各系、各部门:
为进一步加强学院网络和信息安全管理,提升信息化服务水平,推进教育教学与信息技术的深度融合,根据相关法律法规和上级文件要求,制定网络与信息安全相关制度,现予印发,请认真贯彻执行。
附件:1.山东服装职业学院网络与信息安全管理办法
2.山东服装职业学院校园网运营归口管理办法
3.山东服装职业学院信息系统隐患整改管理办法
4.山东服装职业学院数据安全管理办法
山东服装职业学院
2024年9月6日
山东服装职业学院
网络与信息安全管理办法
第一章 总则
第一条 为进一步规范学院信息化建设工作,确保校园网络环境安全稳定,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国密码法》《信息安全技术个人信息安全规范》(GB/T35273-2017)、教育部《高等学校数字校园建设规范(试行)》(教科信函〔2021〕14号)、中共中央办公厅和山东省教育系统《党委(党组)网络安全工作责任制实施办法》等相关法律法规要求和文件精神,结合学院实际,制定本办法。
第二条 本办法所称的网络与信息安全管理是指学院采取技术、管理等措施,保护学院网络与信息化建设基础设施、信息系统及信息数据的安全,使其不受到破坏、篡改、泄露等。
第三条 网络与信息安全工作是学院信息化建设的重要工作,各单位应通力合作,在人员、资金、技术、设备等方面提供充足的支持与保障。
第二章 组织机构及职责分工
第四条 网络安全和信息化领导小组是学院网络与信息安全工作的领导机构,负责学院网络安全工作的战略决策,统筹指导学院网络信息安全建设,研究处理重大网络信息安全事件。领导小组下设办公室,办公室设在图书馆(信息中心),负责学院网络和信息安全的管理和协调工作。
第五条 图书馆(信息中心)负责学院网络与信息系统运行的日常监管,保障学院网络和相关信息系统的正常运行;负责为入网单位和个人办理入网登记手续,签署相应的安全责任书;保存网络运行日志,配合调查取证。
第六条 党委、院长办公室负责各部门工作信息沟通,统筹管理保密相关工作。
第七条 党委宣传处负责网络信息内容的安全监管,负责校园网站准入审核,网络舆情信息的监控和管理,开展网上疏导和正面宣传,做好对外宣传工作。负责校园网络文化机制建设、阵地建设、内容建设、队伍建设,网络宣传和舆论引导,网络信息安全管理和网络舆情管控。
第八条 教务处负责教学管理中的网络安全与信息化发展相关工作。
第九条 学生工作处负责学生网络文明和网络安全的宣传与教育,以及学生事务管理中的信息化发展相关教育工作。
第十条 保卫处负责网络与信息安全相关的保卫与消防工作,对网络违规行为进行调查、取证、处理,根据相关证据及事态影响或破坏程度,对违规者按照有关规定进行处理,做好与公安机关的沟通、联络工作。
第十一条 各单位应按照“谁主管谁负责、谁主办谁负责、谁运行谁负责、谁使用谁负责”的原则,建立本单位网络安全管理制度和应急处置预案,逐级落实网络与信息安全责任,形成统筹协调、分工协作、齐抓共管的工作机制,实现责任明确、重点突出、自主防护、保障安全的目标。
第十二条 师生应主动学习网络安全相关知识,培养科学健康用网习惯,配合做好宣传工作,积极参与网络安全的建设和管理,遵守学院网络安全管理的相关规定,不得从事危害国家安全、泄露国家秘密、侵犯知识产权、传播不良信息、破坏计算机信息系统等违法犯罪活动。
第三章 校园网络及基础设施安全管理
第十三条 山东服装职业学院校园网络(以下简称“校园网”)基础设施是指承载校园网正常运行的通信线路、无线信道、弱电设施设备、网络设备等基础设施设备。
第十四条 校园网络接入互联网遵循“统一出口、统一管理”的规定,由图书馆(信息中心)负责实施。严禁任何单位及个人擅自建设、拆卸、更改、损毁、挪用校园网及相关基础设施、改变网络结构、私接外网出口,或以任何方式对校园网进行扩展。
第十五条 图书馆(信息中心)对内网IP、公网IP和域名的使用进行统一规划、分配和管理,并定期审查其使用情况,有权禁用涉嫌违法违规及存在安全隐患的IP和域名。
第十六条 图书馆(信息中心)以保障学院教学与科研的稳定顺畅为首要目标,有权根据运行情况对校园网进行适时调整与优化,对流量过高、挤占带宽资源严重的流量及应用进行限时、限速或封停操作。
