x学院网络信息安全管理办法

第一章 总则

第一条 为了保障x学院校园网络、信息系统和网站的安全稳定，促进学校信息化健康发展，根据国家相关法律法规，并结合我校实际情况，制定本办法。

第二条 网络信息安全是指网络基础设施、网站、信息系统及数据内容等受到保护，保证网络、信息及内容的安全性、完整性、可用性、可控性。

第三条 网络信息安全管理的基本原则是“谁主管谁负责、谁运维谁负责、谁使用谁负责”，分级管理、逐级负责，自主防护、明确责任，统筹规划、同步建设，突出重点、保障安全。

第四条 网络信息安全管理的总体方针是以国家《网络安全法》、国家标准《信息系统安全等级保护基本要求》（GB/T 22239-2008）为指导，预防为主、综合防范。

第五条 网络信息安全管理的目标是建立健全网络信息安全保障体系，提高安全防护能力，确保学校网络信息安全工作规范、有序开展，保障学校信息化可持续发展。

第二章 组织架构

第六条 网络安全和信息化领导小组负责制定学校网络信息安全相关政策，研究处理重大网络信息安全事件，定期召开网络信息安全工作会议，统筹指导学校网络信息安全建设。

第七条 学校网络安全和信息化领导小组下设办公室，挂靠信息化建设与管理处，负责学校网络信息安全的日常工作。

第八条 学校各单位负责本单位网站及应用系统的建设、管理及安全运维。各单位主要负责人是本单位网络信息安全工作的第一责任人。同时，各单位须设置兼职信息管理员，负责本单位网络信息安全具体工作。

第三章 网络信息安全建设

第九条 各单位在制作网站或信息系统的项目预算时，须包含网络信息安全的专项经费，用于该网站或信息系统的安全建设及运维。

第十条 各单位须明确网站或信息系统是否需要对校外开放，对校外开放的网站或信息系统，须满足国家标准《信息系统安全等级保护基本要求》规定的二级（或以上）安全等级要求，各单位明确其网络及信息安全需求，提供安全策略，由信息化处进行防火墙设置。

第十一条 各单位须签署《网络信息安全承诺书》，网站或信息系统在上线前填写《网站及信息系统情况记录表》（附件1），由本单位主要负责人签字确认后，提交信息化处备案。非我校IP地址和域名的“双非”网站或信息系统在上线前，除履行上述程序外，还须分管领导同意，并请校外挂靠平台会签承诺书。

第十二条 信息化处采用专业技术手段对网站或信息系统进行安全检测。检测未通过的须进行安全整改，直至通过检测，网站或信息系统方可上线运行。

第四章 运行管理

第十三条 各单位须定期对本单位的网站及信息系统开展安全巡检，并做好巡检记录，填写《网站及信息系统巡检记录表》（附件2）。对校外开放的网站或信息系统，要求每周巡检一次，对校内开放的网站或信息系统，要求每月巡检一次。

第十四条 各单位须定期对网站及信息系统进行漏洞修补，包括主机系统漏洞、WEB应用漏洞、中间件漏洞、数据库漏洞等。

第十五条 学校将定期对全校的网站及信息系统开展安全检查，检查不合格的网站或信息系统，视其漏洞级别暂停其外网访问，同时通知责任单位限期整改，要求提供整改报告并提交信息化处。经安全复查合格后，方可恢复该网站或信息系统的正常访问。

第十六条 特殊时期，各单位须加强网站及信息系统的安全监管工作，安排专人值守，加强安全巡检，做好安全整改。

第五章 安全事件应急响应

第十七条 安全事件分为紧急事件和普通事件。 第十八条 紧急事件是指：

1、可由校外访问的页面发生篡改或被替换成非法信息的事件，尤其是发生在主页、新闻网站、招生信息网等访问量高的系统或网站的事件。

2、影响学校系统正常运转的攻击事件，如与服务门户、教务系统、财务系统、办公自动化系统相关的攻击事件。

3、可能造成师生隐私信息被窃取、丢失、损坏的漏洞。 4、其它可能对社会公共安全或学校造成危害或不良影响的事件或漏洞。

第十九条 普通事件是指：

1、对校内开放系统或网站的页面发生无害篡改或有隐藏漏洞。

2、影响不大的攻击事件或可能造成中低隐患的漏洞。 3、其他不构成公共危害或社会不良影响的安全事件或漏洞。

第二十条 网络信息安全事件应急响应流程如下： 1、信息化处接到安全事件通报，通过沟通协调，结合技术手段，获取事件截图等相关证据。

2、信息化处核实事件类别，发起处理流程。 3、若事件为紧急事件，信息化处第一时间向分管信息化工作校领导汇报，同时通报责任单位相关情况及事件证据，并关闭相关网站或信息系统的访问权限，以降低不良影响。若涉及到意识形态领域的非法信息，还需要向党委宣传部通报。若事件为普通事件，则此环节略过。

