重慶大學(xué)網(wǎng)絡(luò)及信息系統(tǒng)安全管理辦法

（征求意見稿）

近年來，國內(nèi)信息安全形勢嚴峻，各類信息安全事件頻發(fā)。為此，教育部辦公廳發(fā)布了《關(guān)于加強網(wǎng)絡(luò)安全檢查的通知》（教技廳函[2014]51號）、《教育行業(yè)信息系統(tǒng)安全等級保護定級工作指南（試行）》（教技廳函[2014]74號）和《教育部辦公廳關(guān)于開展國家級重要信息系統(tǒng)和重點網(wǎng)站安全檢查工作的通知》（教技廳函[2015]45號）要求高校加強網(wǎng)絡(luò)及信息系統(tǒng)安全管理；《重慶市教育委員會關(guān)于進一步加強和規(guī)范網(wǎng)絡(luò)與信息安全管理的通知》（渝教科〔2014〕32號）進一步明確高校需加強網(wǎng)絡(luò)、信息系統(tǒng)和網(wǎng)站安全管理；重慶市重要信息系統(tǒng)安全等級保護工作協(xié)調(diào)小組辦公室發(fā)布的《重慶市重要信息系統(tǒng)安全等級保護工作協(xié)調(diào)小組辦公室關(guān)于加強重點網(wǎng)站安全防范工作的緊急通知》（渝等保辦〔2015〕9號）要求高校加強信息系統(tǒng)和網(wǎng)站安全，落實信息系統(tǒng)等級保護定級管理工作。

第一章   總  則

第一條 為貫徹落實國家及教育主管部門相關(guān)文件精神，進一步加強我校網(wǎng)絡(luò)及信息安全工作，特制定本辦法。

第二條 本辦法所指網(wǎng)絡(luò)（以下簡稱校園網(wǎng)）包括重慶大學(xué)教學(xué)辦公區(qū)、學(xué)生宿舍區(qū)和部分由學(xué)校建設(shè)管理的教師住宅區(qū)網(wǎng)絡(luò)，不包括由電信運營商自主建設(shè)運營的住宅區(qū)網(wǎng)絡(luò)。

第三條 本辦法所指信息系統(tǒng)指由學(xué)校及各二級單位建設(shè)管理各類業(yè)務(wù)系統(tǒng)和網(wǎng)站。

第四條 涉密網(wǎng)絡(luò)和涉密系統(tǒng)根據(jù)國家及學(xué)校的相關(guān)管理規(guī)定單獨管理，不適用本管理辦法。

第二章 管理機構(gòu)及職責

第五條 為進一步加強網(wǎng)絡(luò)及信息安全組織領(lǐng)導(dǎo)，學(xué)校將原“重慶大學(xué)計算機網(wǎng)絡(luò)及信息安全領(lǐng)導(dǎo)小組”、“重慶大學(xué)數(shù)字化校園建設(shè)領(lǐng)導(dǎo)小組”整合調(diào)整為“重慶大學(xué)網(wǎng)絡(luò)信息安全及信息化工作領(lǐng)導(dǎo)小組”（以下簡稱領(lǐng)導(dǎo)小組）。領(lǐng)導(dǎo)小組負責制定全校網(wǎng)絡(luò)及信息安全工作的總體方針和安全策略，審定全校網(wǎng)絡(luò)及信息安全管理制度，指導(dǎo)并監(jiān)督網(wǎng)絡(luò)及信息安全管理。領(lǐng)導(dǎo)小組辦公室設(shè)在黨委辦公室。

第六條 網(wǎng)絡(luò)信息安全及信息化工作領(lǐng)導(dǎo)小組辦公室負責網(wǎng)絡(luò)及信息安全總體事務(wù)，主要職責包括：

