热点新闻

规章制度
当前位置: 首页 >> 部门概况 >> 规章制度 >> 正文
江南大学网络信息安全管理办法(2020年修订)
  文:赵让;审核:王强   发布日期:2020-11-02

第一章 总 则

第一条 为保障江南大学网络信息安全,维护校园网络与信息安全秩序,根据《中华人民共和国网络安全法》、《江南大学信息化建设管理办法》,结合学校实际,制定本管理办法。

第二条 江南大学网络信息安全是指江南大学校园网络以及利用校园网和学校信息系统产生的各类信息在建设、运营、使用过程中的安全。

第三条 校园网络信息安全分网络安全和信息安全两大类。

第四条 校园网络信息安全按照“谁建设谁负责、谁主管谁负责,谁运营谁负责,谁使用谁负责”的原则进行管理。按照“事前预防为主,事后补救为辅”的原则建立日常保障机制。

第五条 校园网络实行实名制管理。网络接入、网络访问或利用信息系统提供信息服务的,应当要求用户提供真实身份信息。用户不提供真实身份信息的,不得为其提供相关服务。学校网络用户对自己的网络使用行为负责。

第六条 使用以“jiangnan.edu.cn”为后缀的学校一级二级域名的,使用学校管理的IP地址的或以江南大学名义开展的网络服务皆适用本管理办法。

涉密网络和涉密信息的安全管理不适用于本管理办法。


第二章 管理机制

第七条 “江南大学网络安全和信息化领导小组”(以下简称校网信领导小组)为校园网络信息安全领导机构,统一领导和全面负责校网络信息安全各项工作,负责网络信息安全重大决策,规章制度的制定,网络信息安全工作检查和考核,网络信息安全事故或事件的认定及责任追究。

第八条 校网信领导小组实行双组长制,由江南大学党委书记、校长担任组长,组员若干。

第九条 校网信领导小组办公室设在信息化建设与管理中心(以下简称信息化中心),是校网络信息安全的职能部门和技术支撑部门,负责网络信息安全的日常管理、网络信息安全技术防范体系和技术措施的组织实施、网络信息安全培训等。

第十条 校网信领导小组办公室由信息化建设与管理中心主任主持日常网络信息安全工作,设立网络信息安全专员负责全校具体日常网络信息安全工作,人员若干。

第十一条 党委宣传部、党委办公室负责网络信息内容的审核、审查。

第十二条 学校各学院、各部门(单位)为本单位网络信息安全责任主体,设立网络信息安全工作小组开展本单位网络安全工作,各单位主要负责人为网络信息安全第一负责人。各单位应为本单位所建设或使用的网络信息建立符合国家和学校要求的安全防范体系。

第十三条 网络信息安全工作小组由本单位主要负责人担任组长,设立网络信息安全管理员负责本单位具体日常网络信息安全工作,人员1-2人。


第三章 网络安全

第十四条 网络安全是指在校内提供网络接入和网络访问等网络服务的安全。包括校级校园网接入,各学院或部门单位自主管理的机房上机上网服务,各办公室、实验室或教室、宿舍区等组建的供内部使用的网络子网等。

第十五条 网络接入和网络访问提供单位在开展服务活动时,应遵守国家法律法规和学校相关规定,履行网络安全保护义务,接受学校监督。

第十六条 学校网络出口由学校统一提供和管理。未经许可,不得通过其他渠道接入公网或提供互联网接入服务。

第十七条 提供校内网络接入和网络访问等网络服务的应进行登记备案。

第十八条 由学校各单位管理的上机机房、电子阅览室等不得私自对校外开放,如因工作需要开放的,必须登记用户实名信息。

第十九条 各类网络服务应如实做好日志记录工作,日志至少保留6个月。

第二十条 网络服务提供单位应采取必要的技术措施,保障网络安全稳定运行,消除网络安全隐患,有效应对网络安全事件,切实维护网络数据的完整性、保密性和可用性。

第二十一条 网络服务提供单位及使用者应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。


第四章 信息安全

第二十二条 信息安全是指在校内利用网络提供信息服务以及在使用过程中产生的数据信息等的安全。

第二十三条 信息服务提供单位收集用户数据信息时应遵循“数据最小化”原则,不得私自收集无关信息,且应对收集的用户信息严格保密。不得泄露、篡改、毁损其收集的用户信息,不得私自向他人提供收集的信息。如因工作需要向他人提供用户信息的,应做数据脱敏及匿名化处理。不得收集涉密信息。

