第一章 总 则
第一条 为加强学校网络信息安全管理工作,促进校园网健康、安全、高效运行,确保网络信息安全,根据《计算机信息网络国际互联网安全保护管理办法》、《中华人民共和国计算机信息系统安全保护条例》、《中国教育和科研计算机网暂行管理办法》、《中华人民共和国网络安全法》、《中华人民共和国保守国家秘密法》和其他有关文件精神,结合西安外事学院(以下简称“学校”)实际,制定本制度。
第二条 在学校范围内建设、运营、维护和使用网络与信息系统,以及网络信息安全的监督管理,适用本制度。
第二章 管理机构
第三条 学校稳定安全工作领导小组是学校稳定安全,包括网络安全工作在内的领导机构,统管学校稳定安全工作。
第四条 学校网络安全与信息化领导小组是学校网络信息安全专项工作的决策机构,在学校稳定安全工作的统一部署下开展相关工作。
第五条 学校教学与研究部信息化建设办公室(以下简称“信息办”)是学校网络安全与信息化领导小组的日常办公机构,跨部门统筹协调网络信息安全相关工作,是学校网络信息安全建设、管理与监督的职能部门。
第六条 学校党委宣传部负责网络信息内容、舆情信息的监控和管理,开展网上疏导和正面宣传。
第七条 学校保障部安全保卫办公室负责对网络违规行为进行调查、取证和处理,根据相关证据及事态影响或破坏程度,对违规者按照有关规定进行处理。
第八条 学校按照“谁建设谁负责,谁主管谁负责,谁使用谁负责”原则,相关单位承担安全技术保障、内容安全监管及监督检查等职责。各单位负责人(或主持工作的领导)是本单位网络信息安全工作的第一责任人。
第九条 信息办须明确系统管理员、网络管理员、安全审计员、安全管理员(不可兼任)应承担的网络信息安全相关工作职责(见附件1),建立严格的工作审批程序,有序开展网络信息安全工作。学校其他单位可根据实际工作需要,由信息员(或安排专人)负责本单位网络信息安全工作。
第三章 规划与建设
第十条 学校网络信息安全建设与管理工作是在网络安全与信息化领导小组的领导下,按照统一规划、统一标准、统筹协调、资源共享、注重实效、保障安全的原则开展。
第十一条 网络安全与信息化领导小组负责审定、签发学校网络信息安全建设规划、年度计划、实施方案及制度规范,主持重大项目的立项、督导和验收。
第十二条 信息办负责组织编制学校网络信息安全总体规划、年度计划、实施方案、经费预算及制度规范,负责常规项目的组织论证、立项、实施、督导和验收。
第十三条 网络信息安全建设实施细则参照《西安外事学院信息化建设与管理办法》。不符合国家相关标准的强制性要求的网络信息安全产品不得在校园网上运行。
第四章 运行与管理
第十四条 信息系统安全定级与备案
(一)根据国家信息系统安全等级保护相关文件要求,学校信息系统实行安全等级保护制度,等级确定的原则、标准、各级别安全保护和管理内容按照国家和陕西省有关规定执行。
(二)信息系统建设单位(或主办单位)为信息系统安全定级与备案的责任主体。对新建、改建、扩建的信息系统,按照其分类,安全等级须达到《教育行业网络信息系统安全等级保护定级工作指南(试行)》的要求,并同步建设符合该安全保护等级要求的信息安全设施。
(三)新建的信息系统,其建设单位应当在系统投入运行后3个月内办理定级备案手续。已运行的信息系统,其建设单位应当在本办法施行后3个月内办理定级备案手续。对于二级及以上的信息系统由建设部门做好定级备案相关准备工作,交由信息办统一上报至省公安厅等相关部门备案。
(四)信息系统建设单位(或主办单位)应当建立信息系统安全状况日常检查、检测工作制度,按照国家有关管理规范和技术标准,定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。对于信息系统安全状况未达到安全保护等级要求的,建设单位应当制定方案限期整改。
(五)对于未按照要求获得定级备案证书或未按照定级标准实施安全防护措施的信息系统原则上不得在校园网运行。
第十五条 教育移动互联网应用程序备案
以学校教职工、学生、家长为主要用户的教育移动互联网应用程序备案按照《陕西省教育厅办公室关于落实教育移动互联网应用程序备案工作的通知》(陕教信办〔2019〕12号)文件要求执行,未完成备案的教育移动互联网应用程序原则上不得为学校教职工、学生、家长提供服务。
