科信文[2017]1号
第一章 总则
第一条 为加强北京科技大学网络和信息安全保障能力,落实北京科技大学“网络安全和信息化领导小组”工作职责,规范网络和信息安全工作,根据《中华人民共和国网络安全法》(中华人民共和国主席令第53号)、《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)、《中国教育和科研计算机网暂行管理办法》等国家网络与信息安全相关管理法、条例和办法,结合我校实际情况,特制定本办法。
第二条 本办法所称的网络和信息安全管理是指在北京科技大学信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。
本办法所称网络和信息安全管理不包含保密相关工作,涉密信息遵循“涉密不上网,上网不涉密”原则,按学校保密相关制度规定管理。
第三条 本办法适用于北京科技大学校园网内承载的所有网络和信息系统,以及使用校园网的单位和个人。
第四条 学校各单位应根据本办法的要求,落实本单位的网络与信息安全工作。
第二章 组织机构与职责
第五条 北京科技大学“网络安全和信息化领导小组”是学校网络与信息安全管理的最高领导机构,全面统筹学校网络与信息安全管理工作,下设“网络安全和信息化领导小组办公室”(以下简称“网信办”), “领导小组”及“网信办”职责见附件1。
第六条 “网信办”是网络和信息安全管理工作的执行机构, 下设“信息安全专业委员会”、“数据与应用专业委员会”、“专家指导委员会”,具体负责学校网络和信息安全管理工作的具体落实和执行。 各专业委员会及“专家指导委员会”组成与职责见附件2。
第八条 保卫保密处负责处理校园内发生的网络和信息安全违法、违规事件。
第九条 各二级部门应建立网络和信息安全责任体系,对本单位所属网络与信息安全的管理和内容负责。
第三章 网络、信息系统建设与安全管理
第十条 本办法所指的网络包括维持网络正常运行的一切网络资源(网络设备、通讯线路、IP地址和域名)等。
本办法所指的信息系统包括各类业务处理系统、管理信息系统和日常办公自动化系统等,包括数据库、软件和硬件支撑环境等。
网络和信息系统按照 “谁使用谁负责,谁主管谁负责,谁建设谁负责”的原则进行分级管理。
第十一条 网络与信息系统建设应在学校统一的技术架构和安全体系内,依照相关技术规范与标准建设。
第十二条 网络与信息系统建设阶段须充分考虑系统定级、备案、风险评估、安全预案、安全测评等安全体系;重要的信息系统建设前需经“专家指导委员会”或“信息安全专业委员会”论证。上线前必须通过相关安全测评和核准,上线后必须配备专人负责和管理。
第十三条 网络与信息系统建设单位须和学校签订《网络与信息系统使用安全责任书》,所需的服务器、域名、IP地址、访问端口等须经审核后使用,使用带有学校域名ustb.edu.cn的服务器原则上须托管在网络中心,并接受统一管理,其单位责任人负监管责任。
第十四条 网络与信息系统所属单位责任人、管理员应接受并配合国家和学校有关部门依法进行的监督检查。
第十五条 网络与信息系统须严格遵守国家的相关法律、法规,杜绝发布涉密信息及不良信息;不得侵犯他人知识产权、署名权、肖像权等合法权益;不得植入商业广告和随意设置网络链接,防止有害信息的网站接入学校网络。
第四章 数据安全、灾难备份与应急管理
第十六条 本办法中所称的数据是指以电子形式存储的北京科技大学大学业务数据、办公信息、系统运行日志、故障维护日志以及其他内部资料。
第十七条 各单位负责提出数据在输入、处理、输出等不同状态下的安全需求,信息安全专业委员会负责审核安全需求,信息办提供技术支持。
第十八条 各单位应严格管理业务数据的增加、修改、删除等变更操作,适时进行业务数据有效性检查,按照既定备份策略执行数据备份任务,并定期测试备份数据的有效性和预演数据恢复流程。
第十九条 各单位负责定期导出网络和重要计算机系统日志文件并明确标识存储内容、时间等信息。日志文件应至少保留三个月,妥善保管。
第二十条 所有数据备份介质应注意防磁、防潮、防尘、防高温、防挤压存放。恢复及使用备份数据时需要提供相关口令密码的,应把口令密码密封后与数据备份介质一并妥善保管。
第二十一条 信息安全专业委员会按照“统筹安排、资源共享、平战结合”的原则,负责北京科技大学重要信息系统灾难备份的统一规划、实施和管理。
第二十二条 数据及应用专业委员会负责提出业务系统灾难备份需求,明确可容忍的业务中断时间和数据丢失量。信息安全专业委员会据此确定灾难备份等级和备份方案。
第二十三条 各单位应建立健全灾难恢复计划,定期开展灾难恢复培训。在条件许可的情况下,由信息安全专业委员会统一部署,重要信息系统至少每年进行一次灾难恢复演练,包括异地备份站点切换演练和本地系统灾难恢复演练。
第二十四条 数据及应用系统推广应用方案中应同时设计应急备份策略,同步实施备份方案。
