1、大学网络信息安全管理办法某某大学网络信息安全管理办法第一章 总则第一条 为规范某某大学网络信息安全系统,确保学校业务系统安全、稳定和可靠的运行,提升校内服务质量,不断推动学校网络信息安全工作的健康发展,根据中华人民共和国网络安全法、信息安全技术信息系统安全等级保护基本要求(GB/T22239-2008)、以及信息安全等级保护安全建设整改工作方案等标准及规定,结合某某大学实际情况,制定本办法。第二条 本办法为某某大学网络信息安全管理的纲领性文件,明确提出某某大学在网络信息安全管理方面的工作要求,指导网络信息安全管理工作。为网络信息安全管理制度文件提供指引,其他信息安全相关文件在制定时不得违背本办
2、法中的规定。第三条 本办法适用于所有使用某某大学网络或信息资源的用户,包括其他外部机构和个人。第二章 网络信息安全方针第四条 某某大学的网络信息安全方针为:安全第一、综合防范、预防为主、持续改进。安全第一:网络信息安全为学校业务的可靠开展提供基础保障。将网络信息安全作为信息系统建设和业务经营的首要任务;综合防范:管理措施和技术措施并重,建立有效的识别和预防网络信息安全风险机制,合理选择安全控制方式,使网络信息安全风险发生概率降低到可接受水平;预防为主:依据国家、行业监管机构相关规定和信息安全管理最佳实践,对重要信息资产采取有效措施,消除可能的隐患,降低网络信息安全事件的发生概率;持续改进:建立
3、和完善网络信息安全管理机制,并在此基础上持续改进,不断自我完善,为学校业务的平稳运行提供可靠的安全保障。第五条 网络信息安全管理的总体目标包括:网络信息安全管理体系建设和运行应符合国家、监管机构和主管部门的相关规定、规则及适用的相关准则和协议;确保信息系统能够持续、可靠、正常地运行,提供安全、稳定和高质量的信息技术服务并不断改进;保护信息系统及数据的机密性、完整性和可用性,保证其不因偶然或者恶意侵犯而遭受破坏、更改及泄露。第三章 网络信息安全策略第六条 安全管理制度(一)应形成由管理规定、管理规范、操作流程等构成的全面的网络信息安全管理制度体系。(二)网络安全管理制度应具有统一的格式,并进行版
4、本控制,通过正式有效的方式发布。(三)应定期对安全管理制度进行检查和审定,对存在不足或需要改进的安全管理制度进行修订。第七条 安全管理机构(一)网络信息安全管理工作实行统一领导和分级管理。学校网络安全和信息化领导小组指导信息安全管理工作,决策网络信息安全重大事宜;信息办综合协调学校的网络信息安全工作,信息技术中心负责学校网络信息安全的技术保障。(二)网络信息安全管理实行主要领导负责制,按照“谁主管、谁负责,谁使用、谁负责,谁运维、谁负责”原则,逐级签署安全责任书,落实学校各单位与个人网络信息安全责任制。(三)各单位的信息员兼任网络信息安全管理员。(四)应加强内部之间,以及外部监管机构、公安机关
5、、供应商和安全组织的合作与沟通。第八条 人员安全管理(一)应制定安全用工原则,尤其是信息系统相关人员、敏感信息处理人员的录用、考核、转岗、离职等环节应有具体的安全要求。(二)信息技术中心定期组织针对在校教职工的信息安全培训,以增强安全意识、提高安全技能、明确安全职责,应对安全教育和培训的情况和结果进行记录并归档保存。(三)在岗位职责的描述中,应该阐明安全责任。第九条 第三方安全管理(一)根据第三方所要访问的信息资产的等级及访问方式来进行评估,确定其安全风险。(二)根据风险评估结果,采取适当的控制方法对第三方访问进行安全控制,保护学校信息资产的安全。(三)第三方对学校敏感的信息资产进行访问时,应
6、签订保密协议或正式的合同。在协议及合同中应明确第三方的安全责任和必须遵守的安全要求。(四)明确外包系统、软件开发的安全要求。第十条 信息系统建设安全管理(一)在项目立项前,应明确信息系统的安全等级、安全目标及所有的安全需求并文档化。(二)必须通过对安全需求进行详细的分析,制定安全设计方案,明确安全控制措施及所采取的相关安全技术。(三)根据设计方案的要求,对使用的软硬件产品进行选型和测试,最终确定具体采用的产品。(四)根据设计方案和选定的产品编制实施方案。在实施方案中必须考虑到实施过程中的风险,必须包含详细的项目实施计划、实施步骤、测试方案和风险应对措施。(五)必须对实施过程进行安全管理,明确实
7、施过程中各种活动的程序及职责,并形成文件。(六)应根据信息系统的安全等级,在系统上线前完成信息系统安全防护措施的实施,包括基线设置等。同时还应建立必要的机制,保证能够对上线后的系统进行更新升级。(七)必须根据验收流程,对系统进行必要的测试和评定。第十一条 机房安全管理(一)机房建设应符合国家标准电子计算机机房设计规范(GB50174-2008)和电子计算机机房施工及验收规范(GB50462-2008)。(二)合理划分机房区域,针对不同区域实施不同的安全保护措施,确保所有设备及介质的安全。(三)由专人负责机房环境的日常维护、监控、报警和故障处理工作。根据学校实际情况,建立机房值班制度。(四)制定