第十六条 账号安全
(一)运行和承载学校业务的所有软硬件设施、设备的账号(包括但不限于操作系统账号、数据库账号、后台管理账号、业务办理账号及用户个人账号)都按照“谁管理谁负责,谁运维谁负责,谁使用谁负责”的原则,建立账号申请、分配、变更、注销、冻结、恢复的审批机制,并严格按照制度流程妥善管理。
(二)账号分配。各管理岗位根据角色授权进行相应账号的分配,建立账号管理台账,实名登记、开通;对于临时开通的账号,在使用完毕之后,应及时销户;定期对账号的分配及使用情况进行检查,清理僵尸账号,发现异常及时冻结账号,保存证据并第一时间向主管领导汇报。
(三)账号授权。各管理岗位应根据实际管理及使用需要,按照最小授权原则,严格控制账号权限,避免越权操作行为。
(四)密码强度。
1.必须由数字、字母和特殊字符组成;
2.密码长度不能少于8个字符,机密级对象设置的密码长度不得少于10个字符;
3.避开有规律、易破译的数字或字符组合;
4.不同的系统采用不同密码,并定期更换。
(五)其他要求。
1、 除最终用户个人账号外,其余账号应由管理岗位和所在单位负责人共同持有,同步更新;
2、 严禁将账号密码(含具备身份识别功能的物理介质,如校园卡、密码锁)转交他人使用或管理;
3、 工作人员调离岗位,须履行账号密码交接程序;
4、 账号遗失或被盗应第一时间汇报所在单位负责人。
第十七条 内容安全
(一) 所有通过校园网传播或通过信息系统发布资源的行为必须符合《西安外事学院校园网管理办法)》第四章用户守则之规定。
(二) 各单位要按照“先审查、后公开”和“一事一审”原则, 对于在校园网传播或通过信息系统(含网站、新媒体)发布的所有信息,建立审查机制,落实专人值守,避免出现不良信息损害国家、学校形象,泄露学校机密和个人隐私的情况。
(三) 网站内容安全管理细则,参见《西安外事学院网站群建设与管理实施细则》。
(四) 新媒体内容安全管理细则,参见《西安外事学院新媒体管理细则》。
(五) 舆情管理及处置细则,参见《西安外事学院舆情管理办法》。
(六) 信息系统的功能、流程设计应符合实际管理要求,对于功能及流程的变更应经业务主管单位领导和业务相关单位主管领导审核会签后,方可实施变更。
第十八条 监测评估
(一) 信息办按期组织对校内网站和信息系统进行安全检查,根据网站和信息系统的安全防护级别进行安全扫描和风险评估,将评估报告发送给相关单位负责人并限期整改;对于存在高风险的网站和信息系统,先关停服务,再限期修复。
(二) 学校在接到上级安全监管部门的检测问题通报后,由信息办负责联系建设及主办单位负责人,监督安全问题的整改过程直至修复完成。
(三) 校内网站和信息系统的备案信息发生变动时,管理员应主动报告并修订备案信息。
第五章 数据安全
第十九条 数据(指校园网和信息系统所覆盖的相关数据)作为学校的无形资产和战略资源,应纳入学校统一管理范畴,实现数据的统一管控,提高数据质量和数据的利用效率,提供安全、完整、统一的数据服务,为学校教学、科研、管理提供数据支撑。
第二十条 数据安全涵盖数据采集、录入、运维、存储、归档、和应用的全过程。
第二十一条 数据采集安全
(一) 数据采集应遵循真实、完整、规范、及时的原则。
(二) 信息办应建立统一的数据采集、录入、审核规范,各单位在进行数据采集、录入、审核时应严格按照规范操作。
(三) 在各类信息系统中,要严格定义角色,分配账号,严控授权,严禁在未按规定授权的情况下委托他人以本人的账户和口令进行有关的数据录入和修改。
(四) 通过数据接口实现的数据采集,应先进行接口技术文档设计,设计文档经审核无误后再实施。
第二十二条 数据运维安全
(一) 数据运维是指学校各单位在业务操作过程中对系统中数据进行修正、补充、更新、删除的过程。
(二) 各单位应指定数据运维的负责人,制定数据运维规范,明确数据维护的权限和职责,凡是进入信息系统中的数据,应严格按照规程进行操作。
(三) 信息办应制定数据在修正、补充、更新、删除时需要记录的审计日志规范,并将其作为信息系统必须实现的功能,同时建立数据库审计系统,监控核心信息系统的数据操作记录,审计记录的访问只能是被授权的只读访问,任何人不得修改。