第十七条 校园网入网实行实名认证,根据《中华人民共和国网络安全法》第二十一条(三)项:“采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月”之规定,上网行为管理设备会自动记录各种上网行为,留存六个月的详细上网日志。除专用机房、实验室等特殊场所经向图书馆(信息中心)备案免于认证外,校园网用户必须通过学院统一身份认证接入校园网,未经登记不得以任何方式私接校园网,严禁盗用其他用户上网账号使用校园网。
第十八条 图书馆(信息中心)负责对校园网的安全进行监测管理,依法利用上网行为审计系统,对网站、软件、邮件等应用的违规上网行为进行审计,及时发现并追溯违法违规行为;对办公协同应用进行敏感信息审计,追溯泄密源头。对散布病毒、木马、违规使用校园网等危害校园网安全行为的,有权封停计算机或其使用人账号。
第十九条 校园网用户应文明上网,规范网络行为,并做好个人信息安全防范。严禁利用校园网开展商业宣传等未经许可的其它活动,严禁利用校园网从事入侵、破坏、窃取、修改存储设备和计算机信息系统中的数据资源、配置参数等,不得利用校园网以任何形式攻击校内外网络。
第二十条 对于新建楼宇或旧楼改造等工程,凡涉及到网络基础设施,主管单位应事先书面告知图书馆(信息中心),技术方案应有图书馆(信息中心)参与、审核。项目建设完成,相关竣工图纸、节点测试报告等文档资料须交至图书馆(信息中心)留查,由主管部门会同图书馆(信息中心)组织验收,未经图书馆(信息中心)审核或验收不合格的不予接入校园网。
第二十一条 校园无线网由图书馆(信息中心)统一规划、建设和实施。在校园范围内,任何单位未经图书馆(信息中心)批准不得私自架设无线网络设备,未经图书馆(信息中心)审核备案投入使用的,主管单位承担主要责任,并负责拆除违规设备。
第二十二条 各运营商线缆及相关运营业务进驻校园,需提交详细的施工、环境测评和运营方案(合同),经图书馆(信息中心)审核后备案。未经审核进驻校园的,合同视为无效并按照要求限期停网整顿。
第四章 物理安全管理
第二十三条 物理安全管理是指通过技术和管理手段,保护校园服务器机房网络设备、服务器存储设备、动力环境设备等硬件设施免遭自然灾害(地震、水灾、火灾、爆炸等环境事故)和人为操作错误或失误而造成的破坏。
第二十四条 单独设立服务器机房的单位应建立机房安全管理制度,严控机房进出人员,规范机房各项管理操作。做好机房动力环境工作,要有防火、防盗、防雷、防电磁防护、恒温、恒湿等安全措施,定期巡检,做好记录,发现异常及时处理,避免安全事故发生。
第二十五条 总务处应确保机房用电不间断,若确实须停电维护的,须提前通知后方可实施。
第二十六条 未经允许,任何单位或个人不得擅自对弱电间设备设施和校园通信线路进行操作。增加、安装、调试、更换、拆除弱电间的设备设施或通信线路时,必须做好相关操作记录,并提前向图书馆(信息中心)报备。
第五章 主机安全管理
第二十七条 主机安全管理是指通过一系列安全技术和安全管理措施,保证服务器、存储等主机设备(包括虚拟主机)数据存储和处理的保密性、完整性、可用性,以及主机硬件、固件和系统软件的自身安全。
第二十八条 各单位应指派专人负责本单位各类主机的安全维护和管理,定期对各类主机进行安全检查、漏洞修复和病毒扫描,及时发现、解决软硬件系统故障。
第二十九条 各单位可向图书馆(信息中心)申请主机托管服务。托管的主机原则上只允许对外开放以web服务为主的用于教学、科研和管理的互联网基本信息服务,以及校园内部使用的业务系统等。托管主机达到报废年限且不再使用的,应及时关停并移出校园网主机房。
第三十条 托管主机的软硬件维护以及内部系统、软件的安装及安全管理由托管单位自行负责。
第三十一条 图书馆(信息中心)有权对托管主机进行必要的监控,以保证学院网络线路的正常运行。若托管单位违反学院网络安全相关制度,或托管服务器出现中毒、被黑客侵入等异常情况时,有权终止服务器运行。
第六章 信息系统安全管理
第三十二条 信息系统安全管理是指为保护信息系统免受未经授权的访问、使用、披露、破坏、干扰或泄露而采取的一系列技术手段和管理措施。信息系统在立项、建设、上线、使用等阶段应遵循学院网络安全相关制度、技术、规范和流程开展,同步落实网络安全要求,确保信息系统及其相关应用在日常运行中不受到外界攻击和破坏,保障系统内部数据的机密性、完整性和可用性。
第三十三条 各单位应定期对本单位使用的信息系统和网站的安全状况、安全保护制度及措施的落实情况进行自查、修复等,并配合上级有关部门的信息安全检查、信息内容检查、保密检查与审批等工作。
第三十四条 各单位建设的面向在校师生开放的各类信息系统应使用学院统一身份认证。要保留不少于6个月的系统维护日志。要妥善保管好账号和密码,定期更新密码,防止密码外泄。
第三十五条 新建、改建、扩建信息系统应在设计阶段确定安全保护等级并同步建设安全防护措施。对于信息系统安全状况未达到安全等级保护2.0以上标准要求的,应及时整改。要按照国家信息系统等级保护制度的相关法律法规、标准规范和要求落实信息系统安全等级保护制度,开展信息系统定级和备案工作,未进行信息安全保护等级测评或测评不合格的业务信息系统不得进行竣工验收。
第三十六条 图书馆(信息中心)定期对院内的信息系统进行安全监测,对长期无人管理、内容不做更新、存在安全隐患、管理制度缺失或无固定的管理和维护人员的信息系统,有权予以清理和关闭。
第三十七条 保密委员会负责指导学校涉密网络的规划、设计、建设和运行维护,审查和批准学校涉密网络各类规章制度、安全保密策略、工作规程,组织开展网络保密检查、教育、培训等工作。涉密信息系统不得直接或者间接地与国际互联网或其它公共信息网络相联接,应当根据国家涉密信息分级保护管理规定和技术标准进行保护。
第三十八条 涉密人员的非密计算机如需联接外网,须申请审批,坚持“谁上网谁负责”的原则,做到涉密的信息不上网,上网的信息不涉密。
第七章 数据安全管理
第三十九条 本办法所涉及的数据是指各类信息系统所覆盖的相关业务数据,包括但不限于:网站门户、人事系统、学生管理系统、教务管理系统、办公OA系统、科研系统以及其他各类信息系统产生的数据。
第四十条 图书馆(信息中心)是学院数据资产的统筹管理部门,负责主数据中心、数据平台、数据共享平台的安全管理,并规范数据服务流程,确保数据流向清晰,实现数据可控、可管、可查。
第四十一条 数据生产部门是权威数据的单一来源部门,负责数据收集、维护、使用、备份、归档等全程安全,需遵循学院信息标准规范及数据服务规范。
第四十二条 数据使用部门根据实际需求向数据生产部门提出申请,获得批准后,图书馆(信息中心)向数据使用部门开放数据接口。数据使用部门有义务和责任保护所获得数据的安全,未经允许,不得将数据用于申请使用外的其他用途。
第四十三条 各单位须遵守相关管理规定,执行相关技术标准,未经批准,不得擅自提供信息系统产生的内部数据,不得利用数据中心资源从事任何危害数据安全的活动。对于非法泄露或擅自提供数据的单位或个人,依照相关法律法规予以处理。
第八章 内容安全管理
第四十四条 任何单位和个人必须遵守《中华人民共和国计算机信息网络国际互联网络管理暂行规定》、国家有关法律法规和学院的有关管理规定,严格执行信息安全保密制度,并对所提供和发布的信息负责。
第四十五条 各单位须严格遵循内容审核机制,规范信息发布审批流程,加强信息安全监控,防止出现内容篡改等安全事故。
第九章 检测预警与网络安全事件的处置
第四十六条 图书馆(信息中心)负责组织对各单位的信息系统安全状况、安全保护制度及措施的落实情况进行检查,对安全隐患做出预警,对发现的问题下达限期整改通知书,对网络与信息安全事件进行调查处理,并配合上级有关部门开展相关工作。各单位应根据《山东服装职业学院信息系统安全隐患整改管理办法》,及时落实网络安全自查和问题修复,避免网络安全事件发生。
第四十七条 图书馆(信息中心)按照相关规定或上级部门要求发布的网络安全监测预警信息,相关单位及人员应积极配合,根据安全预警信息,认真查找网络安全隐患和漏洞,及时做好相应排查处置工作。为避免安全事件不良影响扩大,图书馆(信息中心)有权直接对安全事件相关的网络及信息系统进行断网、停止服务等应急处理。
第四十八条 图书馆(信息中心)负责组织院内网络安全处置应急演练。各单位应制定网络安全应急预案,积极参与应急演练,提高网络安全事件处置能力,发现网络安全问题及时报告并第一时间做出响应,迅速有效处理突发事件,最大限度降低影响和损失。
第十章 责任追究
第四十九条 学院将网络与信息安全工作纳入考核指标体系,建立完善网络安全工作检查考核、责任追究和倒查制度,将网络安全责任落实情况列为各单位目标管理、业绩评定、年度考核、奖励惩处的重要内容和依据。网络安全事件的责任认定,由图书馆(信息中心)提交网络安全和信息化领导小组讨论后,经学院相关会议审议处理。
第五十条 各单位要按照网络安全事件报告与处置流程,及时、如实报告和妥善处置网络安全事件:按要求限期整改的,如整改不力,给予通报批评并责令改正;瞒报、缓报网络安全事件的,对相关部门责任人进行约谈并通报批评;玩忽职守、失职渎职造成严重后果的,将依据《中华人民共和国网络安全法》等法律法规配合公安、网信等主管部门,依法依纪严肃追究相关人员的责任。
