第一章 總則
第一條為了加強汕頭職業技術學院網絡信息安全管理,推進信息系統安全等級保護工作,依照《中華人民共和國網絡安全法》《教育部公安部關于全面推進教育行業信息安全等級保護工作的通知》(教技[2015]2 號)等相關法律、制度的要求,制定本管理規定。
第二條任何單位及個人都必須遵守國家有關法律、法規,不得利用網絡危害國家安全、泄露國家秘密,不得侵犯國家、社會、集體利益和個人的合法權益,不得制作、復制、傳播和查閱妨礙社會治安、破壞社會穩定,及其他違反憲法和法律、行政法規的不良信息,不得從事違法犯罪活動。
第二章 組織機構與職責
第三條學院成立網絡安全與信息化工作領導小組,負責學院的網絡與信息安全的領導工作,制定各項安全管理制度和整體規劃,協調解決安全管理中的重大問題。
第四條學院黨委宣傳部是校園網絡的信息管理部門,負責管理學院門戶網站對外信息發布、審核以及日常運行。網絡與信息中心負責校園網信息安全防護與技術保障。各部門的網站和各類專題網站由舉辦部門自行負責審核和日常運行管理,實施“誰舉辦誰負責、誰運行誰負責、誰使用誰負責”的原則。
第五條 學院各部門設置網絡信息安全員,負責相應二級網站和系統的安全管理。
第三章 網絡服務安全管理
第六條 所有網絡服務的開設需由網絡與信息中心審批,落實安全責任,完善配套管理制度,做好網絡服務備案和信息安全等級保護工作。
第七條 原則上各部門不允許開設BBS、電子論壇、留言板、聊天室等交互式服務,因特殊原因需開設,要嚴格辦理登記手續,并附有關的管理制度和用戶實名注冊技術措施,并有專人監控和管理,對不良信息要及時發現和處理,按公安部門要求保存用戶日志,以備追查。
第八條 嚴格遵守學院校園計算機網絡、網站建設及信息系統建設等管理制度中安全方面的規定。
第四章 數據安全管理
第九條 數據的采集和錄入要遵循源頭、真實、準確、完整、及時的原則。重要數據的錄入及修改應指定專人來完成。
第十條 根據數據的保密規定和用途,確定使用人員的存取權限和方式,防止越權操作,禁止私自泄露、外借和轉移內部數據與信息。
第十一條 根據學院的職能將數據進行分類管理。外單位或外部信息系統需要利用或共享數據時,需要書面申請,通過網絡與信息中心審核、分管院領導審批后,由學院數據來源部門提供。任何單位和個人不得擅自對外提供學院內部數據。
第十二條 建立數據備份、容災和恢復機制,加強數據存儲和歸檔管理,確保重要數據有備份、可恢復。
第五章 安全保密管理
第十三條 遵守國家有關法律、法規,嚴格執行安全保密制度,不得利用計算機網絡進行搜集、整理、竊取、發布或談論涉及國家及學院機密信息。不得利用電子郵件傳遞、轉發或抄送此類信息。
第十四條 未經審批,學院內部文件、試卷、教案等學院內部信息,以及師生的身份證號、家庭住址和電話等個人隱私信息嚴禁掛網。
第十五條 發現國家及學校機密泄露的情況,應立即向學院黨委宣傳部報告。學院黨委宣傳部按要求上報省教育廳、省公安廳,汕頭市公安局、維穩辦、派出所等,并配合有關部門查處。
第六章 輿情管理
第十六條 學院各部門應加強主流輿論的引導,營造出學習先進、弘揚正氣的輿論氛圍,促成健康、積極的主流輿論的形成。
第十七條 建立網絡輿情匯集機制,緊緊圍繞師生關注的熱點、焦點問題及學校管理決策、師生權益等方面,通過BBS論壇、百度貼吧、QQ群、微信、微博、博客等渠道,進行輿情信息收集,及時掌握苗頭性、預警性信息。網絡輿情匯集結果協同給學院黨委宣傳部。
第十八條 建立網絡輿情分析研判機制,增強輿情危機的預見性。定期組織開展網上信息調研,對采集的輿情信息進行整理分析,準確把握輿情態勢,并提出引導輿情或解決問題的對策建議。
第十九條 建立網絡輿情干預機制,增強網絡輿情可控性。對發現的不良信息,學院第一時間進入應對狀態,避免事態擴大。同時,堅持線上線下聯動,對師生在網上反映的問題及時落實解決,寓輿情管理于服務之中。