8、机房管理规定,明确机房安全防护措施,明确门禁管理、设备出入、人员出入(包括第三方)、出入审批等工作的管理要求和流程。(五)制定有关机房工作守则,规范人员在机房内行为。(六)对于机房内的文档资料、存储介质应固定存放在带锁或密码的文件柜中,由专人妥善保管并设置相应清单。第十二条 资产管理(一)应对学校各业务系统的信息资产进行登记,建立相应的资产清单,并指定其安全责任人。(二)根据机密性、完整性和可用性要求对信息资产进行分类分级,确定不同级别信息资产在其生命周期内的保护要求。(三)必须明确信息资产访问控制原则,并建立信息资产访问的授权机制。 第十三条 介质管理(一)对介质的存放环境、标识、传递、访问
9、、保管、销毁等活动做出规定,有介质的归档和访问记录,并对存档介质的目录清单定期盘点。(二)存储介质的管理同信息资产管理相一致,根据所承载数据和软件的重要程度对介质进行分类分级管理。(三)应设立同城异地存放备份数据的场所。异地存放备份数据的场所应该具备防盗、防水、防火设施和一定的抗震能力。第十四条 监控管理(一)应对通信线路、网络设备、主机和应用软件的运行状况、网络流量、用户行为等进行监测和报警。(二)应定期对监测和报警记录进行分析、评审,发现可疑行为,形成分析报告,发现重大隐患和运行事故应及时协调解决,并报上安全相关部门。(三)应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全
10、相关事项进行集中管理。第十五条 网络安全管理(一)指定专人对网络进行管理,负责日常的网络维护和报警信息处理工作。(二)制定网络访问控制机制,网络访问控制策略以“除明确允许执行情况外必须禁止”为原则。(三)当远程访问信息系统时,应采取额外的安全管控措施,以防止设备被窃、信息未授权泄露、远程非授权访问等风险。(四)定期对网络系统进行漏洞扫描,对于发现的漏洞,在经过风险评估、验证测试和充分准备后进行修补或升级。 (五)重要网络设备开启日志和审计功能。第十六条 网站和信息系统安全管理(一)凡需要提供校外公网访问服务的网站,必须统一归并到学校网站群,没有归并的网站只能在校内访问或在校外通过VPN访问。(
11、二)信息系统安全等级保护定级原则。凡是需提供外网访问服务的学校信息系统,定级为二级及以上安全等级保护(以下简称“等保”)的信息系统,必须符合二级及以上信息安全等保要求。仅向校内网络提供访问服务的信息系统,应参照一级或以上等级的信息安全等保要求运行及管理。(三)信息系统安全等保备案。按照国家信息系统等级保护制度的相关法律法规、标准规范以及关于开展上海教育行业信息系统安全等级保护工作的通知(沪教委科201551号)要求,学校定期向上级主管部门备案学校信息系统安全等级保护定级情况。信息办作为学校信息系统定级备案归口管理单位,落实上报备案工作,并接受校内二级单位自建自管信息系统的备案。各二级单位需对本
12、单位所有网站和信息系统分别填写某某大学网站和信息系统备案表(见附件1),并签署某某大学网站/信息系统安全责任书(见附件2),向信息办备案。(四)信息系统安全等保测评。学校信息化专项的等保测评工作由信息办统一安排。自建自管信息系统的安全等保测评工作可由建设单位、部门委托信息技术中心进行或自行实施第三方测评,测评发现的问题由建设单位、部门落实整改工作,测评和整改费用主要由建设单位、部门承担。原则上只有学校数据中心机房内的服务器可供校外公网访问,其他服务器只能在校内访问或在校外通过VPN访问。(五)应指定专人对网站和信息系统进行管理,划分系统管理员角色,明确各个角色的权限、责任和风险,权限设定应当遵
13、循最小授权原则。制定系统访问策略,未经明确授权的用户,系统应默认采用禁止访问原则。负责系统日志的采集、保存、备份和失效处理等工作。在条件允许的情况下,可采用技术手段实现。(六)在信息技术中心的协助下,定期对系统进行漏洞扫描,对于发现的漏洞,在经过风险评估、验证测试和充分准备后进行修补或升级。(七)重要系统服务器开启日志和审计功能,重要日志必须安全地存储在介质中,并定期备份和检查。第十七条 恶意代码防范管理(一)专人负责计算机病毒防范工作的组织与实施。(二)指定专人负责跟踪厂商发布的漏洞补丁情况,定期对服务器、网络、应用软件进行漏洞扫描。(三)对于确有必要升级的漏洞补丁,在安装前必须进行充分的验
