关于印发《江苏建筑职业技术学院​网络信息安全管理办法(试行)》的通知
发布人:崔莹
发布时间:2018-10-24
浏览次数:281


  

各单位、各部门:

现将《江苏建筑职业技术学院网络信息安全管理办法(试行)》印发给你们,请遵照执行。

  

  

江苏建筑职业技术学院

20181024

  

  

  

  

  

  

  

  

  

江苏建筑职业技术学院网络信息安全管理办法(试行)

  

第一章 总则

第一条为了保障学校校园网络、信息系统和网站的安全稳定,促进学校信息化健康发展,根据国家相关法律法规,并结合我校实际情况,制定本办法。

第二条网络信息安全是指网络基础设施、网站、信息系统及数据内容等受到保护,保证网络、信息及内容的安全性、完整性、可用性、可控性。

第三条网络信息安全管理的总体方针是以国家《网络安全法》、国家标准《信息系统安全等级保护基本要求》(GB/T 22239-2008)、《教育部关于加强教育行业网络与信息安全工作的指导意见》(教技〔20144号)为指导,预防为主、综合防范。

第四条网络信息安全管理的基本原则是“谁主管谁负责、谁运维谁负责、谁使用谁负责”,分级管理、逐级负责,自主防护、明确责任,突出重点、保障安全。

第五条网络信息安全管理的目标是建立健全网络信息安全保障体系,提高安全防护能力,确保学校网络信息安全工作规范、有序开展,保障学校信息化可持续发展。

第二章 组织架构

第六条网络安全与信息化领导小组负责制定学校网络信息安全相关政策,研究处理重大网络信息安全事件,定期召开网络信息安全工作会议,统筹指导学校网络信息安全建设。

第七条网络安全与信息化领导小组下设办公室,挂靠信息与网络中心,负责学校网络信息安全的日常工作。

第八条学校各单位、各部门负责本单位网站及应用系统的建设、管理及安全运维。各单位负责人是本单位网络信息安全工作的第一责任人。同时,各单位须设置信息化管理人员,负责本单位网络信息安全具体工作。

第三章 网络信息安全建设

第九条各单位在编制部门年度经费预算时,须包含网络信息安全的专项经费,用于本单位网站或信息系统的安全建设及运维。

第十条 各单位须明确网站或信息系统是否需要对校外开放,对校外开放的网站或信息系统,须满足国家标准《信息系统安全等级保护基本要求》规定的二级(或以上)安全等级要求,各单位明确其网络及信息安全需求,提供安全访问策略,由信息与网络中心进行防火墙设置。

第十一条各单位须签署《江苏建筑职业技术学院网络安全承诺书》(附件1),网站或信息系统在上线前填写《**网站及信息系统情况记录表》(附件2),由本单位负责人签字确认后,提交信息与网络中心备案。非我校IP地址和域名的“双非”网站或信息系统在上线前,除履行上述程序外,还须分管校领导同意,并请校外挂靠平台会签承诺书,提供网站或信息系统安全检测报告。

第十二条各单位网站或信息系统上线运行前,信息与网络中心采用专业技术手段对网站或信息系统进行安全检测。检测未通过的须进行安全整改,直至通过检测,网站或信息系统方可上线运行。

第四章 运行管理

第十三条各单位须定期对本单位的网站及信息系统开展安全巡检,并做好巡检记录,填写《**网站及信息系统巡检记录表》(附件4)。对校外开放的网站或信息系统,要求每周巡检一次,对校内开放的网站或信息系统,要求每月巡检一次。

第十四条各单位须定期对网站及信息系统进行漏洞修补,包括主机系统漏洞、WEB应用漏洞、中间件漏洞、数据库漏洞等。

第十五条学校将定期对全校的网站及信息系统开展安全检查,检查不合格的网站或信息系统,视其漏洞级别暂停其外网访问,同时通知责任单位限期整改,要求提供整改报告并提交信息与网络中心。经信息与网络中心安全复查合格后,方可恢复该网站或信息系统的正常访问。

第十六条特殊时期,各单位须加强网站及信息系统的安全监管工作,安排专人值守,加强安全巡检,做好安全整改。

第五章 安全事件应急响应

第十七条安全事件分为紧急事件和非紧急事件。

第十八条紧急事件

(一)可由校外访问的页面发生篡改或被替换成非法信息的事件,尤其是发生在主页、新闻网站、招生信息网等访问量高的系统或网站的事件。

(二)影响学校系统正常运转的攻击事件,如与服务门户、教务系统、一卡通系统、财务系统、办公自动化系统相关的攻击事件。

(三)可能造成师生隐私信息被窃取、丢失、损坏的事件。

(四)其它可能对社会公共安全或学校造成危害或不良影响的事件。

第十九条非紧急事件

(一)对校内开放系统或网站的页面发生无害篡改或有隐藏漏洞的事件。

(二)影响不大的攻击事件或可能造成中低隐患漏洞的事件。

(三)其他不构成公共危害或社会不良影响的安全事件。

第二十条 网络信息安全事件应急响应流程(附件6)如下:

(一)信息与网络中心接到上级安全事件通报或发现安全事件,立即切断引起安全事件设备的网络连接;保持设备原有运行状态,以备获取安全事件的相关证据。

(二)通知责任单位网络安全事件情况。

(三)若事件为紧急事件:信息与网络中心第一时间向分管信息化工作校领导汇报,若涉及到意识形态领域的非法信息,还需要向党委宣传部通报。

(四)信息与网络中心指导分析事件原因,并提供整改建议。

(五)责任单位对网站或信息系统进行安全修复,并提交整改报告。

(六)信息与网络中心对修复后的网站或信息系统进行安全复查,复查通过后恢复其访问权限。

第二十一条信息与网络中心负责编制学校的网络信息安全应急预案;组织开展网络信息安全应急预案的宣传、教育和培训。

第六章 附则

第二十二条涉密网络信息系统的运行安全保护工作不适用本管理办法。

第二十三条本管理办法自发布之日起施行。

  

附件:1.网络信息安全承诺书

2.网站及信息系统登记表

3.信息系统(网站)安全协议书

4.网站及信息系统巡检记录表

5.网站及信息系统安全整改报告

6.安全事件应急响应流程

7.网站及信息系统漏洞整改报告


附.docx