第一章 总则
第一条 为了保障江苏城乡建设职业学院校园网络及信息系统的安全稳定、促进学校信息化健康发展,根据国家相关法律法规并结合我校实际情况,制定本办法。
第二条 网络信息安全是指网络基础设施、网站、信息系统及数据内容等受到保护,保证网络、信息及内容的安全性、完整性、可用性、可控性。
第三条 网络信息安全管理的基本原则是“谁主管、谁负责,谁运营、谁负责”,明确责任、突出重点、保障安全。
第四条 网络信息安全管理的总体方针是以国家标准《信息系统安全等级保护基本要求》(GB/T 22239-2008)为指导,预防为主、综合防范。
第五条 网络信息安全管理的目标是建立健全网络信息安全保障体系,提高安全防护能力,确保学校网络信息安全工作规范、有序开展,保障学校信息化可持续发展。
第二章 组织架构
第六条 网络安全与信息化建设领导小组负责制定学校网络信息安全相关政策,研究处理重大网络信息安全事件,定期召开网络信息安全工作会议,统筹指导学校网络信息安全建设。
第七条 教育技术与信息中心和宣传部为学校网络安全与信息化工作领导小组的秘书单位,负责学校网络信息安全的日常工作。
第八条 学校各单位负责本单位网站及应用系统的建设、管理及安全运维。各单位主要负责人是本单位网络信息安全工作的第一责任人,同时,各单位须设置网络信息管理员,负责本单位网络信息安全具体工作。
第三章 网络信息安全建设
第九条 各单位在制作网站或信息系统的项目预算时,须包含网络信息安全的专项经费,用于该网站或信息系统的安全建设及运维。
第十条 各单位须明确网站或信息系统是否需要对校外开放,对校外开放的网站或信息系统,须满足国家标准《信息系统安全等级保护基本要求》规定的二级(或以上)安全等级要求,各单位明确其网络及信息安全需求,提供安全策略,由教育技术与信息中心进行防火墙设置。
第十一条 各单位网站或信息系统在上线前,须开展安全自查工作,提供安全自查报告,并填写《网站及信息系统情况记录表》(附件1),由本单位主要负责人签字确认后,学校网络安全与信息化工作领导小组办公室备案。
第十二条 教育技术与信息中心负责用专业技术手段对网站或信息系统进行安全检测。检测未通过的须进行安全整改,直至通过检测,网站或信息系统方可上线运行。
第四章 运行管理
第十三条 各单位须定期对本单位的网站及信息系统开展安全巡检,并做好巡检记录,填写《网站及信息系统巡检记录表》(附件2)。对校外开放的网站或信息系统,要求每周巡检一次,对校内开放的网站或信息系统,要求每月巡检一次。
第十四条 各单位须定期对网站及信息系统进行漏洞修补,包括主机系统漏洞、WEB应用漏洞、中间件漏洞、数据库漏洞等。
第十五条 学校将定期对全校的网站及信息系统开展安全检查,检查不合格的网站或信息系统,视其漏洞级别暂停其外网访问,同时通知责任单位限期整改,要求提供整改报告并提交学校网络安全与信息化工作领导小组办公室。经安全复查合格后,方可恢复该网站或信息系统的正常访问。
第十六条 特殊时期,各单位须加强网站及信息系统的安全监管工作,安排专人值守,加强安全巡检,做好安全整改。
第五章 安全事件应急响应
第十七条 安全事件分为紧急事件和普通事件。
第十八条 紧急事件是指:
1.可由校外访问的页面发生篡改或被替换成非法信息的事件,尤其是发生在主页、新闻网站、招生信息网等访问量高的系统或网站的事件。
2.影响学校系统正常运转的攻击事件,如与服务门户、教务系统、财务系统、办公自动化系统相关的攻击事件。
3.可能造成师生隐私信息被窃取、丢失、损坏的漏洞。
4.其它可能对社会公共安全或学校造成危害或不良影响的事件或漏洞。
第十九条 普通事件是指:
1.对校内开放系统或网站的页面发生无害篡改或有隐藏漏洞。
2.影响不大的攻击事件或可能造成中低隐患的漏洞。
3.其他不构成公共危害或社会不良影响的安全事件或漏洞。
第二十条 网络信息安全事件应急响应流程如下:
1.学校网络安全与信息化建设领导小组办公室接到安全事件通报,通过沟通协调,结合技术手段,获取事件截图等相关证据。
2.学校网络安全与信息化建设领导小组办公室核实事件类别,发起处理流程。
3.若事件为紧急事件,学校网络安全与信息化工作领导小组办公室第一时间向分管信息化工作校领导汇报,同时通报责任单位相关情况及事件证据,并关闭相关网站或信息系统的访问权限,以降低不良影响。若事件为普通事件,则此环节略过。需要在网络媒体等对外发布信息的,网络安全与信息化建设领导小组办公室拟稿后由校新闻发言人签署发布。
4.学校网络安全与信息化建设领导小组办公室指导分析事件原因,并提供整改建议。
5.责任单位对网站或信息系统进行安全修复,并提交整改报告。
6.信息化处对修复后的网站或信息系统进行安全复查,复查通过后恢复其访问权限。
第二十一条 各单位须制定本单位的网站及信息系统安全应急预案,并定期进行安全应急演练。
第六章附则
第二十二条 涉密网络信息系统的运行安全保护工作不适用本管理办法。
第二十三条 本管理办法自2018年6月1日起施行。