XX大學信息化建設(shè)與管理處

　　第一部分 網(wǎng)絡(luò)與信息安全規(guī)章制度

　　XX大學網(wǎng)絡(luò)與信息安全策略

　　第一章 總則

　　第一條 為了建立、健全XX大學網(wǎng)絡(luò)、信息安全管理制度，加強網(wǎng)絡(luò)與信息安全保障能力，保證網(wǎng)絡(luò)通信暢通和業(yè)務(wù)系統(tǒng)的正常運營，按照相關(guān)的國家標準，在學校安全體系框架下，確定網(wǎng)絡(luò)與信息安全方針和目標，對學校網(wǎng)絡(luò)、信息安全風險進行有效管理，規(guī)范安全事件的響應(yīng)和操作流程，改進信息安全管理制度的有效性，特制定信息安全策略文檔。

　　第二條 本文檔適用于學校校園網(wǎng)內(nèi)相關(guān)的所有信息安全管理活動。

　　第二章 信息安全范圍

　　第三條 信息安全策略涉及的范圍包括：

　　1. XX大學全體師生。

　　2. 校園網(wǎng)內(nèi)的各個數(shù)字化校園信息系統(tǒng)，包括XX大學網(wǎng)站主頁、XX大學信息門戶系統(tǒng)、統(tǒng)一身份認證系統(tǒng)、人事管理系統(tǒng)、辦公自動化系統(tǒng)、網(wǎng)站群系統(tǒng)、學工管理系統(tǒng)、電子郵件系統(tǒng)等在內(nèi)的所有校園網(wǎng)內(nèi)的業(yè)務(wù)系統(tǒng)。

　　3. 校園內(nèi)現(xiàn)有的信息資產(chǎn)，包括與上述數(shù)字化校園信息系統(tǒng)相關(guān)的數(shù)據(jù)、硬件、軟件、服務(wù)及文檔等。

　　4. 校園內(nèi)的辦公場所和上述信息資產(chǎn)所處的物理位置。

　　第三章 信息安全總體目標

　　第四條 通過建立健全XX大學網(wǎng)絡(luò)安全及各項信息安全管理制度、加強XX大學師生的網(wǎng)絡(luò)、信息安全培訓和教育工作，制定適合我校現(xiàn)狀的網(wǎng)絡(luò)信息安全風險控制措施，有效控制校園網(wǎng)內(nèi)網(wǎng)絡(luò)與信息系統(tǒng)面臨的安全風險，從而保障數(shù)字化校園業(yè)務(wù)系統(tǒng)的正常穩(wěn)定運行，提高網(wǎng)絡(luò)與信息系統(tǒng)的服務(wù)質(zhì)量，進而全面提高我校信息化建設(shè)質(zhì)量及安全水平，為我校信息化建設(shè)的可持續(xù)發(fā)展提供有力保障。

　　第四章 信息安全方針

　　第五條 XX大學信息化建設(shè)領(lǐng)導小組領(lǐng)導定期組織相關(guān)人員召開網(wǎng)絡(luò)信息安全會議，并征詢XX大學信息化專家咨詢小組的意見，對相關(guān)的網(wǎng)絡(luò)信息安全重大問題做出決策。

　　第六條 清晰識別我校的所有信息資產(chǎn)，實施等級標記，對校內(nèi)信息資產(chǎn)進行分級、分類管理，并編制和維護所有重要信息資產(chǎn)的清單。

　　第七條 綜合使用訪問控制、監(jiān)測、審計和身份鑒別等方法來保證校內(nèi)數(shù)據(jù)、網(wǎng)絡(luò)、信息資源、資產(chǎn)的安全，并加強對校外人員訪問數(shù)字化校園信息系統(tǒng)的控制和監(jiān)測，最大程度降低業(yè)務(wù)系統(tǒng)被非法入侵的風險。

　　第八條 啟用各個服務(wù)器操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用軟件的日志功能，并盡可能定期地進行審計，做好相應(yīng)的記錄。

　　第九條 明確我校全體師生的信息安全責任，全校所有的師生必須接受網(wǎng)絡(luò)信息安全方面的相關(guān)教育培訓，提高信息安全意識。針對校內(nèi)教職工的各個不同崗位，制定好不同等級、水平的網(wǎng)絡(luò)信息安全培訓計劃，并定期對各個崗位教職人員進行信息安全技能及信息安全認知方面的考核。

　　第十條 建立學校網(wǎng)絡(luò)與信息安全事件報告、網(wǎng)絡(luò)信息安全相關(guān)事故應(yīng)答和分類機制，確定一個報告可疑的及已經(jīng)發(fā)生的信息安全事故的完整流程，并讓所有師生及相關(guān)人員了解和執(zhí)行事故處理流程，同時還要注意妥善保存好網(wǎng)絡(luò)信息安全事件的相關(guān)記錄與證據(jù)。

　　第十一條 對各個數(shù)字化校園信息系統(tǒng)的用戶權(quán)限和密碼口令進行嚴格管理，要求全校師生逐步將信息系統(tǒng)用戶密碼改為強密碼格式并綁定常用的手機號，以便重要系統(tǒng)進行雙因素認證，防止黑客對信息系統(tǒng)的非法訪問和對個人數(shù)據(jù)信息的惡意篡改或竊取。

　　第十二條 制定出一套完善的數(shù)據(jù)備份策略，對校園網(wǎng)內(nèi)所有重要數(shù)據(jù)進行定期的備份。數(shù)據(jù)備份之后還要定期進行還原測試，同時還需注意備份介質(zhì)與原數(shù)據(jù)信息所在場所應(yīng)保持一定的安全距離。

　　第十三條 與信息軟件銷售公司、硬件銷售維保公司等外部單位合作之前，應(yīng)在采購、服務(wù)合同中明確規(guī)定合同參與方的安全要求、安全責任和安全規(guī)定等相關(guān)安全內(nèi)容，并采取相應(yīng)的措施嚴格保證雙方對協(xié)議安全內(nèi)容的有效執(zhí)行。

　　第十四條 在自主開發(fā)新業(yè)務(wù)系統(tǒng)或者委托軟件公司建設(shè)新的信息系統(tǒng)時，應(yīng)當充分考慮相關(guān)的安全需求，并嚴格控制有關(guān)人員對項目相關(guān)文件和源代碼等敏感數(shù)據(jù)的訪問，防止重要信息被竊取或泄露。

　　第十五條 制定好一整套計劃和方案定期對校園網(wǎng)內(nèi)各個信息系統(tǒng)進行風險評估，并根據(jù)風險評估的結(jié)果，劃分好各系統(tǒng)的風險等級，采取相應(yīng)的有效措施對這些業(yè)務(wù)系統(tǒng)進行風險控制。

　　第十六條 上述方針由XX大學信息化建設(shè)領(lǐng)導小組批準發(fā)布，并定期評審其適用性和充分性，必要時予以修訂。

　　第五章 信息安全策略

　　第一節(jié) 安全管理制度策略

　　第十七條 XX大學信息化建設(shè)領(lǐng)導小組統(tǒng)一制定信息安全工作的總體方針和安全策略，說明安全工作的總體目標、范圍、原則和安全框架，形成由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度體系;

　　第十八條 XX大學網(wǎng)絡(luò)與教育技術(shù)中心各部門相關(guān)領(lǐng)導負責與各自部門工作相關(guān)的安全管理制度的制定，安全管理制度應(yīng)具有規(guī)范統(tǒng)一的格式。制定好之后組織XX大學信息化專家咨詢小組相關(guān)專家對制定的安全管理制度進行論證和審定，并通過校園網(wǎng)站主頁及信息門戶平臺進行發(fā)布。

