雅博体育

huanyingfangwenyabotiyu guanwang!

教育信息中心

首頁 > 教育信息中心 > 通知公告

雅博体育wuhandaxuewangluoyuxinxijishuanquanguanlibanfa(shixing)

發布者:本站編輯 發布時間:2020-04-17 瀏覽次數:373 次

武漢大學網絡與信息技術安全管理辦法(試行)

第一章?總則

第一條?為做好我校網絡與信息技術安全工作,提高網絡與信息技術安全防護能力和水平,保障我校教育事業健康有序發展,根據《教育部關于加強教育行業網絡與信息安全工作的指導意見》(教技〔2014〕4號)、《教育部關于進一步加強直屬高校直屬單位信息技術安全工作的通知》(教技〔2015〕1號)等文件,結合學校實際,制定本辦法。

第二條?本辦法所稱網絡與信息技術安全工作,是指對于由校內單位建設或管理,服務于我校教學、科研或管理的校園信息網絡、數據中心、互聯網站和應用系統,為防止發生信息化設備設施故障、網絡攻擊、有害程序入侵、信息破壞和竊取等發生而開展的預防和整治工作。

第三條?學校按照國家有關網絡安全和信息化政策法規,制定網絡與信息技術安全總體規劃,加強安全管理與技術研究,建立完善相關規章制度,并在實際工作中予以落實。

第二章?管理體制與責任

第四條?學校成立校主要領導任組長,分管信息化、宣傳、安全、保密、學校辦公室工作的校領導任副組長的網絡安全和信息化領導小組,負責統一領導、統一謀劃、統一部署全校網絡安全和信息化發展,統籌制定網絡安全和信息化發展戰略、宏觀規劃和重大政策,研究解決網絡安全和信息化重要問題。

第五條?信息中心是網絡安全與信息化領導小組常設辦事機構,負責學校網絡與信息技術安全管理和監督工作,負責網絡與信息安全防護體系的建設和運行維護,負責為全校各單位網絡與信息技術安全工作提供技術指導和服務支持。

第六條?學校二級單位和職能部門是本單位網絡安全和信息化工作的責任主體,各單位主要負責人是本單位網絡安全和信息化工作第一責任人,負責按本辦法落實網絡與信息技術安全工作,推進本單位信息化發展。各單位應明確指定本單位信息網絡、互聯網站和應用系統的運行維護責任人,并將責任人名單報備信息中心,人員變動時應及時調整并報備。

第七條?按照"誰主管誰負責、誰運維誰負責、誰使用誰負責"的原則,全校各單位及全體師生員工應依照本辦法及其相關標準規范履行網絡與信息技術安全的責任和義務。

第三章?校園信息網絡建設管理

第八條?校園信息網絡包括校園計算機網絡、公用通信網絡和專用通信網絡,統一歸口信息中心管理。

第九條?校園信息網絡管道由信息中心負責需求制定和使用管理;校園規劃、建設和管理部門負責在學校地下管網統一管理的原則下,進行規劃、建設和運行維護。

第十條?校園計算機網絡包括校園有線網絡和無線網絡,涉及光纜、網絡機房、網絡設備、域名管理、IP地址管理、認證計費、安全防護、網絡接入與運維等,由信息中心負責建設和運行維護管理。網絡接入單位負責提供本單位所需的網絡設備間和電源保障,協助解決網絡布線和設備安裝所需空間,負責安防和消防安全管理。

第十一條?校園計算機網絡接入互聯網遵循“統一出口、統一管理”的規定,由信息中心負責實施。學校各單位在校園內不得擅自通過社會網絡資源接入互聯網。

第十二條?師生員工接入校園計算機網絡,實行“實名注冊、認證上網”的制度。網絡接入實名制由信息中心負責實施。

第十三條?學校所有基建、修繕工程應將工程范圍內校園計算機網絡建設納入工程設計、實施和竣工驗收范疇。

第十四條?嚴禁任何單位和個人利用校園計算機網絡及其網絡設施開展經營活動。

第四章?數據中心建設管理

第十五條?數據中心主要包括支撐各類應用系統運行的軟硬件基礎設施、學校基礎數據庫、統一數據交換平臺、統一身份認證系統及統一信息門戶。

第十六條?信息中心負責數據中心的建設和運行維護管理,負責數據中心的物理安全、網絡安全和主機安全,負責學校基礎數據庫和統一數據交換平臺的建設和安全管理,負責各單位業務數據庫與基礎數據庫之間完成數據交換和共享。各單位負責建設、維護本單位業務應用系統所配套的業務數據庫,對本單位業務數據庫的系統安全、數據安全及所申請的共享數據的安全負責。

第十七條?統一身份認證系統為校內信息系統提供統一的身份管理、安全的認證機制、審計及標準接口。校內各單位建設面向師生服務的應用系統時,應與統一身份認證系統進行認證集成并向信息中心備案系統信息。信息中心負責統一身份認證系統的安全,各單位負責本單位應用系統的權限管理及安全。

第十八條?全校各單位應依托校內數據中心實施本單位信息化建設,需要使用校外數據中心的需報信息中心審批,嚴禁使用部署在境外的數據中心。涉及學校基礎數據、師生個人信息或敏感信息的應用系統和互聯網站,嚴禁部署在校外數據中心。

第十九條?信息中心對學校數據中心的使用實施準入管理。信息中心負責制定使用數據中心的技術規范和標準,在系統上線前進行安全檢測。符合技術規范標準并檢測通過的系統方可上線運行。