第二十四条 信息服务中各类信息内容应在责任单位职权范围之内发布,不得超权限发布,应建立完善的信息发布和审核机制。不得发布涉密信息。

第二十五条 信息责任单位应做好数据信息的备份工作。在数据收集、再利用过程中做好日志记录,日志至少保留6个月。

第二十六条 学校任何单位和个人不得私自设立提供校内外用户可以访问的网站、信息系统或其他服务器等。因工作需要架设服务器或提供对外访问的,需履行审批手续,通过网络信息安全检测并签订网络安全责任承诺书后方可开放访问。

第二十七条 信息服务提供单位及使用者不得发布违反国家法律法规的有害信息。一旦发现违法有害信息,应立即停止有害信息传输传播,并采取消除等处置措施,防止有害信息扩展,保存相关信息,及时向有关部门报告。

第二十八条 学校有权利和义务对校内网络、信息系统或其他服务器进行安全检测、检查,达不到安全要求的必须限期整改直至关停相关网络服务。

第二十九条 信息服务提供单位应积极配合国家机关实施网络安全监督检查。


第五章 安全管理

第三十条 学校建立网络信息安全责任制度,学校二级单位应签订网络信息安全责任书。

第三十一条 根据国家相关规定要求,学校网络信息安全实行等级保护制度。原则上所有网站、信息系统建设同时应确立等级保护级别,一般按照等级保护测评“第二级”或更高级等级保护要求建设,通过等级保护测评并整改落实之后方可上线。

第三十二条 各类学校网络服务应建立日常运营和管理制度,制定应急处置流程。日常应加强对网络信息安全的监控和检测检查。服务器和信息系统的补丁升级、漏洞检测修补、信息内容排查等常规巡检至少每月一次,每次巡检应做好台账资料登记。

在特殊时期或紧急状态下应进行24小时有人值守值班,确保网络信息安全。

第三十三条 网络信息安全职能部门应定期开展校内网络信息安全检测和检查,及时通报发现的各类网络信息安全问题,对责任单位下达限期整改通知。

第三十四条 因自身技术力量不足,对部分网络服务工作进行服务外包,引入校外运维、运营团队的,应与服务外包供应单位签订网络信息安全与保密协议。

第三十五条 各二级单位有开展网络信息安全培训的责任,各用户有接受网络信息安全培训的义务。

第三十六条 任何单位和个人应合法、合规、合理利用学校网络资源、享受学校网络服务,不得攻击和破坏学校网络及其配套软硬件设施设备,不得利用网络安全漏洞开展违法活动,不得窃取、篡改、传播、出售各类数据信息,不得发布非法有害信息。


第六章 安全应急处置

第三十七条 根据国家《信息安全事件分类分级指南》(GB/T20986-2007)和教育部《信息技术安全事件报告与处置流程(试行)》(教技厅函〔2014〕75号)规定,网络信息安全事件是指有害程序事件、网络攻击事件、信息破坏事件、设备设施故障、灾害事件、信息内容安全事件和其他信息安全事件。网络信息安全事件分为四个等级:特别重大事件(Ⅰ级)、重大事件(Ⅱ级)、较大事件(Ⅲ级)和一般事件(Ⅳ级)。