第五十一条 师生员工违反网络安全相关管理规定,造成不良后果的,视情节轻重,分别由组织人事处或学生管理部门按相关规定给予批评教育或纪律处分;其中触犯法律的,由相关国家机关依法追究法律责任。
第十一章 附则
第五十一条 对于涉及国家秘密的网络和信息系统,按照国家保密工作管理规定进行管理。
第五十二条 本办法未尽事宜,依照法律法规和上级文件要求确立的原则处理。
第五十三条 本办法由图书馆(信息中心)负责解释,自发布之日起施行。学院原有相关规定与本办法不一致的,按本办法执行。
山东服装职业学院
校园网络运营归口管理办法
第一章总则
为规范校园网络的建设、管理及使用,保障学院网络信息安全工作有序开展,加强校园网络管理,根据《中华人民共和国网络安全法》、《山东服装职业学院信息与网络安全管理办法》和《关于调整山东服装职业学院网络安全和信息化领导组的通知》(山服党字[2023]4号)等有关法律法规和文件精神,结合我院实际,特制定本办法。
校园网络是指在学院区域内的所有计算机网络(含有线网络、无线网络、监控网络)、运营商通信网络(含固定电话、室分系统、校园无线等)、校园内部通讯基站及建筑物、通信缆沟(管道)、线路、建筑物内部弱电间和桥架等设施设备及场地(所)的总称。
图书馆(信息中心)是学院校园网络与运营商及第三方的合作运营归口管理部门。
第四条 图书馆(信息中心)是学院网络安全和信息化领导小组下设办公室,是学院信息化规划、建设和管理的主体责任部门,负责校园网络的规划、建设、运行及维护工作:
(一)贯彻落实国家关于通信网络建设的法律法规和行业规章制度。
(二)维护校园网络的运行秩序。负责通信网络系统资源建设项目的实施、资源(包括各节点机房、光缆、管道、设备间、桥架等)调配、日常运行与维护等。
(三)负责制定通信运营商、服务提供商准入制度及其业务规范,对运营商入校维护设备统一进行协议化管理。
(四)统筹通信网络设施共建共享、对外合作、资源使用的相关合作事项,监督其按照合同和协议开展业务。
(五)负责学院信息化公共服务平台的建设与管理,负责各种应用系统的规划、建设、技术保障和维护。
(六)保障校园网络畅通,开展信息化服务、技术指导和业务培训。
第五条任何运营商进入院内进行通信建设、维护等服务行为均须报图书馆(信息中心)审批,登记备案后方可在院内实施。未经批准,任何运营商、学院部门(处室、系部)或个人不得实施以下行为:
(一)在院内接入各种电话、网络及通信设施。
(二)出借或出租场地、空间用于非院内通信设施建设。
(三)与通信运营商、服务提供商订立相关协议(或合同)。
(四)在院内进行与校园网络相冲突的商业行为。
(五)影响学院信息化整体部署的行为。
对实施上述行为的,图书馆(信息中心)有权责令其立即停止违规行为。对不听劝诫者,报请学院网络安全和信息化领导小组研究同意后,联合学院相关部门实施制止(或清除)行动,同时追究其当事人责任。
第六条 涉及与通信运营商、服务提供商的合作,由图书馆(信息中心)研究讨论并提出初步方案,报请学院网络安全和信息化领导小组批准;需要招标的项目,由学院统一负责招标。凡涉及运营商通信服务的合同,按学院相关文件要求统一对外签订和管理。
第二章 院内通信电缆、缆沟管理
第七条 禁止任何运营商私自建设和使用学院通信缆沟(管道)和线路等基础设施,私自在学院楼宇里架设通信线路、使用通信井和通信机房等。
第八条校园内所有线路必须在地下敷设,任何运营商不得在室外架设明线。如需架设临时线路时,须经图书馆(信息中心)审核后实施,用后即拆。对违规架设的线路,图书馆(信息中心)有权依据校园网规划进行清理拆除。
第九条 为了保障运营商通信线路的可识别性,运营商应在通信线路、中继设备、终端设备等的适当位置,标明功能、用途、管理方及其联系方式等。
第十条运营商在校园内进行通信线路施工(含室内及室外施工)前,须事先向图书馆(信息中心)提出申请,将相关的设计方案、施工方案提交审核,并报学院网络安全和信息化领导小组批准后实施。未经批准的申请,一律不得施工。获准施工的项目,必须在施工区域设置明显的施工标识,便于师生监督。施工时应按审核同意的各项技术指标进行,对于不符合要求的,图书馆(信息中心)有权要求运营商进行整改,整改不符合要求的一律要求拆除,由此产生的一切后果均由运营商自行承担。
第十一条 任何运营商的施工都须保护正常运行的校园网内网线路、各楼宇建筑装修、及节点机房设备等公共设施。因运营商人为原因,造成公共设施破坏、损毁或院内网线路中断的,学院将依法依规追究行为相关人员的法律责任,并要求限期恢复原样。