第二十三条 数据存储和归档安全
(一) 信息办负责公共基础类信息系统数据的存储和备份,各单位负责自建信息系统数据的存储和备份。
(二) 档案馆是学校电子数据的归档部门,建立数据归档以及归档后的数据查询、交换、复制和维护的管理制度,对电子数据实现有效归档和利用。
(三) 数据的存储和备份部门应建立完备的数据备份容灾机制,备份数据和生产数据应分别安排专人管理,互不干涉。
(四) 数据的存储和备份部门应对数据的备份、恢复、转存、清理的权限严格控制,确定使用人员的存取权限和存取方式,严禁未经授权的备份、恢复、转入、转出操作。
(五) 数据备份要求。
1、 数据备份应采用可靠性高、不宜损坏的介质;
2、 备份数据应注明数据信息的来源、备份日期、恢复步骤等信息,并置于安全环境保管;
3、 一般情况下对服务器和网络安全设备的配置数据每月进行一次备份,进行配置修改、系统版本升级、补丁安装等操作前也要进行备份;网络设备配置文件在进行版本升级前和配置修改后进行备份;业务数据每日进行增量备份,每周做一次数据的全量备份,信息系统进行重大系统变更前,应对核心业务数据进行数据的全量备份;
4、 备份执行过程应有详细的规划和记录,包括备份主体、备份时间、备份策略、备份路径、记录介质(类型)等。
(六) 数据恢复要求。信息系统管理员执行数据恢复操作,数据恢复前,必须对原环境的数据进行备份,防止数据的丢失;数据恢复过程中,要严格按照数据恢复手册执行;数据恢复后,必须进行验证、确认,确保数据恢复的完整性和可用性。
(七) 数据清理要求。数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存,并确保可以随时使用。数据清理的实施应避开业务高峰期,避免对联机业务运行造成影响。
(八) 数据转存要求。需要长期保存的数据,信息办应与相关单位制定转存方案,根据转存方案和查询使用方法要在介质有效期内进行转存,防止存储介质过期失效,通过有效的查询、使用方法保证数据的完整性和可用性。转存的数据必须有详细的文档记录。
(九) 报废设备数据管理要求。管理部门应对报废设备中存有的程序、数据资料进行备份后清除,并妥善处理废弃无用的资料和介质,防止泄密。
第二十四条 数据使用安全
(一) 信息办应制定数据服务管理和安全规范,明确定义数据服务的对象和提供服务的方式以及相关的安全管理规定。
(二) 外部信息系统需要利用或共享学校信息系统的数据时,需要出具书面申请文件和需求文档,并按照规定经过审批后方可执行。
(三) 未经批准,任何单位和个人不得擅自提供学校信息系统的内部数据。
第六章 应急与响应
第二十五条 为科学应对网络与信息安全突发事件,最大限度的消除网络与信息系统突发事件的危害和影响,学校应建立健全网络信息安全应急机制,具体细则,参见《西安外事学院网络与信息安全突发事件应急预案》。
第七章 奖励与处罚
第二十六条 对在网络信息安全工作中做出特殊贡献的先进部门或个人,学校将给予一定的奖励。
第二十七条 对于违反本制度规定的单位或个人,学校将予以通报批评,对造成严重不良后果的,将视情节追究责任领导和责任人的行政责任,构成犯罪的,由有关部门依法追究其法律责任。
第八章 附 则
第二十八条 本办法自公布之日起实施,由教学与研究部负责解释,
附件:
岗位职责
一、 网络管理岗位有关网络信息安全工作职责
(一) 参与起草并监督落实校园网有关制度规范;
(二) 负责校园网设计、建设、管理、维护和改进优化;
(三) 负责监控校园网运行情况,合理调度网络资源,为各类信息系统的安全稳定运行提供网络保障;
(四) 负责配置安全防控策略,对校园网运行日志,网络入侵情况进行检查,生成相关报告;
(五) 负责建立重要网络节点的冗余及备份机制;
(六) 负责建立完善的网络配置文件版本管理措施;
(七) 负责妥善保管网络设备管理账号,建立账号分配台账,对于账号的增、删、改、权限划分、密码变更应有详实的记录,并接受安全审计员审计;
(八) 网络设备的上线、停机、升级、配置变更等重要操作应严格按照审批程序进行,并接受安全审计员审计;
