國(guó)家開(kāi)放大學(xué)網(wǎng)絡(luò)安全管理規(guī)定 (試行)

瀏覽次數(shù):

第一章          總 則

第一條     為落實(shí)國(guó)家和教育部對(duì)網(wǎng)絡(luò)安全提出的一系列要求,建立網(wǎng)絡(luò)安全長(zhǎng)效機(jī)制,確保學(xué)校信息系統(tǒng)安全,根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(國(guó)務(wù)院147號(hào)令)、《信息安全等級(jí)保護(hù)管理辦法》(公通字〔2007〕43號(hào))等法律法規(guī),制定本規(guī)定。

第二條     本規(guī)定涵蓋的網(wǎng)站和信息系統(tǒng)是以國(guó)家開(kāi)放大學(xué)為主辦單位的網(wǎng)站和信息系統(tǒng)。

第三條     網(wǎng)絡(luò)安全工作遵照“誰(shuí)主管,誰(shuí)負(fù)責(zé);誰(shuí)運(yùn)維,誰(shuí)負(fù)責(zé)”的原則,各司其責(zé),建立事前防御、事中監(jiān)測(cè)、事后審計(jì)的信息安全保障機(jī)制。

第二章 網(wǎng)絡(luò)安全管理組織機(jī)構(gòu)及其職責(zé)

第四條     學(xué)校設(shè)立網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組,負(fù)責(zé)統(tǒng)籌、部署、監(jiān)督和協(xié)調(diào)國(guó)家開(kāi)放大學(xué)的網(wǎng)絡(luò)安全總體工作,組長(zhǎng)由校長(zhǎng)擔(dān)任。網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組的具體職責(zé)包括:

一、 確定網(wǎng)絡(luò)安全工作的總體方向和目標(biāo),制定和發(fā)布信息系統(tǒng)安全發(fā)展規(guī)劃;

二、 監(jiān)督網(wǎng)絡(luò)安全建設(shè)、管理和運(yùn)行工作;

三、 指揮、協(xié)調(diào)和審查重大信息安全事件的處理;

第五條     網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組下設(shè)網(wǎng)絡(luò)安全工作小組,作為學(xué)校信息安全工作的日常管理執(zhí)行機(jī)構(gòu),負(fù)責(zé)落實(shí)各項(xiàng)網(wǎng)絡(luò)安全工作,組長(zhǎng)由信息化部負(fù)責(zé)人擔(dān)任。具體職責(zé)包括:

一、 貫徹執(zhí)行上級(jí)機(jī)關(guān)和學(xué)校網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組的決議和工作部署;

二、 制定和落實(shí)學(xué)校網(wǎng)絡(luò)安全管理制度以及信息安全策略;處理信息系統(tǒng)建設(shè)、管理和運(yùn)行中的安全問(wèn)題;

三、 組織協(xié)調(diào)信息安全事件應(yīng)急處置和相關(guān)恢復(fù)工作;

四、 組織協(xié)調(diào)開(kāi)展信息安全等級(jí)保護(hù)工作;

五、 指導(dǎo)分部開(kāi)展信息安全工作;

六、 開(kāi)展信息安全檢查和培訓(xùn)工作;

七、 完成網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組交辦的其他工作。

第三章 網(wǎng)絡(luò)與信息系統(tǒng)安全責(zé)任制

第六條     學(xué)校的網(wǎng)絡(luò)與信息系統(tǒng)安全實(shí)行一把手責(zé)任制。網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組組長(zhǎng)全面負(fù)責(zé)學(xué)校的網(wǎng)絡(luò)安全工作;網(wǎng)絡(luò)安全工作小組組長(zhǎng)承擔(dān)日常的網(wǎng)絡(luò)安全管理工作;信息系統(tǒng)的主管部門(mén)和運(yùn)維部門(mén)是安全工作的責(zé)任主體,部門(mén)負(fù)責(zé)人須簽訂相應(yīng)的安全責(zé)任書(shū)。信息系統(tǒng)建設(shè)與運(yùn)維須遵照《國(guó)家開(kāi)放大學(xué)信息系統(tǒng)建設(shè)運(yùn)維管理規(guī)定》執(zhí)行。

一、主管部門(mén)須簽署《信息系統(tǒng)主管安全責(zé)任書(shū)》,負(fù)責(zé)所主管信息系統(tǒng)的管理和信息發(fā)布審核等工作,監(jiān)督運(yùn)維單位保障信息系統(tǒng)特別是內(nèi)容安全。運(yùn)維單位或部門(mén)須簽署《信息系統(tǒng)運(yùn)維安全責(zé)任書(shū)》,負(fù)責(zé)信息系統(tǒng)的技術(shù)運(yùn)維以及基礎(chǔ)設(shè)施的安全運(yùn)維。

二、如果信息系統(tǒng)發(fā)生安全事件并被上級(jí)機(jī)關(guān)通報(bào)批評(píng),相關(guān)主管、運(yùn)維部門(mén)負(fù)責(zé)人年終考核不合格;如果發(fā)生重大或特別重大信息安全事件,學(xué)校對(duì)相關(guān)主管、運(yùn)維部門(mén)負(fù)責(zé)人給予相應(yīng)處罰。如由合作公司造成安全事件,按照合同約定進(jìn)行處理。

第七條     信息系統(tǒng)在立項(xiàng)建設(shè)階段須確定安全保護(hù)等級(jí),系統(tǒng)的建設(shè)方案中包含按照等級(jí)保護(hù)要求設(shè)計(jì)的安全保護(hù)方案,系統(tǒng)的安全保護(hù)建設(shè)遵循“同步規(guī)劃、同步建設(shè)、同步使用”原則,主管部門(mén)須在上線(xiàn)前提交安全保護(hù)等級(jí)定級(jí)報(bào)告與備案表,同時(shí)按照要求填報(bào)相關(guān)信息。

