西华大学网络与信息安全管理办法

创建者:系统管理员发布时间:2022-11-30浏览次数:813

第一章 总则

第一条 为切实加强学校网络与信息安全管理工作,大力推进网络文明建设,进一步规范校园网信息服务行为,维护国家、学校及师生个人的安全和利益,根据《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》、《中华人民共和国数据安全法》以及国家其他法律、法规,特制定本办法。

第二条 西华大学校园网是为学校教学、科研和管理等教育提供资源共享、信息交流和协同工作的计算机网络。校园网范围包括校本部、彭州校区、人南校区和宜宾校区区域内接受西华大学IP地址统一管理的网络。校园网的服务对象是学校教学、科研和管理机构、全校教职工和学生,以及其他经学校授权的单位及个人。

第三条 任何单位及个人不得利用校园网危害国家安全、泄露国家秘密,不得侵犯国家、社会、集体利益和个人的合法权益,不得从事违法犯罪活动。

第四条 未经批准,任何单位或个人不得将校园网延伸至校外或将校外网络引入至校园内。未经批准,任何数据业务运营商或电信代理商不得进入西华大学校园内进行工程施工,开展网络业务。

第二章 管理机构与职责

第五条 西华大学网络安全与信息化工作委员会是学校网络与信息安全工作的领导机构,负责贯彻落实上级网络信息安全工作的部署和要求,加强网络与信息安全工作的领导,落实工作责任。

第六条 网络与信息安全实行工作责任制,明确和落实各级领导干部和各二级单位网络安全责任,具体内容参照《西华大学网络安全工作责任制实施细则》执行。

第七条 网络信息安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断,其技术要求分为五个层次:物理环境安全、通信网络安全、区域边界安全、计算环境安全、管理中心安全。

物理环境安全是保证整个计算机网络系统安全的前提,主要对象为物理环境、物理设备和物理设施等;涉及的安全控制点包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护。

网络通信安全是针对通信网络提出的安全控制要求,其主要对象为广域网、城域网和局域网等;涉及的安全控制点包括网络架构、通信传输和可信验证。由信息与网络管理中心进行校园网日常运行、管理和维护,同时为校园网的网络和信息安全提供技术支持和保障。

区域边界安全是针对网络边界提出的安全控制要求。主要对象为系统边界和区域边界等;涉及的安全控制点包括边界防护、访问控制、入侵防范、恶意代码防范、安全审计和可信验证。

计算环境安全针对边界内部提出的安全控制要求。主要对象为边界内部的所有对象,包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等;涉及的安全控制点包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份与恢复、剩余信息保护和个人信息保护。

安全管理中心针对所有系统提出的安全管理方面的技术控制要求,通过技术手段实现集中管理;涉及的安全控制点包括系统管理、审计管理、安全管理和集中管控。

第八条 学校按照相关文件对网络与信息安全保护工作进行专项经费支持。

第三章 信息系统及数据管理

第九条 各单位应按照国家信息系统等级保护制度的相关法律法规、标准规范以及《教育行业信息系统安全等级保护定级工作指南》(教技厅函〔201474 号)要求,落实信息系统安全等级保护制度。

第十条 各单位要规范信息系统维护、管理、运行维护等方面的工作流程和机制,指定专人负责系统运行的日常工作,做好用户授权等管理服务工作。及时补充和更新管理系统的业务数据,确保数据的完整性、时效性和准确性。

第十一条 信息系统的安全遵循“谁主管、谁负责”的原则,由信息系统所属的主管部门负责保障信息系统的计算环境安全,对其管理的服务器、应用系统、数据库等信息资产做好安全防护策略,控制访问权限,妥善管理并定期修改强口令,修复系统存在的漏洞,保障其系统及数据的安全。

信息与网络管理中心负责保障信息系统物理环境、网络通信、区域边界的安全。

宣传部统一协调各部门的信息安全工作,以及学校网络信息内容的监督和监控。

第十二条 宣传部、信息与网络管理中心负责对学校信息系统使用情况进行监督、检查。对于存在安全隐患的信息系统,经学校网络安全与信息化工作委员会研究同意后,可停止其对外服务或关停。

第十三条 西华大学的数据管理架构包括数据统筹管理部门、数据生产部门、数据使用部门三部分。

信息与网络管理中心是西华大学数据统筹管理的责任部门,负责学校统一数据平台建立及管理,根据全校应用系统的数据需求,规划数据库结构和内容,将各种异构数据源统一起来,对外提供统一的访问接口和数据服务。

各个信息系统主管部门为数据生产部门,负责单一来源权威数据的收集、维护、备份和归档,数据生产部门应遵循学校发布的《西华大学信息编码标准》进行数据编码,应提供数据字典、数据接口或数据库访问权限给信息与网络管理中心。

数据使用部门需根据自己的需求,向数据生产部门和信息与网络管理中心提出数据使用申请,获得数据生产部门批准后由信息与网络管理中心提供数据交换接口给数据使用部门,数据使用部门不得将获取数据传播给其他单位使用。

第十四条 数据安全管理遵循“谁产生、谁维护、谁负责”原则,由数据生产部门负责管理和维护。数据生产部门应对主管的信息系统数据定期做数据备份,信息与网络管理中心协助做数据的二次备份,防止数据丢失。

第十五条 学校数据信息主要用于教学、科研、管理、生活服务等,申请数据获取的单位必须保护数据的隐秘性,不得将数据信息用于申请用途外的活动。

第十六条 校内网络用户应妥善管理并定期修改其个人和所管理的校内各信息系统账号强口令,由于个人原因(弱口令、密码泄露等)导致个人信息被泄露、篡改、冒用而造成个人或学校损失,由用户个人负责。

第十七条 违反本管理规定的,视情节轻重采用以下其中一种或多种处理措施:

(一)限期整改;

(二)封停账号或端口至安全问题排除;

(三)如触犯法律法规的,将移交公安、司法部门处理;

(四)经西华大学网络安全与信息化工作委员会研究后的其他处理办法。

第四章 附则

第十八条 本规定由信息与网络管理中心负责解释。

第十九条 本规定自公布之日起生效,原《西华大学网络信息安全管理办法》(西华行字〔2017151 号)作废,凡过去文件规定与本规定不一致的,以本规定为准。


附件:关于印发《西华大学网络与信息安全管理办法》的通知.pdf