一、总则
437ccm必赢国际首页欢迎您各类信息系统及网站所包含的各类信息、数据和数据库是学校的无形资产和重要教育教学及管理资源,属于学校统一管理范畴,校属各单位应本着“谁主管、谁负责”的原则,通过正规监管手段来提高数据的采集质量和利用效率,从而为学校的教育教学、科研及管理提供安全、高效、完整的数据信息服务和现代化技术保障。
为了切实加强学校校园网信息安全管理工作,进一步规范各类信息服务行为,维护国家、学校信息资源的安全和利益,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网络管理暂行规定》、以及国家、省部级有关法律、法规对互联网信息安全管理的相关要求,特制定本规定。
二、规定对象
本规定包含的对象为学校教学、科研、管理及用户服务等各类信息系统和学校各类网站所发布、采集、使用、展示、共享、流转的相关信息、数据和资源。
本规定面向的人员为学校网络信息安全领导小组、信息化管理中心、校属各单位信息员、信息系统维护人员、数据库维护人员、信息发布人员和网站管理人员等。
三、组织机构
437ccm必赢国际首页欢迎您的信息管理架构分为信息管理部门、信息提供部门和信息使用部门三部分。信息化管理办公室是437ccm必赢国际首页欢迎您各类信息、数据和资源统筹管理的唯一部门,负责学校智慧校园平台及共享数据库的运行和管理,根据校属各部门业务系统及网站的应用需求,规划各类信息及数据的使用和采集,将全校各类异构信息、数据及资源进行汇集,对外提供统一的信息发放或查询服务。
学校下设网络信息安全领导小组(信息化工作领导小组)。信息化工作领导小组直接负责学校信息化安全工作,对学校的信息安全工作进行全面的分析研究,制定工作方案,提供人员和物质保证,指导和协调校内各单位实施信息安全工作预案,处置各类危害校园信息安全的突发事件。
领导小组下设两个工作小组:
(1)网络信息安全应急工作小组(宣传部、信息化管理办公室、各院系信息员共同组成),其职责是:当校园网网站中出现危害国家安全、社会稳定及学校正常教学秩序的非法信息时,负责及时清理,会同有关部门积极查找非法信息的来源,并按照有关法律法规及学校的规章制度进行处理。
(2)校园网络运行安全应急工作小组(由信息化管理办公室信息、网络、教育三个科室的技术人员组成)。其职责是:当由于系统崩溃、病毒攻击、非法入侵等原因造成校园网运行异常或瘫痪时,负责及时发现并找出原因,尽快恢复网络的正常运行。
紧急事件发生后,在领导小组的领导和统一布置下,各应急工作小组进入指挥状态,工作人员各司其职,严格按照应急预案组织实施。
四、信息系统建设安全
信息应用系统是指服务于学校各种行政管理、教育教学、科研等工作的业务系统,应按照国家《信息安全等级保护管理办法》实行分级管理(见《437ccm必赢国际首页欢迎您应用系统分级管理制度》)。
所有信息系统必须遵从统一规划、统一技术标准、统一信息标准、统一使用规范的原则进行建设,遵循学校的总体工作要求,并在安全技术手段方面接受信息化管理中心的评估。
为确保学校公共数据库共享平台中数据的权威性和实效性,信息系统建设单位必须遵照《437ccm必赢国际首页欢迎您应用系统业务数据共享流程》及时更新、维护数据,确保数据的完整性和准确性。同时,校属各单位应规范信息系统的数据维护、数据管理、运行维护等方面的工作流程和机制,指定专人负责信息系统的日常工作,做好用户授权等管理服务工作。
五、网站建设安全
为保障学校校级网站与二级网站间的信息共享,校属各单位建立二级网站须使用学校网站群系统建设,并符合《437ccm必赢国际首页欢迎您二级网站建设规范》。