第八條     安全保護(hù)等級(jí)為二級(jí)及以上的信息系統(tǒng)在上線(xiàn)時(shí)須達(dá)到相應(yīng)安全保護(hù)等級(jí)要求。信息系統(tǒng)主管部門(mén)有責(zé)任督促項(xiàng)目承建單位按照等級(jí)保護(hù)要求進(jìn)行安全加固與評(píng)估。在信息系統(tǒng)驗(yàn)收時(shí)須提交安全評(píng)估報(bào)告,未達(dá)到相應(yīng)安全等級(jí)要求的信息系統(tǒng)不能通過(guò)驗(yàn)收。

第九條     如系統(tǒng)被攻擊或被通報(bào)存在安全漏洞,信息化部將根據(jù)情況采取封閉IP地址/端口和關(guān)停網(wǎng)站等措施,責(zé)成相關(guān)單位進(jìn)行整改,直至整改符合要求為止。

第十條     網(wǎng)站主管部門(mén)負(fù)責(zé)監(jiān)督和審核網(wǎng)站所發(fā)布的內(nèi)容,教師須確保上傳的網(wǎng)絡(luò)課程資源不含非法或其他不當(dāng)內(nèi)容。

第十一條        安全保護(hù)等級(jí)為二級(jí)及以上的信息系統(tǒng)在建設(shè)或運(yùn)維時(shí)若涉及第三方單位或人員,信息系統(tǒng)主管部門(mén)應(yīng)負(fù)責(zé)與具有獨(dú)立法人資格的第三方單位簽署委托服務(wù)合同和信息安全保密協(xié)議,同時(shí)第三方單位須與核心運(yùn)維人員簽署信息安全保密協(xié)議,并報(bào)信息化部。

第四章 信息安全事件應(yīng)急響應(yīng)與處置

第十二條        按照教育部辦公廳印發(fā)的《信息技術(shù)安全事件報(bào)告與處置流程(試行)》要求,成立信息安全應(yīng)急響應(yīng)小組,對(duì)信息安全事件進(jìn)行應(yīng)急響應(yīng)。應(yīng)急響應(yīng)小組由網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組組長(zhǎng)、網(wǎng)絡(luò)安全工作小組組長(zhǎng)、相關(guān)信息系統(tǒng)主管負(fù)責(zé)人和運(yùn)維負(fù)責(zé)人等組成。

第十三條        網(wǎng)絡(luò)安全工作小組對(duì)信息安全事件的應(yīng)急響應(yīng)進(jìn)行協(xié)調(diào)、處置和管理。一旦發(fā)生安全事件,運(yùn)維或使用部門(mén)應(yīng)第一時(shí)間采取斷網(wǎng)等有效措施進(jìn)行處置,保留現(xiàn)場(chǎng),報(bào)告至本部門(mén)安全負(fù)責(zé)人及網(wǎng)絡(luò)安全工作小組,確定安全事件級(jí)別。

第十四條        安全事件根據(jù)其作用對(duì)象的重要程度和影響程度的不同分為四個(gè)等級(jí):特別重大事件(I級(jí))、重大事件(II級(jí))、較大事件(III級(jí))和一般事件(IV級(jí))。

特別重大事件(I級(jí))是指能夠?qū)е绿貏e嚴(yán)重影響或破壞的信息安全事件;重大事件(II級(jí))是指能夠?qū)е聡?yán)重影響或破壞的信息安全事件;較大事件(III級(jí))是指能夠?qū)е螺^嚴(yán)重影響或破壞的信息安全事件;一般事件(IV級(jí))是指能夠?qū)е螺^小影響或破壞的信息安全事件。

第十五條        網(wǎng)絡(luò)安全工作小組接到安全事件報(bào)告后,應(yīng)立即組織技術(shù)人員趕赴現(xiàn)場(chǎng)進(jìn)行處置,同時(shí)將相關(guān)情況上報(bào),涉及人為破壞事件應(yīng)及時(shí)報(bào)告網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組,若有必要,經(jīng)核準(zhǔn)后報(bào)送當(dāng)?shù)毓矙C(jī)關(guān)處理。

第十六條        安全事件的事中情況報(bào)告和事后整改報(bào)告由網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組責(zé)成相關(guān)部門(mén)填寫(xiě)。安全事件的事中情況報(bào)告應(yīng)在安全事件發(fā)生8小時(shí)內(nèi)以書(shū)面報(bào)告的形式報(bào)送,安全事件的事后整改報(bào)告應(yīng)在安全事件處置5個(gè)工作日內(nèi)以書(shū)面形式報(bào)送。對(duì)于較大、重大和特別重大安全事件,報(bào)送教育部科技司。

第十七條        信息系統(tǒng)主管部門(mén)及基礎(chǔ)設(shè)施運(yùn)維部門(mén)應(yīng)設(shè)立安全員,保證在發(fā)生安全事件時(shí)能夠及時(shí)聯(lián)系到安全員。

第五章 附 則

第十八條        涉及分部、學(xué)院的網(wǎng)絡(luò)安全相關(guān)管理辦法另行制定。

第十九條        本規(guī)定由國(guó)家開(kāi)放大學(xué)負(fù)責(zé)解釋、修訂。

第二十條        本規(guī)定自發(fā)布之日起執(zhí)行。


附錄:1.信息系統(tǒng)主管安全責(zé)任書(shū)

2.信息系統(tǒng)運(yùn)維安全責(zé)任書(shū)

3.信息安全事件報(bào)告表

國(guó)家開(kāi)放大學(xué)網(wǎng)絡(luò)安全管理規(guī)定 (試行).docx