第三十八条 网络信息安全应急处置机构。

校网信领导小组为网络信息安全应急处置领导机构。

以信息化中心、党委宣传部、党委办公室为主成立网络信息安全应急处置工作小组。

各二级单位应成立本单位网络信息安全应急处置小组。

第三十九条 网络信息安全事件发生后,由校网信领导小组根据涉及系统的重要程度、损失情况和社会影响等判定事件等级。

第四十条 各二级单位或信息化中心一旦发现学校网络信息安全事件,或接到教育部、省市公安局网络信息安全事件通知通报,应立即启动安全应急处置程序,立即组织技术人员赶赴现场进行处置,根据实际情况第一时间采取断网等措施,保留事件现场,立刻报告本单位安全责任人或主要负责人,同时报告信息化中心,并向信息化分管校领导汇报。

第四十一条 校网信领导小组根据实际情况确定事件等级,对确认属于Ⅰ级至Ⅲ级(定级标准参看附件1)安全事件的,应口头或书面报告教育部。如有必要应向本地公安机关报案。

第四十二条 网络信息安全事件处置完毕后,应形成包含事件经过、处置办法和整改措施在内的书面报告交学校信息化中心留存。

第四十三条 为确保应急处置快速、准确,各单位和信息化中心应认真梳理信息化软硬件设施设备、系统配置参数、操作手册等基础信息,完善相关台账资料,做好标签标识和标志。

第四十四条 网络信息安全应急处置机构应定期或不定期组织应急预案演练。检验应急预案各环节之间的通信、协调、指挥等是否符合快速、高效的要求。通过演习,进一步明确应急响应各岗位责任,对预案中存在的问题和不足及时补充、完善。


第七章 网络信息安全专员职责

第四十五条 网络信息安全专员应根据学校实际情况及时制定和完善学校网络信息安全工作规章制度。

第四十六条 网络信息安全专员负责做好学校网络信息安全工作部署。制定网络信息安全年度工作计划,组织网络信息安全工作专题会和网络信息安全工作季度会议,做好网络信息安全工作年度总结。

第四十七条 网络信息安全专员负责完善学校网络信息安全通报机制建设。明确学校网络信息安全各级职能部门及网络信息安全管理人员,建立信息资产名录。

第四十八条 网络信息安全专员应及时对有可能发生的学校重大网络信息安全威胁进行预警,对本校信息系统(网站)进行网络安全监测,发现网络信息安全威胁及时处理,对上级部门通报的网络信息安全威胁及时处理,并反馈处置过程和结果。

第四十九条 网络信息安全专员应及时落实学校网络信息安全等级保护工作,负责开展信息系统的备案、测评、整改工作。

第五十条 网络信息安全专员负责对学校网络信息安全情况开展定期检查,对发现的问题及时按流程处理。

第五十一条 网络信息安全专员负责做好学校网络信息安全应急演练,做好网络信息安全应急管理,妥善处理网络信息安全事件。

第五十二条 网络信息安全专员负责重要敏感时期学校网络信息安全保障。制定重要时期网络信息安全保障方案,安排24小时值班。

第五十三条 网络信息安全专员应从网络信息安全等级测评、网络信息安全监测和监测评估、信息系统安全升级改造和防护加固、网络信息安全教育培训、网络信息安全事件处置和网络信息安全运维六个方面做好学校网络信息安全经费预算,预算目标不低于学校信息化建设预算经费的6%。

第五十四条 网络信息安全专员负责学校网络信息安全宣传教育培训。制定年度网络信息安全宣传培训计划,并保质保量完成计划,即本单位在职人员年度培训学时不少于4学时,对信息化管理和技术人员年度培训学时不少于8学时。

