同济大学文件
各单位:
《同济大学网络与信息安全管理办法(试行)》经2016年1月18日校长专题会讨论通过,现予以印发,请遵照执行。
同 济 
大 学
同济大学网络与信息安全管理办法(试行)
第一条 为进一步加强学校网络与信息安全工作,预防和减少网络信息安全事件的发生,切实保障校园网络与信息安全,按照 《同济大学信息化建设管理办法》(同信〔2013〕1号)文件的规定,特制定本管理办法。
第二条 学校网络与信息安全工作分为网络安全、信息系统安全(包括网站,以下同)和信息内容安全三个方面。网络安全是指校园网信息基础设施的安全,信息基础设施包括:光纤通信线路、弱电设施设备、网络设备、视频监控设备等;信息系统安全是指承载校内各种应用系统的服务器软硬件的安全;内容安全是指应用系统上发布和存储的具体信息和数据的安全。
第三条 建立健全网络与信息安全组织架构。学校成立“同济大学信息化建设与信息安全领导小组”,由主管信息化建设和信息安全的校领导及党委办公室、校长办公室、宣传部、保卫处、科学技术研究院和信息化办公室等职能部门负责人组成。负责制定网络与信息安全规范与制度,落实与检查网络与信息安全工作,协调处置重大网络与信息安全事件。
第四条 建立网络与信息安全工作责任制。按照“谁主管谁负责,谁运维谁负责,谁使用谁负责”的原则,做好学校网络与信息安全工作。
(一)信息化办公室是学校信息化建设和管理的职能部门,负责网络和信息安全工作的管理和落实。
(二)网络管理中心是学校网络与信息安全的日常管理和技术支撑部门,负责网络与信息安全防护体系的建设、运行维护和管理,同时为全校各单位的网络与信息安全工作提供技术支持和服务。
(三)学校各单位是本单位网络与信息安全工作的责任主体,单位主要负责人是本单位网络与信息安全工作第一责任人,指定分管负责人全面负责本单位的网络信息安全工作,指定专人为单位信息管理员,负责管理和协调本单位的具体网络信息安全工作。
第五条 加强网络与信息安全工作的日常统筹管理。
(一)加强各单位信息系统的安全管理。各单位信息系统应由在职教职工专人负责。各单位信息系统中的网站,特别是可供外网访问的网站须全部纳入学校网站群或虚拟机。各单位自行管理或由学校数据中心托管的服务器将不予开放网站功能。在技术条件允许的情况下,应将信息系统中的网站和应用系统分离,并落实信息系统重要数据的灾备措施,以确保系统和数据安全。各单位须制定信息系统信息上传、更新和发布的审核、监管和应急处置流程,严格审核网站发布内容,合理分配信息发布权限,保证信息发布内容的合法和安全。
(二)建立信息系统的审核准入制度,落实信息系统安全责任制。学校域名服务器将只向校内信息系统的服务器提供域名服务,校园网内信息系统的服务器将只能使用学校的域名。学校具有管理职能单位的信息系统原则上都必须建设在校园网内。所有为信息系统申请服务器的单位均须由单位网络和信息安全的第一责任人、分管负责人和申请人共同签署“同济大学信息系统安全责任书”。由信息化办公室制定具体规范,对新申请的信息系统的必要性、规范性和安全性进行严格审核和检测,确保新上线系统的安全。
(三)建立信息系统安全隐患发现、通报及处置机制。网络管理中心应通过不同方式和渠道,掌握学校各信息系统的安全状况;将信息系统的安全检测工作纳入网络和信息安全日常工作,定期对各单位的信息系统进行安全扫描和检测。通过邮件和短信等方式及时将发现和掌握的安全隐患,通知信息系统的管理人员,并关闭外网访问,要求限时整改。整改不达标或逾期的,经信息化办公室批准,将予以撤销;待整改达标后,须重新申请。
