为加强中国矿业大学(北京)网络和信息系统安全保障能力,提高中国矿业大学(北京)网络与信息化安全水平,规范网络与信息安全管理工作,保证信息化服务的正常运行,依据《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)、《中国教育和科研计算机网暂行管理办法》以及其他国家网络与信息安全相关法律法规,根据《教育部关于进一步加强直属高校直属单位信息技术安全工作的通知》(教技[2015]号),结合我校实际情况,特制定本办法。
第一章 总则
第一条网络与信息安全是我校信息化建设中的重要内容,应加强对信息安全工作的组织和监督管理工作,按照本办法认真落实网络与信息安全工作。
第二条本办法适用于中国矿业大学(北京)所有网络与信息系统。
第三条全校各单位应根据本管理办法的要求对网络与信息安全工作进行落实。
第二章 网络与信息安全组织及管理机构
第四条成立学校网络与信息安全组织管理机构,切实落实网络与信息安全管理的方针、政策,该组织机构包括:
1.网络安全与信息化领导小组(以下简称领导小组),全面负责和统一管理校园网络安全与信息化的规划、建设和管理工作。领导小组组长由校党委书记和校长担任,副组长由主管信息化工作的副校长和主管宣传的副书记担任,小组成员由党政机关及有关单位部门、各学院主要负责人组成。
2.网络安全与信息化工作组(以下简称工作组),工作组在领导小组指导下工作,负责和管理校园网络安全与信息化的规划、建设和管理的实施工作。工作组组长由主管信息化工作的副校长和主管宣传的副书记担任,小组成员由党政机关及有关单位部门负责人和各学院主管网络安全与信息化的负责人组成。工作组下设办公室,设在网络与信息中心,办公室主任由网络与信息中心主任担任。
第五条网络安全与信息化领导小组是中国矿业大学(北京)网络与信息安全工作的领导机构,网络安全与信息化工作组是中国矿业大学(北京)的网络与信息安全工作的日常执行机构,负责网络与信息安全工作的执行和考核。
第三章 网络与信息安全策略
第六条网络与信息安全策略是网络与信息安全方针和目标实施的具体内容,指导网络与信息安全工作的实施过程。
第七条信息安全策略分为:安全组织、安全教育、系统建设和系统运维四个方面。具体内容为:
1.建立网络与信息安全组织,明确网络与信息安全职责,规范授权与审批过程,保持与外部各方的有效沟通和联系;
2.加强各单位信息化工作人员的安全教育,制定网络与信息安全意识教育培训及考核计划,并检查实施情况;
3.规范系统建设关键阶段的安全管理,包括系统的定级、风险评估、安全方案设计、工程实施、测试验收、自行或者外包软件开发阶段的安全管理等;
4.规范系统运维过程的安全管理,包括机房、资产、介质、设备、网络安全、系统安全、防病毒管理等等。
第四章 网络与信息系统资源管理
第八条入网接口、通信线路、带宽、网络设备、IP 地址、域名、通信端口、ISM频段等和校园网提供的各种服务均为学校的网络资源,由网络与信息中心负责统一管理和分配。
第九条联入校园网络的单位和个人必须自觉遵守中华人民共和国、教育部、北京市和学校有关计算机互联网络的规定、制度和管理办法。
第十条新增网络用户应按照《中国矿业大学(北京)校园网网络管理办法》使用校园网络资源。各单位和个人不得私自扩充下级子网或与校外单位连网,不得私自发展校外用户,不允许任何个人利用校园网络开展商业性活动。如有此类事情发生,网络与信息中心有权加以制止,并拒绝其联入校园网络。
第十一条新增信息系统应按照《中国矿业大学(北京)信息系统管理办法》要求进行部署。各单位应遵守国家相关法规,加强对信息系统的安全检测和防护,对信息系统的发布内容进行审核。对于违反相关法律法规规定,发布不当言论和内容的,网络与信息中心有权要求该单位进行整改并关停信息系统。
第十二条入网单位、各校内信息系统、个人应接受并配合国家和学校有关部门依法进行的监督检查。如发现问题,入网单位由监管人员负主要责任,个人接入校园网络由本人承担相应责任。
第十三条对于私自占用网络资源,破坏计算机网络系统,违反网络用户行为规范的行为,网络与信息中心将会同学校有关部门共同查处,并由相关部门根据国家和学校相关规定作出处罚决定。
第五章 沟通与合作
第十四条领导小组和工作组应定期或不定期召开例会,指导网络与信息安全策略和制度的实施,解决安全工作中的问题,协调部门间安全工作的开展,对实施过程中的问题进行探讨解决。
第十五条各种会议须做好会议记录,包括召开时间、地点、参会部门和人员以及会议主题、内容和结果等。
第十六条学校需要通过各种方式建立与外部各方的网络与信息安全渠道,聘请网络与信息安全专家,以便为领导提供网络与信息安全解决方案,参与安全事故的调查,解答相关工作人员遇到的实际问题并及时提供预防性的安全咨询建议。
第六章 安全检查和审批
第十七条安全检查。学校内部建立安全自查机制,并由安全管理员组织专人定期对网络与信息系统进行安全检查。原则上网络与信息安全等级保护一级以上网站和系统每月扫描一次,二级网站和系统每季度进行一次渗透测试。
第十八条授权和审批。学校严格按照授权审批流程对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批,并对网络改造、系统升级等关键活动建立审批流程,并由批准人签字确认。
第十九条安全管理制度的制订与发布。学校指定专人负责信息安全管理制度的起草工作;由领导小组对制订的信息安全管理制度进行论证和审定;对通过论证的信息安全管理制度按照中国矿业大学(北京)发文的方式发放给各相关工作单位。
第二十条安全管理制度的评审和修订。学校指定专人负责安全管理制度的定期审核,建立《信息安全管理制度责任清单》,对存在不足或者需要改进的安全管理制度进行及时修订。
第七章 附则
第二十一条本办法由网络与信息中心负责解释。
第二十二条本办法自发布之日起施行。之前《中国矿业大学(北京)网络信息安全及资源管理办法》同时废止。
附件:
信息安全管理制度责任清单
