中共18新利体育 委员会
苏大委〔2018〕138号
的通知
《18新利体育 网络安全管理条例》业经校党委常委会审议通过,现印发给你们,请遵照执行。
特此通知。
中共苏州
大学委员会 苏州
大学
2018年11月15日
18新利体育 网络安全管理条例
第一章总则
第一条 为贯彻落实《中华人民共和国网络安全法》,建立健全学校网络安全管理体系,落实校园网络安全工作责任制,提升校园网络安全整体水平,进一步保障校园网络正常运行,制定本条例。
第二条 本条例所称网络安全是指18新利体育 校园网内的网络系统和信息系统的安全,包括设备设施安全、系统运行安全和内容数据安全等多个方面。
第三条 学校网络安全管理的目标是,完善网络安全技术体系和运行体系,不断提高网络安全保护能力,确保校园网络安全、稳定运行,保障学校信息化建设持续发展。
第四条 学校任何单位和个人都必须遵守《中华人民共和国网络安全法》。使用校园网络系统或信息系统的用户,应接受并配合上级主管部门、公安司法机关或学校的网络安全检查。
第五条 学校网络安全管理以“谁主管谁负责,谁运营谁负责,谁使用谁负责”为原则,落实网络安全分级责任制;以国家标准《信息系统安全等级保护基本要求》为指导,综合防范、突出重点,保障学校网络安全。
第二章管理机构与职责
第六条 学校网络安全与信息化工作领导小组负责学校网络安全工作,确定学校网络安全工作的政策方针,制定相关规章制度。提出学校网络安全工作的任务和要求,审定学校网络安全工作计划,组织查处学校网络安全事件。
第七条 学校网络安全与信息化工作领导小组办公室,贯彻执行上级网络安全部门的政策和要求,贯彻落实网络安全与信息化工作领导小组的任务要求,负责学校网络安全具体管理工作。主要职责如下:
1.根据网络安全实际情况,拟订学校网络安全工作计划;
2.统筹协调和监督管理各单位网络安全工作。审核各单位网络安全管理制度,并检查网络安全管理制度落实情况;
3.组织监测全校网络运行情况,评估网络安全现状,形成全校网络安全报告。负责委托网络安全服务机构对学校信息系统进行安全风险检测评估,并落实相关改进措施;
4.组织审核拟在校园网内实施的网络安全方案和方法,组织论证拟在校园网内部署的网络安全设备和系统;
5.核定校园网内信息系统安全等级及其安全管理制度;
6.发布涉及网络安全的通知、公告;
7.组织开展经常性的全校网络安全宣传教育。组织开展面向各单位网络安全管理人员的技术培训;
8.协助公安司法机关查处各种有关网络安全的违纪、违法行为。
第八条 信息化建设与管理中心(以下简称信息化中心),负责学校主干网络和关键信息系统的安全,同时负责所属各信息系统的安全。主要职责如下:
1.拟订学校主干网络和关键信息系统的安全管理制度。切实落实安全管理制度,保障学校主干网络和关键信息系统的安全;
2.建立健全所属各信息系统的安全管理制度,并切实加以落实;
3.加强技术人员队伍建设,不断提高防范、应对校园网络安全事件的能力;
4.为校内其他单位提供网络安全相关技术支持和协助。
第九条 各部门、直属单位、学院(部)和其他单位负责本单位的网络安全工作。主要职责如下:
1.负责本单位所属信息系统和自建网络系统的安全,包括设备设施安全、系统运行安全和内容数据安全;
2.建立健全本单位网络安全管理制度,并切实加以落实;
3.监控本单位所属信息系统和自建网络系统的运行状态,及时发现和消除安全隐患。如果发现危及全校网络安全的情形或者有害信息后,必须及时向网络安全与信息化工作领导小组办公室报告;
4.组织开展对本单位师生员工的网络安全教育。
第十条 各单位党政主要负责人是本单位的网络安全第一责任人,对本单位的网络安全负领导责任。
第十一条 各单位必须指定网络安全管理员,承担本单位网络安全的具体工作。各单位应当及时向网络安全与信息化工作领导小组办公室报备网络安全管理员相关信息。
第十二条 各单位网络安全管理员一般应具有相关专业知识背景,在正式上岗前,应当参加网络安全培训,掌握网络安全相关技术,了解学校网络安全体系,理解网络安全制度,熟悉本单位网络安全措施。
第三章网络系统安全
第十三条 学校网络系统分为学校主干网络和单位自建网络两级。
第十四条 学校主干网络由学校统筹建设和管理。信息化中心负责学校主干网络的线路铺设与维护、设备部署与运维、流量监测与管控,保障学校主干网络的安全畅通。各校区间网络链路应当实现冗余互联,做到核心设备冗余热备。校园网络应当部署相关网络安全设备,实现对网络攻击行为的实时监测和告警,实现对恶意代码的实时检测和防护。
第十五条 校园网络系统对外采用统一出口,实现一体化管理。信息化中心负责管控校园网络对外的统一出口,负责统一管理所有出口链路的公网IP地址。校园网络应该实现多出口链路,所有出口链路需接入防火墙、入侵防御系统等安全设备防护。
第十六条 校园网络系统对内实行按需接入,采取实名管理。信息化中心负责校园网络的接入管理,接入校园网络的每一个系统和每一件设备都应具有明确的属主。根据工作需要,各单位自建网络可以申请接入学校主干网络。