　　第十九條 XX大學信息化建設(shè)領(lǐng)導小組負責定期組織專家及網(wǎng)絡(luò)與教育技術(shù)中心相關(guān)部門、人員對安全管理制度體系的合理性和適用性進行審定，對制度體系中存在的不足之處或需要改進的地方及時進行修訂和完善。

　　第二節(jié) 安全管理機構(gòu)策略

　　第二十條 XX大學信息化建設(shè)領(lǐng)導小組是我校信息化建設(shè)與管理工作的最高領(lǐng)導與決策機構(gòu)，其下設(shè)辦公室，掛靠信息化建設(shè)與管理處。學校各單位需明確一名分管信息化工作的領(lǐng)導，負責推進本單位的信息化工作，并積極配合學校的相關(guān)信息化工作。此外，可以從以上領(lǐng)導中選拔出一定人員，成立指導和管理信息安全工作的委員會，全面負責信息安全工作，負責對安全事件的判斷和報告以及安全事件應(yīng)急恢復流程的啟動，同時也可以及時協(xié)調(diào)處理其所在單位的一般安全事件。

　　第二十一條 信息化建設(shè)與管理處承擔著學校信息安全管理的總體職責，其下屬的網(wǎng)絡(luò)與教育技術(shù)中心作為信息安全管理工作的職能部門，應(yīng)當設(shè)立安全主管，并在各業(yè)務(wù)部門設(shè)立安全管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員等崗位，具體明確地定義好各崗位的職責。遵循“誰主管，誰主辦，誰負責”的原則，建立工作責任制和責任追究制，明確分工，強化管理。

　　第二十二條 學校各院系、業(yè)務(wù)處室也應(yīng)當設(shè)置一名專職的信息管理人員負責本單位相關(guān)信息系統(tǒng)的建設(shè)、管理、本單位網(wǎng)站網(wǎng)絡(luò)的維護及數(shù)據(jù)安全維護管理等相關(guān)工作，關(guān)鍵或重要事務(wù)的崗位還應(yīng)配備多人共同管理維護。

　　第二十三條 針對信息化業(yè)務(wù)系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項應(yīng)當建立健全一套完整的審批程序，嚴格按照審批程序來執(zhí)行審批過程。對重要事務(wù)要建立逐級審批制度，并定期審查審批事項，及時更新需授權(quán)和審批的項目、審批部門和審批人等信息，并記錄好審批過程并妥善保存好審批文檔。

　　第二十四條 加強學校信息化建設(shè)領(lǐng)導小組及信息安全管理委員會組織內(nèi)部的合作與溝通，定期召開協(xié)調(diào)會議，共同協(xié)作、及時處理信息安全問題，同時也應(yīng)加強與外聯(lián)、合作單位(軟件公司，硬件銷售維保單位、通訊運營商、公安局、業(yè)界專家、專業(yè)安全公司)等的合作與溝通，并制定外聯(lián)單位聯(lián)系列表。

　　第二十五條 由學校信息安全管理相關(guān)領(lǐng)導制定一套完善的安全審核和安全檢查制度，以規(guī)范學校各個院系、部門相關(guān)人員的安全審核和安全檢查工作。嚴格督促他們定期按照制度所規(guī)定的程序和流程執(zhí)行各自單位的安全審核和安全檢查工作。

　　第三節(jié) 人員安全策略

　　第二十六條 XX大學人事處負責員工錄用，應(yīng)嚴格規(guī)范人員的錄用過程，對被錄用人的身份、背景、專業(yè)資格和資質(zhì)等進行詳細審查，對其所具有的技術(shù)技能進行嚴格專業(yè)的考核，并簽署保密協(xié)議。

　　第二十七條 XX大學全體教職工應(yīng)根據(jù)各自的崗位職責要求嚴格履行其安全角色和職責，主要包括：保護學校信息、數(shù)據(jù)資產(chǎn)免受未經(jīng)授權(quán)的訪問、泄漏、惡意篡改、銷毀或干擾，遵照信息安全制度規(guī)定的流程定期執(zhí)行特定的安全檢查工作，報告檢查過程中發(fā)現(xiàn)的安全事件或存在的其他安全風險。

　　第二十八條 信息化建設(shè)與管理處應(yīng)組織學校各院系、部處分管領(lǐng)導定期對本單位各個崗位的人員進行安全技能及安全認知的考核，對處于學校重要關(guān)鍵崗位的人員更要定期執(zhí)行全面、嚴格的安全審查和技能考核。

　　第二十九條 校外單位人員在訪問校內(nèi)信息處理設(shè)施前必須簽署保密協(xié)議，保密協(xié)議內(nèi)容包括校外單位人員訪問信息資產(chǎn)的權(quán)利、承擔的安全責任、違反職責要承擔的后果等。負責接待的人員或部門要保證校外單位人員詳細了解保密協(xié)議的條款和內(nèi)容，并同意履行協(xié)議規(guī)定的責任。

　　第三十條 在學校網(wǎng)絡(luò)與信息資產(chǎn)暴露于重大威脅時，XX大學信息化建設(shè)與管理處有關(guān)領(lǐng)導和信息系統(tǒng)管理人員應(yīng)當預見并嚴格監(jiān)控可能發(fā)生的重大變化，根據(jù)安全事件的類型和級別定義判斷安全事件，及時指揮、協(xié)調(diào)、督促并審查已經(jīng)發(fā)生的安全事件的處理，并控制其危害蔓延，同時要負責落實學校信息安全的各項工作，負責學校各院系、部門信息安全工作的監(jiān)督、考核、指導以及審批。學校各個院系、部門相關(guān)分管領(lǐng)導和信息系統(tǒng)管理人員也應(yīng)當對一般安全事件的發(fā)生、處理辦法進行記錄，并將《安全事件記錄單》及相關(guān)文檔提交信息化建設(shè)與管理處辦公室進行備案，處理和匯報流程參見《安全事件處理流程》。在處理一般安全事件過程中，各個領(lǐng)導和信息系統(tǒng)管理員都需要對事件的嚴重程度進行判斷，如果已經(jīng)上升到重大安全事件，應(yīng)啟動《應(yīng)急響應(yīng)流程》。

　　第三十一條 學校信息化建設(shè)領(lǐng)導小組應(yīng)制定針對不同人員的培訓計劃，定期開展全校師生和各崗位工作人員的信息安全培訓活動，培訓內(nèi)容包括安全方針、策略、程序以及信息處理設(shè)施的正確使用方法，提高他們的安全意識和安全技能。保證他們都能認識到信息安全問題和信息安全事件，清晰地傳達安全角色和職責給每個人,使他們能按照各自的安全角色履行安全職責。

　　第三十二條 學校信息安全管理委員會應(yīng)當制定正式的信息安全紀律處理制度和流程，來嚴肅處理安全違規(guī)的師生，以對其他師生產(chǎn)生威懾作用，防止他們違反安全策略、程序和其他安全制度違規(guī)。對待違反紀律人員的處理過程要正確、公平、公正、公開，要根據(jù)違規(guī)的性質(zhì)、嚴重程度、重要性和對校內(nèi)業(yè)務(wù)的影響大小等因素區(qū)別對待。

　　第三十三條 當校內(nèi)員工離職或調(diào)離原來所在崗位、校外單位駐校人員合同期滿時，應(yīng)立即終止其原來的安全角色和安全職責，并通知與其工作相關(guān)的其他人員，讓他們能及時清楚人員的變動。

　　第三十四條 當校內(nèi)員工離職或調(diào)離原來所在崗位、校外單位駐校人員合同期滿時，應(yīng)及時歸還其工作中使用的所有信息資產(chǎn)，如設(shè)備、軟件、文件、相關(guān)工作證件、電子資料等，防止其對資產(chǎn)的非授權(quán)使用，及時刪除其對校園網(wǎng)內(nèi)信息業(yè)務(wù)系統(tǒng)和信息處理設(shè)施的賬戶和訪問權(quán)限。

