第一章 总 则
第一条 为规范学校网络安全和信息化管理工作,保证学校网络安全和信息化工作的实效性与可持续发展,充分发挥信息化在教学、科研及管理等方面的保障支撑作用,确保学校网络安全和信息化工作科学合理、规范有序,全面提高信息化工作质量,特制定本办法。
第二条 学校网络安全和信息化工作坚持“统一领导、统一标准、统一平台、归口管理、分级负责”的原则,实行学校、业务主管部门和使用部门分级管理,明确各部门职责。
第二章 管理机构与工作职责
第三条 学校网络安全和信息化工作管理及咨询机构包括:学校网络安全和信息化领导小组(以下简称领导小组)、学校网络安全和信息化领导小组办公室(设在现代教育技术中心)、学校网络安全和信息化专家咨询组、各单位网络安全和信息化分管领导和信息员。
第四条 学校网络安全和信息化领导小组是由学校党委授权负责学校信息化工作的领导机构,其工作职责是:
(一)负责贯彻落实中央、省网络安全和信息化领导小组的战略部署,统筹协调学校网络安全和信息化工作中的重大事项。
(二)研究制定学校网络安全和信息化发展战略、宏观规划和重大政策。
(三)审议学校网络安全和信息化的各项规章制度;负责审议信息化建设经费预算。
(四)明确网络安全和信息化推进中各部门的责任分工、资源分配以及考核机制。
(五)定期召开工作例会,对学校网络安全和信息化工作中的重大问题和政策性问题进行决策。
第五条 领导小组办公室设在现代教育技术中心,其职责是:
(一)负责起草学校网络安全和信息化工作的中长期发展规划、信息标准规范和经费预算。
(二)制定学校信息化建设、运行与管理及信息安全等相关规章制度;
(三)负责组织实施学校网络安全和信息化建设规划。
(四)负责组织实施学校网络安全和信息化相关项目的管理和评估工作。
(五)负责对校内各业务系统信息资源进行集成与整合。
(六)负责健全和完善学校网络安全和信息化工作管理体系。
(七)负责校园信息基础设施的规划管理。
(八)负责公共信息平台的推广应用。
(九)负责为各单位网络安全和信息化建设提供技术支持和技术服务。
(十)负责学校网络安全和信息化工作的日常管理工作,督促二级单位做好网络安全和信息化工作。
第六条 学校网络安全和信息化建设专家咨询组是信息化建设相关重大事项的咨询机构,其职责是:
(一)负责对学校网络安全和信息化建设发展的总体规划进行论证,为学校信息化建设进程中的重大问题提供决策咨询。
(二)为领导小组提供其它相关咨询和建议。
第七条 各单位主要领导是本单位网络安全和信息化工作的第一责任人,负责本单位的网络安全和信息化工作。同时指定专人作为本单位的网络安全和信息管理员,具体负责本单位相关业务系统数据的更新和维护,保证信息准确、完整、实时、安全,负责本单位网站及信息系统的日常管理;各单位网络安全信息员名单须及时报备领导小组办公室。
第八条 各单位应将网络安全和信息化工作列入本单位年度工作计划并做好工作总结。
第九条 领导小组办公室定期组织各单位开展网络安全和信息化建设项目的申报工作。
第三章 网络资源和运行管理
第十条 网络联网设施管理工作。
(一)校园网主干网(包括主干光纤网络、出口线路、中心交换机、服务器、防火墙等)的日常运行及维护由现代教育技术中心负责,各接入单位的联网线路及端口由现代教育技术中心负责;各用户计算机的日常运行及维护则由各接入单位用户自行负责,现代教育技术中心负责技术指导。
(二)学校公共区域内的网络联网设施(包括光纤、主节点交换设备、网线、端口模块等)均由现代教育技术中心负责管理,其安装、维护应由现代教育技术中心工作人员进行操作。任何人不得私自挪用或擅自拆装。用户不得私自变更主干点设备(包括位于各大楼设备间外的电源插头)或将本单位、部门的设备放在各大楼节点的网络设备间内。
(三)任何单位和个人不得私自驳接网络线路或设置任何网络设备(如交换机、交换机、双接头等)。否则,现代教育技术中心将采取措施处理,同时移交有关部门按照相关法规处罚。
(四)各单位如发现本地计算机不能与校园主干联网连接,或连接不畅,或主干节点有异常等故障,应及时与现代教育技术中心联系,并配合现代教育技术中心维护人员查明原因,排除故障。
(五)校园网络是学校财产,是专为学校教学、科研和管理等服务的基础设施,未经学校批准,各单位不得擅自向其它用户提供商务活动。
(六)为确保网络与信息的安全,学校内各单位和部门,未经学校允许不得擅自与校外网络或互联网建立专线连接。