(九) 负责开展网络应急演练,对应急预案进行有效性验证;
(十) 配合网络安全员进行安全事件调查、取证;
(十一) 负责建立、完善、保管各类信息系统技术资料。
二、 系统管理岗位有关网络信息安全工作职责
(一) 负责信息系统(包括但不限于操作系统、数据库、中间件、以及其他信息系统运行所必须的软、硬件设施)的运行维护,确保信息系统安全稳定运行;
(二) 负责操作系统、数据库账号的日常管理,建立账号分配台账,对于账号的增、删、改、权限划分、密码变更应有详实的记录,并接受安全审计员审计;
(三) 信息系统的上线、停机、升级、运行环境变更、配置变更、数据调取、数据删除、数据恢复等重要操作应严格按照审批程序进行,并接受安全审计员审计;
(四) 负责根据信息系统灾备方案,建立有效的冗余备份机制,执行数据备份策略,定期对备份数据进行恢复测试;
(五) 负责定期对信息系统中的数据进行规范性检查,严格控制信息系统中数据的保密性、完整性和可用性;
(六) 负责监控信息系统的运行状态,查找风险点,出具分析报告,提出优化建议;
(七) 针对信息系统的风险制定应急预案,开展应急演练,对应急预案的有效性进行验证;
(八) 建立完善的信息系统软件版本管理措施;
(九) 配合安全管理员进行安全事件调查、取证;
(十) 负责建立、完善、保管各类信息系统技术资料。
三、 应用管理岗位有关网络信息安全工作职责
(一) 负责信息系统管理账号、组织机构及用户账号的日常管理,建立账号分配台账,对于账号的增、删、改、权限划分、密码变更应有详实的记录,并接受安全审计员审计;
(二) 负责信息系统重要资源的申请、领用、归还、维护、验证、到期更换,并依照流程使用重要资源,以保证资源的安全;
(三) 遵守信息系统内容审核机制,维护信息系统内容,检查系统发布内容的安全性,出现异常及时上报;
(四) 收集、整理本单位的需求,定期提出应用系统改进意见,并上报管理部门;
(五) 负责参与安全事故调查。
四、 最终用户有关网络信息安全工作职责
(一) 严格遵守《西安外事学院校园网管理办法》第四章用户守则之规定;
(二) 妥善保管个人账号和密码,对信息系统的操作行为负责;
(三) 有义务举报、检举发现的网络信息安全问题。
五、 安全管理员有关网络信息安全工作职责
(一) 负责识别并管理校园网及所有信息系统的安全风险,形成安全风险管理表,并定期更新;
(二) 负责基于风险识别,制定网络信息安全相关制度规范和防范措施,监督、指导各单位及相关人员落实各项安全管理和技术防范要求;
(三) 负责防火墙、WAF、堡垒机、态势感知、数据备份、漏洞扫描、上网行为管理、上网认证、负载均衡等公共安全设施的建设、管理与维护;
(四) 负责设计灾备方案,指导相关管理岗位搭建关键业务容灾环境,满足业务连续性要求,建立数据备份机制,管理维护备份系统,指导相关管理岗位执行备份策略,满足业务数据完整性要求;
(五) 负责组织开展校园网及信息系统安全运行情况检查,评估风险,查处不安全因素,排除安全隐患,形成安全检查报告;
(六) 组织对网络信息安全应急预案进行测试、演练及培训,执行网络信息安全应急预案;
(七) 发生网络信息安全事件时,第一时间采取必要措施,配合学校、上级管理单位及有关执法部门,对网络信息安全事件进行调查、取证,负责有关材料的组织、汇总和上报工作;
(八) 负责建立、完善、保管各类网络信息安全技术资料;
(九) 提供网络信息安全教育培训。
六、 安全审计员有关网络信息安全工作职责
(一) 负责对相关管理岗位的操作行为进行审计、跟踪分析和监督检查,发现违规行为或审计日志中的可疑问题,应及时上报主管领导;
(二) 负责定期开展安全检查,检查内容包括安全技术措施的有效性、安全配置与安全策略的一致性、各类日志文件、安全管理制度的执行情况等,发现问题及时上报;
(三) 负责对安全评估报告进行审计;
(四) 负责网络安全审计系统的日常维护,对审计日志进行定期分析和事件记录;
(五) 负责相关审计资料的记录、整理、归档、调阅等工作,按规定保守秘密和保护当事人合法权益;
(六) 负责参与安全事故调查;
负责与网络信息安全审计有关的其他工作。