第五十五条 网络信息安全专员负责学校信息资产申请审核。包括域名申请,虚拟服务器申请,网站校外访问,网站及系统备案,服务器外网访问。

第五十六条 网络信息安全专员负责学校信息资产年度备案审核。


第八章 网信安全管理员职责

第五十七条 网络信息安全管理员协助本单位网络信息安全小组组长完成网络信息安全工作。

第五十八条 网络信息安全管理员负责本单位信息化资产台账管理。包括硬件设备,信息系统,网站等。

第五十九条 网络信息安全管理员负责本单位信息资产申请。包括域名申请,虚拟服务器申请,网站校外访问,网站及系统备案,本单位服务器外网访问,服务器托管申请。申请人把申请资料提交网络信息安全管理员,由网络信息安全管理员统一申请。

第六十条 网络信息安全管理员在信息化中心指导下,组织开展本单位网络信息安全教育培训。督促部门在职人员完成网络信息安全学习计划,反馈学习结果。做好本单位学生网络信息安全宣传,提高网络信息安全意识。

第六十一条 网络信息安全管理员负责本单位网络信息安全威胁的处理。接到网络信息安全威胁整改通知书后,在规定时间内进行处理,并且及时反馈处理情况。

第六十二条 网络信息安全管理员负责重要敏感时期本单位网络信息安全保障。对本单位信息系统(网站)制定重要敏感时期保障方案,保证24小时在线值班,必要时现场值班。

第六十三条 网络信息安全管理员负责本单位信息资产年审备案。


第九章 奖 惩

第六十四条 出现网络信息安全事故或事件,触犯国家法律法规的,承担法律责任,接受法律处罚。

第六十五条 学校建立网络信息安全责任追究机制。出现网络信息安全事故或事件,或对安全事件瞒报、漏报的,根据学校有关规定,予以学校行政处理或处分。

第六十六条 由校网信领导小组评选网络信息安全先进单位和个人,并予以表彰奖励。


第十章 附 则

第六十七条 本办法自公布之日起施行,由信息化中心负责解释。原《江南大学网络信息安全管理办法》(江大校办〔2018〕2号、《江南大学信息化管理办法(试行)》(江大校办〔2011〕59号同时废止。


附件1:江南大学网络安全事件应急预案

附件2网信安全小组成员备案表

附件3江南大学网络安全事件报告(2020版)


附件1:

江南大学网络安全事件应急预案

 

根据《教育系统网络安全事件预案》要求健全全校网络安全事件应急机制,规范网络安全事件工作流程,提高全校网络安全应急处置能力,预防和减少网络安全事件造成的损失和危害,维护全校网站及系统安全稳定。制定《江南大学网络事件应急预案》

第一章 事件分级

本校网络安全事件分为四级:特别重大网络安全事件(Ⅰ级)、重大网络安全事件(Ⅱ级)、较大网络安全事件(Ⅲ级)、一般网络安全事件(Ⅳ级)。

一、符合下列情形之一的,为特别重大网络安全事件(Ⅰ级)

1.特别重要的信息系统(网站)遭受特别严重的损失,造成信息系统全面瘫痪,丧失业务处理能力。

2.特别重要的信息系统(网站)的重要敏感信息或关键数据丢失或被窃取、篡改、假冒,对本校教育系统安全稳定和正常秩序构成特别严重威胁。

3.网络病毒在本校大面积爆发并且严重影响本校的信息系统。

4.其他对本校安全稳定和正常秩序构成特别严重威胁,造成特别严重影响的网络安全事件。

二、符合下列情形之一的,为重大网络安全事件(Ⅱ级)

1.重要的信息系统(网站)遭受严重的损失,造成信息系统长时间中断或局部瘫痪,业务处理能力受到极大影响。

2.重要的信息系统(网站)的重要敏感信息或关键数据丢失或被窃取、篡改、假冒,对本校信息系统安全稳定和正常秩序构成严重威胁。

3.网络病毒在多个学院、部门集中爆发并且严重影响其信息系统。

4.其他对本校教育系统安全稳定和正常秩序构成严重威胁,造成严重影响的网络安全事件。

三、符合下列情形之一的,为较大网络安全事件(Ⅲ级)