(七)为实现合理优化学校网络与信息软硬件公共资源配置,凡是与网络和数据等软硬件相关的公共软件平台、操作系统、数据库、杀毒软件、高性能计算、服务器、存储、负载均衡、防火墙、交换机等,必须由学校现代教育技术中心负责统筹管理、审批,各单位需要上述资源时,必须在项目立项时提前向现代教育技术中心提出需求,现代教育技术中心根据学校现有资源进行优化配置,确需购买,应由现代教育技术中心负责技术参数论证,否则不得购买和使用。
第十一条 联网端口管理工作。
(一)对于已铺设局域网联网端口的办公室、实验室、阶梯教室、宿舍,每个联网端口只允许授权用户使用,没有办理端口使用手续者,不得擅自使用联网端口。
(二)用户只能使用分配到的账号和密码,不得占用或挪用其他用户的信息。对不遵守规定而乱用其他用户的账号和密码、扰乱网络资源的正常分配和使用者,一经发现,停止其端口使用权,造成严重后果的将报请学校领导小组处理。
(三)各单位因工作需要,确需使用一个端口连接多台计算机的用户(由用户自己购买交换机、网卡和网线),需向现代教育技术中心提出申请并获批准后,由现代教育技术中心为其分配指定IP地址,进行第一次联网设置。用户应保护联网端口,自行登记和保存用户名和密码,以防他人冒用。
(四)校园无线网由学校统一规划覆盖区域。任何单位和个人未经批准不允许私自架设功率大于10mw的2.4GHZ及5.8GHZ的无线设备干扰校园无线网正常运行。校园无线网的运行维护和管理由现代教育技术中心负责。现代教育技术中心配备专人负责无线网设备运行状况的监控与管理。
第十二条 网络实名认证管理工作。
(一)现代教育技术中心根据人事管理系统和学生管理系统的数据信息,在统一身份认证系统中为每位教职工和学生自动生成一个网络账号,并设置初始密码。该上网账号可在学校办公区各楼宇有线网络区、学校自建的无线网络区及校外VPN网络使用,每个上网账号可以同时登陆两个网络终端设备(台式电脑、笔记本电脑、手机等)。
(二)学校招待所需向现代教育技术中心提供客房房间号,现代教育技术中心根据客房号制作上网账号,每个客房使用自己的账号,根据客人入住登记信息实现实名上网。
(三)各单位的计算机教室电脑上网需在网上办理相关流程,由现代教育技术中心为其开通网络,实现实名上网。
(四)各单位的临时人员(包括研究生、实习生、临时工等)上网,需在网上办理相关流程,由现代教育技术中心为其开通临时账号,申请单位负责上网账号的实名登记。
第十三条 联网机房管理工作。
(一)各单位、部门的联网机房必须严格按照国家有关网络使用及安全的政策法规,建立建全机房上网各项管理制度(如机房上网管理制度、网络安全管理制度、消防管理制度等)。
(二)联网机房需向学校领导小组提出使用网络通讯端口及开放机房(注明计算机台数)的网上流程申请,由现代教育技术中心上报学校领导小组审批后,由现代教育技术中心分配IP地址。
(三)现代教育技术中心负责维护主干节点设备间交换机至联网机房内网络通讯端口线路的畅通。各单位、部门自行负责联网机房的内部局域网硬、软件建设(如操作系统、网卡、交换机、网线)、上网调试和维护。
(四)联网机房必须在不影响师生正常的工作和学习,确保完成学校下达的教学任务的前提下,才能对外自由开放,提供校园网和Internet服务。
(五)各机房一定要严格审核上机人员的有效证件,做好上机登记手续,上机登记表要保存完好,备案待查;禁止非学校教职工和学生在学校机房上机;加强机房巡视,杜绝有害信息传播。
第十四条 IP地址管理。
(一)现代教育技术中心负责学校 IP 地址的总体规划、设计、分配和管理。
(二)用户网内实行动态 IP 管理,由学校统一身份认证平台记录IP信息;服务器或其他专用设备实行静态IP管理。使用单位需向现代教育技术中心提出申请和备案。
(三)IP 地址是一种重要的网络资源, 使用单位如有不再使用的静态IP 地址应及时通知现代教育技术中心,以便对其 IP 地址进行登记、处理、回收,不得以任何理由占用过多的 IP 资源。否则,由此 IP 地址上网行为所造成的后果由该单位承担。
(四)禁止私设 IP 地址;禁止盗用他人 IP 地址。对私设和盗用他人 IP 地址的办公用户造成 IP 地址冲突的,学校有责任进行相应调整并提出批评。
(五)不得利用 IP 地址从事违法犯罪行为,如触犯国家法律及相关规定,将交由相关部门追究其责任。
第四章 数据标准和数据的管理