第十二条任何运营商施工后的设备及线路均由运营商负责管理,如出现设备和线路因施工原因引起的后续问题,由运营商负责限期整改,否则,学院有权停运处理。
第十三条校园内通信缆沟(管道)、线路对通信运营商、服务提供商均采取有偿使用方式。所有权不属于山东服装职业学院的生活服务类(如自动存(取)款机、售货亭、一卡通终端等)信息化设施建设,须征得图书馆(信息中心)同意,并按学院相关规定签订合同。
第三章院内移动通信基站管理
第十四条移动通信基站(包括室外基站、直放站、室内分布系统,以下简称基站)是指在一定的无线电覆盖区中,通过移动通信交换中心,与移动终端(如移动电话、便捷式电脑等)之间进行信息传递的无线电收发电台及其附属设施(包括楼顶塔、落地塔、单管塔、增高架等支撑设施和天面、机房、专用传输线路、电源等)。
第十五条 如运营商须在校园内架设重要基础设施,须事先向信息中心提出申请,并提交设计方案、施工方案、图纸等,图书馆(信息中心)会同总务处及相关部门初审会签通过后,报分管院领导审定,提交信息化工作领导小组批准方可实施。
第十六条为保障师生员工的身体健康,运营商须合理规划使用低功率分布式信号放大设备,不得在院内兴建大功率基站等高能无线发射设备。
第十七条 基站选址须符合学院校园规划和环境保护的要求,充分考虑学院建筑的安全性,尽量避开重点建筑物、标志性建筑物、主要出入口和师生居住区。必须在居住区选址的,应优先在非居住建筑物上考虑,并尽量采用集约化和室内分布系统。要在确保不损坏建筑楼顶及装饰的条件下开展施工。
第十八条 基站建设应按照国家相关标准、技术规范、建设工程及基础通信管线建设有关规定进行,不得对其它无线电系统造成有害干扰,不得危及相关建筑物和设施的安全。在基站建设过程中对其它无线电系统产生干扰、对相关建筑物或设施造成损害的,建设方须依法承担责任并赔偿经济损失。
第十九条 后期进行日常必要性检查和维护时,应提前告知图书馆(信息中心),维护人员需持所在单位介绍信,并在学院相关人员陪同下到场作业。无信息中心审批同意单或进入许可,任何楼宇使用单位或者物业不得允许校外单位施工和调试。
第四章 其他业务管理
第二十条 学院仅支持与学院有合作协议的运营商在院内开展活动,运营商在学院开展的日常经营活动须符合以下要求:
1.未经学院授权,不得使用与学院名称或与学院业务名称相近的名义开展营销活动,不得开展有损学院声誉的活动。
2.须在学院统一安排下,在指定的时间、地点开展活动,不得在校园内开展拉横幅、散发小广告、随意张贴业务宣传单等有悖于校园管理要求的活动,不得开展有悖于学院办学和人才培养要求的经营性活动。
3.守法经营、诚信服务,不得虚假宣传,不得诋毁、贬损、攻击竞争对手,禁止开展恶意竞争、扰乱市场秩序。
第五章 附则
第二十一条合作运营商须与学院建立网络信息安全工作24小时联系机制,在网络信息安全事件发生时,合作运营商须配合学院开展好网络安全、信息安全、舆情监控、重大敏感事件的实时监控,做好停断网及用户行为追踪、溯源等工作。
第二十二条 运营商在学院开展的基站建设、设备安装、经营场地及资源租用等相关业务,所收费用均纳入学院财务统一管理。
第二十三条本办法由图书馆(信息中心)负责解释,自公布之日起执行。其他有关文件之规定与本办法规定不一致的,以本条例为准。
山东服装职业学院
运营商通信资源进校申请/备案审批表
申请项目名称
申请单位
项目类型
□通信电缆、缆沟□ 通信基站 □ 其他业务
(可多选)
联系人
联系方式
项目实施作用
申请单位意见
本单位声明:以上内容真实准确,并承诺遵守山东服装职业学院相关规定。
单位负责人签字: 日期: (单位公章)
学院相关部门汇签意见 | ||
图书馆(信息中心) 初审意见 | ||
党(院)办 | 签字: 日期: | |
总务处 | 签字: 日期: | |
保卫处 | 签字: 日期: | |
其他相关部门 审核意见 | 签字: 日期: | |
分管院领导审批 | ||
备注 | 提交申请表时须提交以下相关材料:施工方案、图纸、资质证明等。 |
山东服装职业学院
信息系统安全隐患整改管理办法
第一章 总 则
第一条 为了规范学院信息系统安全管理,确保及时消除系统安全隐患,保障信息安全,根据《中华人民共和国网络安全法》《信息安全技术安全隐患划分指南(GB/T30279-2013)》《信息安全技术信息安全隐患管理规范(GB/T30276-2013)》等法律法规,结合学院实际,特制定本办法。
第二条 本办法适用于学院信息系统及相关操作系统、数据库、中间件、网络设备和安全设备的安全预防、发现、处置和跟踪等处置。