第二十五条 各单位应按照信息安全专业委员会要求制定和不断完善网络、应用系统和机房环境等应急预案,并报学校网络安全与信息化领导小组办公室备案。
第二十六条 信息安全专业委员会统一负责全校信息安全应急指挥和调动应急资源,决策重大事宜(决定应急预案的启动、灾难宣告、预警相关单位等)。网络信息中心负责网络基础的应急协调与指挥。各单位负责各业务系统的应急协调与指挥。
第二十七条 各单位定期组织应急预案的演练,并指定专人管理和维护应急预案,根据人员、信息资源等变动情况以及演练情况适时予以更新和完善,确保应急预案的有效性和灾难发生时的可获取性。
第五章 责任追究
第二十八条 违反网络与信息安全管理有关规定,存在安全隐患不及时整改的,学校有权停止或禁止其使用网络与信息系统设施及资源。
第二十九条 各单位对所属网络与信息系统的安全负责;因安全措施不落实,管理使用不当,造成影响或损失自负。如对学校造成影响,视情节轻重给予责任人通报批评及以上处分,并视情况给予单位负责人通报批评及以上处分。
第三十条 未经允许,擅自对计算机网络与信息系统功能、存储数据和应用程序进行删除、修改或者增加,或以其他不正当方式查阅、获取、复制、篡改、发布有关信息,视情况给予当事人警告及以上处分;后果严重的,由公安机关依法处理。
第三十一条 故意制作、传播计算机病毒等破坏性程序,攻击他人和学校网络与信息系统,致使计算机信息系统及网络遭受损害的,交由公安机关依法追究责任。
第三十二条 利用网络与信息系统进行非法宣传或从事违法犯罪活动的,视情况给予有关责任人记过及以上处分,并追究法律责任。
第三十三条 任何单位或个人损坏校园网络与信息系统设备,应照价赔偿;因违规行为给学校及他人造成的经济损失,行为人须承担赔偿责任,并视情况对责任人给予警告及以上处分,后果严重的依法追究责任。
第六章 其它
第三十四条 信息办应及时传达上级部门对网络与信息安全工作的要求,协调相关部门有效开展网络与信息安全工作,及时提供预防性的安全咨询建议。
第三十五条 学校应建立健全网络与信息安全监控的长效机制,由信息办组织专人定期对网络与信息系统进行全面安全检查,开展网络与信息安全的相关培训。
第三十六条 未经批准,任何单位和个人不得将校园网络及信息系统延伸至校外或将校外网络及信息系统引入至校园网内。
第三十七条 未经批准,任何数据业务运营商或代理商不得擅自进入北京科技大学校园内开展网络与信息化相关业务。
第七章 附则
第三十八条 本办法由网信办负责解释。
2017年7月10日
附件1:网络安全与信息化领导小组、领导小组办公室主要职责
网络安全与信息化领导小组主要职责:
1、贯彻执行中央网络安全和信息化工作的战略部署,落实教育部、公安部和北京市等上级主管部门和业务部门的工作要求,统一领导、统一谋划、统一部署全校网络安全和信息化发展。
2、制定网络安全和信息化发展战略、宏观规划和重大政策,研究解决网络安全和信息化重要问题。
3、负责学校网络安全和信息化工作的指导、监督、检查工作。建立信息安全应急响应机制,制定网络与信息安全重大突发事件应急预案,组织应急反应演练。
4、对违反网络与信息安全规定的行为、事故,以及网络与信息安全事故的责任人和相关负责人提出责任追究和处理意见。
领导小组办公室的主要职责:
1、具体承担我校网络安全和信息化监督管理的日常工作;组织党和国家有关网络安全与信息化政策、法规的学习、宣传,开展信息通报与培训工作。
2、研究提出网络安全和信息化的发展战略、总体规划、重大政策、管理规范和技术标准;
3、组织开展网络安全和信息化项目申报、论证、实施、检查、监督、验收、评审等具体工作;
4、组织编制网络与信息安全突发事件应急预案,并督促落实;
5、协助相关部门对违反网络安全与信息化管理规定的行为、事故做出调查与处理。
6、承办领导小组召开的会议和重要活动,落实领导小组的议定事项;
7、完成领导小组交办的有关事项。
附件2:各专业委员会及“专家指导委员会”组成与职责
专家指导委员会
负责对学校信息化建设工作提供咨询和指导。根据议事的内容,由办公室临时招集校内相关单位及校内外专家组成。
数据与应用专业委员会
负责制定学校的整体数据及业务流程信息化应用架构。从管理和技术两个层面对学校数据资源和业务流程的信息化进行定义,制定全校数据的标准、运维机制、分布策略和共享方法;制定全校各业务系统的建设原则、协作接口、服务标准和评估方法。
成员组成:党委(校长)办公室、组织部、人事处、财务处、科研部、招生就业处、教务处、研究生院、规划办、基建处、纪委办公室(监察室)、审计室、资产管理处、图书馆和信息化建设与管理办公室等单位组成,办公室设信息化建设与管理办公室。
信息安全专业委员会
负责制定学校的整体信息安全架构;制定全校信息系统网络安全保护原则、等保方案、应急预案、安全要求和实施方法等。
成员组成:党委(校长)办公室、党委宣传部、保卫保密处(部)、科研部、研究生工作部、团委、学生工作处、国际合作与交流处、留学生中心和信息化建设与管理办公室等单位组成,办公室设在信息化建设与管理办公室。