（一） 統(tǒng)籌協(xié)調(diào)全校網(wǎng)絡(luò)及信息安全工作；

（二） 網(wǎng)絡(luò)及信息安全總體規(guī)劃；

（三） 制定網(wǎng)絡(luò)及信息安全管理制度；

（四） 組織信息網(wǎng)絡(luò)安全工作檢查和考評；

（五） 網(wǎng)絡(luò)及信息安全事件查處。

第七條 宣傳部主要職責包括：

（一） 學(xué)校主頁內(nèi)容審核、發(fā)布及安全管理；

（二） 學(xué)校新聞網(wǎng)內(nèi)容審核、發(fā)布及安全管理；

（三） 民主湖論壇內(nèi)容審核、發(fā)布及安全管理；

（四） 全校輿情監(jiān)控及內(nèi)容管理。

第八條 保衛(wèi)處主要職責包括：

（一）  全校信息安全監(jiān)控管理；

（二）  網(wǎng)絡(luò)及信息安全違法違紀事件的調(diào)查；

（三）  網(wǎng)絡(luò)及信息安全事件處理中的對外聯(lián)絡(luò)與接洽。

第九條 信息化辦公室負責網(wǎng)絡(luò)及信息安全技術(shù)支撐，主要職責包括：

（一） 校園網(wǎng)出口安全基礎(chǔ)設(shè)施的建設(shè)和管理；

（二） 學(xué)校數(shù)據(jù)中心安全基礎(chǔ)設(shè)施建設(shè)和管理；

（三） 校園無線網(wǎng)絡(luò)接入安全管理；

（四） 校園網(wǎng)安全監(jiān)控管理；

（五） 定期實施校內(nèi)服務(wù)器安全漏洞掃描及安全預(yù)警；

（六） 定期組織實施信息系統(tǒng)安全等級測評；

（七） 落實專職人員負責網(wǎng)絡(luò)及信息安全管理工作；

（八） 組織信息網(wǎng)絡(luò)安全培訓(xùn)和教育。

第十條 虎溪校區(qū)管委會具體負責虎溪校區(qū)網(wǎng)絡(luò)及信息安全管理，主要職責包括：

（一） 虎溪校區(qū)校園網(wǎng)出口安全基礎(chǔ)設(shè)施建設(shè)和管理；

（二） 虎溪校區(qū)校園網(wǎng)內(nèi)容審計系統(tǒng)監(jiān)測管理；

（三） 虎溪校區(qū)網(wǎng)絡(luò)信息中心機房的網(wǎng)絡(luò)及信息安全管理；

（四） 虎溪校區(qū)門戶及各業(yè)務(wù)系統(tǒng)內(nèi)容及系統(tǒng)安全管理。

第十一條 圖書館主要職責：

（一） 民主湖論壇的系統(tǒng)安全管理；

（二） 圖書館網(wǎng)絡(luò)（有線部分）接入安全管理；

（三） 圖書館業(yè)務(wù)系統(tǒng)及網(wǎng)站的安全管理。

第十二條 學(xué)工部、研工部主要職責：

（一）  學(xué)工、研工業(yè)務(wù)系統(tǒng)及網(wǎng)站安全管理；

（二）  “易班”系統(tǒng)接入安全管理；

（三）  協(xié)助進行輿情監(jiān)控及內(nèi)容管理。

第十三條 其它二級單位主要職責包括:

（一） 本單位局域網(wǎng)和校園網(wǎng)接入安全管理；

（二） 本單位聯(lián)網(wǎng)計算機審核（有線部分）；

（三） 本單位上網(wǎng)信息審核；

（四） 本單位業(yè)務(wù)系統(tǒng)及網(wǎng)站的安全管理。

第三章 校園網(wǎng)安全管理

第十四條 信息化辦公室總體負責校園網(wǎng)安全管理工作，虎溪校區(qū)管委會具體負責虎溪校區(qū)校園網(wǎng)安全管理工作。

第十五條 校園網(wǎng)（有線部分）由信息化辦公室負責在校園網(wǎng)出口處實施實名上網(wǎng)認證，各二級單位負責接入端安全管理；校園網(wǎng)（無線部分）由信息化辦公室負責實施實名接入上網(wǎng)認證。

第十六條 信息化辦公室負責學(xué)校數(shù)據(jù)中心網(wǎng)絡(luò)安全設(shè)施建設(shè)和管理。

第十七條 接入校園網(wǎng)的各單位和用戶必須嚴格遵守執(zhí)行《中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》和國家有關(guān)法律法規(guī)，嚴格執(zhí)行信息安全及保密相關(guān)制度。

第十八條 二級單位根據(jù)國家有關(guān)規(guī)定對上網(wǎng)信息進行審查，凡涉及國家秘密的信息嚴禁上網(wǎng)。使用校園網(wǎng)的相關(guān)單位和用戶必須對所提供的信息負責。不得利用校園網(wǎng)從事危害國家安全、泄露國家秘密等犯罪活動，不得制作、查閱、復(fù)制和傳播有礙社會治安、社會穩(wěn)定的信息。

第十九條 在校園網(wǎng)上不允許進行任何干擾網(wǎng)絡(luò)用戶、破壞網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)設(shè)備的活動，不得在網(wǎng)絡(luò)上散布計算機病毒，未經(jīng)授權(quán)不得使用校園網(wǎng)。

第二十條 接入校園網(wǎng)的各二級單位需指定一名主管領(lǐng)導(dǎo)負責本單位的網(wǎng)絡(luò)及信息安全工作，設(shè)立網(wǎng)絡(luò)管理員具體負責相應(yīng)的網(wǎng)絡(luò)安全和信息安全技術(shù)工作。

第二十一條 校園網(wǎng)上所有單位和用戶有義務(wù)向?qū)W校網(wǎng)絡(luò)信息安全相關(guān)部門報告網(wǎng)絡(luò)違法犯罪行為和網(wǎng)上有害信息情況。

