第一章 总则
第一条 为切实加强我校网络信息系统的安全管理,确保校园网络信息系统安全、稳定、可靠运行,依据国家相关法律法规,结合学校实际情况,制定本办法。
第二条 本办法所说的信息系统是指湖北师范大学信息化工作项目中以及学校各单位建设的面向学校师生和公众的用于满足教学、科研、管理和服务的,主要包括各种业务信息服务的应用系统和面向公众服务的网站等,以下都简称“信息系统”。
第二章 职责分工
第三条 党委宣传部负责制定和完善校园网络媒体平台(含新媒体)建设栏目和主要功能并进行审批,加强网站内容审核管理,并负责网络舆情管理及突发事件的预防和处理。
第四条 信息化建设与管理中心负责全校信息系统的统筹管理、公共建设和技术支撑。主要职责包括:统筹指导全校网络与信息系统安全工作;制定信息系统建设标准和规范;负责信息系统的立项、技术审核、验收和开通;重点负责网络与信息系统安全技术保障以及组织相关人员培训;有计划地加强学校重要信息系统安全等级的保护和预防;定期对信息系统实行安全漏洞扫描,并发布安全通报。
第五条 保卫部(处)负责(或配合上级部门)对全校网络与信息系统安全事件进行调查与处理。
第六条 按照“谁主管谁负责、谁使用谁负责、谁运维谁负责”的总体原则,各单位建立“主要负责人负总责,分管负责人牵头抓”的“一把手”领导责任制,做到人员落实、制度落实、责任落实。各单位负责本单位信息系统的建设和管理。主要职责包括:本单位信息系统的建设、运行和维护;本单位信息系统的信息审核、对外发布;本单位信息系统的技术和信息安全管理(包括操作系统安全);本单位信息系统的安全整改工作等。
第七条 各单位要明确主管领导、分管领导和具体的信息系统管理员,负责信息系统建设维护和安全管理,并报信息化建设与管理中心备案。相关人员和联系方式发生变化时,应及时报信息化建设与管理中心修改备案信息。
第三章 管理规范
第八条 新建、升级的信息系统,根据本管理办法各种条例进行管理,并纳入信息化建设项目管理工作中。
第九条 信息系统原则上应使用学校二级域名和IP地址。未经学校批准,任何单位和个人不得以学校名义注册互联网域名、在校外服务器发布信息系统。
第十条 新建信息系统(特指非本部门独立使用的系统)涉及身份认证的,必须接入学校统一身份认证平台;已建成的信息系统,要逐步接入到学校统一身份认证平台。
第十一条 各单位网站类信息系统建设应符合《湖北师范大学校园网站群管理系统子站建设管理办法(试行)》和学校相关技术要求。
第十二条 新建信息系统上线前,需对信息系统安全情况进行检测。安全检测通过后,方可上线运行。
第十三条 各单位信息系统应建立信息定期更新机制和信息审核制度,信息须经主管领导审批同意后方可对外发布,确保信息的及时性和准确性。
第十四条 学校将定期对各单位信息系统进行安全监督检查,不符合学校管理要求的,视具体情况限期整改或终止网络接入。
第四章 安全保密
第十五条 学校根据《教育行业信息系统安全等级保护定级工作指南》、《中华人民共和国国家标准信息安全技术信息系统安全等级保护基本要求》等文件要求,对全校重要信息系统进行安全等级评定和等级保护建设。重要信息系统新上线时,应同步完成信息系统安全等级保护备案工作。
第十六条 各单位信息系统须严格执行国家安全和保密法规,杜绝发布涉密信息。
第十七条 根据“一把手”责任制。信息系统安全管理的有关责任由所在单位主要负责人负责。如果单位主要负责人发生调动时,新上任的主要负责人自动成为该单位信息系统安全管理的负责人,承担该单位信息系统安全管理的有关责任。
第十八条 各单位信息系统的管理账号和密码要严格保密。实行分级分组的账号管理权限;严格口令管理,特别是后台管理密码必须按照强密设定规则进行设置,杜绝弱口令、空口令,并根据系统安全等级,规定口令最长有效时间(建议口令由不少于10位的字母、数字及特殊符号等混合字符数列构成,每3个月更换1次密码);定期对账号、口令进行检查,及时清理不必要的用户和管理员账号;发现任何非法使用或存在其他风险,应立即处理解决。
第十九条 各单位信息系统涉及的程序编码应符合安全规范,并按照学校要求部署安全防范措施。发现漏洞、病毒、木马程序的,应及时处理解决。
第二十条 各单位信息系统须建立数据备份制度,定期对数据进行异地备份,遭遇突发情况应及时恢复服务。
第二十一条 单位信息系统须建立网络信息安全突发事件应急预案,并建立有效的监控和防范机制。发生信息安全突发事件应迅速做出关停服务或断网处理,尽量减小损失和危害,同时通报党委宣传部、信息化建设与管理中心、保卫部(处)和其它相关部门,学校视情况采取相应措施。
第五章 附则
第二十二条 本办法自印发之日起实施,并由信息化建设与管理中心负责解释