一、总则
第一条 为了加强对本校重要信息系统和网站的安全保护,维护社会稳定,发挥信息系统和网站在教育宣传、科研办公等方面的重要作用,根据《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《中国教育和科研计算机网暂行管理办法》及其他有关法律、行政法规的规定,制定本制度。
第二条 按照《教育部关于加强教育行业网络与信息安全工作的指导意见》文件要求,坚持“分级管理、逐级负责,自主防护、明确责任,统筹规划、同步建设,政策合规、遵从标准”的基本原则。
第三条 本条例适用于本校重要信息系统和网站的安全管理工作。
二、管理机构与职责
第四条 信息化管理处在校信息化领导小组的领导下,负责我校整体的网络与信息化建设与管理工作,负责为我校重要信息系统和网站提供安全稳定的硬件平台,并提供必要的技术支持。
第五条 各单位要建立党政一把手负责的统筹网络安全与信息化工作的领导机构,主要负责同志时网络与信息安全的第一负责人。根据单位实际,应设立或明确职能部门和专门管理人员,归口管理本单位网络安全与信息化工作。建立保障有力的技术支撑部门,建立健全内部管理协调机制,与学校网络与信息安全管理部门、各级政府网络与信息安全管理部门、公安部门建立跨部门协调和事件处理机制,充分发挥纵向衔接、横向协调的组织保障作用。
第六条 各单位按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则切实落实网络与信息安全责任。信息系统和网站的责任单位承担系统的安全管理和监督责任,运行维护部门承担系统的技术安全保障责任,使用单位和个人承担系统操作与信息内容的直接安全责任。
三、开办条件和流程
第七条 我校各单位或个人因教学、科研、管理及宣传等工作需要建立信息系统和网站,由所属单位提出申请,填写《河南农业大学重要信息系统和网站开通申请表》、经校宣传部审核,符合网络与信息安全要求,即可在信息化管理处完成登记备案手续开通信息系统和网站。
四、信息系统和网站管理
第八条 各单位在系统建设过程中产品采购、服务外包需签订安全保密责任书,信息系统投入使用前必须对网站(系统)进行全面的安全测试,确保各类安全保护技术(如安全技术管理、监控报警、防攻击、防篡改、防泄漏及容灾备份等)落实到位,切实承担系统的安全管理和技术安全保障责任。
第九条 各单位对拟申请开通的信息系统和网站必须指定专人管理且必须遵守国家有关法律、法规,严格执行网络安全保密制度,不得利用信息系统和网站从事危害国家安全、泄露国家秘密等犯罪活动,不得查阅、复制和传播有碍社会治安和有伤风化的信息,也不得用于商业行为。
第十条 各单位需建立并完善信息安全及人员管理制度。严格权限管理,确保口令保密,不得利用主机空间提供与申请用途无关的网络服务,上传文件应经过严格查、杀毒处理,不得上传危害信息系统和网站安全的程序及软件工具,应保证信息系统和网站代码安全无漏洞。
第十一条 各单位需加强博客、微博、微信和网站中留言评论等互动栏目管理,各单位原则上不得开办对社会开放的论坛等服务,确需开办的要严格报批并加强管理。
第十二条 各单位要做好网站及信息系统安全检查工作,保留安全访问日志60天以上。定期对申请主机进行安全检查,包括网站代码安全,更新操作系统补丁,定期升级杀毒软件病毒库,定期查看维护日志,定期更改密码等。制定网络与信息安全应急预案,发现威胁和安全隐患及时整改,确保本单位信息系统及网站的安全运行。
第十三条 如申请的信息系统和网站用途、内容或责任人发生变化,需及时重新登记备案。信息系统和网站停止使用,应及时通知信息化主管部门关闭主机及网址。
五、信息发布管理
第十四条 信息系统和网站责任单位需建立网络信息发布审核制度,按照信息发布审核的要求,对拟发布内容进行审核审查。信息系统和网站的使用单位和个人要承担系统操作与信息内容的直接安全责任,保证所发布信息的真实性、时效性、安全性。
第十五条 信息系统和网站需具备数据备份和存档功能,对所有发布的信息能够记录内容发布的帐号、登录IP、信息内容、发布时间等追踪数据,并留存60天以上。
六、应急预案
第十六条 各单位要制定网络与信息安全应急预案,明确应急处置权限和流程,落实处置技术支撑队伍,开展安全应急演练,提高网络与信息安全事件防范和应急处理能力,建立重大网络与信息安全事件处置和报告制度。
七、附则
第十七条 本规定解释权归信息化管理处。
第十八条 本规定自发布之日起执行。