安徽新闻出版职业技术学院校园网络安全管理办法

第一章总则

　　第一条为了保障校园网络及信息系统的安全稳定、促进学院信息化健康发展，根据国家相关法律法规并结合我院实际情况，制定本办法。

　　第二条网络信息安全是指网络基础设施、网站、信息系统及数据内容等受到保护，保证网络、信息及内容的安全性、完整性、可用性、可控性。

　　第三条网络信息安全管理的基本原则是“谁主管、谁负责，谁运营、谁负责”，明确责任、突出重点、保障安全。

　　第四条网络信息安全管理的总体方针是以国家标准《信息系统安全等级保护基本要求》（GB/T 22239-2008）为指导，预防为主、综合防范。

　　第五条网络信息安全管理的目标是建立健全网络信息安全保障体系，提高安全防护能力，确保学院网络信息安全工作规范、有序开展，保障学院信息化可持续发展。

第二章 组织架构

　　第六条网络安全与信息化工作领导小组负责制定学院网络信息安全相关政策，研究处理重大网络信息安全事件，组织召开网络信息安全工作会议，统筹指导学院网络信息安全建设，办公室设在学院办公室，负责具体工作的组织落实与统筹协调。

　　第七条图书馆（计算机）信息中心（以下简称：信息中心）为学院网络安全与信息化工作领导小组的实施单位，负责学院网络信息安全的建设和技术保障，主要进行网站及应用系统的建设、网络管理、安全评估、运行维护、技术保障与培训等工作。

　　第八条学院各部门负责本部门网站的信息采集、审核与发布。各部门主要负责人是本部门网络信息安全工作的第一责任人，同时，各部门须设置网络信息管理员，负责本部门网络信息安全具体工作。

第三章 网络信息安全建设

　　第九条各部门在开展信息系统建设时，必须首先确保信息系统的安全性，须与供货商签订网络安全协议，并在采购文件或合同中明确网络安全的责任与义务，必要时可通过信息中心委托专业技术机构进行安全检测。

　　第十条各部门须明确网站或信息系统是否需要对校外开放，对校外开放的网站或信息系统，须满足国家标准《信息系统安全等级保护基本要求》规定的二级（或以上）安全等级要求，各单位明确其网络及信息安全需求，提供安全策略，由图书信息中心进行防火墙设置。

　　第十一条各部门采购的信息系统在投入使用前，必须经信息中心进行网络安全检测，对不符合安全等级要求的，必须在规定期限内责令中标单位进行整改，达到安全标准后方可通过验收。

　　第十二条信息中心采用专业技术手段对网站或信息系统进行安全检测。检测未通过的须进行安全整改，直至通过检测，网站或信息系统方可上线运行。

　　第十三条校园网的系统软件、应用软件及信息数据要实施保护措施。未经信息中心同意，不得将有关服务器、工作站上的系统软件、应用软件转录、传递到校外。

　　第十四条在学院网站中发布信息必须按照学院网站信息发布制度的规定，经审核程序，由相关负责人签署意见后再由信息员发布。

　　第十五条校园网用户不得利用网络从事危害国家安全、泄露秘密等犯罪活动，不得制作、查阅、复制和传播有敏感信息、政治问题和淫秽色情内容的信息。严禁制造和输入计算机病毒。对利用网络从事违法行为者，将送交公安机关处理。

第四章 联网办公设备网络安全管理

　　第十六条本办法所称联网办公设备主要指具有联网功能的投影仪、视频会议设备、智能终端、计算机、复印件、打印机、传真机、扫描仪等信息技术产品。

　　第十七条联网办公设备接入互联网要设置由学院网络安全与信息化工作领导小组统一制作的“已联网”标志。

　　第十八条校园网各类服务器中开设的帐户和口令为个人用户所拥有的，信息中心必须对用户口令保密，不得向任何单位和个人提供这些信息。

　　第十九条非技术人员不准擅自打开计算机主机的机箱，不准擅自移动计算机、线路及附属设备，不准擅自把计算机设备外借。任何人不得更改IP及网络设置。禁止任意修改和删除服务器、计算机的系统文件和系统设置。

　　第二十条节假日、休息日等长时间无人看管、使用时，要断开联网办公设备电源连接。

　　第二十一条联网办公设备采购要与联网办公设备提供者签订网络安全协议，并在采购文件或合同中明确网络安全的责任与义务，必要时委托专业技术机构进行安全检测。

　　第二十二条具备存储功能的联网办公设备在报废时要进行安全检查、删除、物理销毁等工作。报废设备由学院国有资产管理办公室监管。

第五章 运行管理

　　第二十三条各部门要配合信息中心定期对部门网站、信息系统及网络硬件设备开展安全巡检，并做好巡检记录，填写《网站及信息系统巡检记录表》。对校外开放的网站或信息系统，要求每周巡检一次，对校内开放的网站或信息系统，要求每月巡检一次，对网络硬件设备，要求每天巡检一次。

　　第二十四条信息中心须定期对网站及信息系统进行漏洞修补，包括主机系统漏洞、WEB应用漏洞等。

　　第二十五条信息中心要定期对全院的网站及信息系统开展安全巡检，检查不合格的网站或信息系统，视其漏洞级别暂停其使用，同时联合责任单位进行整改。经整改合格后，方可恢复该网站或信息系统的正常访问。

　　第二十六条特殊时期，各部门须加强网站及信息系统的安全监管工作，信息中心要安排专人值守，并上报给学院网络安全与信息化工作领导小组，加强安全巡检，做好安全值守。

第六章 安全事件应急响应

　　第二十七条安全事件分为紧急事件和普通事件。

　　第二十八条紧急事件是指：

　　1. 可由校外访问的页面发生篡改或被替换成非法信息的事件，尤其是发生在学院主网站及招生信息网等访问量高的子站点的事件。

　　2. 影响学院各信息（应用）系统正常运转的攻击事件，如教务系统、财务系统、办公自动化系统等受到攻击的事件。

　　3. 可能造成师生隐私信息被窃取、丢失、损坏的漏洞。

　　4. 其他可能对社会公共安全或学校造成危害或不良影响的事件或漏洞。

　　第二十九条普通事件是指：

　　1. 对校内开放系统或网站的页面发生无害篡改或有隐藏漏洞。

　　2. 影响不大的攻击事件或可能造成中低隐患的漏洞。

　　3. 其他不构成公共危害或社会不良影响的安全事件或漏洞。

　　第三十条网络信息安全事件应急响应流程如下：

　　1．信息中心接到安全事件通报，通过沟通协调，结合技术手段，获取事件截图等相关证据。

　　2．信息中心核实事件类别，发起处理流程。

　　3．若事件为紧急事件，信息中心应第一时间向主管领导汇报，同时通报责任单位相关情况及事件证据，并关闭相关网站或信息系统，以降低不良影响。若事件为普通事件，则此环节略过。

　　4．信息中心分析事件原因，并提出整改建议。

　　5．信息中心联合责任单位对网站或信息系统进行安全整改。

　　6．信息中心对整改后的网站或信息系统进行安全检查，复查通过后恢复正常使用。

第七章 附则

　　第三十一条涉密联网办公设备和网络信息系统网络安全管理依据国家保密规定和标准执行，涉密网络信息系统的运行安全保护工作不适用本管理办法。

　　第三十二条未尽事宜由学院网络安全与信息化工作领导小组办公室解释。

　　第三十三条本管理办法自颁布之日起施行。