第三条 安全隐患主要指信息系统在需求、设计、实现、配置、运行等过程中,有意或无意产生的缺陷,这些缺陷以不同形式存在于信息系统的各个层次和环节之中,一旦被恶意主体利用,就会对信息系统的安全造成损害,影响信息系统的正常运行。
第二章 组织机构与职责
第四条 图书馆(信息中心)负责学院信息安全隐患的检测、评估、通报、应急处置和整改督办工作。为各系、各部门信息系统的隐患整改工作提供建议和技术支持。
第五条 按照“谁主管、谁负责,谁使用、谁负责”的原则,各系、各部门负责对本单位所建设、管理、使用的信息系统的信息安全隐患进行自查、整改、验证、跟踪、报告等工作。
第三章 级别定义和处理时间
第六条 根据潜在危害、重复利用的可能性、利用的困难程度、影响的用户范围和发现的难易程度进行评估,根据评估的风险等级从低至高,将信息安全隐患划分为四个等级,依次为低、中、高和紧急。
第七条 根据相关机构或相关安全软件有明确定义安全等级的隐患按照其标准确定等级,没有明确级别的,图书馆(信息中心)依据DREAD模型负责对信息安全隐患的危险等级进行评估,确定隐患的危害等级,对不同等级的信息安全隐患采取不同的处置措施。
第八条 依据信息系统部署的方式和级别,以及发现的安全隐患级别,明确安全隐患整改时效。
第四章 隐患处理流程
第九条 根据安全隐患生命周期中隐患所处的不同状态,将隐患管理行为对应为预防、发现、评估、修补、验证、跟踪等阶段。
(一)隐患的预防
信息系统所属部门应依据已发布的安全配置标准,对系统进行安全加固、及时安装补丁、关闭不必要的服务、安装安全防护产品和开启相应的安全配置等。
(二)隐患的发现
1.来自教育主管部门、公安部门以及相关主管部门的安全隐患和安全威胁通报。
2.来自信息安全服务厂商等的安全隐患通知,渗透测试结果及风险评估报告。
3.学院自查发现的信息安全隐患等。
(三)风险的评估
1.图书馆(信息中心)应在规定时间内验证通报、自行发现或收集到的隐患是否真实存在,并依据DREAD风险模型,确定隐患的风险等级。
2.根据风险等级判断是否需要对风险进行处理,可接受风险不处理,不可接受风险需要处理。
3.图书馆(信息中心)把需要处理的安全隐患通知到相关的部门负责人并发出《山东服装职业学院信息系统隐患整改通知书》(附件1),在未整改完成前,仅发送给信息系统涉及的管理人员和需要进行配合的厂商,对敏感信息进行屏蔽。
4.图书馆(信息中心)依据确定的风险等级,采取必要的安全保护管控措施,限制访问区域。
(四)隐患的修补
1.安全隐患所涉及的部门应根据本管理办法的要求,在规定时间内修复安全隐患,整改完成后填写《山东服装职业学院信息系统隐患整改情况反馈表》(附件2)。
2.修补方式包括:及时更新厂商官方提供的隐患修复补丁;正确配置相关应用、系统和口令等策略;开发人员修正代码中的安全隐患或功能缺陷。
3.系统管理人员在安装厂商发布的操作系统及应用软件补丁时,应保证补丁的有效性和安全性,并在安装之前进行测试,避免因更新补丁而对产品或系统带来影响或新的安全风险。
4. 在无法安装补丁或更新版本的情况下,各部门应共同协商安全隐患的解决措施。
(五)结果验证
由图书馆(信息中心)对修复结果进行再次测试和检查、确保隐患成功修复。
(六)隐患的跟踪
1.图书馆(信息中心)建立隐患跟踪机制,对曾经出现的隐患进行归档,并定期统计隐患的修补情况,以便确切地找出信息系统的短板,为安全策略的制定提供依据。
2.图书馆(信息中心)定期对安全隐患的管理情况、安全隐患的解决措施和实施效果进行检查和审计,包括预防措施是否落实到位,隐患是否得到有效预防,已发现的隐患是否得到有效处置,隐患处理过程是否符合及时处理和安全风险最小化原则等。
第十条 如因特殊原因,系统管理人员或厂商不能按照规定的时效要求完成隐患修复的,可申请延期;不能进行修复的隐患,需采取可实行的补救措施,报图书馆(信息中心)审批。
第五章 责任追究
第十一条 图书馆(信息中心)定期对院内信息系统进行安全漏洞巡查,并发出“信息系统隐患整改通知书”,各系、各部门须根据巡查信息认真修复安全漏洞和隐患,按照流程及时完成隐患整改,及时做好应急排查处置工作。
第十二条如有接到整改通知后不整改或整改不力等情况,图书馆(信息中心)有权直接对相关信息系统进行断网、停止服务等应急处理,并进行通报,情节严重的按有关规定处理,触犯法律的,由相关国家机关依法追究法律责任。
第六章 附 则
第十三条 本办法由图书馆(信息中心)负责解释。