　　第四節(jié) 信息化項目范圍和管理

　　第三十五條 信息化項目是指以計算機和通信等現(xiàn)代信息技術(shù)為主要手段，直接應(yīng)用于學校教學、科研、管理和服務(wù)工作的非涉密的信息系統(tǒng)和相關(guān)基礎(chǔ)設(shè)施建設(shè)。主要包括以下內(nèi)容：

　　1.信息化基礎(chǔ)設(shè)施建設(shè)。包括各類網(wǎng)絡(luò)弱電工程建設(shè)、升級改造、光纜、無線網(wǎng)絡(luò)建設(shè)、各類網(wǎng)絡(luò)接入及安防監(jiān)控系統(tǒng)等。

　　2.信息化軟件系統(tǒng)建設(shè)。包括各類管理和服務(wù)信息系統(tǒng)，涉及全校業(yè)務(wù)范圍的應(yīng)用系統(tǒng)及應(yīng)用平臺的采購、開發(fā)和集成(不包括僅供部門使用的專業(yè)軟件、操作系統(tǒng))，各類中間件、數(shù)據(jù)庫等建設(shè)以及后期的維護保養(yǎng)和升級。

　　3.信息化相關(guān)的硬件設(shè)備建設(shè)項目。包括服務(wù)器、存儲、網(wǎng)絡(luò)交換機、路由器、防火墻等設(shè)備的采購，以及后期的維護保養(yǎng)和升級更換。

　　第三十六條 學校對信息化項目實行統(tǒng)籌管理，信息化建設(shè)與管理處負責信息化建設(shè)項目具體管理。信息化項目原則上按年度申報，每年底單位向信息化建設(shè)與管理處報送下一年建設(shè)計劃，信息化建設(shè)與管理處匯總、論證后報學校信息化建設(shè)領(lǐng)導小組審定。

　　第三十七條 財務(wù)處負責信息化建設(shè)經(jīng)費的落實，負責信息化項目經(jīng)費的管理，并根據(jù)信息化建設(shè)與管理處階段審核結(jié)果支付階段項目款。

　　第三十八條 實驗室與設(shè)備管理處負責信息化建設(shè)項目資產(chǎn)管理，并根據(jù)檔案驗收和信息化建設(shè)與管理處組織的專業(yè)驗收結(jié)果予以資產(chǎn)入賬。

　　第三十九條 基建處負責學校新建設(shè)樓宇及改造、擴建等基建項目中的網(wǎng)絡(luò)建設(shè)項目管理。建設(shè)方案和網(wǎng)絡(luò)項目驗收須經(jīng)信息化建設(shè)與管理處審批。

　　第四十條 保衛(wèi)處負責學校安防監(jiān)控系統(tǒng)的建設(shè)與管理，建設(shè)方案須經(jīng)信息化建設(shè)與管理處審批。

　　第四十一條 信息化建設(shè)與管理處負責信息化建設(shè)項目的過程控制和文檔管理，須加強項目建設(shè)效果評估并建立項目責任追究機制。

　　第五節(jié) 信息化基礎(chǔ)設(shè)施建設(shè)

　　第四十二條 學校新建、擴建和大修樓宇內(nèi)和樓宇之間的綜合布線及基礎(chǔ)網(wǎng)絡(luò)系統(tǒng)由基建處會同信息化建設(shè)與管理處統(tǒng)一規(guī)劃、立項、采購、建設(shè)，各類安防監(jiān)控系統(tǒng)由基建處會同保衛(wèi)處統(tǒng)一規(guī)劃、立項、采購、建設(shè)。后期對樓宇綜合布線系統(tǒng)及樓宇網(wǎng)絡(luò)接入設(shè)備的維護和維修由信息化建設(shè)與管理處負責實施，對安防監(jiān)控系統(tǒng)的維護和維修由保衛(wèi)處負責實施。

　　第四十三條 建設(shè)單位采購信息化相關(guān)硬件以及接入校園網(wǎng)絡(luò)的相關(guān)設(shè)備應(yīng)選擇業(yè)內(nèi)的主流產(chǎn)品，且須符合校園網(wǎng)的接入標準。全校各單位在組織實施與校園網(wǎng)聯(lián)接的網(wǎng)絡(luò)布線工程時，要有設(shè)計圖紙及施工方案。網(wǎng)絡(luò)布線的設(shè)計要符合《建筑與建筑群綜合布線系統(tǒng)工程設(shè)計規(guī)范》。設(shè)計圖紙及施工方案需報信息化建設(shè)與管理處審查備案后方可施工。

　　第四十四條 在施工時要選擇有資質(zhì)的施工隊伍，施工人員應(yīng)受過專業(yè)的培訓，施工工藝要符合工程的驗收規(guī)范。在施工過程中和施工結(jié)束驗收時，應(yīng)按《建筑與建筑群綜合布線系統(tǒng)工程驗收規(guī)范》進行驗收。施工驗收前，施工人員必須對每一條線路進行測試，形成測試數(shù)據(jù)文檔。在工程結(jié)束后，施工單位必須建立完整的布線文檔，文檔中應(yīng)清楚的標注每一個信息點的位置及接入校園網(wǎng)的路由。

　　第四十五條 校園網(wǎng)基礎(chǔ)設(shè)施和應(yīng)用建設(shè)完成后，建設(shè)單位應(yīng)向信息化建設(shè)與管理處提交施工圖、布線文檔和測試報告文檔。如果不能完整提供以上文檔，信息處有權(quán)拒絕該新建網(wǎng)絡(luò)接入校園網(wǎng)。任何校園網(wǎng)基礎(chǔ)設(shè)施和應(yīng)用建設(shè)完成后都必須經(jīng)過信息化建設(shè)與管理處驗收合格后方可接入校園網(wǎng)。

　　第四十六條 為提高網(wǎng)絡(luò)服務(wù)器和存儲系統(tǒng)的利用率，便于管理，網(wǎng)絡(luò)服務(wù)器和存儲系統(tǒng)由信息化建設(shè)與管理處統(tǒng)一規(guī)劃，實行集中管理和維護，原則上各單位不得單獨采購。

　　第六節(jié) 信息化軟件系統(tǒng)建設(shè)

　　第四十七條 信息化軟件系統(tǒng)建設(shè)項目可采用自主研發(fā)、合作開發(fā)、外包、采購等方式進行建設(shè)。無論采取何種方式，都必須執(zhí)行學校的信息化建設(shè)規(guī)范和標準，以便各個應(yīng)用系統(tǒng)能有效地實現(xiàn)信息交換和資源共享，保證數(shù)據(jù)的一致性和完整性。對于需要身份驗證的系統(tǒng)，必須與信息化建設(shè)與管理處統(tǒng)一身份認證系統(tǒng)相集成。信息系統(tǒng)建設(shè)前，還應(yīng)明確該系統(tǒng)的邊界和安全保護等級，并明確說明該系統(tǒng)為某個安全保護等級的方法和理由，同時組織信息處和信息化咨詢專家小組的專家對信息系統(tǒng)定級結(jié)果的合理性和正確性進行論證和審定，再對定級結(jié)果予以批準。

　　第四十八條 信息化建設(shè)與管理處負責對信息系統(tǒng)建設(shè)的質(zhì)量和進度進行全程監(jiān)控、管理和協(xié)調(diào)，包括需求分析、技術(shù)方案制定、系統(tǒng)開發(fā)或購置、安裝及測試等階段，還要負責對信息系統(tǒng)的安全建設(shè)進行總體規(guī)劃，制定近期和遠期的安全建設(shè)工作計劃。根據(jù)信息系統(tǒng)之前劃分的安全保護等級，統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細設(shè)計方案，并形成配套文件。