第十五条 领导小组办公室按照数据分类建立健全《牡丹江师范学院数据标准集》(以下简称《标准集》),该《标准集》定义了学校各类管理信息的数据项。学校将依据《标准集》对各类数据信息开展日常管理。
(一)《标准集》一经发布,各单位不得随意变更其中的项目。确因业务需要变更《标准集》项目的,需报领导小组办公室,由领导小组办公室组织相关数据产生及使用单位共同进行可行性审核,审核通过后,由领导小组办公室统一更新《标准集》。
(二)《标准集》项目内容可增加、修改、停用,但不可删除。若《标准集》内容修改后不能与原有数据项兼容,则增加新数据项,并停用原有数据项,防止历史数据丢失。
(三)数据产生和采集时应严格执行学校相关编码规定。
(四)负责权威数据维护和发布的单位,一般不得直接向其他数据需求单位提供数据,统一由学校共享数据库提供访问接口和数据服务。
第十六条 各单位应当建立相应的信息系统以实现业务流程信息化,信息系统建设时应该遵照以下要求:
(一)各单位须责成信息系统软件提供方提供集成定制服务,按照领导小组办公室提供的系统集成接口及标准,使信息系统能集成到学校其他系统平台中,数据信息管理过程须严格按本规定执行;
(二)在信息系统建设时,为了资源共享,节约学校投入,后台数据库选型应该采用功能强大、安全、通用的数据库软件。数据库软硬件设施统一由现代教育技术中心提供并集中部署在学校主控机房,以提高系统运行效率,加强数据信息管理;
(三)凡使用学校计算、网络及存储资源的信息系统、内容管理网站等,须由相关单位责成软件提供方提供与其一致的数据库结构字典文档的纸制及电子版,对数据结构有详细、清晰的功能和意义描述。进行软件升级时,必须重新按本规定提供数据库结构字典文档;
(四)在信息系统的数据库设计时,如《标准集》已有相应字段,应按照《标准集》中含有的表和字段进行设计。引用时,须引用共享数据库的标准化数据,引用的内容须报领导小组办公室存档备案。
第十七条 各单位应明确专门负责信息系统运行的人员,制定本单位规范的信息系统数据运行维护处理流程和权限设置规定,确保数据的准确、全面、规范、安全、实时。
(一)准确:准确录入相关数据,不得随意修改、增减;
(二)全面:要按照各类信息系统的有关要求进行数据操作,保证数据完整,避免数据的缺失;
(三)规范:严格按照信息系统的数据录入规范进行数据录入;
(四)安全:严格按信息系统权限设置进行数据录入;
(五)实时:数据须在规定的时间内与学校共享数据库同步,确保数据与实际业务一致。
第十八条 尚未与学校共享数据库建立数据交换关系的单位,须按学校统一要求,向现代教育技术中心提供业务数据的电子版和经确认的纸制版。
第十九条 现代教育技术中心负责制定数据采集、录入、审核的要求和用户管理接口,各单位在进行数据采集、录入、审核时须严格按照要求规范操作。
(一)现代教育技术中心负责建设及部署共享数据库,用以存放各单位提供的标准数据,各单位负责向共享数据库更新和维护数据。
(二)当有数据需求时,数据需求单位须向现代教育技术中心提交申请,现代教育技术中心组织相关单位按业务流程需要,共同制定数据需求方案,必要时签署相关协议。当业务流程发生变化时,由变更业务流程的单位向现代教育技术中心提交变更申请,现代教育技术中心负责协调并重新制定数据需求方案。
(三)现代教育技术中心负责为学校建设的信息系统配备数据存储、管理、服务和安全等必要的保障机制,建立数据备份制度,对重要数据实行异地备份,确保数据的完整和安全。
(四)各单位须签订《数据信息管理工作责任书》(见附件1),数据信息管理人员须签订《数据信息保密承诺书》(见附件2),未经批准,任何单位和个人不得擅自对外提供数据。
(五)各单位因数据更新及维护不准确、不及时而导致共享数据库无法准确、及时提供数据,影响其他业务正常开展,或者擅自对外提供数据造成后果的,由现代教育技术中心责令其进行整改,并追究相应责任。
第二十条 凡违反本管理办法的单位和个人,学校将按相关规定进行处理。
第五章 网络安全和信息化建设项目管理
第二十一条 现代教育技术中心负责牵头建设、管理及维护学校公共基础平台,包括信息门户、统一身份认证、中心数据库、数据中心等。
第二十二条 中心数据库是学校集成、共享公共基础数据的平台,为保证其权威性、唯一性、准确性和及时性,各单位均须向中心数据库提供必要的数据,以便实现各业务系统之间的数据共享,支撑数据分析及应用。
第二十三条 各单位的网络安全和信息系统建设必须按照学校的信息标准、数据交换规范进行建设,现代教育技术中心对建设项目提供技术支持,并负责监督和验收。