第十四条 本办法自发布之日起施行,未尽事宜,依照法律法规和上级文件要求确立的原则处理。
附件1
山东服装职业学院
信息系统隐患整改通知书
(样稿)
:
根据《中华人民共和国网络安全法》、《计算机信息系统安全保护条例》、《山东服装职业学院信息系统安全隐患整改管理办法》等规定,图书馆(信息中心)于近日对你部门所属业务系统进行安全隐患巡查,现将有关情况反馈如下:
详见安全隐患报告。
根据《山东服装职业学院网络安全隐患整改管理办法》规定,请你部门于7日内完成隐患修复工作,并将整改报告报送至图书馆(信息中心)。
附件2
山东服装职业学院
信息系统隐患整改情况反馈表
部门名称:(需加盖公章) 时间: 年 月 日
联系人姓名 | 手机 | ||
电子邮箱 | |||
信息安全隐患 名称 | |||
信息安全隐患 类别 | □安全隐患 □暗链 □网页篡改 □弱口令 □信息泄露 □系统后门 □网页挂马 □其它 | ||
接收到整改通知 时间 | |||
信息系统基本情况 (如涉及请填写) | 1.系统网址和IP地址: 2.系统主管单位/部门: 3.系统运维单位/部门: 4.系统主要用途: 7.是否整改 □是 □否 |
存在隐患主要原因 | |
简要处置过程 | |
处置结果 | |
部门负责人 签字 |
注:高级别安全隐患请于3日内完成整改并反馈
中级别安全隐患请于5日内完成整改并反馈
低级别安全隐患请于7日内完成整改并反馈
山东服装职业学院数据安全管理办法
第一章 总则
第一条为规范学院数据处理活动,保障个人信息和重要数据安全,维护广大师生和学院的合法权益,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)、《信息安全技术个人信息安全规范》(GB/T35273-2020)和教育部等七部门《关于加强教育系统数据安全工作的通知》(教科信函(2021)20号)等法律法规和文件要求,结合学院实际,制定本办法。
第二条 本办法所称数据资源,包括结构化数据、半结构化数据和非结构化数据,是学院各单位及全校师生员工在履行职责过程中生产或采集,以一定形式记录和保存的各类数据资源。《中华人民共和国保守国家秘密法》所规定的涉密数据除外。
第三条本办法所称数据资源管理包括数据资源生产、采集、存储、维护、治理、共享、使用及删除等操作。
第四条 我院整体数据管理基本原则如下:
(一)合法合规。各单位采集、处理数据应符合国家、教育部、行业、学院相关标准和制度,并确保所提供数据的真实性、准确性、完整性和及时性。学院任何部门和个人均不得违法或违规采集、存储和使用数据。
(二)一数一源。明确数据所属业务的职能部门为该数据维护的责任部门,负责实时更新、共享,保障数据的完整性、准确性、唯一性,其他部门履行相关程序后获取数据,原则上不得重复采集数据。
(三)开放共享。数据是学院公共资源,所有权和使用权归学院所有。各单位在合法合规和确保数据安全的前提下,最大程度进行数据共享,打破信息孤岛。
(四)分级保护。按照数据在教育发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用造成的危害性程度确定数据等级,对数据实行分类分级保护。
(五)保障安全。明确数据各环节的管理程序,建立数据分类分级管控体系,做到数据管理全过程有规可依,保护个人隐私信息,保障数据资源安全。
第二章 组织与职责
第五条网络安全与信息化工作领导小组是学院数据管理工作的领导机构,主要职责是贯彻落实国家、上级部门关于网络安全、数据安全和信息化战略部署,统筹协调学院网络安全、数据安全和信息化重大问题,研究制定学院网络安全、数据安全和信息化发展战略规划、重要政策和制度措施等。
第六条图书馆(信息中心)是学院数据管理的主管部门,主要任务是贯彻落实学院网络安全和信息化工作领导小组部署,统筹学院的数据管理工作,制定数据安全管理办法,建立数据安全保障机制,组织开展数据安全评估,全面保障学院的数据安全。
第七条 各单位党政负责人是本单位数据安全与个人信息保护工作第一责任人,同时按照“谁收集,谁负责”、“谁使用,谁负责”、“谁发布,谁负责”的原则责任到人,落实本单位数据安全防护措施,保障数据安全。
第八条 利用第三方平台开展数据活动的部门,必须和第三方平台提供者签订数据使用和保密协议,明确使用方式、应用场景和使用边界,落实数据安全“谁使用谁负责、谁运维谁负责”相关责任。
第三章 数据分类分级