　　第四十九條 項目申請和立項。信息系統(tǒng)軟件申請單位要進行廣泛的需求調(diào)研，明確建設(shè)目標，進行業(yè)務(wù)流程梳理和優(yōu)化，填寫立項申請書，報信息化建設(shè)與管理處，由信息化建設(shè)與管理處根據(jù)信息化建設(shè)規(guī)劃對該項目的系統(tǒng)需求、可行性研究和項目計劃進行論證和審核。經(jīng)費額度較大或涉及面廣的需報分管校領(lǐng)導審定，同時還要組織信息化咨詢小組有關(guān)專家對總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細設(shè)計方案等相關(guān)配套文件的合理性和正確性進行論證和審定，并且經(jīng)過批準后，才能正式實施。

　　第五十條 業(yè)務(wù)系統(tǒng)的開發(fā)、測試和運行設(shè)施要分離并進行控制，控制措施包括敏感數(shù)據(jù)不能拷貝到測試系統(tǒng)環(huán)境中、禁止開發(fā)和測試人員訪問運行系統(tǒng)及其信息等，以減少對運行設(shè)施及其信息的未授權(quán)訪問和帶來的潛在風險。

　　第五十一條 定期根據(jù)外包服務(wù)協(xié)議中的安全要求，監(jiān)視、評審由外部單位提供的服務(wù)、報告和記錄，監(jiān)督協(xié)議規(guī)定的信息安全條款和條件的嚴格執(zhí)行。監(jiān)視、評審內(nèi)容包括監(jiān)視服務(wù)執(zhí)行效率，評審服務(wù)報告，審查外包服務(wù)的安全事件、操作問題、故障、失誤追蹤和破壞的記錄。

　　第五十二條 授權(quán)專門的部門或人員負責工程實施過程的管理，工程實施前應(yīng)制定詳細的工程實施方案控制實施過程，并要求工程實施單位能正式地執(zhí)行安全工程過程，并制定工程實施方面的管理制度，明確說明實施過程的控制方法和人員行為準則。

　　第五十三條 新業(yè)務(wù)系統(tǒng)或升級版本在正式上線前，要進行合適的測試，并由信息化建設(shè)與管理處組織相關(guān)專家人員根據(jù)學校信息化建設(shè)標準與規(guī)范和驗收要求、標準進行正式的驗收，以證實全部驗收準則完全被滿足。對于驗收合格的項目方可按合同約定支付項目進度款。

　　第五十四條 系統(tǒng)建設(shè)完成后應(yīng)制定詳細的系統(tǒng)交付清單，并根據(jù)交付清單對所交接的設(shè)備、軟件和文檔等進行清點;應(yīng)提供系統(tǒng)建設(shè)過程中的文檔和指導用戶進行系統(tǒng)運行維護的文檔，同時對負責系統(tǒng)運行維護的技術(shù)人員進行相應(yīng)的技能培訓。

　　第五十五條 信息化建設(shè)與管理處辦公室負責管理系統(tǒng)定級的相關(guān)材料，并控制這些材料的使用;將系統(tǒng)等級及相關(guān)材料報系統(tǒng)主管部門和相應(yīng)公安機關(guān)備案。

　　第五十六條 信息化建設(shè)與管理處辦公室負責信息系統(tǒng)等級測評的管理，并在系統(tǒng)運行過程中，對三級信息系統(tǒng)應(yīng)每年進行一次等級測評，應(yīng)選擇具有國家相關(guān)技術(shù)資質(zhì)和安全資質(zhì)的測評單位，發(fā)現(xiàn)不符合相應(yīng)等級保護標準要求的及時整改;同時在系統(tǒng)發(fā)生變更時及時對系統(tǒng)進行等級測評，發(fā)現(xiàn)級別發(fā)生變化的及時調(diào)整級別并進行安全改造，發(fā)現(xiàn)不符合相應(yīng)等級保護標準要求的及時整改。

　　第五十七條 在選擇安全服務(wù)商時應(yīng)符合國家的有關(guān)規(guī)定，并與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議，明確約定相關(guān)責任，同時確保選定的安全服務(wù)商提供技術(shù)培訓和服務(wù)承諾，必要的與其簽訂服務(wù)合同。

　　第七節(jié) 信息安全運維策略

　　第五十八條 所有的信息資產(chǎn)要指定專人責任，并對責任人賦予相應(yīng)的職責，確保所有信息資產(chǎn)都可以核查。

　　第五十九條 根據(jù)信息資產(chǎn)的重要性、業(yè)務(wù)價值、依賴程度，對所有信息資產(chǎn)進行分類、分級，編制信息資產(chǎn)的清單。對信息資產(chǎn)清單妥善保管，并在信息資產(chǎn)變更時及時更新清單，確保可以對信息資產(chǎn)進行有效的保護。

　　第六十條 應(yīng)對磁帶、磁盤、閃盤、可移動硬件驅(qū)動器、CD、DVD、打印媒體等進行有效的管理，防止非授權(quán)的使用和破壞。對可移動存儲介質(zhì)的管理包括所有介質(zhì)應(yīng)存儲在符合制造商說明的安全、保密環(huán)境中，使用介質(zhì)要進行授權(quán)、登記并追蹤審計等。

　　第六十一條 應(yīng)對不再需要的數(shù)據(jù)介質(zhì)進行安全處置，降低數(shù)據(jù)介質(zhì)中的敏感信息泄漏給未授權(quán)人員的風險。

　　第六十二條 應(yīng)對信息系統(tǒng)相關(guān)的各種設(shè)備(包括備份和冗余設(shè)備)、線路等指定專門的部門或人員定期進行維護管理。

　　第六十三條 應(yīng)建立配套設(shè)施、軟硬件維護方面的管理制度，對其維護進行有效的管理，包括明確維護人員的責任、涉外維修和服務(wù)的審批、維修過程的監(jiān)督控制等，應(yīng)確保信息處理設(shè)備必須經(jīng)過審批才能帶離機房或辦公地點。

　　第六十四條 應(yīng)對通信線路、主機、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行監(jiān)測和報警，形成記錄并妥善保存;同時組織相關(guān)人員定期對監(jiān)測和報警記錄進行分析、評審，發(fā)現(xiàn)可疑行為，形成分析報告，并采取必要的應(yīng)對措施。

　　第六十五條 指定專人對網(wǎng)絡(luò)和主機進行惡意代碼檢測并保存檢測記錄;定期檢查信息系統(tǒng)內(nèi)各種產(chǎn)品的惡意代碼庫的升級情況并進行記錄，對主機防病毒產(chǎn)品、防病毒網(wǎng)關(guān)和郵件防病毒網(wǎng)關(guān)上截獲的危險病毒或惡意代碼進行及時分析處理，并形成書面的報表和總結(jié)匯報。

　　第六十六條 應(yīng)建立信息系統(tǒng)變更管理制度，某一信息系統(tǒng)發(fā)生變更前，需制定好完善的變更方案，同時向信息化建設(shè)與管理處主管領(lǐng)導提出申請。信息系統(tǒng)的變更方案應(yīng)經(jīng)過相關(guān)領(lǐng)導、信息專家評審、審批后方可實施變更，并在實施后將變更情況向相關(guān)業(yè)務(wù)人員通告。

　　第六十七條 信息化建設(shè)與管理處應(yīng)遵照信息安全事故報告機制，報告可能對學校的信息資產(chǎn)安全造成影響的不同種類的安全事故和弱點，并確保全校所有的師生、合同方和外部單位人員都遵守執(zhí)行這套報告程序。