第二十條?數據中心的使用單位應遵循數據中心相關管理制度和技術標準,按需申請、有序使用;規范本單位數據中心資源的使用和管理,不得利用數據中心資源從事任何與申請項目無關或危害計算機信息系統安全的活動。

?第五章?互聯網站建設管理

第二十一條?學校各單位設立互聯網站,應使用學校互聯網IP地址和學校互聯網絡域名,并遵守學校相關規章制度。

第二十二條?各單位設立互聯網站,可基于學校網站群平臺建設,也可委托軟件開發商建設;各單位應按信息安全保護等級的相應規范落實信息安全防護。學校網站群平臺由信息中心統一建設,其技術安全由信息中心負責;運行在網站群平臺上的網站的內容安全由網站主辦者負責,未運行在學校網站群平臺上的網站的技術安全和內容安全由網站主辦者負責。

第二十三條?各互聯網站的主管單位應建立網站應急值守制度,規范應急處置流程,由專人對網站進行監測,發現網站運行異常及時處置。對于使用頻度不大、階段性使用的網站,可采取非工作時間或寒暑假、節假日關閉的方式運行。

?第六章?應用系統建設管理

第二十四條?鼓勵優先采購安全、成熟和售后服務優良的商業軟件。沒有相應商業軟件,或商業軟件不適應我校實際需求的,可以按照學校采購與招標相關規定委托資質和信譽良好的軟件開發商進行開發。對于業務管理部門具有應用系統開發維護能力并能夠保證其信息安全的,可在學校頂層設計和軟硬件配置框架內自行組織開發。

第二十五條?業務管理部門根據本部門業務需要撰寫需求分析報告,明確詳細的功能和性能需求。信息中心負責軟件所需的數據中心資源,包括硬件、運行平臺軟件和基礎數據等,協助制定技術方案。信息中心組織對技術方案進行論證和審批,并確定擬建應用系統信息安全保護等級;應用系統按照相應等級的規范要求進行建設。

第二十六條??對于購買商業軟件或委托軟件開發的,業務管理部門根據論證和審批通過后的方案,按照學校采購與招標相關規定進行采購。

第二十七條?業務管理部門為應用系統的主管部門,應指定專門人員負責系統的建設、運行維護和安全管理,組織軟件提供商并會同信息中心制定應用系統運維和安全管理方案。應用系統原則上由業務管理部門運維,特殊情況可委托信息中心運維。

第二十八條?應用系統投入試運行后,由業務管理部門初步驗收,出具初步驗收報告,并向信息中心申請開展信息安全保護等級測評。信息中心組織開展信息安全保護等級測評,形成測評報告,該報告為應用系統竣工驗收的重要依據。應用系統由信息中心組織竣工驗收。

?第七章?監測與處置

第二十九條?我校各應用系統和互聯網站,由信息中心按照國家信息安全等級保護制度要求確定安全保護等級,按相關規定對信息安全等級狀況開展等級評測。經評測,信息安全狀況未達到安全保護等級要求的,應用系統或互聯網站的主管單位應制定整改方案并落實到位。

第三十條?各單位定期對本單位應用系統和互聯網站安全狀況、安全保護制度及措施的落實情況進行自查,并配合有關部門的信息安全檢查、信息內容檢查、保密檢查與審批等工作。

第三十一條?各單位應按照我校信息技術安全事件報告與處置流程,做好事發緊急報告與處置、事中情況報告與處置和事后整改報告與處置工作。

第三十二條?各單位應建立本單位信息安全值守制度,做到安全事件早發現、早報告、早控制、早解決。各單位應建立健全本單位安全事件應急處置機制,制定安全事件應急預案,定期組織應急演練。

第三十三條?信息中心聯合相關單位對全校各單位網絡與信息技術安全工作落實情況進行檢查,對發現的問題下達限期整改通知書,對網絡與信息技術安全事件進行調查處理。

第八章?保障措施

第三十四條?學校保障網絡安全與信息化發展所需的人員編制,采取有效措施建立高水平的網絡與信息技術安全管理專職隊伍和技術支撐專業隊伍。學校保障網絡安全與信息化發展的經費投入和物理空間需求。

第三十五條?學校切實開展人員培訓和安全教育工作。各單位制定網絡與信息安全教育培訓規劃,開展面向全員的普及型培訓和宣傳教育,提高安全和防范意識,培養良好的媒介素養和規范的網絡行為。信息中心組織開展信息化管理和技術人員專業培訓,逐步實行信息化管理和技術人員持證上崗。

第三十六條?學校建立完善的網絡與信息技術安全工作檢查考核、責任追究和倒查機制。網絡與信息安全工作作為各單位領導班子和領導干部目標管理、業績評定、年度考核、獎勵懲處和干部選拔任用的重要內容和依據。

第九章?責任追究

第三十七條?各單位應按照信息技術安全事件報告與處置流程及時、如實地報告和妥善處置信息技術安全事件。工作不力的,學校給予通報批評;玩忽職守、失職瀆職造成嚴重后果的,依紀依法追究相關人員的責任。

第三十八條?師生員工違反網絡與信息安全相關管理規定,造成不良后果時,視情節輕重,分別由人事管理或學生管理部門按相關規定給予批評教育或紀律處分;觸犯法律時,由相關國家機關依法追究法律責任。

?第十章?附則

第三十九條?對于涉及國家秘密的信息系統,按照國家保密工作部門的相關規定和標準進行保護,接受黨委保密委員會辦公室監督指導。

第四十條?本辦法自發布之日起實施,由信息中心負責解釋。

?

雅博体育 雅博体育 雅博体育 雅博体育 雅博体育 雅博体育 雅博体育 雅博体育 雅博体育 雅博体育