第七章 終端計算機安全管理
第二十條 按照“誰使用,誰負責”的原則,終端計算機使用人負有保管和安全使用的責任。
第二十一條 終端計算機設備上安裝、運行的軟件須為正版軟件。使用盜版軟件帶來的安全和法律責任由終端計算機使用人承擔。
第二十二條 終端計算機使用人應做好數據日常管理和保護,定期進行數據備份。非涉密計算機不得存儲和處理涉密信息。
第二十三條 終端計算機使用人應做好終端計算機的安全防范,如發現終端計算機出現可能由病毒或攻擊導致的異常系統行為或其他安全問題,應立即斷網后進行處理。
第八章 存儲介質安全管理
第二十四條 原則上,存儲陣列、磁帶庫等大容量介質應由網絡與信息中心統一采購和管理,存放在學院數據中心機房。網絡與信息中心應采取必要技術措施防范數據泄漏風險,確保存儲數據安全。
第二十五條 學院各部門應建立移動介質管理制度,記錄介質領用、交回、維修、報廢、損毀等情況。介質使用人按照“誰使用,誰負責”的原則,對其移動介質負有保管和安全使用的責任。
第二十六條 非涉密移動存儲介質不得用于存儲涉密信息,不得在涉密計算機上使用。介質使用人應注意存儲介質的內容管理,對送出維修或銷毀的介質應事先清除敏感信息。
第二十七條 涉密介質應當按照秘密載體安全保密要求進行管理。各單位對涉密介質應實行集中管理,責任到人。
第九章 人員安全管理
第二十八條 學院各部門應建立健全本部門的崗位信息安全責任制度,落實信息安全責任。關鍵崗位的計算機使用和管理人員應簽訂信息安全與保密協議,明確信息安全與保密要求和責任。
第二十九條 學院各部門應對信息技術安全崗位的人員進行安全知識和技能的考核,并對考核結果進行記錄和保存。
第三十條 學院各部門應加強人員離崗、離職管理,及時終止相關人員所有系統訪問權限,收回各種身份證件、鑰匙、徽章以及學院提供的軟硬件設備,并簽署安全保密承諾書。
第十章 信息安全檢查
第三十一條 學院各部門定期對本部門信息系統的安全狀況、安全保護制度及措施的落實情況進行自查,并配合網絡與信息中心的信息安全檢查、保密檢查等工作。
第三十二條 網絡與信息中心對學院各部門的信息技術安全工作落實情況進行檢查,對發現的問題下達限期整改通知書,責成相關部門制訂整改方案并落實到位。
第三十三條 網絡與信息中心對年度安全檢查情況進行全面總結,按照要求完成檢查報告并報上級信息安全主管部門。
第十一章 信息安全應急管理
第三十四條 學院黨委宣傳部和網絡與信息中心負責學院信息安全應急工作的統籌管理,負責制定安全事件應急預案,規范網絡與信息安全事件報告與處置流程。
第三十五條 學院各部門應按照學院信息安全事件報告與處置流程,做好事發、事中情況報告與處置和事后整改報告與處置工作,做到安全事件早發現、早報告、早控制、早解決。
第三十六條 學院各部門或師生員工均有義務及時向黨委宣傳部和網絡與信息中心報告網絡信息安全事件,不得在未授權情況下對外公布、嘗試或利用所發現的安全漏洞或安全問題。
第十二章 安全責任與追究
第三十七條 網絡信息安全管理實施“誰使用誰負責、誰主管誰負責”的責任追究制。學院各部門是本部門網絡信息安全責任主體,其黨政負責人為本部門信息安全第一責任人。
第三十八條 對所開設網絡服務監管不力造成有害信息傳播或秘密信息泄露的部門,提交學院相關部門給予通報批評和相應的行政紀律處分,追究信息安全員責任,情節特別嚴重的追究部門負責人的領導責任。
第三十九條 各部門或個人收到網絡信息安全限期整改通知書后,整改不力或導致嚴重安全后果的,將根據學院有關規定予以處分。觸犯刑律的,移交司法機關處理。
第十三章 附則
第四十條 本規定自公布之日起施行。學院原網絡信息安全管理規定同時廢止。
第四十一條 本規定由網絡與信息中心負責解釋。
2020年8月1日