　　第六十八條 信息化建設(shè)與管理處對安全事故進行分類和分級，及時對信息安全事故的類型、頻率和影響等進行評估，并采取適當措施防止事故再次發(fā)生。

　　第六十九條 信息化建設(shè)與管理處應(yīng)建立應(yīng)急預案，在統(tǒng)一的應(yīng)急預案框架下制定不同事件的應(yīng)急預案，應(yīng)急預案框架應(yīng)包括啟動應(yīng)急預案的條件、應(yīng)急處理流程、系統(tǒng)恢復流程、事后教育和培訓等內(nèi)容;同時應(yīng)從人力、設(shè)備、技術(shù)和財務(wù)等方面確保應(yīng)急預案的執(zhí)行有足夠的資源保障。

　　第八節(jié) 物理安全策略

　　第七十條 信息化建設(shè)與管理處下屬的網(wǎng)絡(luò)與教育技術(shù)中心信息信息系統(tǒng)部負責學校數(shù)據(jù)服務(wù)器主要機房的安全，并配備機房安全管理人員，對機房的出入、服務(wù)器的開機或關(guān)機等工作進行管理。

　　第七十一條 信息系統(tǒng)部管理人員應(yīng)定期對機房供配電、空調(diào)、溫濕度控制等設(shè)施進行維護管理。

　　第七十二條 信息系統(tǒng)部應(yīng)建立一套機房安全管理制度，對有關(guān)機房物理訪問，物品帶進、帶出機房和機房環(huán)境安全等方面的管理作出規(guī)定。

　　第七十三條 信息系統(tǒng)部應(yīng)在機房內(nèi)設(shè)置安全防盜報警裝置和監(jiān)控系統(tǒng)來實現(xiàn)防盜、防毀、保障設(shè)備的安全。

　　第七十四條 信息系統(tǒng)部應(yīng)按照相關(guān)設(shè)計規(guī)范和技術(shù)要求，在機房設(shè)計和建設(shè)中做好靜電防護設(shè)施、防雷裝置和接地保護系統(tǒng)。

　　第七十五條 學校各機房都必須建立警報系統(tǒng)，在發(fā)現(xiàn)擅自進入受控區(qū)域時發(fā)出警報。

　　第七十六條 信息系統(tǒng)部有關(guān)管理人員應(yīng)定期對服務(wù)器上的重要數(shù)據(jù)要進行備份，備份數(shù)據(jù)的存放位置應(yīng)符合GBJ45-82中規(guī)定的一級耐火等級，符合防火、防高溫、防水、防震等要求;還要定期對備份數(shù)據(jù)進行檢查，保證其可用性。

　　第九節(jié) 主機安全策略

　　第七十七條 學校各院系、處室應(yīng)指定專門的信息管理員對本單位的網(wǎng)站主頁、信息業(yè)務(wù)系統(tǒng)進行管理，劃分清楚系統(tǒng)管理員角色，明確各個角色的權(quán)限、責任和風險，權(quán)限設(shè)定應(yīng)當遵循最小授權(quán)原則;并建立系統(tǒng)安全管理制度，對系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面作出具體規(guī)定;同時依據(jù)操作手冊對系統(tǒng)進行維護，詳細記錄操作日志，包括重要的日常操作、運行維護記錄、參數(shù)的設(shè)置和修改等內(nèi)容，嚴禁進行未經(jīng)授權(quán)的操作。

　　第七十八條 應(yīng)提高學校全體師生用戶的防病毒意識，安裝防病毒軟件，及時告知防病毒軟件版本，在讀取移動存儲設(shè)備上的數(shù)據(jù)以及網(wǎng)絡(luò)上接收文件或郵件之前，先進行病毒檢查，對外來計算機或存儲設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前也應(yīng)進行病毒檢查。

　　第七十九條 當因?qū)W校內(nèi)外部審核、軟件開發(fā)、軟件安裝或其他規(guī)定需求而需要特殊的訪問賬號時，賬號必須被授權(quán);創(chuàng)建的日期期限必須明確;工作結(jié)束時此賬號必須刪除。

　　第八十條 校園網(wǎng)內(nèi)信息系統(tǒng)的所有賬號都必須使用分配的用戶進行唯一性標識。

　　第八十一條 網(wǎng)絡(luò)與教育技術(shù)中心應(yīng)派專人負責刪除無用的個人賬號;必須將修改用戶賬號相關(guān)信息的過程文件化;必須定期評審現(xiàn)有賬號的有效性，并將此過程文件化。

　　第八十二條 校園網(wǎng)內(nèi)用戶安裝操作系統(tǒng)時應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級服務(wù)器等方式保持系統(tǒng)補丁及時得到更新。

　　第八十三條 網(wǎng)絡(luò)與教育技術(shù)中心信息系統(tǒng)部應(yīng)定期的對服務(wù)器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶進行審計，審計內(nèi)容包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件。

　　第八十四條 相關(guān)技術(shù)人員在訪問操作系統(tǒng)過程中，對于不活動的會話必須設(shè)定在一個不活動周期后關(guān)閉，以防止未授權(quán)人員訪問和拒絕服務(wù)攻擊。

　　第八十五條 對于系統(tǒng)管理員和系統(tǒng)操作員的操作日志應(yīng)做好記錄，并定期評審這些日志信息。系統(tǒng)管理員和系統(tǒng)操作員的日志應(yīng)包括事件發(fā)生的時間，涉及的帳號和管理員或操作員，事件或故障的信息內(nèi)容等信息。

　　第十節(jié) 網(wǎng)絡(luò)安全策略

　　第八十六條 網(wǎng)絡(luò)與教育技術(shù)中心應(yīng)建立網(wǎng)絡(luò)安全管理制度，對網(wǎng)絡(luò)安全配置、日志保存時間、安全策略、升級與打補丁、口令更新周期等方面作出規(guī)定;同時應(yīng)指定專人對網(wǎng)絡(luò)進行管理，負責運行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護和報警信息分析和處理工作;應(yīng)實現(xiàn)設(shè)備的最小服務(wù)配置，并對配置文件進行定期離線備份;

　　第八十七條 網(wǎng)絡(luò)與教育技術(shù)中心信息系統(tǒng)部應(yīng)定期對網(wǎng)絡(luò)系統(tǒng)進行漏洞掃描，對發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進行及時的修補;應(yīng)根據(jù)廠家提供的軟件升級版本對網(wǎng)絡(luò)設(shè)備進行更新，并在更新前對現(xiàn)有的重要文件進行備份。

　　第八十八條 信息系統(tǒng)部應(yīng)保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準;并依據(jù)安全策略允許或者拒絕便攜式和移動式設(shè)備的網(wǎng)絡(luò)接入;同時定期檢查違反規(guī)定撥號上網(wǎng)或其他違反網(wǎng)絡(luò)安全策略的行為。

　　第八十九條 校園網(wǎng)內(nèi)所有用戶的計算機設(shè)備如果無人值守必須啟動口令保護(屏保或注銷)。

　　第九十條 校園網(wǎng)絡(luò)基礎(chǔ)設(shè)施支持一系列合理定義的、被認可的網(wǎng)絡(luò)協(xié)議，使用任何未經(jīng)認可的協(xié)議都必須經(jīng)過批準。

　　第九十一條 校園防火墻必須按照防火墻實施規(guī)范文件進行安裝和配置。

　　第九十二條 校內(nèi)人員未經(jīng)批準不可以安裝路由器、交換機、集線器或者無線訪問端口。

　　第九十三條 在未經(jīng)批準的情況下，校內(nèi)網(wǎng)用戶不得安裝網(wǎng)絡(luò)硬件或軟件提供網(wǎng)絡(luò)服務(wù)。

