第一章 总则
第一条 为加强学校内信息技术管理与规范,完善学校治理结构,提高信息技术治理水平,特制定本管理办法。
第二条 信息系统安全治理是指学校在运用信息技术过程中,制定的有关信息系统安全决策权分配和责任承担的框架,主要包括在信息系统安全原则、信息系统安全架构、信息系统安全基础设施、信息系统安全应用和信息系统安全投入五个方面制定相关制度并建立有效工作机制,实现信息系统安全决策的责任和权力的有效分配与控制,提高信息系统安全资源的有效性、可用性和安全性。
第三条 信息系统安全治理是学校治理的重要组成部分,学校通过建立有效的信息系统安全治理机制,持续巩固和提升信息系统安全能力,保持信息系统安全与业务目标一致,合理利用信息系统安全资源,有效管理信息系统安全风险,确保学校信息系统建设和运行的安全、高效、稳定,确使信息系统安全能力成为提升学校服务能力的助推器。
第四条 本方案适用于学校所有与信息系统安全相关的所有活动。
第二章 组织机构与职责
第五条 学校成立计算机信息系统安全工作领导小组,领导小组下设图书情报信息中心。图书情报信息中心主要负责人是落实计算机信息系统安全管理制度的第一责任人。
第六条 图书情报信息中心负责制定全学校计算机信息系统安全管理的办法和规定,协调和处理全学校有关计算机信息系统安全的重大问题。
第七条 学校图书情报信息中心负责全学校计算机信息系统安全的监督、安全事故的侦查和处罚;负责制定本学校计算机信息系统安全管理制度、技术规定、控制措施等,并检查执行情况;负责对计算机病毒感染的预防、检测和清除;负责定期维护计算机软件和数据、对重要信息定期进行检查和备份;负责制定计算机信息系统安全管理办法的实施细则和技术规范,并督促执行。与人事部协同组织对计算机信息系统安全管理人员的培训;开展计算机信息系统安全宣传教育。
第八条 学校分管信息化工作的负责人和信息技术管理人员,必须在接受专门的计算机信息安全培训后,方能从事计算机信息安全管理工作。
第三章 信息安全治理原则和目标
第九条 信息系统安全原则是指导学校有效运用信息系统安全来实现学校服务目标的基本方针。根据学校服务目标,确定学校信息系统安全原则如下:
1. 满足和推动服务业务发展;
2. 对新应用快速实现;
3. 信息系统安全架构完整、统一;
4. 数据集中、信息共享;
5. 控制成本,提高工作效率;
6. 利用国家标准规范学校管理;
第十条 为有效开展信息系统安全治理工作,确保学校能够利用信息系统安全增强服务能力。根据学校运营规划,确定学校信息系统安全治理目标如下:
1. 明确信息系统安全决策的权力和责任;
2. 实现技术和业务的有效匹配;
3. 实现信息系统安全资源的最优配置;
4. 实现信息系统安全风险的可管可控。
第十一条 图书情报信息中心制定公开、可行的信息系统安全治理流程,建立学校业务与信息系统安全之间清晰的联系框架,采取有效措施,使学校管理层和各相关部门的人员了解并认同学校的信息系统安全原则和治理目标。
第十二条 图书情报信息中心根据学校发展需要组织制定信息系统安全规划。信息系统安全规划应与学校发展保持一致,符合学校运营对信息系统安全的要求,并使技术和业务部门能正确地理解和把握学校对信息系统安全的要求。
第十三条 信息系统安全规划在有效性、可用性和安全性方面应满足学校可预见的业务发展要求,应在容量、性能和安全保障方面做出规定。
第四章 信息系统安全措施
第十四条 不得收集、研究、编制、复制、传播计算机病毒,发现计算机病毒要及时向学校图书情报信息中心报告。
第十五条 不得在计算机及网络上制作、查阅、复制、传播或执行违反国家法律法规和学校部署有关规定、危害国家和学校安全的软件或信息。