根据国家工业和信息化部及公安部门的相关要求,校级网站的建立必须在当地管理部门登记备案。在校园网上建立的二级网站必须经校党委宣传部批准,在信息化管理办公室备案登记,同时签订相关责任书。
校属各单位要对所建网站有健全的安全管理和用户信息管理制度,二级网站必须由各学院、各部门主管领导分管,该分管领导为本单位网站安全及管理的第一责任人。各学院、各部门必须指定专人负责网站的日常建设维护工作。
二级网站如设置交互性栏目,必须经党委宣传部批准,实行实名制管理。校属各单位要加强对信息发布、留言版、BBS、博客等交互性版块的管理,及时清除不当信息,并做好网站信息及操作日志的备份工作。
六、校园网信息发布安全
校园网信息涉及学校规划、建设、发展等方面的信息,包括学校各类重要新闻、重要公告;教育教学、科研和管理工作中的重要信息;描述学校基本状况的各种基础信息等。学校校级网站及各类二级网站是校园网信息发布的载体。
为确保信息资源的可靠性和安全性,校园网发布信息公开实行分级制。一级面向公众开放,二级只面向校内公开,三级只面向本单位(部门)公开,四级只面向本单位(部门)有关人员公开,五级仅限于个人使用。信息发布单位应根据分级确定信息发布范围及内容。
对学校一、二级信息的发布采用“归口管理,专人发布”的原则。 学校主页栏目设置及内容建设负责单位遵循《437ccm必赢国际首页欢迎您主页栏目设置及内容建设负责单位》,校属各单位对需要发布的信息进行审核并确定发布等级,指定专人发布。对学校三级以下信息的发布由校属各单位自行按规定发布并及时更新。
信息发布过程中因归口管理部门或发布部门审核不严造成信息发布错误的,学校将追究相关责任人责任,造成严重社会影响的,追究责任人的法律责任。
信息化管理办公室根据国家相关法律、管理制度、技术规范及本校规定,从技术层面负责学校网络信息安全,校属各单位信息发布人员有责任和义务关注校园网或局域网系统信息发布情况,一旦在校园网或局域网系统中发现有害信息和不良信息应及时向学校宣传部和信息化管理中心报告,学校将视情节轻重追究信息发布人员责任;造成重大影响和损失的将向公安部门报告,由个人依法承担相关法律责任。
七、信息系统数据安全
学校各类信息系统及网站数据均具有唯一的权威来源部门作为数据的生产部门,数据生产部门负责数据的收集、维护、备份和归档。统一信息编码,统一数据标准是保证数据共享的基础,数据生产部门在进行数据处理时应遵循《437ccm必赢国际首页欢迎您信息标准规范》进行数据编码,在相关数据完善后应提供数据字典和数据访问及查询权限给信息化管理办公室,必要时应配合信息化管理办公室完成数据接口的开发及使用。
信息化管理办公室为校属各部门提供统一的数据服务,数据使用部门使用学校共享数据库数据应向信息化管理中心提出申请,获得批准后按照信息化管理办公室的指导开发和维护数据交换接口及数据访问权限。数据使用部门未经批准不得将获取的数据传播给其他单位使用。
学校数据主要用于学校的教育教学。科研、管理及各项服务,作为数据的生产部门和使用部门,均有义务保护学校数据的安全性和隐秘性,未经批准不得将数据用于申请用途外的活动。
校属任何单位和个人不得擅自向他处提供学校内部数据,对于违反规定的单位和个人,将按照学校相关规定予以处罚。
未经批准,任何人不得以任何形式侵入、破坏、复制学校公共数据库、其他信息系统数据库和网站后台等,违反规定者将按照学校相关规定严肃处理,情节严重者将上报公安机关,由个人依法承担相关法律责任。
校属各单位应作好所管信息系统备份工作,系统负责人应根据所管服务的性质制定数据、访问日志、系统日志备份计划,以便协助学校定期进行信息安全审计,确保运行于校园网上所有服务的安全稳定。