第九条 学院的数据安全保障遵循分级保护的原则。根据数据泄露、滥用、篡改、毁损可能对国家安全、社会秩序、学院及个人利益造成的影响程度,将数据分为公开数据、内部数据和敏感数据等3类。
1.公开数据:公开数据是指学院可以主动公开的数据。
2.内部数据:内部数据是指可在特定范围内无条件共享的数据,包括学院部门间共享和与业务部门间产生的数据。网络安全与信息化办公室制定学院部门间数据共享责任清单,明确学院部门间应共享的内部数据,制定部门数据共享责任清单,明确与业务部门间可共享的内部数据。
3.敏感数据:敏感数据是指一旦遭泄露或篡改,可能对国家安全、社会秩序、学院利益、个人人身与财产安全等造成损害的数据,包括个人敏感信息(如身份证信息、个人生物识别信息)及业务敏感数据(如学院人事、财务、资产、门禁等信息数据)。学院对敏感数据实施重点保护,以维护学院数据安全。
第十条各信息系统的负责部门要根据数据的重要性、敏感性和对学院发展的影响程度对现有的数据进行分级。
第四章 数据采集管理
第十一条各单位采集数据应遵循“最小够用”的原则,明确采集依据、范围、场景和用途,原则上不得超越工作职能范围采集数据。
第十二条遵循“一数一源”的原则,学生基本信息数据来源于教务处,职工基本信息数据来源于人事处,其他业务部门优先由学院数据共享平台匹配需求,原则上数据共享平台中已有数据应通过共享的方式获取数据,不得重复采集数据。
第十三条 任何部门和个人不得出现超职能范围采集数据和非业务必须采集数据等违规采集行为。
第十四条新建信息系统时应在建设方案中明确数据采集内容和数据等级。
第十五条各单位要全面梳理负责的信息系统数据,建立数据资源目录,并报学院图书馆(信息中心)备案,如有新增数据采集项目应及时更新报备信息。
第五章 数据存储传输管理
第十六条内部数据和敏感数据应存储在学院数据中心,特殊情况要依照国家相关规定以及学院要求存放在指定的服务器,所有数据不得保存在境外服务器。因业务需求需要存放在云端服务器的,应报备图书馆(信息中心)并在通过安全评估测试的前提下存储,并与云端服务商签署数据保密协议。
第十七条各单位要明确数据存储的安全策略,确保信息系统和数据安全稳定,配合信息中心开展信息系统安全等保定级。
第十八条各单位使用的信息系统应根据数据安全级别采用数据加密、访问控制、数据防泄漏等安全措施。个人信息或敏感数据应采用符合国家要求的密码算法进行加密存储。
第十九条 在线的内部数据和敏感数据传输应采用加密传输信道或专线,以保证数据传输的机密性和完整性;离线的内部数据和敏感数据应加密后传输,且不得使用社会电子邮件系统、聊天平台等方式传递。在使用校外数据时,应明确其来源,避免使用来源不明数据。
第六章 数据维护监督管理
第二十条信息系统应严格按照岗位职能设置数据维护权限,规范权限的分配和管理。严禁在未按规定授权的情况下委托他人以本人的账户和口令进行有关的数据录入和修改。各系统用户应当定期更改自己的密码口令,确保数据的安全。密码口令应包含数字、字母大小写、特殊符号且12位以上。
第二十一条信息系统所属单位应记录对业务数据的查询、修改、增加、删除、导出等操作日志,保留时间不少于六个月。
第二十二条图书馆(信息中心)联合相关部门定期组织开展学院数据安全风险评估检查工作,及时发现问题并督促相关部门进行整改。
第二十三条 各单位定期开展重要数据和个人信息收集与对外共享情况排查工作,做到数据底数清、去向明。数据采集与对外共享过程中,需签署数据安全保密协议,对数据共享和使用范围做出严格界定。
第二十四条各单位应加强数据的容灾能力建设,建立数据容灾备份机制和应急预案,保障系统应急恢复。
第七章 数据安全意识管理
第二十五条 各单位应提高本部门人员数据安全意识,加强对数据采集、使用等相关工作人员的数据安全教育和培训。
第二十六条校内各师生在使用电脑、服务器和校园网过程中,要严格做好数据安全防护,妥善保管个人账号,严禁将账号转借他人使用,严格遵守“涉密信息不上网,上网信息不涉密”等保密工作要求。及时更新补丁,修复漏洞,安装正版杀毒软件,及时升级病毒库,定期杀毒,清理电脑、服务器的系统数据垃圾。
第二十七条各单位要积极组织相关人员学习《网络安全法》《数据安全法》等法律法规,以开学教育、网络安全宣传周等活动为契机,推进网络安全、数据安全进校园、进课堂等活动。
第二十八条 定期组织管理和技术人员培训,特别是涉及数据活动关键岗位人员的培训,培养师生良好的网络使用习惯,切实提高数据安全意识和防范能力。
第八章 附则
第二十九条本办法由学院网络安全和信息化领导小组办公室负责解释。
第三十条本办法自印发之日起实行。