网络信息安全管理总则

一、依据

(一)《信息安全等级保护制度》，公安部公通字[2007]43号。（https://wenku.baidu.com/view/11ebd38a4793daef5ef7ba0d4a7302768e996feb.html）

(二)《浙江省教育信息化建设工程实施办法》，百度文库【2018.10.7】。（https://wenku.baidu.com/view/c077f58448649b6648d7c1c708a1284ac9500517.html）

(三)《宁波职业技术学院信息化建设管理办法》。

二、目的

阐明网络安全建设和管理的基本原则，为网络安全管理实践提供策略方向和政策支持，保障宁波职业技术学院网络及信息系统安全运行。建立健全网络信息安全保障体系，提高安全防护能力，确保学校网络与信息安全工作规范、有序开展，为网络安全管理提供制度保障。加强学校网络与信息系统的安全防护，确保网络基础设施、网站、信息系统及数据内容等受到保护，提高系统的安全性、完整性、可用性和可控性。

三、适用范围

(一)宁波职业技术学院拥有、控制、管理和使用的所有硬件、软件、信息、服务等信息资产。

(二)与以上信息资产相关的宁波职业技术学院所有部门和人员，以及有关的第三方机构或人员。

(三)学校范围内的网络及信息系统的建设、运营、维护和使用行为，在互联网上以宁波职业技术学院名义进行的网络及信息系统的建设、运营、维护和使用行为。

四、工作方针

(一)高度重视网络信息安全，了解安全需求，对网络信息系统进行风险评估，通过科学的方法和持续的改进，增强学校抵抗网络安全风险的能力。开展全员网络信息安全教育培训，了解网络信息安全管理规定。根据“谁主管，谁负责；谁运行，谁负责”的原则，将网络信息安全纳入绩效考核体系。

(二)采用成熟的标准（ISO27001、ITIL、COBIT等）指导网络安全实践。 不断积累完善各类安全管理策略和办法，提高网络安全管理水平。对网络及信息系统建设、运行、维护、废止全过程进行安全监控，定期开展风险评估，根据风险状况及时调整安全管理策略和方法。

五、管理主体

(一)党办校办、党委宣传部负责网络信息内容安全工作。包括学校网站内容管理，审核门户网站的信息发布、转载和链接，学校新媒体内容管理及学校网络舆情监控、引导。

(二)信息资源中心处负责网络信息安全技术工作。包括网络及信息系统安全事件报告与处置，组织开展网络安全检查和培训，建立健全网络信息安全防护体系。

(三)学校各单位主要负责人为本单位网络与信息安全工作的第一责任人，负责本单位信息化建设和网络信息安全工作。

(四)各单位设置网络信息安全管理员，负责本单位网络信息安全工作的具体实施。

六、安全保障措施

(一)校园网络安全保障。校园网络与互联网实行逻辑隔离，由信息资源中心统一出口、统一管理和统一防护。未经批准，学校各单位在校园内不得擅自通过其他渠道接入互联网。校园各区域的网络设备由信息资源中心统一管理，未经批准，任何人不得登录、修改交换机、路由器和服务器等。应采取各种有效措施加强校园网络边界防护。师生员工接入校园网络，实行“实名注册、认证上网”制度。接入校园网的计算机房、电子阅览室等场所禁止对社会开放。

(二)信息系统安全保障。信息系统应使用统一门户、统一数据库、统一认证等学校统一的软硬件平台。信息系统使用者应当落实管理和技术措施，规范数据的收集、存储、传输和使用，确保数据安全。信息系统不得收集与信息系统业务服务无关的个人信息。信息资源中心负责学校核心信息系统的备份与恢复管理。信息系统服务器实行集中化管理。财务管理系统、校园一卡通管理系统等涉及校内资金管理的信息系统应搭建专用的软硬件平台和专用的传输网络，实现与校园网的物理隔离，确保系统运行环境安全。信息系统在规划设计和建设时，应按照等保级别，同步进行网络信息安全的规划设计和建设。

(三)学校网站安全保障。学校各单位的网站，应使用学校的互联网域名和互联网IP地址。信息资源中心统一建设学校网站站群平台并负责平台上网站的技术安全。各单位的宣传类、门户类网站应使用网站站群平台，以减少网站安全漏洞，提升网站的安全防护能力。网站开办单位应安排专人对网站进行安全监测，发现网站运行异常及时处置。网站的内容安全由网站开办单位负责，应建立网站信息发布审查制度，保存相关操作记录。