八、信息备份安全
为了保证信息服务安全、持续稳定运行,防止因硬件故障、意外断电、木马病毒、自然灾害等因素造成信息服务数据的丢失,网络管理科规范备份管理工作,合理存储历史数据及保证数据备份的安全性。
信息化管理办公室负责学校数据中心服务器数据的备份工作。根据服务的信息内容不同,区别制定详细备份计划,根据不同业务系统的要求制定不同的备份周期。如遇系统有重大改动或更新,需在改动之前和之后当日进行备份。
为保证备份的内容可再现系统运行环境和故障追踪,数据备份内容应包括信息系统的所有关键数据。具体指计算机和网络设备的操作系统、应用软件、系统数据、应用数据、操作系统日志和应用系统日志等。
数据备份时必须建立备份文件档案及档案库,详细记录备份数据的信息。要做好数据备份的管理,所有备份要有明确的标识,具体包括:文件名、运行环境(操作系统名称、版本号,数据库名称、版本号等)、备份人等。
备份时注意保障信息服务的正常运行,在不影响信息系统正常使用的情况下进行。备份过程中出现故障,无法正常备份时,应注明原因;并进行故障分析,及时维修。
备份数据的保存时间根据学校信息系统的数据重要程度和有效利用周期以及具体使用情况确定。根据各种数据的重要程度及其容量,确定备份方式、备份周期和保留周期。根据数据增长量,应定期对过期备份数据进行处理,以保障系统运作效率。
九、数据中心安全
数据中心机房是校园网的存储网络、服务器群、应用服务、数据存储的核心区域,为确保其正常运转,切实为学校教育教学服务,由数据中心管理人员专人负责,严格管理数据中心机房钥匙,未经允许,非网络管理人员不得私自进入数据中心机房。
学校数字化校园平台、公共数据库、主要信息系统和网站群管理系统存放于学校网络中心机房,每天上班后、上班前,信息化管理办公室巡检所管服务是否能正常运行,分析运行日志,如果出现异常,须立即解决,如果短期内无法解决,应立即向主管领导报告,并及时在必赢官网综合信息网上发通知,告知全校师生。
信息化管理办公室利用防火墙、监控平台、防病毒系统筹技术手段对校园网、智慧校园平台和公共数据库进行安全保护,每天设专人进行监控。
信息化管理办公室每周至少一次对所有服务器系统进行日志分析,系统补丁更新、病毒库升级管理等;每季度对智慧校园平台和公共数据库所有信息系统进行巡检,并出具巡检报告,将出现的问题分析解决。
严禁在数据中心机房内玩计算机游戏和访问与工作无关的网站、下载与工作无关的文档或资料,严禁在服务器上安装与工作无关的软件,确保网络中心服务器的正常运作。
做好信息数据的安全保密工作,一旦发现中心服务器有被侵入及恶意攻击的记录,应及时采取网络阻断措施遏止并向主管领导报告;若发现网上有色情及政治敏感内容,及时报告有关部门处理。
严禁携带易燃、易爆、易腐蚀、强磁物品及与工作无关物品进入数据中心机房,建立中心机房值班制度,注意保持中心机房的环境卫生。做好数据中心机房防火、防毒、防潮、防雷击的安全保卫工作,中心机房内温度要保持在路25摄氏度左右,并定期做好安全检查,排除隐患,避免发生事故。
数据中心机房内工作人员应严格遵守操作规程,对各类设备、设施实行规范操作,并做好日常维护和保养。发生重大故障和问题应及时报告有关领导,并作好事故分析,采取积极措施,尽快恢复正常工作。
信息化管理办公室每年进行至少一次的网络信息安全演习,一旦出现机房供电停止或硬件损坏等不可抗力导致数据丢失,应立刻遵守《437ccm必赢国际首页欢迎您网络信息安全应急预案》逐级上报并进行相应数据冻结和备份恢复处理。