(四)实行信息系统年审制度。信息化办公室将每年对现用的信息系统分批进行系统的时效性、安全性、管理制度的规范、日常运维等情况审核。对长期无人管理、内容不做更新、存在安全隐患、管理制度缺失或无固定的管理和维护人员的信息系统,将予以清理和关闭。
(五)加强对信息系统服务外包的管理。支持和鼓励优先采购安全、成熟和售后服务优良的商业软件或由专业软件开发企业从事各单位信息系统的建设、维护和服务。各单位须在信息化办公室进行软件外包服务商的登记备案,并在各单位和软件外包服务商签订的服务合同中明确安全责任、服务内容、服务方式、服务级别和保密协议等内容。网络管理中心须通过技术管理手段加强对服务提供商服务行为的管理。
(六)加强校园网内计算机终端、无线终端的安全管理。各单位的计算机应使用正版操作系统,口令须定期更换,杜绝弱口令和明文口令。校园网实行全网上网实名认证,禁止使用路由器、代理分发等无法识别上网人员、违反上网实名认证规定的上网方式。
第六条 落实信息系统安全等级保护制度。按照教育部的要求进行信息系统的定级和备案工作,并须依规定定期进行安全等级测评、整改。新建、改建、扩建信息系统应在设计阶段确定安全保护等级并同步建设安全防护措施。
第七条 加强学校网络与信息安全技术保障体系建设,提升网络与信息安全技术管理水平和安全防护能力。
(一)信息化办公室应研究制定学校整体的网络与信息安全技术防护方案,须统筹规划校园网信息系统向外网开放的范围。对于仅供校内教职员工和学生使用且承载大量重要数据和信息的信息系统,应关闭校外直接访问通道,教职员工和学生在校外可使用学校的VPN系统,实名认证后访问。
(二)网络管理中心应建立网络与信息安全管理专职技术团队,落实岗位责任和考核机制。规划建立多层次的校园网安全防护体系,按需配置网络与信息安全防护设备和软件,构建可查、可管、可控的校园网络与信息安全技术支撑环境,加强和完善身份认证威胁识别、入侵检测、漏洞扫描、攻击防护、访问控制、操作审计、灾备恢复等安全技术措施。协助各单位提升网络安全防护能力和水平,全面做好网络与信息安全技术保障和服务工作。
(三)各单位须选拔有管理经验和专业技能的人员从事网络与信息安全工作,加强技术人员的专业培训。根据实际情况,制定和落实安全管理制度和防护措施。
第八条 建立健全网络与信息安全应急处置和通报机制。各单位应制定并完善安全事件的应急处置预案,定期开展应急演练,提高网络与信息安全事件处置能力。重大网络与信息安全事件应及时向信息化办公室报告,并采取措施降低损害程度,防止事件扩大,保存相关日志记录,配合有关部门调查取证。
第九条 加强网络与信息安全的宣传与教育。信息化办公室和网络管理中心应联合相关部门组织开展形式多样、针对性强的全员网络与信息安全教育,提高管理人员、技术人员、开发运维人员、教师的信息安全和防范意识。特别加强学生的网络与信息安全教育,提高学生识别有害信息的能力,引导学生树立科学健康的用网习惯,培养学生规范、合法的网络行为。
第十条 建立责任追究制度。有下列行为之一的,学校将视其情节轻重依据《同济大学教职员工处分暂行规定》及《同济大学教职员工处分暂行规定实施细则》(同人事[2013]39号)追究单位负责人及当事人校内行政责任;给学校造成损失的,追究当事人的民事责任;构成犯罪的,送交国家司法机关处理:
(一)未及时报告和处置安全事件,存在处置不力和瞒报、缓报、整改不力等情况的;
(二)玩忽职守、失职渎职造成严重后果的
(三)师生员工违反网络与信息安全相关管理规定,造成不良后果的。
第十一条 本办法自发布之日起实施,由信息化办公室负责解释。
—