4、信息化处指导分析事件原因，并提供整改建议。 5、责任单位对网站或信息系统进行安全修复，并提交整改报告。

6、信息化处对修复后的网站或信息系统进行安全复查，复查通过后恢复其访问权限。

第二十一条 各单位须制定本单位的网站及信息系统安全应急预案，并定期进行安全应急演练。

第六章 附则

第二十二条 涉密网络信息系统的运行安全保护工作不适用本管理办法。

第二十三条 本管理办法自发布之日起施行。 附件：1. 网络信息安全承诺书 2．网站及信息系统情况记录表 3．网站及信息系统巡检记录表

附件1：

网络信息安全承诺书

本单位郑重承诺遵守本承诺书的所列事项，对所列事项负责，如有违反，由本单位承担由此带来的相应责任。

一、本单位承诺遵守《网络安全法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际互联安全保护管理办法》、《信息安全等级保护管理办法》及《x学院网络信息安全管理办法》等相关法律法规和行政规章制度。

二、本单位承诺掌握本单位及下属机构、团队及学术会议、专业协会等利用校园网络主办开通网站、信息系统及以本单位及相关名义设立微信公众号、微博、群组等情况。

三、本单位保证不利用网络危害国家安全、泄露国家秘密，不侵犯国家的、社会的、集体的利益和第三方的合法权益，不从事违法犯罪活动。

四、本单位承诺完善本单位的信息安全管理工作，建立健全信息技术安全责任制和网络信息管理责任制，完善相关规章制度、操作规程，责任落实到人。

五、本单位承诺加强本单位的网站及信息系统安全保障，安排专人定时巡检，数据实现定时备份。

六、本单位承诺未经学校批准，不利用校园网架设开通网站和信息系统对校内外提供服务。

七、本单位承诺加强终端计算机和网络设备安全，规范操作人员的使用行为。

八、本单位承诺规范本单位数据采集和使用，保障数据安全。

九、本单位承诺当信息系统发生信息技术安全事件，迅速进行报告与处置，将损害和影响降到最小范围，并按照要求及时进行整改。

十、若违反本承诺书有关条款和国家相关法律法规的，本单位愿承担责任。

十一、本承诺书一式两份，学校和本单位各留存一份。 十二、本承诺书自签署之日起生效。 主要负责人（签字）：单位盖章

年月日

附件2：

网站及信息系统情况记录表

一、基本信息 名称 类型 ○ 网站○ 应用系统○ 其他_______ 域名IP地址 （站群建站无需填写） 信息 操作系统 （站群建站无需填写） 数据库 （站群建○Oracle○SQL-Server○Sybase○Foxpro 站无需填○DB2○ACCESS○其他________ 写） ○ 物理服务器自行管理 ○ 物理服务器机房服务器情托管 况 ○ 虚拟服务器○其他________ 部署地点 ○ 校内○ 校外 二、安全策略 对外开放（默认80） 端口 ○ 是○否 是否允许 [如允许，请阐述原因]： 校外访问 三、管理人员信息（必须为学校在职人员） 责任人 手机 QQ号 邮箱 所属单位 四、单位审核意见 单位意见 签字（盖章）___________ _______年_____月____日 附件3：

网站及信息系统巡检记录表

单位名称 巡检人员 名称 检查时间 部署地点 检查类别 检查内容 服务器设备状况 硬盘运行状况 系统巡查 操作系统状况 系统防火墙状况 中间件运行状况 数据库运行状况 业务巡查 服务运行状况 业务运行状况

检查结果 □正常 常 □正常 常 □正常 常 □正常 常 □正常 常 □正常 常 □正常 常 □正常 常 备注 □异 □异 □异 □异 □异 □异 □异 □异