　　第九十四條 網(wǎng)絡(luò)與教育技術(shù)中心信息系統(tǒng)部應(yīng)在網(wǎng)絡(luò)邊界、安全域之間使用防火墻或VLAN進行邏輯隔離和訪問控制，使用網(wǎng)絡(luò)安全審計系統(tǒng)對網(wǎng)絡(luò)訪問行為進行記錄、監(jiān)視和回放，保證對網(wǎng)絡(luò)進行充分的管理和控制，防止威脅的發(fā)生，維護業(yè)務(wù)系統(tǒng)和信息的安全。

　　第九十五條 對于校內(nèi)記錄日志的設(shè)施和日志信息應(yīng)加以保護，防止被篡改和未授權(quán)訪問。

　　第十一節(jié) 應(yīng)用安全策略

　　第九十六條 校園網(wǎng)內(nèi)所有訪問應(yīng)用的賬號都必須使用分配的用戶進行唯一性標識。

　　第九十七條 基于各個業(yè)務(wù)應(yīng)用要求，應(yīng)嚴格限制用戶對信息和應(yīng)用系統(tǒng)功能的訪問權(quán)限，防止對信息系統(tǒng)的未授權(quán)訪問。

　　第九十八條 對校內(nèi)所有應(yīng)用系統(tǒng)進行安全訪問的控制。

　　第九十九條 對校內(nèi)所有應(yīng)用系統(tǒng)自身產(chǎn)生的日志文件與系統(tǒng)日志進行審計，記錄用戶活動、異常和信息安全事件的日志信息，并保留一定的時間，以支持將來的調(diào)查和審計。

　　第十二節(jié) 數(shù)據(jù)安全和備份恢復策略

　　第百條 校內(nèi)所有信息系統(tǒng)的用戶部門要建立備份與恢復管理相關(guān)的安全管理制度，對備份信息的備份方式、備份頻度、存儲介質(zhì)和保存期等進行規(guī)范。

　　第百一條 校內(nèi)所有信息系統(tǒng)的用戶部門應(yīng)采用加密或其他保護措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸和存儲的保密性。

　　第百二條 校內(nèi)所有信息系統(tǒng)的用戶部門應(yīng)制定詳細的備份策略，使用足夠的備份設(shè)施，定期對業(yè)務(wù)數(shù)據(jù)進行備份，確保業(yè)務(wù)數(shù)據(jù)在災(zāi)難或媒體故障后能及時進行恢復，保存期限至少2年。

　　第百三條 備份的數(shù)據(jù)由網(wǎng)管人員負責保管，備份的數(shù)據(jù)應(yīng)在指定的數(shù)據(jù)保管室或指定的場所保管。

　　第百四條 備份數(shù)據(jù)資料保管地點應(yīng)有防火、防熱、防潮、防塵、防磁、防盜設(shè)施。

篇2：大學網(wǎng)絡(luò)與信息安全管理暫行辦法

　　XX大學網(wǎng)絡(luò)與信息安全管理暫行辦法

　　第一章 總 則

　　第一條 為了加強我校網(wǎng)絡(luò)與信息安全管理工作,根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國計算機信息系統(tǒng)安全保護條例》(國務(wù)院令第147號)、《中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》(公安部令第33號)和《信息安全等級保護管理辦法》(公通字〔2007〕43號)等規(guī)定，結(jié)合學校實際，特制定本管理辦法。

　　第二條 本管理辦法所引用的術(shù)語的含義按第一條所引用的國家法律法規(guī)解析。

　　第三條 學校的全體教職員工都有義務(wù)和責任認真執(zhí)行本管理規(guī)定，必須遵守國家有關(guān)法律、法規(guī)，嚴格執(zhí)行安全保密制度，并對所使用的計算機的管理、使用行為與所提供的網(wǎng)上信息負責。

　　第四條 學校將根據(jù)國家有關(guān)計算機網(wǎng)絡(luò)與信息安全的法律與法規(guī)的變動情況，適時修改本規(guī)定的內(nèi)容。

　　第五條 學校各單位應(yīng)積極采取各種技術(shù)和行政手段以保障我校網(wǎng)絡(luò)與信息安全。

　　第六條 學校網(wǎng)絡(luò)與信息安全工作接受并配合國家有關(guān)部門依法進行監(jiān)督檢查。

　　第二章 管理機構(gòu)與職能

　　第七條 網(wǎng)絡(luò)與信息安全工作實行統(tǒng)一領(lǐng)導、統(tǒng)一規(guī)劃、分級管理制度。

　　第八條 學校設(shè)立網(wǎng)絡(luò)與信息安全工作領(lǐng)導小組，由校領(lǐng)導、信息化建設(shè)與管理處、校長辦公室、國際交流合作處、學生處、后勤與資產(chǎn)管理處、保衛(wèi)處、宣傳部、華文學院等單位組成。網(wǎng)絡(luò)與信息安全的日常管理工作由信息化建設(shè)與管理處負責，信息和新媒體內(nèi)容安全工作由宣傳部負責，其它安全工作由相應(yīng)職能單位對口負責。

　　第九條 網(wǎng)絡(luò)與信息安全工作領(lǐng)導小組負責學校的網(wǎng)絡(luò)與信息安全的領(lǐng)導工作，制定整體規(guī)劃和各項管理制度，研究解決網(wǎng)絡(luò)與信息安全管理中的重大問題，在學校校園安全與穩(wěn)定工作領(lǐng)導小組的指導下，對學校網(wǎng)絡(luò)與信息安全建設(shè)和管理工作進行總體部署。

　　第十條 學校網(wǎng)絡(luò)與信息安全工作按照“誰主管、誰負責，誰運行、誰負責，誰使用、誰負責”的原則明確責任主體。各單位主要領(lǐng)導為本單位網(wǎng)絡(luò)與信息安全的責任人。

　　第十一條 各單位要高度重視網(wǎng)絡(luò)與信息安全保護工作，成立組織機構(gòu)，明確分管領(lǐng)導，配備專(兼)職網(wǎng)絡(luò)與信息安全員(原則上須設(shè)AB崗)，統(tǒng)一負責本單位的網(wǎng)絡(luò)與信息安全管理工作，并報信息化建設(shè)與管理處備案。

　　第十二條 各單位的網(wǎng)絡(luò)與信息安全組織機構(gòu)負責本單位(及下屬單位)的網(wǎng)站、信息系統(tǒng)、新媒體等的網(wǎng)絡(luò)與信息安全保護工作，落實網(wǎng)站、信息系統(tǒng)各項安全保護措施，保障網(wǎng)站、信息系統(tǒng)的安全穩(wěn)定運行。

　　第十三條 信息化建設(shè)與管理處統(tǒng)籌規(guī)劃和指導全校各單位信息系統(tǒng)等級保護的定級與評測等工作，負責學校重要網(wǎng)絡(luò)基礎(chǔ)設(shè)施與數(shù)據(jù)中心安全運維和技術(shù)防護。

　　第三章 網(wǎng)絡(luò)與信息安全工作制度

　　第十四條 學校各單位網(wǎng)站的建設(shè)與管理按照《XX大學網(wǎng)站建設(shè)與運行管理辦法(試行)》(委宣〔2016〕22號)的有關(guān)規(guī)定執(zhí)行，嚴禁未經(jīng)許可私設(shè)網(wǎng)站。

　　第十五條 學校所有提供互聯(lián)網(wǎng)訪問許可的設(shè)備必須托管至學校數(shù)據(jù)中心或由數(shù)據(jù)中心提供相應(yīng)硬件設(shè)備，并按等級保護要求落實網(wǎng)絡(luò)與信息安全防護措施。

　　第十六條 學校各單位原則上不得自建服務(wù)器，確實因工作需要開通內(nèi)網(wǎng)訪問許可的，應(yīng)按照等級保護要求落實網(wǎng)絡(luò)與信息安全防護措施，并報網(wǎng)絡(luò)與信息安全領(lǐng)導小組審批后，信息化建設(shè)與管理處予以備案監(jiān)管。