第十七条 各单位根据工作需要建设内部网络系统。各单位内部网络系统如果需要接入学校主干网络,应向信息化中心提供内部网络系统的拓扑结构、系统组成和功能应用等要素,并通过信息化中心的综合评估。
第十八条 在建筑物设计与施工过程中,建设单位就弱电工程部分应征求信息化中心意见,相关设计方案须经过信息化中心审核。在建筑物施工完成后,弱电工程部分须由信息化中心参与工程验收。
第十九条 在维修或拆除涉及校园网络的建筑物时,在维护或开挖涉及校园网络的道路时,须事先通知信息化中心,以保护校园网络设备设施的安全。
第二十条 加强各楼宇内弱电间的管理,涉及校园网络的弱电间原则上由信息化中心单独使用。学校自建或与校外合作单位建设的弱电管网由信息化中心统一管理,任何单位使用弱电管网需提供设计和施工方案,并经信息化中心审核通过后,方可施工。
第二十一条 除信息化中心外,严禁其他单位或个人以任何方式登录校园网络主干的各类设备,实施修改、设置、删除等操作。严禁任何施工单位或个人以任何理由损毁校园网络设备设施。
第二十二条 师生员工使用校园网络,采取“实名注册、认证上网”制度。实名上网认证制度由信息化中心负责实施。
第四章信息系统安全
第二十三条 学校各信息系统实行安全等级保护。由网络安全与信息化工作领导小组办公室参照国家标准《信息系统安全等级保护基本要求》,审核确定校园网内各信息系统的安全等级。信息系统不仅包括关键信息系统和各个面向全校的重要业务系统,也包括各级各类应用业务系统,还包括各级各类网站系统。
第二十四条 关键信息系统由学校统筹建设和管理。信息化中心负责由统一身份认证平台、云计算平台、共享数据中心等构成的关键信息系统的具体建设和运营工作。
第二十五条 各单位负责所属信息系统的运营,应当按信息系统安全等级保护的要求,制定安全管理制度和操作规程,采取相应的安全保护技术措施,保障信息系统免受干扰、破坏或者未经授权的访问,防止信息系统数据泄露或者被窃取、篡改。相关安全管理制度等须经过网络安全与信息化工作领导小组办公室审核。
第二十六条 信息系统安全管理制度应当明确安全负责人和各项安全保护责任,应当明确各项安全保护技术措施。
第二十七条 信息系统安全保护技术措施至少包括下列项:
1.完善系统安全配置,定期进行漏洞扫描、系统加固或升级;
2.开启日志审计服务,有效检测、记录系统运行状态;
3.分类管理数据,对重要数据进行备份、加密处理;
4.实施用户分类管理,用户账号应能标识系统访问的不同角色,应尽量避免使用系统默认账号,账号只能具有符合用户角色的最小权限;
5.系统管理员密码应满足强度要求。
第二十八条 信息系统的注册用户应该实名认证,由信息系统的运营者负责实名认证的实施。
第二十九条 在建设阶段须充分考虑信息系统的安全防护。关键信息系统和各单位所属重要信息系统,应当具有支持业务稳定、持续运行的性能,并且安全技术措施必须同步规划、同步建设、同步使用。
第三十条 根据工作需要新建或升级在校园网内运行的信息系统,各单位应事先向网络安全与信息化工作领导小组办公室提出申请;同时应就信息系统设计方案向信息化中心征求意见。在上线运行前,信息系统须通过由信息化中心组织的安全检测。
第五章应急处置
第三十一条 网络安全与信息化工作领导小组办公室按照规定通报网络安全监测预警信息。各单位应当根据国家、地方网络安全部门发布的预警信息及时做好相应防范工作,必须按照网络安全与信息化工作领导小组办公室通报的预警信息,做好相应处置工作。
第三十二条 网络安全与信息化工作领导小组办公室协调信息化中心和各单位,制定网络安全事件应急预案。网络安全事件应急预案应当按照事件发生后的危害程度、影响范围等因素对网络安全事件进行分级,并规定相应的应急处置措施。
第三十三条 各单位网络安全管理人员必须熟悉本单位网络安全事件应急处置措施。各单位应当定期开展网络安全事件应急预案演练。
第三十四条 校园网内发生网络安全事件,应当立即启动网络安全事件应急预案,各单位和相关人员须按照应急预案规定进行处置。
第六章奖惩
第三十五条 网络安全与信息化工作领导小组办公室定期开展全校网络安全工作的检查,每年向学校网络安全与信息化工作领导小组汇报各单位网络安全工作汇总信息。对网络安全工作成绩显著的单位和个人,学校给予表彰和奖励;对违反网络安全管理制度、网络安全工作存在不足和隐患且逾期不改的单位,学校给予通报批评。
第三十六条 对拒不执行网络安全管理相关制度、漠视网络安全工作以至造成重大事故和案件的单位,学校将追究该单位主要负责人和直接责任者的责任。对触犯法律的,将移送公安司法机关处理。
第三十七条 对损坏校园网络系统或信息系统设备设施的个人,学校将视其情节轻重追究责任,如触犯法律应移交公安司法机关处理。
第七章附则
第三十八条 对于涉及国家秘密的网络系统或信息系统,按照国家保密工作部门的相关规定和标准进行保护,接受学校保密委员会办公室监督指导。
第三十九条 本条例自发布之日起施行,由网络安全与信息化工作领导小组办公室负责解释。