(四)电子邮件安全保障。信息资源中心为学校各单位和师生员工提供电子邮箱服务，并负责学校电子邮件的安全管理。信息资源中心应采取必要的技术和管理措施，加强电子邮件系统安全防护，减少垃圾邮件、病毒邮件侵袭。各单位和师生员工应妥善保管邮箱账号和密码，要对使用自己邮箱帐号开展的所有活动负责。

(五)终端电脑安全保障。按照“谁使用，谁负责”的原则，终端计算机使用人，应对其终端负有保管和安全使用的责任。信息资源中心对终端计算机的安全管理提供技术支持和指导。终端计算机设备上安装、运行的软件应为正版软件。在终端上使用盗版软件带来的安全和法律责任由终端使用人承担。终端计算机应当设置系统登录账号和密码。终端计算机使用人应做好数据日常管理和保护，定期进行数据备份。非涉密计算机不得存储和处理涉密信息。终端使用人应做好终端计算机的安全防范，如发现可能由病毒或攻击导致的异常行为，应立即断网处置。

七、安全管理制度

(一)安全等级备案。校内各单位主办的各类网站及信息系统，应统一向信息资源中心登记备案，并配合信息资源中心完成向省网信办等上级部门的信息安全等级保护定级备案。

(二)上线安全审查。校内各单位网站或信息系统在上线前，必须开展安全自查工作，并请第三方软件测评机构进行软件代码审计。信息资源中心应对申请上线的网站和信息系统进行安全检查，使用漏洞扫描设备对网站和信息系统进行主机服务器和WEB应用服务安全扫描。对于存在安全风险或审计不通过的系统不予上线。申请上线的系统应标明系统使用期限，对于短期使用的网站和信息系统，在使用期限到期后将自动关闭。

(三)安全监测评估。信息资源中心对校内网站和信息系统进行日常安全管理，根据网站和信息系统的安全防护级别，定期进行安全扫描和风险评估。对于存在高风险的网站和信息系统，将停止其互联网访问，相关单位应及时修复。对于出现严重安全事件的网站和信息系统，将立刻关闭并责令整改。

(四)信息安全保密。有外包服务的单位应与服务提供商签订网络信息安全与保密协议，明确网络信息安全与保密责任。

(五)信息安全年审。校内网站和信息系统实行年审制，每年定期对网站和信息系统备案情况进行核查。在年审过程中，超过规定期限没有进行备案信息确认的网站和信息系统，将被视为无人维护，进行关闭处理。

(六)安全事件处理。各单位发现网络与信息安全事件要及时报告、处置，堵塞有害信息，及时解决信息安全漏洞问题，保障校园信息安全。

八、人员管理

(一)学校各单位应建立本单位信息安全岗位责任制度，明确岗位及人员的信息安全责任。关键岗位的计算机使用和管理人员应签订信息安全与保密协议。

(二)加强人员离岗、离职管理，规范人员离岗、离职过程，及时终止相关人员的网站和信息系统访问权限，收回学校提供的软硬件设备。

(三)定期对网络信息安全岗位人员进行安全知识技能培训。

(四)应建立外部人员访问机房等重要区域的审批制度，外部人员须经审批后方可进入，并安排工作人员现场陪同，对访问活动进行记录和保存。

(五)未经批准，任何单位和个人不得私自利用校园网络建立网站、论坛、信息系统等，不得利用校园网对外提供商业服务或提供非法网站链接，不得擅自安装拆卸、改变网络设施。

九、教育培训

(一)学校信息化建设管理委员会负责规划全校网络与信息安全宣传和培训工作。

(二)信息资源中心定期组织开展针对师生员工的网络信息安全教育，提高师生员工的安全防范意识。

(三)信息资源中心定期开展针对网络信息安全管理人员和技术人员的专业技能培训，提高网络信息安全工作能力和水平。

十、责任追究

(一)有关单位在收到网络信息安全限期整改通知书后，整改不力的，学校给予通报批评；玩忽职守、失职渎职造成严重后果的，依纪依法追究相关人员的责任。

(二)各单位发生网络信息安全事故，应及时处置，实报告。如有瞒报、缓报、处置和整改不力等情况，学校给予通报批评；玩忽职守、失职渎职造成严重后果的，依纪依法追究相关人员的责任。

(三)师生员工有违反本管理总则的，由信息资源中心责令改正，拒不改正或者导致危害网络信息安全等严重后果的，给予纪律处分，触犯法律的，移交司法机关处理。

十一、附則

(一)本管理总则经校长办公会审议通过后公告实施，修正时亦同。

(二)本管理总则解释权归信息资源中心，此前的相关规定如与本管理总则发生矛盾，按本总则执行。