十八条 对内网用户进入网络的行为实行安全准入管理制度。安全准入行为管理包括便携式计算机、台式计算机、移动存储介质、打印机等设备的注册,外来软件的安装等。
第三十九条 内网用户不得私自安装与工作无关的软件,如需安装非工作需要的软件必须向网络信息中心申请。
第四十条 内网用户不得擅自更改内网计算机系统设置,如计算机名、IP地址、用户名等。
第四十一条 内网用户不得通过拨号、无线网卡等方式连接国际互联网。
第四十二条 定期组织对内网信息系统的安全保密检测和检查,加强对内网安全、保密技术知识的教育和培训。
第四十三条 内网计算机必须使用国家保密部门认可的安全移动存储介质管理系统。
第四十四条 指定专人负责安全移动存储介质管理系统的保管、发放、登记管理等,建立介质资产清单,落实安全责任制度,明确责任主体。
第四十五条 内网计算机及安全移动存储介质改变用途或报废之前,须由技术人员使用专用数据销毁工具将硬盘或移动存储介质中的数据进行彻底清除,以保护信息安全。
第四十六条 内网安全移动存储介质的维修、报废,先报主管领导审批,由专人负责登记备案后,再进行维修、报废处理。
第四十七条 内网用户发现安全事件已经发生或可能发生时,应立即采取补救措施并及时报告网络信息中心。
第四十八条 网络信息中心接到报告后,应当立即做出处理,并及时向单位领导部门报告。
第四十九条 内网用户对本人的行为负责;各部门负责人负有管理、监督本部门人员遵守本办法的责任。
第六章 网络安全管理办法
第五十条 网络安全管理办法的内容包括:网络安全管理、运维管理、账号管理、病毒防治、网络安全事件处置。
第五十一条 应在系统网络边界部署防火墙、审计系统、IPS/IDS 等安全设备。重要的业务应用服务器去部署单独的防火墙进行保护。
第五十二条 采用技术手段对网络接入进行控制。内部终端如因工作需要接入Internet 或其他网络,应向网络信息中心提出申请,经批准后方可接入服务。网络结构发生变化要及时更新拓扑图,确保网络拓扑图完整、真实。
第五十三条 未经网络信息中心领导批准,任何人不得改变网络拓扑结构,网络设备布局,交换机(路由器)、网络安全设备(防火墙、网关、VPN,……)和各类服务器等设施设备的配置以及网络参数。
第五十四条 尽可能对信息系统核心设备采取冗余措施(包括线路及设备冗余),确保网络正常运行。
第五十五条 每季度对网络系统(服务器、网络设备)进行漏洞扫描,并及时修补已发现的安全漏洞。
第五十六条 根据设备厂商提供的更新软件对网络设备和安全设备进行升级,在升级之前要注意对重要文件的配置进行备份。
第五十七条 定期对重要的网络、安全设备进行巡检,确保重要设施工作正常,并填写相关记录表单归档保存。若在巡检中发现安全问题要及时上报处理。
第五十八条 定期或不定期对重要系统服务器和相关业务数据进行备份,备份数据应一式两份,分别进行保存管理。
第五十九条 网络账号、密码设计必须满足长度、复杂度要求,用户须定期更改密码以保障网络账户安全。
第六十条 指定管理员对服务器和网络设备的账号、密码进行统一管理。管理员须严守职业道德和职业纪律,不得将任何账号、密码等信息泄露出去。
第六十一条 不得制造和传播任何计算机病毒。
第六十二条 及时更新网络系统服务器病毒库,定期对服务器进行全盘扫描杀毒。
第六十三条 提高自身的恶意代码防范意识,在接收文件和邮件之前,必须先进行恶意代码检查。
第六十四条 已授权的外来计算机或存储设备在接入网络之前,必须对其进行恶意代码扫描。
第六十五条 提高全校教职工特别是网络信息中心工作人员的信息安全意识,开展信息安全法律法规的学习和培训。
第六十六条 发现网络安全事件应及时向部门领导报告,并详细记录事件的过程、事件的类型。及时评估事件可能带来的影响和可能造成的灾难。
第六十七条 发现制造病毒、故意传播病毒等行为,须立即通知网络信息中心,并协助有关部门进行调查。
第六十八条 发现恶意网络攻击行为,须立即通知网络信息中心,并协助有关部门进行调查。
第六十九条 网络信息中心在接到网络安全事件报告时要及时按照《信息安全技术 信息安全事件分类分级指南》(GB/Z 20986-2007)对安全事件进行分类分级,启动应急预案,并严格按照《信息系统安全管理要求》(GB/T 20269-2006)进行处置。
第七十条 在确认网络安全事件后,采取以下行动:
一、立即响应
二、法律取证分析
三、向所涉及人员和相关第三方传达成
四、考虑信息安全事件是否在可控状态
五、后续响应
六、上报标准
七、具体负责人。
第七章 附则
第七十一条 本办法其它未尽事宜,参照学院相关规定执行。
第七十二条 本办法自公布之日起执行;本办法颁布实施前已开展的项目,仍按照以前的相关规定执行。
第七十三条 本办法由网络信息中心负责解释。
领导小组及办公室成员如有变动,按照时任职务自行递补,不再另行发文。
