第一章 总 则
第一条 为了切实加强学校校园网信息安全管理工作,推进校园网络文明建设,进一步规范校园网信息服务行为,维护国家、学校的安全和利益,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网络管理暂行规定》、《教育部关于对校园网有害信息专项清理整治工作的实施意见》以及有关法律、法规对互联网安全管理的要求,特制定本规定。
第二条 西京学院校园网是由学校投资建设,属于非赢利性的计算机网络。服务对象是学校办公、教学、科研、管理和生活服务机构,以及其他经学校授权的单位及个人。
第三条 任何单位及个人不得利用校园网危害国家安全、泄露国家秘密,不得侵犯国家、社会、集体利益和个人的合法权益,不得从事违法犯罪活动。
第二章 管理机构与职责
第四条 西京学院网络信息安全工作领导小组负责学校的信息网络安全工作,该领导小组组长为学校信息网络安全工作的第一责任人。办公室设在网络安全与数据中心,负责日常工作。
第五条 西京学院信息化建设工作领导小组是学校信息化建设的领导机构,负责学校信息化建设的统筹、组织、协调和重大问题的决策。办公室设在网络安全与数据中心,负责日常工作。
第六条 网络安全与数据中心是校园网建设和管理的具体实施机构,负责校园网日常运行、管理和维护,同时为校园网的网络和信息安全提供技术支持和保障。
第七条 学校各单位一把手为本单位网络和信息安全工作的第一责任人,与网络安全与数据中心签订网络信息安全责任书,并在单位内指定一名网络信息管理员,按照“谁建设谁负责、谁主管谁监督”的原则对本单位所建设的应用系统、网站、网页、交互式栏目等进行管理和检查,若发现有害信息应及时予以删除。
第三章 校园网用网管理
第八条 学校实行用网实名制管理,原则上一个用户开设一个固定IP账户。因工作需要,需增设账号的由个人提出书面申请,经主管校领导审批同意后,到网络安全与数据中心办理。
第九条 各部门教职工新入网用户需填写《西京学院校园网账号申请表》(附件1),到网络安全与数据中心管理部门办理,信息不全者不予分配账号。
第十条 因部门工作调整或办公地点改变需变更IP地址的,需电话告知网络安全与数据中心进行变更。
第十一条 学校离职人员由网络安全与数据中心注销其用网账户。
第四章 信息系统管理
第十二条 信息系统实行安全等级保护制度,根据国家等级保护相关管理文件,信息系统的安全保护等级分为五个等级。等级确定的原则、标准、各级别安全保护和管理内容按照国家和省有关规定执行。
第十三条 网络安全与数据中心对新建、改建、扩建的网络信息系统应当在规划、设计阶段按照国家有关管理规范、技术标准确定信息系统的安全保护等级,并同步建设符合该安全保护等级要求的信息安全设施。
第十四条 网络安全与数据中心定期对信息系统安全状况、安全保护制度及措施的落实情况进行监督、检查,对于存在安全隐患的信息系统,有权停止其对外服务。
第十五条网络安全与数据中心要保证信息系统安全和数据安全,制定重要数据库和系统主要设备的容灾备份措施。记录并保留至少30天系统维护日志。
第十六条 各单位和个人,要对自己所管理的数据负责,保证数据安全,防止数据泄漏。
第五章 数据管理
第十七条 西京学院信息化数据作为学校的无形资产和战略资源,纳入学校统一管理范畴,实现信息系统数据的统一管控,提高数据质量和数据的利用效率,提供安全、完整、统一的数据服务,为学校教学、科研、管理提供信息服务和技术保障。
第十八条 基于主题将信息化应用系统数据划分为八大类:人力资源数据、学生管理数据、教学资源与管理数据、科研管理数据、财务、资产数据、公共服务数据、数字档案数据。
第十九条 西京学院的数据管理架构包括数据管理部门、数据产生部门、数据使用部门三部分。
第二十条 网络安全与数据中心负责学校统一数据平台建立及管理,根据全校应用系统的数据需求,规划数据库结构和内容,将各种异构数据源统一起来,对外提供统一的访问接口和数据服务。
第二十一条 数据产生部门为数据单一来源的权威部门,负责数据的收集、维护、备份和归档。数据产生部门应遵循国家、教育部及学校发布的数据标准进行数据编码。数据产生部门应提供数据字典、数据接口以及数据库访问权限给网络安全与数据中心。