第二十四条 网络安全和信息化建设采用项目管理制,项目的立项申请、建设等具体实施细则另行制定。
第六章 网站管理办法与规定
第二十五条 校园网站由学校一级网站和各单位二级网站构成,一级网站是指学校官方网站,域名为www.mdjnu.edu.cn和www.mdjnu.cn;二级网站是指各二级学院、职能部门网站及其他专题网站。
第二十六条 各级网站需纳入学校网站群管理系统,确保网站在相对安全的网络环境下运行。现代教育技术中心负责网站群管理系统的总体管理,包括系统安全定级、备案、评测工作。没有纳入到学校网站群管理系统的网站,由负责部门自行对其安全定级、备案、评测,并将相关信息报现代教育技术中心备案。
第二十七条 为了保证学校对外宣传的权威性、一致性和时效性,学校网站建设管理工作由学校办公室牵头管理。宣传部、国际交流合作处、现代教育技术中心以及其他单位各司其职。具体职责如下:
学校办公室:负责牵头管理学校一级网站,负责一级网站的栏目的设置及分工;负责一级网站各栏目内容的审定;负责对各二级网站建设的督办工作。
宣传部:负责学校一级网站上发布信息的收集工作,负责一级网站上学校新闻的审批与发布;负责对各二级网站新闻内容的监控工作。
国际交流合作处:负责牵头组织相关学院组成专业团队,完成学校一级网站的外文版的相关工作;负责各二级网站外文内容的审核工作。
现代教育技术中:负责学校一级网站的建设、运行、维护工作;负责提供网站群管理系统;负责各二级单位网站管理员的技术培训工作,负责提供对各二级网站管理的技术支持。
其他单位:负责本单位二级网站的建设、管理、更新和维护工作。
第二十八条 学校各级网站内容中,不得含有危害国家安全和社会稳定的不良信息,不得涉及国家秘密、暴力和色情等内容。
学校一级网站要及时、准确地反映学校整体工作的情况及其重大活动。学校各级网站应当注重上网信息的时效性和准确性,并及时更新上网内容。各类数据需报发展规划处审批备案后方可上网发布。
(一)各学院网站内容原则上应包括:学院概况、学院领导简介、机构设置、师资队伍、学术研究、教学工作、党建工作、学生工作、动态新闻、站内公告等。
(二)各职能部门网站内容原则上应包括:部门简介、工作职责、重要文件、机构设置、人员一览、最新公告、规章制度、办事指南、联系电话等。
(三)各网站具体栏目可根据本单位和相关专题的实际情况增加。
(四)其他专题网站具体栏目根据专题性质由各专题网站建设部门酌情设置。
第二十九条 网站提供电子公告服务的要求:
(一)电子公告服务,是指在互联网上以电子布告牌、电子白板、电子论坛、网络聊天室、留言板等交互形式为上网用户提供信息发布条件的行为。
(二)提供电子公告服务的单位需按照《互联网电子公告服务管理规定》(信产部令第3号)办理相关手续。并按照规定管理电子公告服务,如发现违规提供服务,现代教育技术中心将立即关停服务,并及时上报学校网络安全和信息化工作领导小组。
第三十条 根据省教育厅网络安全检查的要求,网站超过三个月无人维护、更新和管理的需立即关停,更新维护后方可使用。
第三十一条 校内的各教学、科研、管理、服务等单位均可申请在学校网站群管理系统上建设本单位网站。
二级网站建设的程序和要求:
(一)新增网站需向现代教育技术中心提交申请,由现代教育技术中心为其申请域名和分配空间。
(二)各单位的网络安全和信息管理员具体负责本单位网站信息的收集、登记、更新和维护、办公信息的收发等工作。
(三)各单位的网络安全和信息管理员应重视本单位用户账号及密码的保密工作,要经常更换密码,不得转告他人。
(四)各单位的上网信息审批表必须归档保存,最少保留一年。
(五)各单位二级网站的各单位的网络安全和信息管理员必须参加现代教育技术中心的技术培训,否则将关停其负责的网站。
(六)学校网站群管理系统提供通用二级网站模板,各单位可通过选择二级网站模板建设网站。
第三十二条 二级网站的安全管理要求:
(一)二级网站发生安全事件时,现代教育技术中心将先断开该网站的外网访问,待事件处理完毕后恢复其外网访问。
(二)二级网站的信息内容必须遵守相关的法律、法规和学校的规章制度,各单位主要领导和网络安全和信息管理员必须认真履行职责,严把信息内容安全关,妥善保管好网站维护的账号和密码,网站领导责任人为网站的第一安全责任人。
(三)各单位的网络安全和信息管理员,需每个月更换一次管理密码。