14、证测试和风险评估。(四)如果无法及时完成漏洞补丁加载,应进行原因分析,并采取一定的安全防护措施,必要时进行回退。(五)根据日常安全监控、风险评估、信息安全检查和信息安全审计的结果,调整入侵和攻击防范策略或采用新的、成熟的技术产品。(六)定期对学校重要信息系统进行渗透测试等工作,以及时掌握信息系统安全状况,防范入侵和攻击。第十八条 变更管理(一)必须对信息系统的所有操作建立有效的管理和监控机制,确定相关人员及部门职责。(二)根据信息系统变更所涉及的信息资产的安全等级,对信息系统变更进行分级,针对不同等级的信息系统变更以文档的形式明确相应的审批管理程序。(三)在系统变更审批前,变更申请部门提交申请
15、报告,变更管理员要提交系统变更方案,明确变更存在的风险及对系统的影响。(四)实施变更前,应该对变更内容进行严格测试。(五)严格遵照实施方案中所规定的流程实施变更,变更实施过程应记录并妥善保存。第十九条 备份和恢复管理(一)数据备份工作应指定专人负责;根据系统的重要程度,制定相应的备份策略;(二)对关键的系统和数据必须进行异地备份。对于在异地进行备份的系统和数据的管理,要与本地的系统和数据管理保持一致;(三)明确数据恢复的原则和审批程序;(四)制定数据备份恢复方案;(五)重要信息系统的恢复性测试在不影响生产环境运行的情况下至少每年进行一次。根据恢复测试结果进行数据恢复过程的调整。第二十条 信息安
16、全事件管理(一)信息安全相关事项由信息办集中管理。(二)制定包括信息系统运行状况检测、异常处理、汇报等的安全监控工作制度,指定专人负责安全监控。(三)信息办对安全监控的结果进行定期检查,以保证安全监控结果的有效性和完整性。确保安全监控结果可作为其他统计和分析工作的数据来源。(四)安全事件处理的原则是“积极预防、及时发现、快速响应、确保恢复”。(五)信息办建立详细的安全事件响应机制,明确安全事件的发现、分析、处理、总结和奖惩阶段的相关责任,最大限度地减少安全事件造成的损害。(六)对安全事件做好记录和存档工作,记录内容包括事件的原因、处理过程、处理结果、建议改进的安全对策。第二十一条 应急预案(一
17、)制定应急预案并文档化,确定应急预案的总体策略,确保重大故障时重要系统和业务的及时恢复。(二)应急预案应定期检查、及时更新维护,以确保其有效性。(三)应急预案内容至少应包括启动应急预案的条件、应急处理流程、系统恢复流程和事后教育和培训等内容。(四)应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障。(五)应根据不同的应急恢复内容,确定演练的周期并定期进行培训和演练。第二十二条 审核和检查(一)应从技术管理和业务保障等方面,进行全面的信息安全检查,检查依据为不同时期的信息安全要求。(二)信息安全检查工作应采取定期全面检查和不定期的专项检查相结合的方式。(三)对于安全检查的结果应予
18、以跟踪落实,应对整改后的结果进行复查并汇报。(四)对重要业务系统进行审计时,必须制定详细的计划,尽量减少对业务处理的影响。(五)对信息安全审计发现问题和隐患,责任部门应制定整改措施及时进行整改。整改过程中应防止引入新的风险。(六)对于安全审计的结果应予以跟踪落实,应对整改后的结果进行复查并根据需要向校领导汇报。审计结果未经批准,不得向外披露。第四章 附则第二十三条 学校各单位可根据本办法制定相应的实施细则。第二十四条 本办法经学校网络安全和信息化领导小组审议并报校长办公会审定通过,自公布之日起施行。附件1:某某大学网站和信息系统备案表申请单位网站、系统名称负责领导网站管理员联系电话电子邮箱域名
19、(选填)IP地址网站相关信息业务用途和使用范围单位意见:本单位同意此网站、信息系统备案,同时遵守相关管理规定,并承担相应责任。 领导签字(盖章):年 月 日以下由宣传部填写ICP备案号 领导签字:年 月 日受理日期年 月 日受理人备案有效日期年 月 日备 注注:1.填报单位报送时须经部门领导同意签字并加盖部门公章。2.本申请表纸质版请交到宣传部。附件2:某某大学网站/信息系统安全责任书 网站/信息系统,域名(IP地址,校内ICP备案号)为 是属于 部门的网站/信息系统。本网站/信息系统承载的业务类型是 ,负责人为 ,管理员为 。 为了保障本网站/信息系统的正常运行,依照国家“谁主管,谁负责”、“谁使用,谁负责”、“谁运维,谁负责”的信息安全责任落实原则,我们承诺积极承担和履行相应的信息安全责任和义务,每天多次监控网站的运行,配合学校的各项监督指导。 我们严格遵守国家各项法律法规,执行学校信息安全管理的各项规定,做好网站/信息系统信息安全等级防护工作,加强保密工作,确保信息发布内容合法合规。 如果网站发现问题,或接到学校网信办通知,我们将第一时间关闭网站,并积极妥善的进行技术处理,排查问题,将问题解决报告2小时内提交给学校网信办。部门负责人(签字) 部门盖章:签订时间:
