各学院(单位)、各部门:
《中华人民共和国网络安全法》已于2017年6月1日正式施行。为全面贯彻落实《中华人民共和国网络安全法》,根据教育部《教育行业网络安全治理活动方案》精神要求,为进一步做好我校网络安全治理工作,经学校研究决定制定《江南大学2017年网络安全治理活动方案》,现予公布,请遵照执行。
校长办公室
2017年6月13日
江南大学2017年网络安全治理活动方案
为全面贯彻党中央、国务院关于网络安全的统筹部署,落实《中华人民共和国网络安全法》,迎接党的十九大胜利召开,在教育部网络安全和信息化领导小组的统一部署下,《教育行业网络安全治理活动方案》要求2017年3月至8月间,开展以“治乱、堵漏、补短、规范”为目标的网络安全治理活动。为落实好方案相关要求,进一步做好我校网络安全治理工作,经学校研究决定制定本方案。
一、网站内容治理
(一)严格落实网站统一标识工作
根据《党政机关网站开办审核、资格复核和网站标识管理办法》和无锡市公安局要求,完成网站开办审核、资格复核和挂标工作。学校主站完成工信部ICP备案和公安机关备案。提供对外服务的网站完成校内备案。(责任单位:校长办公室、信息化建设与管理中心、宣传部,2017年6月初前完成)
(二)加强网站信息发布管理
各学院(单位)、各部门应全面检查所属网站的信息发布情况,如发现发布的信息中存在法律和行政法规禁止发布或传输的、政治导向错误的、涉及个人隐私的、涉及学校及各单位秘密的信息,应采取删除或更正等措施立即整改。信息发布应明确责任人,要建立审核制度和流程。加强对电子邮箱的管理,学校将对非在职人员电子邮件账号予以停用并注销,对于非活跃邮箱予以暂时停用。邮箱用户须及时设置满足邮箱密码复杂度要求的密码,并定期更改。对于部门邮箱,须使用最高复杂度的密码,建立严格定期更改的制度。一旦发现密码被盗,须立即向信息化建设与管理中心反馈并重置密码。(宣传部、信息化建设与管理中心牵头,各学院(单位)、各部门,2017年6月初前完成)
(三)开展学校网站域名清理工作
目前全校已累计申请jiangnan.edu.cn二级域名513个,其中,存活的域名有389个,部分有域名的网站无人维护但还继续提供访问服务。学校将清理在用和不再使用的域名和IP地址,失效网站及时下线并释放相关资源,对确实需要继续使用的域名,须进行再备案。(信息化建设与管理中心牵头,各学院(单位)、各部门,2017年8月底完成)
二、网络安全漏洞治理
(一)全面检测网络安全威胁
所有信息系统的访问应采用最小化原则。各学院(单位)和部门应定期检查和检测本单位所有并运维的信息系统,确保网络信息安全。学校将对各单位的信息系统及网站开展常态化检测,对发现有漏洞、后门、暗链、弱口令等安全威胁的信息系统(网站)将立即下线并通报给相关单位,修复整改且确认问题解决后再予以上线。(信息化建设与管理中心牵头,各学院(单位)、各部门,每月)
(二)及时处理应用软件及系统的安全风险
各学院(单位)和部门须及时关注业务活动和教学活动中所使用的应用软件安全情况,及时升级、修补漏洞。(各学院(单位)、各部门,每月)
三、开展三级等保测评
(一)加快完成定级备案
按照《教育部 公安部关于全面推进教育行业信息安全等级保护工作的通知》、《关于建立信息系统安全等级保护制度和程序》的要求,学校完成网站群等关键信息系统的第三级等级保护定级备案工作,完成一批重要信息系统的第二级等级保护定级工作。(责任单位:信息化建设与管理中心,2017年6月初完成)
(二)有序推进测评整改
对定级和备案的等级保护系统开展网络安全等级测评及整改工作。重点加强对关键信息基础设施的保护,明确安全管理负责人,制订专门应急预案,完成年度测评工作,深入查找薄弱环节并及时整改。(责任单位:信息化建设与管理中心、图书馆、财务处、教务处,2017年10月底完成)
四、规范网络安全长效管理
(一)加强和规范数据管理
出台《江南大学数据管理办法》,规范数据采集、存储、使用和开放共享,对于重要的数据进行加密存储和传输,建立容灾备份。(责任单位:信息化建设与管理中心,2017年8月底完成)
(二)加强校内关键信息基础设施规范管理
开展DNS、DHCP、门户网站、统一身份认证、网络核心设备等校内关键信息基础设施专项检查和安全评估。制定校内关键信息基础设施管理和防护规范。(责任单位:信息化建设与管理中心,2017年底前完成)
(三)加强网络和信息安全管理
出台《网络信息安全管理办法》,规范用户管理、安全管理和运维管理,提高网络信息安全水平。(责任单位:信息化建设与管理中心,2017年底前完成)
(四)健全网络安全事件应急响应机制
研究制定信息安全事件应急预案,建立安全事件分级响应、跨部门协同处置的工作机制。加强应急处置队伍建设,落实重要时期网络安全24小时值班制度,定期开展安全演练,提高学校各信息系统(网站)应急处置水平。(责任单位:信息化建设与管理中心、党委办公室、校长办公室,2017年底前完成)
(五)网络安全宣传和培训
积极组织开展网络信息安全宣传和培训工作。利用校园门户、微博微信新媒体等多种方式普及网络信息安全相关知识。加强《中华人民共和国网络安全法》的宣传普及工作。(责任单位:信息化建设与管理中心、宣传部、党委办公室、校长办公室,每月)