1.重要的信息系统(网站)遭受较大的损失,造成信息系统中断,明显影响系统效率,业务处理能力受到较大影响。

2.网络病毒在本校一个学院、部门内集中爆发传播。

3.其他对本校教育系统安全稳定和正常秩序构成较大威胁,造成较大影响的网络安全事件。

四、一般网络安全事件(Ⅳ级)

除上述情形外,对教育系统安全稳定和正常秩序构成一般威胁、造成一般影响的网络安全事件,为一般网络安全事件。

第二章 应急响应

网络安全事件响应分为Ⅰ级、 Ⅱ级 、Ⅲ级、 Ⅳ级等四级。分别应对特别重大、重大、较大和一般网络安全事件。Ⅰ级为最高级。

一、Ⅰ级响应

对于特别重大网络安全事件,由信息化中心向校网信领导小组提出启动Ⅰ级响应的建议,经批准后启动Ⅰ级响应,成立网络安全事件应急工作组,统一组织应急处置工作。

1.发生特别重大网络安全事件,应采取一键断网措施。

2.工作组进入紧急状态,履行应急处置工作统一领导、指挥、协调的职责。工作组成员保障24小时联络畅通,安排24小时值守。

3.相关责任人及网络安全人员第一时间到达现场处理开展处置工作。

4.处置实施。采取各种技术措施、管控手段,最大限度阻止和控制事态蔓延。消除隐患,恢复系统,根据事件发生原因,针对性的制定解决方案,备份数据,保护设备。对业务连续性要求高的受破坏网络与信息系统要及时恢复。调查取证,事发单位应在保留相关证据的基础上开展问题定位和溯源追踪工作。预防次生事件,对于引发或可能引发其他安全事件的,应及时预警处置。

5.事件上报。对应《教育系统网络安全事件应急预案》中的Ⅰ级响应要求上报教育部网络安全应急办。填写《江南大学网络安全事件报告》,将事态发展变化情况、影响范围和处置情况上报校网信领导小组。社会影响特别严重应上报当地网信部门和公安机关。

二、Ⅱ级响应

发生重大网络安全事件,由信息化中心启动Ⅱ级响应,统一组织应急处置工作。

1.发生重大网络安全事件,依据情况可采取一键断网措施。

2.信息化中心进入进紧急状态,履行应急处置工作统一领导、指挥、协调的职责。网络安全人员保持24小时联络畅通。

3.相关责任人及网络安全人员第一时间到达现场开展处置工作。

4.处置实施。采取各种技术措施、管控手段,最大限度阻止和控制事态蔓延。消除隐患,恢复系统,根据事件发生原因,针对性的制定解决方案,备份数据,保护设备。对业务连续性要求高的受破坏网络与信息系统要及时恢复。调查取证,事发单位应在保留相关证据的基础上开展问题定位和溯源追踪工作。预防次生事件,对于引发或可能引发其他安全事件的,应及时预警处置。

5.事件上报。填写《江南大学网络安全事件报告》,将事态发展变化情况、影响范围和处置情况上报校网信领导小组。

三、Ⅲ级响应

发生较大网络安全事件,由信息化中心启动Ⅲ级响应。

1.事发单位负责人及网络安全人员,第一时间到达现场开展处置工作,保持24小时联络通畅。

2.信息化中心可组织技术力量协助事发单位进行应急处置。

3.处置实施。控制事态防止蔓延,消除隐患,恢复系统,调查取证,预防次生事件发生。

4.事件上报。事发单位填写《江南大学网络安全事件情况报告》,上报信息化中心。

四、Ⅳ级响应

发生一般网络安全事件,由事发单位自行处置,并向信息化中心反馈处置结果。

技术支持:信息化建设管理处

校内备案号:JW备170019

地址:江苏省无锡市蠡湖大道1800号

邮编:214122

联系电话:0510-85916979(16979),85912032(82032)(网络报修)

服务邮箱:netser@jiangnan.edu.cn