某大學繼續(xù)教育學院信息系統(tǒng)安全管理規(guī)定

某大學繼續(xù)教育學院信息系統(tǒng)安全管理規(guī)定

z大學繼續(xù)教育學院信息系統(tǒng)安全管理規(guī)定

第一章 總則

第一條 為了進一步加強我院信息系統(tǒng)安全管理，保證設施設備、人員及信息安全，確保網絡正常運行，根據《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《計算機信息網絡國際聯(lián)網安全保護管理辦法》、《中華人民共和國治安處罰法》第29條、《互聯(lián)網安全保護技術措施》、《教育行業(yè)信息系統(tǒng)安全等級保護定級工作指南(試行)》等相關法律法規(guī)的要求，特制定本規(guī)定。

第二條 本管理規(guī)定所稱的網絡系統(tǒng)，是指由學校或學院投資購買，由我院維護和管理的，為教學、科研、管理服務的各類網絡設備、配套設施、數據資料等軟硬件系統(tǒng)的總和。

第二章 機構與制度

第三條 信息系統(tǒng)安全管理應遵循統(tǒng)一管理、分級負責的原則。學院應成立專門部門負責網絡安全管理工作。該部門在網絡安全責任人的領導下，負責制定和完善相關的管理制度，組織和指導各部門實施網絡安全管理工作，監(jiān)督和評估制度的執(zhí)行效果。

第四條 學院各部門應指定專人(部門網絡安全責任人)負責本部門業(yè)務范圍所涉及的信息系統(tǒng)安全的管理工作。各部門應結合自身工作性質和特點，制定具體的網絡安全管理實施細則，明確工作職責和管理權限，責任要落實到人。

第五條 網絡安全主管部門要強化有關網絡安全法律、法規(guī)和網絡安全意識的宣傳教育工作，開展多種形式的安全檢查，對發(fā)現的網絡安全隱患，要及時督促整改。

第三章 技術措施

第六條 學院應對服務器、交換機、通信線路、IP地址等網絡軟硬件資源的使用進行統(tǒng)籌管理，按需分配。任何部門或個人不得通過任何手段私自使用以上資源或更改其用途。網絡安全主管部門要對網絡資源的使用和分配情況進行登記，并上報學校相關部門備案。

第七條 重要的網絡設施設備必須實行專人專管。

第八條 信息系統(tǒng)中賬號、密碼、權限的安全設置必須符合相關的技術規(guī)范。重要的服務器應做到“功能單一、專機專用”，嚴禁在服務器中安裝與其功能無關的服務類軟件，不得用服務器做與其功能無關的事。

第九條 嚴格管理信息系統(tǒng)中的賬號和密碼，不得向無關的單位和個人提供相關信息(法律法規(guī)另有規(guī)定除外)。任何人不得以任何手段偵聽、破解、盜用賬號和密碼，嚴禁登錄與本人工作職責無關的網絡設備。

第十條 所有接入網絡的計算機必須安裝防病毒軟件;網絡服務器必須采取防范網絡入侵和攻擊的技術手段;定期備份重要數據;網絡中的重要設備應采取容災措施。

第十一條 學院開設的服務器必須啟用日志記錄功能，記錄并留存用戶登錄和退出時間、操作內容、訪問地址或域名等關鍵信息，歷史記錄保留時間不得低于60天。

第十二條 對網絡中的各類應用軟件、數據庫系統(tǒng)等信息資源應視其重要程度采取相應的保密措施和權限控制。

第十三條 養(yǎng)成良好的計算機使用習慣，不隨意下載和安裝不熟悉的軟件、不無序存放數據資料、不使用盜版軟件、不接收和轉發(fā)來歷不明的電子郵件、不隨意訪問不熟悉的網站、不隨意修改系統(tǒng)參數，及時升級系統(tǒng)和應用軟件、及時備份重要的數據資料。

第十四條 學院教學用機房一律不準對社會開放，嚴禁向學生提供有償網絡服務。在教學過程中不能無限制對教師和學生開通上網服務，應視具體的教學內容而定。

第四章 審查與備案制度

第十五條 學院應建立完備的審查與備案制度。需要審查和備案的事項包括：信息發(fā)布、提供網絡服務、新建網絡設施、申請網絡賬號等。

第十六條 各部門對外的信息發(fā)布的審查和備案工作由部門網絡安全責任人負責。學院對外提供網絡服務、新建網絡設施或申請網絡賬號等由網絡安全主管部門負責向學校提交相關申請和備案工作。

第十七條 未經批準，任何部門和個人不得以學院的名義對外發(fā)布信息，不得私自對外開設代理、郵件、文件、信息等網絡服務服務。如無特殊需要，學院的服務器一般不對學生和學院以外的人員開通信息發(fā)布功能。

第五章 應急處置機制和信息通報制度

第十八條 網絡安全事件的處理應堅持“加強監(jiān)控、主動防范、先期處置、及時匯報”的原則。

第十九條 出現以下情況可視為網絡安全事件：

1.網站主頁被惡意篡改，出現*、反政府、分裂國家、危害社會穩(wěn)定等違法言論，出現宣揚色情、暴力、封建迷信的信息或損害他人利益、聲譽的不實言論以及其他違法的信息。

2.網絡服務器遭受入侵，數據被非法復制、修改、刪除等。

3.網絡服務器受到攻擊，導致服務中斷或嚴重受阻。

4.網絡服務器感染計算機病毒，導致重大損失。

第二十條 若發(fā)生網絡安全事件或疑似網絡安全事件，應按以下步驟處理：

1.相關技術人員應立即停止受到影響的服務器、工作站的運行，關閉交換機等網絡設備，防止勢態(tài)蔓延、危害擴大;備份系統(tǒng)和應用軟件的各類日志文件及重要的數據文件。

2.立即向學院網絡安全主管部門匯報情況，由網絡安全責任人召集技術人員對事件的性質進行認定。若確認為網絡安全事件，應及時以書面形式向學校相關部門匯報。并在保留證據的前提下，及時修復受損的網絡設備和數據。若確由必要，可向學校相關部門提出技術支持的請求。

3.處置完成后應總結教訓、查找漏洞，制定相應的防范措施，盡量杜絕相同事件再次發(fā)生。

第六章 違約責任與處罰

第二十一條 違反本規(guī)定的行為一經查實，學院將視情節(jié)給予相應的行政紀律處分，情節(jié)嚴重或造成重大影響和損失的向學校相關部門報告，違反法律者，依法承擔相關責任。

第七章 其他

第二十二條 本規(guī)定自公布之日起實行。

繼續(xù)教育學院、應用技術學院