　　第十七條 學校各單位網(wǎng)絡(luò)與信息安全工作責任人和安全員應(yīng)做好本單位的網(wǎng)站和信息系統(tǒng)的日常安全管理工作。對系統(tǒng)的架構(gòu)、設(shè)備、密碼、用戶信息、重要數(shù)據(jù)等做好備案工作。在調(diào)離本單位工作時，應(yīng)移交上述材料，并對上述信息負有保密責任。

　　第十八條 學校各單位與計算機用戶應(yīng)做好計算機的病毒防范工作。定期查毒。使用計算機網(wǎng)絡(luò)進行文件與數(shù)據(jù)傳輸時，應(yīng)該做好病毒的清查工作。在計算機軟件與硬件使用前，應(yīng)做好病毒與其它有害數(shù)據(jù)的檢測工作。

　　第十九條 任何單位和個人，不得從事下列活動：

　　(1)利用計算機信息網(wǎng)絡(luò)制作、傳播、復制反動與黃色等有害信息;

　　(2)非法侵入網(wǎng)絡(luò)系統(tǒng)與信息系統(tǒng);

　　(3)非法竊取計算機與網(wǎng)絡(luò)系統(tǒng)中信息資源;

　　(4)違反國家規(guī)定，對計算機信息系統(tǒng)功能進行增加、刪除、修改、干擾，影響計算機信息系統(tǒng)正常運行;

　　(5)違反國家規(guī)定，對計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進行增加、刪除、修改、復制等;

　　(6)未經(jīng)授權(quán)查閱他人電子郵箱;

　　(7)未經(jīng)批準，私設(shè)網(wǎng)站與發(fā)布信息。

　　(8)冒用他人名義發(fā)送電子郵件;

　　(9)故意干擾計算機信息網(wǎng)絡(luò)暢通;

　　(10)瀏覽反動、黃色的網(wǎng)站。

　　第二十條 各單位對出現(xiàn)的網(wǎng)絡(luò)與信息安全事故，應(yīng)第一時間上報保衛(wèi)處與信息化建設(shè)與管理處并逐級向上級如實匯報，不得隱瞞。

　　第二十一條 信息化建設(shè)與管理處定期舉行網(wǎng)絡(luò)與信息安全的政策學習與技術(shù)培訓等活動。

　　第四章 應(yīng)急處置

　　第二十二條 建立健全學校網(wǎng)絡(luò)與信息安全事件應(yīng)急工作機制，提高應(yīng)對網(wǎng)絡(luò)與信息安全事件的應(yīng)急處置能力，預防和網(wǎng)絡(luò)與信息安全事件造成的損失和危害，維護學校穩(wěn)定和健康發(fā)展。

　　第二十三條 學校網(wǎng)絡(luò)與信息安全事件應(yīng)急處置的總體原則如下：

　　(1)統(tǒng)一指揮、協(xié)同處理。在學校網(wǎng)絡(luò)與信息安全領(lǐng)導小組的統(tǒng)一領(lǐng)導下，各單位合理分工，相互協(xié)作，形成快速、穩(wěn)妥地處置網(wǎng)絡(luò)與信息安全事件的工作機制;

　　(2)落實責任、健全機制。按照職責劃分，分級處理，層層落實，共同做好網(wǎng)絡(luò)與信息安全事件的預防和處置工作;

　　(3)預防為主、嚴格監(jiān)控。以預防為主，加強風險排查，減少故障隱患，做好應(yīng)急處置的各項準備。嚴格執(zhí)行監(jiān)控值守制度，確保故障風險及早發(fā)現(xiàn)。

　　(4)果斷處置、有效應(yīng)對。發(fā)生網(wǎng)絡(luò)與信息安全事件時要按應(yīng)急報告流程及時報告，快速啟動應(yīng)急預案進行應(yīng)急處置，最大程度減少網(wǎng)絡(luò)與信息安全事件造成的危害和影響;

　　(5)及時報告，聯(lián)絡(luò)暢通。明確突發(fā)事件報告路線和報告渠道，一旦發(fā)生突發(fā)事件或出現(xiàn)潛在的危機事件，要保證能及時通知到相關(guān)人員。

　　第二十四條 學校各單位要加強網(wǎng)絡(luò)與信息安全應(yīng)急預案的培訓工作，提高教職員工防范意識及應(yīng)對技能。

　　第二十五條 學校各單位至少每半年開展一次對本單位預案的演練工作，信息化建設(shè)管理處至少每季度開展一次針對全校網(wǎng)絡(luò)與信息安全事件的應(yīng)急演練工作，提高突發(fā)事件解決能力，檢驗和完善預案，并將演練情況報網(wǎng)絡(luò)與信息安全領(lǐng)導小組備案。

　　第五章 獎勵與處罰

　　第二十六條 學校網(wǎng)絡(luò)與信息安全工作領(lǐng)導小組負責督查全校的網(wǎng)絡(luò)與信息網(wǎng)絡(luò)安全工作，并根據(jù)督查情況對相關(guān)單位采取“限期整改”“強制關(guān)停”等措施，對整改不到位的單位進行“負責人約談”“通報批評”，情節(jié)嚴重的，由公安機關(guān)依法追究相關(guān)單位及責任人的法律責任。

　　第二十七條 各單位應(yīng)把網(wǎng)絡(luò)與信息安全工作納入日常工作，簽署《網(wǎng)站與信息安全責任書》(見附件)，并由有關(guān)單位進行年終考評，對工作完成突出的單位與個人進行表彰和獎勵，對工作落實不到位的單位提出整改、批評、警告等。

　　第六章 附則

　　第二十八條 本辦法自公布之日起施行，原《XX大學校園網(wǎng)絡(luò)安全與信息管理規(guī)定》(華大信〔2013〕1號)同時廢止。

　　第二十九條 本管理辦法未盡事宜由學校網(wǎng)絡(luò)與信息安全領(lǐng)導小組負責解釋。

　　附件：網(wǎng)站和信息系統(tǒng)安全責任書

篇3：大學網(wǎng)絡(luò)與信息安全管理崗位職責

　　信息化建設(shè)與管理處 網(wǎng)絡(luò)與教育技術(shù)中心

　　大學網(wǎng)絡(luò)與信息安全管理崗位職責

　　XX大學網(wǎng)絡(luò)與信息安全工作小組的主要職責由信息化建設(shè)與管理處和網(wǎng)絡(luò)與教育技術(shù)中心牽頭具體組織實施，下設(shè)安全管理員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員、應(yīng)用管理員、資產(chǎn)管理員等崗位，分別負責相應(yīng)安全管理工作職責，確保網(wǎng)絡(luò)與信息安全工作高效運行。其崗位職責如下：

　　一、 安全管理員

　　(一)負責信息安全工作的具體實施和有關(guān)信息安全問題的應(yīng)急處置，根據(jù)信息安全事件的應(yīng)急處置情況和對網(wǎng)絡(luò)系統(tǒng)安全檢測的結(jié)果，提交事件處理報告;

　　(二)根據(jù)網(wǎng)絡(luò)系統(tǒng)安全需求，定期提出本單位和校內(nèi)各單位網(wǎng)絡(luò)與信息安全整改意見，上報網(wǎng)絡(luò)與信息安全工作小組;

　　(三)定期組織開展信息安全巡檢，并在其他管理員的協(xié)助下建立完整的安全巡檢報告，及時向組長提交報告，匯報網(wǎng)絡(luò)的信息安全現(xiàn)狀;

　　(四)定期對信息處人員進行信息安全管理制度的普及和信息安全防范技能培訓并組織考核，使全體員工熟悉相關(guān)安全管理制度，提高安全意識和基本安全防范能力;