(四)各单位的网络安全和信息管理员发生变更,必须报现代教育技术中心备案,以便及时更换用户信息和密码。
(五)如果因网站群管理系统的用户账号和密码泄露,造成二级网站或整个站群系统受攻击、栏目遭破坏、信息丢失、不良信息发布等,或因没有及时进行信息安全监控,网站的不良信息造成较大影响等重大事故,将严格追究各二级单位主要领导及二级单位的网络安全和信息管理员的责任。
(六)鉴于服务器设备的稳定性和网络的安全性等问题,创建单位有义务对自己维护的站点作周期性异机备份,以防信息丢失,现代教育技术中心会做定期备份,但不保证所备份的文件内容是最新版本。
(七)以上要求由现代教育技术中心负责监管。
第三十三条 域名申请:
为方便对外宣传,二级网站均可申请学校的二级域名,不得单独申请其它域名。二级域名统一格式为:xxx.mdjnu.edu.cn或xxx.mdjnu.cn(xxx为单位名称,如教务处的域名可为jwc.mdjnu.edu.cn或jwc.mdjnu.cn)。
第七章 网络与信息安全管理
第三十四条 学校网络信息安全管理工作分为网络安全、系统安全和内容安全等三个方面。网络安全是指校园网基础设施的安全,系统安全是指承载信息系统的服务器、软件运行环境以及系统数据的安全;内容安全是指通过网络发布的各种信息中具体内容的安全。
第三十五条 学校网络信息安全管理工作按照“谁主管、谁负责”的原则进行。现代教育技术中心负责软硬件基础设施的技防安全;各单位负责其主管信息系统安全和网站内容安全,做好必要的数据备份和归档工作。
第三十六条 校园网用户应遵守国家有关法律法规,不得利用校园网从事违反国家法律法规和学校规章制度的活动,应妥善保管自己的校内个人账号,因个人账号管理不善对信息安全造成严重危害的,应追究当事人责任。
第三十七条 信息系统管理者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施。
第三十八条 信息系统管理者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
第三十九条 任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具。
第四十条 信息系统管理者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。经过处理无法识别特定个人且不能复原的除外。
应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
第四十一条 信息系统管理者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。
第四十二条 信息系统管理者应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。
第四十三条 信息系统管理者未要求用户提供真实身份信息,或者对不提供真实身份信息的用户提供相关服务的;未开展网络安全认证、检测、风险评估等活动,或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的,由领导小组责令改正;拒不改正或者情节严重的,并可以由领导小组责令暂停相关业务、关闭网站。
第八章 信息化工作保障机制
第四十四条 领导小组每年按一定额度设立网络安全和信息化建设专项经费,领导小组办公室每年向领导小组汇报信息化建设资金的使用情况。
第四十五条 除学校常规预算和专项投入以外,领导小组办公室积极争取金融机构、企业等外部投入,稳定经费来源,保障网络安全和信息化建设的可持续健康发展。
第四十六条 网络安全和信息化工作应纳入学校工作考核范围,各部门应在每年的工作计划和总结中体现信息化工作的具体内容。
第四十七条 学校定期组织对网络安全和信息化工作进行评优考核,对在网络安全和信息化建设与管理工作中成绩优秀的部门和个人给予表彰和奖励。
第四十八条 各单位的网络安全和信息管理员是有一定技术含量并肩负重要责任的岗位,各单位须根据实际工作情况计算相应的工作量。
第九章 附 则
第四十九条 本办法由现代教育技术中心负责解释。
第五十条 本办法自公布之日起施行。原有网络与信息管理办法与本办法不符的,以本管理办法为准。
附件:
1.数据信息管理工作责任书
2.数据信息保密承诺书
牡丹江师范学院
2020年5月21日