第二十二條 與校園網(wǎng)相關(guān)的所有單位和用戶必須接受并配合國家有關(guān)部門依法進行的監(jiān)督檢查。

第四章 信息系統(tǒng)安全管理

第二十三條 各二級單位是信息系統(tǒng)安全管理的責任主體，對本單位信息系統(tǒng)安全負責。

第二十四條 信息系統(tǒng)安全遵循“同步規(guī)劃、同步建設(shè)、同步運行”的原則，信息系統(tǒng)的立項采購、測試驗收、交付使用、升級改造必須符合國家對信息系統(tǒng)安全等級保護的相關(guān)要求。

第二十五條 二級單位負責制定信息系統(tǒng)安全管理策略，加強人員安全能力與安全意識培訓(xùn)，落實學(xué)校安全要求；確定信息系統(tǒng)數(shù)據(jù)安全要求，明確數(shù)據(jù)訪問權(quán)限，制定數(shù)據(jù)備份機制，接入學(xué)校統(tǒng)一災(zāi)備體系。

第二十六條 二級單位負責信息系統(tǒng)的安全運行維護工作，按照《信息系統(tǒng)安全等級保護基本要求》（GB/T 22239-2008）基本技術(shù)要求規(guī)定，做好系統(tǒng)安全、角色權(quán)限、口令增強等系統(tǒng)管理工作，定期進行安全檢查、漏洞修補、系統(tǒng)升級、數(shù)據(jù)備份等安全管理工作；信息系統(tǒng)一旦出現(xiàn)信息安全事件，二級單位應(yīng)及時查處整改，對多次出現(xiàn)安全事件的信息系統(tǒng)由信息化辦公室暫停其網(wǎng)絡(luò)連接及服務(wù)。

第五章 信息系統(tǒng)安全等級保護定級

第二十七條 根據(jù)“自主定級、自主保護”的原則，由學(xué)?！熬W(wǎng)絡(luò)信息安全及信息化工作領(lǐng)導(dǎo)小組”確定我校信息系統(tǒng)安全等級保護定級方案。

第二十八條 學(xué)?，F(xiàn)有信息系統(tǒng)的定級由“網(wǎng)絡(luò)信息安全及信息化工作領(lǐng)導(dǎo)小組”根據(jù)教育部辦公廳《教育行業(yè)信息系統(tǒng)安全等級保護定級工作指南（試行）》（教技廳函[2014]74號）并結(jié)合我校實際情況確定，定級確定后按要求報公安機關(guān)審核備案并定期開展等級測評。

第二十九條 信息系統(tǒng)安全等級保護定級、變更由學(xué)校“網(wǎng)絡(luò)信息安全及信息化工作領(lǐng)導(dǎo)小組”審定，各二級單位負責準備相關(guān)備案材料，信息化辦公室負責組織等級測評、報公安機關(guān)審核備案。

第三十條 信息化辦公室定期組織對重要信息系統(tǒng)進行安全檢測。

第六章 安全事件查處

第三十一條 網(wǎng)絡(luò)及信息安全事件（以下簡稱安全事件）包括有害程序、網(wǎng)絡(luò)攻擊、信息破壞、信息內(nèi)容安全、信息設(shè)施故障、災(zāi)害性事件及其它危害網(wǎng)絡(luò)及信息安全的事件。

第三十二條 校園網(wǎng)上所有單位和用戶有義務(wù)向?qū)W校網(wǎng)絡(luò)信息安全相關(guān)部門報告安全事件。

第三十三條 二級單位發(fā)現(xiàn)安全事件或接到安全事件報告后應(yīng)在第一時間將相關(guān)情況報學(xué)校保衛(wèi)處和信息化辦公室。

第三十四條 學(xué)校保衛(wèi)處負責安全事件的調(diào)查取證，信息化辦公室負責技術(shù)支撐，二級單位負責配合舉證。

第三十五條 發(fā)生安全事件后應(yīng)首先留存相關(guān)證據(jù)，中斷網(wǎng)絡(luò)連接以減小安全事件擴散影響，在調(diào)查取證結(jié)束以前不執(zhí)行數(shù)據(jù)刪除、系統(tǒng)恢復(fù)等操作，避免影響調(diào)查取證。

第三十六條 二級單位應(yīng)建立安全事件應(yīng)急處理機制，制定應(yīng)急預(yù)案，定期實施應(yīng)急測試、演練和培訓(xùn)。

第三十七條 網(wǎng)絡(luò)信息安全及信息化工作領(lǐng)導(dǎo)小組辦公室負責對一般安全事件責任人和責任單位進行處理，對造成重大影響和重大損失的安全事件報請網(wǎng)絡(luò)信息安全及信息化工作領(lǐng)導(dǎo)小組處理。

第七章 附則

第三十八條 本管理辦法由學(xué)校授權(quán)網(wǎng)絡(luò)信息安全及信息化工作領(lǐng)導(dǎo)小組辦公室負責解釋。

第三十九條 本管理辦法自公布之日起執(zhí)行。

 重慶大學(xué)

二○一五年十二月十五日