　　(五)指導和監(jiān)督其他管理員和普通用戶了解網(wǎng)絡(luò)與信息安全相關(guān)工作，并提供安全改進工作建議;

　　(六)監(jiān)控信息系統(tǒng)的安全需求變化，及時獲取來自其他管理員和普通用戶的安全意見，進行必要的安全策略體系修訂;

　　(七)根據(jù)網(wǎng)絡(luò)與信息安全工作小組涉及的崗位職責，處理小組的其它事務(wù)。

　　二、 網(wǎng)絡(luò)管理員

　　(一)負責對所管理網(wǎng)絡(luò)設(shè)備的日常運行、管理和維護，保持系統(tǒng)處于良好的運行狀態(tài);負責防病毒管理、防火墻系統(tǒng)管理、入侵檢測管理、安全漏洞掃描等管理;負責網(wǎng)絡(luò)設(shè)備操作系統(tǒng)升級、補丁;負責網(wǎng)絡(luò)日常監(jiān)控、優(yōu)化和安全加固;負責網(wǎng)絡(luò)設(shè)備操作系統(tǒng)和配置數(shù)據(jù)備份;

　　(二)接受安全管理員的安全整改建議，對網(wǎng)絡(luò)設(shè)備進行必要的安全性增強;

　　(三)參加信息處定期的信息安全巡檢，并記錄巡檢結(jié)果，在巡檢結(jié)束后提交給安全管理員，配合安全管理員完成信息安全巡檢報告;

　　(四)負責網(wǎng)絡(luò)安全事件的處理;參與網(wǎng)絡(luò)安全建設(shè)方案制定;參與網(wǎng)絡(luò)系統(tǒng)安全策略、計劃和事件處理程序的制定;

　　(五)在每個網(wǎng)絡(luò)系統(tǒng)工程驗收后，應(yīng)對工程所涉及的網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)服務(wù)作相應(yīng)的安全設(shè)置，刪除設(shè)備的測試賬號，對需要保留的賬號口令重新進行設(shè)置，并且在口令的設(shè)置上要符合保密性要求;

　　(六)監(jiān)控信息系統(tǒng)的安全需求變化，及時獲取來自其他管理員和普通用戶的安全意見，進行必要的安全策略體系修訂;

　　(七)根據(jù)網(wǎng)絡(luò)與信息安全工作小組涉及的崗位職責，處理小組的其它事務(wù)。

　　三、系統(tǒng)管理員

　　(一)負責中心機房的運行值班、運行管理，運行環(huán)境監(jiān)控。

　　(二)負責對所管理的主機系統(tǒng)的日常運行、管理和維護，保持系統(tǒng)處于良好的運行狀態(tài);負責系統(tǒng)升級、補丁和和安全加固;負責系統(tǒng)的日常安全監(jiān)控、配置和數(shù)據(jù)備份;負責系統(tǒng)權(quán)限和口令管理;

　　(三)接受安全管理員的安全整改建議，對主機系統(tǒng)進行必要的安全性增強;

　　(四)參加信息處定期的信息安全巡檢，并記錄巡檢結(jié)果，在巡檢結(jié)束后提交給安全管理員，配合安全管理員完成信息安全巡檢報告;

　　(五)負責系統(tǒng)安全事件的處理;參與系統(tǒng)安全策略、計劃和事件處理程序的制定;

　　(六)監(jiān)控信息系統(tǒng)的安全需求變化，及時獲取來自其他管理員和普通用戶的安全意見，進行必要的安全策略體系修訂;

　　(七)根據(jù)網(wǎng)絡(luò)與信息安全工作小組涉及的崗位職責，處理小組的其它事務(wù)。

　　四、應(yīng)用管理員

　　(一)負責對所管理應(yīng)用系統(tǒng)的日常運行、管理和維護，保持系統(tǒng)處于良好的運行狀態(tài);負責應(yīng)用系統(tǒng)的安全加固;負責應(yīng)用系統(tǒng)的日常安全監(jiān)控和數(shù)據(jù)備份;負責應(yīng)用系統(tǒng)賬號權(quán)限和口令管理;負責應(yīng)用系統(tǒng)在操作系統(tǒng)和數(shù)據(jù)庫中賬號及該賬號下的數(shù)據(jù)安全;

　　(二)接受安全管理員的安全整改建議，對應(yīng)用系統(tǒng)進行必要的安全性增強;

　　(三)參加信息處定期的信息安全巡檢，并記錄巡檢結(jié)果，在巡檢結(jié)束后提交給安全管理員，配合安全管理員完成信息安全巡檢報告;

　　(四)負責應(yīng)用系統(tǒng)安全事件的處理;參與應(yīng)用系統(tǒng)安全策略、計劃和事件處理程序的制定;

　　(五)監(jiān)控信息系統(tǒng)的安全需求變化，及時獲取來自其他管理員和普通用戶的安全意見，進行必要的安全策略體系修訂;

　　(六)存放收藏每天運營生產(chǎn)系統(tǒng)的數(shù)據(jù)備份資料載體及產(chǎn)生的相關(guān)書面文檔;

　　(七)根據(jù)網(wǎng)絡(luò)與信息安全工作小組涉及的崗位職責，處理小組的其它事務(wù)。

　　五、機房管理員

　　(一)負責計算機機房的防火、防水、防靜電、防雷擊和防輻射等安全設(shè)施的管理;負責對計算機機房的內(nèi)部裝修，落實電磁波防護等技術(shù)規(guī)范與技術(shù)要求;負責計算機機房配電系統(tǒng)、空調(diào)系統(tǒng)的維護與管理;負責計算機機房的進出口的監(jiān)控系統(tǒng)和門禁系統(tǒng)的維護與管理;

　　(二)負責對本單位計算機機房安全性的檢查，發(fā)現(xiàn)問題或隱患及時安全管理員提出整改意見和書面報告;

　　(三)接受安全管理員的安全整改建議，對機房物理環(huán)境進行必要的安全性增強;;

　　(四)參加信息處定期的信息安全巡檢，并記錄巡檢結(jié)果，在巡檢結(jié)束后提交給安全管理員，配合安全管理員完成信息安全巡檢報告;

　　(五)負責機房物理安全事件的處理;參與機房物理安全策略、計劃和事件處理程序的制定;

　　(六)根據(jù)網(wǎng)絡(luò)與信息安全工作小組涉及的崗位職責，處理小組的其它事務(wù)。

　　六、資產(chǎn)管理員

　　(一)按照資產(chǎn)存放環(huán)境要求存放相關(guān)物資和資料;

　　(二)根據(jù)信息資產(chǎn)的分類分級標識的要求進行資產(chǎn)、資料的標識;

　　(三)根據(jù)資產(chǎn)的信息安全等級進行物資的入庫、出庫、銷毀，資料的保管、借閱、銷毀;

　　(四)負責系統(tǒng)備份、數(shù)據(jù)備份載體及相應(yīng)文檔管理;業(yè)務(wù)數(shù)據(jù)、經(jīng)營數(shù)據(jù)、運行數(shù)據(jù)的載體及相應(yīng)文檔、軟件資料(包括軟件開發(fā)的源代碼、軟件設(shè)計說明書、使用說明書、許可證等)、硬件資產(chǎn)檔案、系統(tǒng)設(shè)計方案、工程施工過程文檔、系統(tǒng)運行維護文檔、招投標過程文檔及其它文檔管理(包括各種規(guī)章制度、收發(fā)文、工作日志歸檔、設(shè)備清單、合同)等等。

　　(五)參加信息處定期的信息安全巡檢，并記錄巡檢結(jié)果，配合安全管理員完成信息安全巡檢報告

　　(六)根據(jù)網(wǎng)絡(luò)與信息安全工作小組涉及的崗位職責，處理小組的其它事務(wù)。