第十六条 不得在计算机及网络上制作、查阅、复制、传播或执行含有宣扬封建迷信、淫秽色情、凶杀、教唆犯罪等危害社会治安秩序内容的信息。
第十七条 不得利用电子公告服务制作、复制和传播谩骂、侮辱或诽谤学校和个人的信息。
第十八条 涉及国家或学校机密的信息,必须采取有效的保密措施,按照有关保密规定进行采集、存储、处理、传输、使用和销毁。重要信息必须从物理上进行隔离,并根据需要进行必要的数据加密。
第十九条 对计算机机房及其它重要区域须建立出入制度。
第二十条 对关键应用系统及数据的修改和备份须建立审批制度、日志管理制度、安全审计制度、系统备份制度。
第二十一条 建立帐户、密码的管理制度,严格管理操作系统、重要信息应用系统的用户口令和访问权限,建立和健全系统访问日志,保证信息共享的安全性。
第二十二条 在网络上开展电子公告服务的学校,必须对用户实行帐户管理和建立相应的信息管理制度。申请帐户需填写提供真实姓名和所在部门等资料,经一定的核实程序,方能成为电子公告服务的合法用户。
第二十三条 对服务器系统软件和个人计算机操作系统须及时进行版本升级或安装补丁程序,杜绝系统级的安全漏洞。
第二十四条 建立计算机网络病毒防治系统和计算机病毒预防、发现、报告及清除管理制度。
第二十五条 计算机机房应符合国家标准和其它有关规定,必须有防火、防盗、防水、防静电、防雷击、防鼠害等安全措施。在计算机机房附近施工,不得危害计算机的安全。
第五章 信息系统安全体系
第二十六条 一个全方位的计算机网络安全体系结构包含网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全等。充分利用各种先进的主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术,在攻击者和受保护资源间建立多道严密的安全防线,增加恶意攻击的难度,并增加审计功能,利用这些审核信息可以跟踪入侵者。
网络安全五层体系 |
安全技术、建议 |
应对措施 |
网络安全 |
防火墙、网络监管系统、访问控制系统 |
建立完善的网络访问控制措施,安装防火墙对敏感设备和数据建立必要的隔离措施 |
加强主机本身的安全,对主机进行安全监管,对系统资源的访问进行有效控制 |
对局域网内部的服务器群组进行访问控制、入侵防御等安全措施 |
|
系统安全 |
入侵检测系统 |
基于内容实时对网络活动进行检测,并能对非法访问及时阻断 |
通过检测中发现的漏洞,及时发现网络中存在的安全隐患 |
对网络中的异常流量以及蠕虫病毒进行准确地定位,及时地报警,维护网络的正常运行 |
|
账号安全 |
互联网安全认证接入系统 |
对网络用户的身份进行认证,保证内部任何访问的合法性 |
使用集中管理,防止因不安全密码泄漏带来的安全威胁 |
|
内容安全 |
内容审计系统 |
|
第六章 信息系统安全监督和处罚
第二十七条 所有使用计算机的人员应积极配合学校图书情报信息中心对计算机安全事故的查处。
第二十八条 图书情报信息中心应定期检查计算机的使用安全情况,发现有安全隐患的,应及时责成和协助使用部门或个人进行整改。
第二十九条 对计算机信息系统安全隐患严重,又不采取整改措施的,图书情报信息中心有权责令其停机整改。
第三十条 对于利用电子公告服务制作、复制和传播谩骂、侮辱或诽谤学校和个人信息的,将依据学校有关规定和国家有关法律追究当事人的责任。
第三十一条 发生其它计算机信息系统安全事故的责任人或当事人将给予行政处分,情况严重的,移交公安机关惩处。
第七章 附则
第三十二条 本方案由图书情报信息中心负责解释。
第三十三条 本方案自发布之日起执行。