第二十二条 数据使用部门不能向数据产生部门直接索取数据,需根据自己的需求填写《西京学院信息化数据使用申请表》(附件2)、《西京学院信息化数据保密协议》(附件3),提出数据使用申请,数据使用部门在获取数据产生部门的授权后,方可获取被授权的数据。数据使用部门须保证数据用途与申请的一致性。数据使用部门有义务保护数据的隐秘性,不得将获取数据传播给其他单位。
第二十三条 数据管理部门、数据产生部门和数据使用部门须遵循统一标准、统一管理、唯一来源的数据管理原则。
第二十四条 网络安全与数据中心负责数据交换平台的日常管理和维护,及时发现、解决数据共享交换中出现的问题。
第二十五条 网络安全与数据中心负责学校数据安全的软硬件建设,建设学校数据容灾备份中心,为校内应用系统的数据安全管理提供技术支持。
第二十六条 未经批准,任何部门和个人不得擅自提供信息系统的内部数据。对于违反规定、非法披露、提供数据的单位和个人,应依照相关规定予以处罚。
第六章 信息安全管理
第二十七条 校园网所有用户必须遵守《中华人民共和国计算机信息网络国际互联网络管理暂行规定》、国家有关法律法规和学校的有关管理规定,严格执行信息安全保密制度,并对所提供和发布的信息负责。
第二十八条 任何单位和个人不得利用校园网制作、复制、传播和查阅下列信息:
(一)煽动抗拒、破坏宪法和法律、法规实施的;
(二)煽动颠覆国家政权,推翻社会主义制度的;
(三)煽动分裂国家、破坏国家统一的;
(四)煽动民族仇恨、民族歧视,破坏民族团结的;
(五)煽动非法集会、结社、游行、示威、聚众扰乱社会秩序的;
(六)捏造或者歪曲事实,散布谣言,扰乱社会秩序的;
(七)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;
(八)公然侮辱他人或者捏造事实诽谤他人的;
(九)损害国家荣誉和利益的;
(十)以非法民间组织名义组织活动的;
(十一)其他违反宪法和法律、行政法规的。
第二十九条 各单位要按照国家及学校有关规定,严格信息发布审核制度,未经审核的信息内容不得发布。凡涉及国家机密的信息严禁上网。
第三十条 校园网用户必须自觉配合国家和学校有关部门依法进行的监督、检查。用户若发现违法有害信息,有义务向学校有关部门报告。
第三十一条 网络安全与数据中心负责对学校信息内容进行监督。对于不良有害信息,应在第一时间联系相关部门进行处理。涉及违法犯罪行为的,应立即向公安机关报案。
第七章 密码安全管理
第三十二条 按照信息化数据的重要程度和设备的价值,密码等级分成四级,一级最高,四级最低。核心交换机密码、数据库服务器超级用户密码、数据库用户密码、数据库管理员密码和一般网络设备密码为一级密码,由具体负责的高级系统管理员负责;应用系统管理员密码为二级密码,具体由业务部门指定专人负责;非数据库服务器密码为三级密码,由具体的指定的服务器管理员负责。应用系统中用户的操作密码为四级密码,由用户本人负责。
第三十三条 应用软件的操作密码由用户设定,应用软件的初始密码由软件开发人员设定,其它一切密码由系统管理员设定。密码一旦设定或更换,要及时通知相关人员。密码设定严禁使用诸如名字、生日、电话号码等容易被人破解的字符串。
第三十四条 一级、二级、三级密码长度不得少于10位。一级密码三个月更换一次;二级密码采用不定期更换;三级密码六个月更换一次。四级密码长度不得少于6位,四级密码根据具体情况,随时更换。密码的设置应包含英文字母、数字和特殊符号,不能包含有意义的字符组合或多系统共用相同密码。
第三十五条 工作人员如果通过密码验证后,进入后台操作环境,此时严禁工作人员随意离开工作台,必须要退出当前的操作环境才能离开。核心业务系统中,Windows系统超级管理员应限制在指定IP机器上远程使用,Linux 类系统不允许远程直接登录。密码授权非系统管理员因工作需要使用系统管理密码时,由系统管理员设置临时密码,使用完毕后修改密码,并对授权行为进行记录。
第三十六条 密码保存和使用必须隐秘,不得显露他人或书写在较醒目的地方。密码不准制成电子文档。密码保管和使用人员须签订安全保密协议;学校与外包服务公司须签订安全保密协议,并要求外包服务公司与学校签订安全保密协议。
第八章 附则
第三十七条 违反本管理规定的,视情节轻重采用以下其中一种或多种处理措施:
(一)限期整改;
(二)封账号或端口至安全问题排除;
(三)报学校有关职能部门或当事人所在单位处理;
(四)触犯法律法规的,将移交司法、公安部门处理。
第三十八条 本规定由网络安全与数据中心负责解释,自发布之日起施行。
