第一章 总则
第一条 为加强我院网络与信息安全监督管理,规范网络与信息安全工作,根据《全国人大常委会关于维护互联网安全的决定》《中华人民共和国保守国家秘密法》《中华人民共和国计算机信息系统安全保护条例》《计算机信息网络国际联网安全保护管理办法》《中国教育和科研计算机网暂行管理办法》及其他有关法律、行政法规的规定,结合我院实际,制定本办法。
第二条 网络与信息安全工作的目标是为了提高我院师生网络与信息安全意识,建立健全网络与信息安全工作的组织体系、管理规章和责任制度;有效防范、控制和抵御安全风险,确保校园网络、网站及信息系统正常、安全运行;提高学院和各单位网络与信息安全防护水平,增强安全预警、应急处置和灾难恢复能力;形成与我院信息化发展相适应的、完备的网络与信息安全保障体系,促进信息化建设的健康发展。
第三条 本管理办法所称的校园网络及信息系统,是指由学院投资建设的、提供校园网络应用与服务的软、硬件集成系统,包括由学院统一建设和各单位自行建设、维护和管理的校园网络设备、网络线缆设施、服务器、网站、各管理信息系统等。
第四条 本办法适用于接入河北对外经贸职业学院校园网络的所有计算机信息系统以及使用校园网络的机构、团体和个人的安全管理。
第五条 学院将根据国家有关计算机网络与信息安全的法律与法规的变动情况,适时修改本办法。
第二章 管理架构
第六条 校园网络与信息安全工作实行学院、各中层部门两级管理。
(1)由学院“网络安全与信息化建设领导小组”(以下简称领导小组)统一领导全院的校园网络与信息安全工作。领导小组下设办公室,办公室设在现代教育技术中心,负责网络与信息安全的日常工作。
(2)各中层部门是本单位网络与信息安全的责任主体,各单位应成立网络安全与信息化工作组(以下简称工作组),负责本单位及挂靠、归口管理部门的网络与信息安全工作。组长由各部门主要负责人兼任,并设网络信息安全员。
(3)学院各中层部门主要负责人、分党委(党总支)书记为网络与信息安全工作的第一责任人,与学院签订《网络与信息安全责任书》。
(4)成立网络与信息安全专家组及技术保障组,为领导小组提供技术咨询和支撑。形成以现代教育技术中心为核心,重点部门为骨干的全院性网络与信息安全专业队伍,并加大专业学习和培训力度。
第三章 管理职责
第七条 网络与信息安全工作总体原则是统一领导、分级管理、主办(主管)负责、责任追究。按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,各单位要切实落实网络与信息安全主体责任。
第八条 领导小组主管学院信息与网络安全工作。领导小组办公室负责学院网络与信息安全管理、监督和协调的具体工作。
第九条 组织宣传统战部作为学院信息的发布、管理部门,负责审核、监督和监控学院校园网首页的信息内容,监控检查各二级网站以及个人网站的信息内容,全面保障学院网站的信息安全。
第十条 校园管理中心负责处置校园内发生的网络与信息违法行为和犯罪案件,并负责向公安机关报案。
第十一条 现代教育技术中心作为校园网络及信息安全管理的技术部门,负责网络与信息安全软硬件设备的部署与安全策略实施、网络与信息安全事件监控及协助处理,为网络及信息安全提供技术保障。并负责校园网出入口信道的安全保护、管理等工作。
第十二条 组织宣传统战部、学生工作部、教务处负责网络舆情引导、宣传教育工作。
第十三条 校园管理中心会同现代教育技术中心,负责网络与信息安全监查工作,使用校园网的各用户、部门必须接受依本条例进行的监督检查,并对所采取的必要措施给予配合。
第十四条 网络与信息系统的使用单位和个人承担系统操作与信息内容的直接安全责任。
第十五条 领导小组及其办公室对网络与信息安全工作履行下列职责:
(1)统筹协调全院、各部门和用户的网络与信息安全。提出网络与信息安全工作的原则、任务和要求,制定工作计划,指导宣传教育。
(2)督促各单位建立网络与信息安全管理组织、明确第一责任人和网络信息安全员。
(3)研究制定网络与信息安全政策和规划,研究解决安全管理中的重大问题;拟定网络与信息安全规章制度,组织审核校内各单位所制定的网络安全管理措施。
(4)落实安全检查工作,监督、检查各单位网络与信息安全管理责任的落实情况,督促整改安全隐患。
(5)组织有关部门实施网络与信息安全的风险评估,审定安全保护等级,确定要害计算机信息系统。
(6)制定网络与信息安全的应急处置预案;处理违反网络与信息安全管理的事件,配合公安机关查处危害信息系统安全的违法犯罪案件;通报网络与信息安全的信息;协调安全管理工作中的有关问题。
(7)履行法律、法规、规章制度规定的其他职责。
第十六条 各单位工作组对网络与信息安全工作履行下列职责:
(1)负责本单位的网络与信息安全管理工作,制定实施细则,建立健全网络与信息安全的各项措施,并检查各项措施的落实情况。
(2)对本单位的校园网用户进行安全和保密教育。
(3)负责本单位信息设备的物理、系统及数据安全,做好安全管理工作,防止信息泄露和非法攻击,及时报告安全隐患和有害信息。
(4)制定或修订本单位的网络与信息安全应急预案。
(5)协助查处利用校园网进行各种违法犯罪活动的案件。
(6)负责审核、监督和监控单位网站以及个人网站的信息内容。建立电子公告系统用户登记和信息管理制度;对委托发布信息的部门和个人进行登记,对提供的信息内容进行审核。
(7)发现危害网络与信息安全的有害信息,应当保留有关原始记录,并向现代教育技术中心报告;按照国家有关规定,及时删除含有上述内容的地址、目录或者关闭服务器。
第十七条 专家组及技术保障组履行下列职责:
(1)为领导小组提供技术、软硬件设备咨询,提供有关网络与信息安全的技术方案、可行性论证、事故分析等技术支持。
(2)研究分析网络与信息安全事件。
(3)负责实施校园网用户、部门的网络与信息安全培训工作。
第十八条 现代教育技术中心人员,在调任其他岗位时,应移交有关网络与信息安全的管理材料,并对材料内容负有保密责任。
第四章 安全保护
第十九条 任何单位或个人不得利用校园网危害国家安全、泄露国家秘密,不得侵犯国家的、社会的、集体的利益和公民的合法权益,不得从事违法犯罪活动。
第二十条 校园网用户的通信自由和通信秘密受法律保护。任何部门或个人不得违反法律规定,不得利用校园网侵犯其他网络用户的通信自由和通信秘密。
第二十一条 未经领导小组批准,任何单位或个人不得将校园网延伸至校外或将本单位的计算机、局域网连接其它网络。
第二十二条 各单位、校园网用户应当接受领导小组办公室和本单位工作组的监督、检查和指导,如实提供有关的信息、资料及数据文件,协助查处危害网络与信息安全的行为。
第二十三条 用户办理入网手续时,应当填写用户备案表和签署网络安全责任书。现代教育技术中心应建立备案档案,进行备案统计。备案档案上报当地公安机关,及时报告用户变更情况。
第二十四条 现代教育技术中心要加强校园网用户帐号的管理,建立帐号使用登记制度,校园网用户帐号不得转借、转让。
第二十五条 涉及国家事务、经济建设、国防建设、尖端科学技术等重要领域的单位和个人办理备案手续时,应当出具其行政主管部门的审批证明。本条所涉单位和个人接入校园网时,应当采取相应的安全保护措施。
第二十六条 在特定紧急情况下,领导小组可以采取特别措施以维护校园网络与信息安全。
第五章 应急管理
第二十七条 制订并落实重大、突发网络与信息安全事件应急处置预案;明确定义重大、突发事件及其发生后的处置流程、处置机构人员、处置目的等关键性内容。
第二十八条 要健全预警预防与快速反应机制。根据网络与信息安全事件应急处置预案,成立相应的预案处置小组,配备相应的技术及操作人员。处置小组参照应急处置预案,负责处置重大、突发网络与信息安全事件。
第二十九条 明确各部门的责任和任务,做好预案的实战演练,切实提高校园网突发事件的预防、反应和处理能力。
第六章 安全监督与处罚
第三十条 领导小组办公室负责监督校园网络与信息安全保护、管理工作。
第三十一条 领导小组督促建立健全安全保护管理制度,监督、检查网络与信息安全的防护管理及其技术措施的落实情况。
第三十二条 组织宣传统战部、校园管理中心和现代教育技术中心定期组织安全检查,对发现的问题,应提出改进意见,详细记录并存档备查。
第三十三条 各单位工作组要经常检查本单位网络与信息安全的防护管理及其技术措施的落实情况。在领导小组办公室组织实施安全检查时,各单位工作组应当参加。
第三十四条 网络安全与信息化建设领导小组办公室会同校保密委员会、组织宣传统战部、校园管理中心和现代教育技术中心等相关机构和部门做好网上信息的保密检查工作。
第三十五条 本办法所涉及部门和个人,应严格履行职责。因工作疏忽、管理不善、落实不到位引发严重事件的,学院将追究相关领导及工作人员的责任。
第三十六条 对违反本规定的,由领导小组办公室视情节轻重给予处分,责成相关单位负责人、网络信息安全员和当事人写出书面检查,切断校园网的连接,没收相关设备,关停整顿,造成经济损失的处以经济赔偿等处理;对造成严重影响的事件,根据学院有关规定处理,直至开除公职或学籍等处分;情节特别严重,构成违法犯罪的移交司法机关处理。
第三十七条 领导小组的各执行机构及其工作人员应严格依法办事,对违法、失职者给予行政处分,构成犯罪的依法追究刑事责任。
第七章 附则
第三十八条 本办法的附件及后续发布的若干具体管理制度,是本管理办法的重要组成部分。
第三十九条 本办法没有涉及到的有关内容,或在执行过程中,与国家的法律、法规发生冲突的,以国家的法律、法规为准。