天津大学网络安全管理办法(试行)
第一章 总则
第一条 为加强学校网络安全管理工作,根据《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例》,以及教育部、公安部相关文件的规定,结合学校实际,制定本管理办法。
第二条 本办法适用于我校建设、运营、维护和使用的校园网络、信息系统(含网站)、信息终端及相关设备的安全管理工作。
第三条 天津大学网络安全与信息化领导小组是学校网络安全工作的领导机构,统筹协调学校网络安全工作和相关监督管理工作。
第四条 信息与网络中心(以下简称 “信网中心” )为学校 网络安全工作的主管部门,负责网络安全管理和等级保护工作的组织、开展和督促检查。
第五条 校园网站和以天津大学名义注册并认证的校园新媒体的内容安全管理工作由党委宣传部负责。
第六条 各学院(部),机关各部、处、室,学校各直属单位(以下简称 “各单位”),负责本单位建设、运营、维护和使用的网络、信息系统和计算机终端的安全管理工作。
第二章 职责范围
第七条 各单位指定网络安全管理负责人,设置网络安全管理员岗位,网络安全管理负责人应由院级领导担任。
第八条 各单位应对安全管理活动中重要的管理内容建立安全管理制度,对重要管理操作建立操作规程。
第九条 各单位要全面落实网络安全工作责任,明确安全管理责任内容,落实责任到人、到系统。
第十条 各单位应当为各类系统设置相关的技术防护措施,加强网络安全技术防护措施的建设。
第十一条 学校应建设全局性技术防护体系,各单位须积极配合,主动纳入到防护体系当中,以提高整体防护能力。
第十二条 各单位应建立健全网络安全事件应急预案,当发生安全事件时,要立即启动应急预案,采取措施,防止危害发生和扩大。发生安全事件,应立即向信网中心和主管校领导报告。
第十三条 各单位应开展对相关人员的安全教育和培训,提高安全意识,掌握安全技能。
第三章 校园网络安全
第十四条 信网中心负责保障校园网络主干、网络出口、数据中心及校园网基础服务系统的运行安全。
第十五条 信网中心应建立和健全校园网的安全管理制度、 操作规程及网络安全事件应急预案。设置专门的安全管理员,定期进行安全检查,对发生的安全事件进行登记、处理及上报。
第十六条 信网中心应按国家及相关部门规定做好校园网监测、记录网络运行状态及网络安全事件等工作,建立网络日志分析、审计系统及采取其它网络安全保护技术措施。
第十七条 校园网相关设备、线路等由信网中心统一管理。未经信网中心同意,任何单位和个人不得改变校园网设备的连接关系及设备配置,不得拆卸网络设备、设施及线路。
第十八条 为保障网络安全,学校网络实行统一出口管理。对于有特殊需求需要接入非校园网出口线路的,需经信网中心审批,并按相关法律法规要求采取网络安全防护及监控措施。任何单位和个人不得擅自让校外单位或个人接入校园网或校园网的子网。
第十九条 按国家相关规定,校园网采用实名制访问。信网中心负责校园网用户接入的管理工作,所有入网的单位及个人须配合信网中心做好入网实名制登记工作。
第二十条 各单位组建的子网及公共机房的网络安全管理工作由所属单位负责,包含但不限于以下工作:
(一)建立实名制登记制度,确保所有用户采用实名制上网。
(二)制订相关网络管理制度,负责接入用户的安全培训工作,并承担相应网络及信息安全责任和义务。
(三)配备专业网络管理人员,按照《中华人民共和国网络安全法》、《计算机信息网络国际联网安全保护管理办法》及《公安部令第 82 号》的相关要求配置相关安全及审计设备。
(四)协助有关部门查处利用校园网进行各种违法犯罪活动的案件。
第二十一条 各单位负责本单位接入校园网的计算机及其它联网终端的安全管理工作。
第二十二条 所有单位和个人应自觉维护校园网运行的安全,接受并配合国家和学校有关部门依法进行的网络安全监督和检查。
2.4. 第四章 信息系统安全
第二十三条 根据工作需要,采购、委托或自行开发,以及以其它方式获取信息系统的校内单位为该信息系统的建设单位。建设单位负责本单位信息系统的安全管理工作。
第二十四条 信息系统的建设单位在采购、委托或自行开发信息系统时,应制定相应的安全方案,明确安全性要求,做到同步规划同步建设。委托开发的系统,应要求开发方提供产品源代 码以备进行安全性检查。
第二十五条 信息系统正式投入使用前应委托专业安全服务机构进行安全性检测,并提供检测报告,经检测合格的系统方可上线。
第二十六条 信息系统采用登记备案制度,系统投入使用前 建设单位应向信网中心登记备案,备案后方可投入使用。备案信息发生变更时,应及时以书面形式通知信网中心更新备案信息。
第二十七条 信息系统安全等级保护工作由信网中心统一组织,并负责信息系统定级、备案和测评工作。按照 “自主定级、自主保护” 的原则,信息系统的建设单位是信息系统等级保护的 责任主体,负责自查和整改工作,协助定级、备案和测评工作, 接受有关部门监督检查。
第二十八条 信息系统的安全运行是指在系统的物理环境、网络接入、主机、基础服务系统等各环节提供技术防护措施,通过安全制度、规范和人员保障,确保系统的安全稳定运行。建设 单位委托其它机构运行信息系统的,应与运行单位签订安全运行 协议,明确和落实安全责任。
第二十九条 信息系统的安全维护是指在系统的代码、基础框架、组件和相关配置中,发现安全漏洞和安全风险时,可以及时得到修补和加固。建设单位应落实每个系统的安全维护机构,并签订安全维护协议;无法落实的系统,若发现安全漏洞和安全 风险,应及时停止系统的使用,避免安全事件的发生。
第三十条 各单位在使用和管理信息系统的过程中,应对用户及其权限的管理制定规则和规范,并对用户提出明确的安全使用要求,避免系统被盗用和越权使用。
第三十一条 各单位应加强数据使用的安全管理,在信息系统的建设、运维和使用工作中,对涉及个人信息和其它敏感信息的,应制定相应的管理规则,相关人员应签署保密协议。
第三十二条 信网中心负责不定期组织安全漏洞扫描检测,每季度至少安排一次。未联网或使用内网、专网,以及其它无法使用常规手段检测的系统,由建设单位自行组织检测。
第三十三条 信网中心获取安全漏洞信息后,应及时通知相关系统的安全管理人员,并下达整改通知。建设单位应立即组织整改,未进行整改和整改措施不到位的,信网中心可采取措施限 制系统的使用。
第三十四条 建设单位自行发现安全漏洞后,应立即进行整改,对于可能造成网页篡改、信息泄露、恶意入侵等严重危害的漏洞,应立即对系统采取限制措施,并及时报信网中心。
第三十五条 漏洞修补后,应委托安全服务机构进行安全检测,确认系统无安全漏洞后,方可继续使用。
第三十六条 针对每个信息系统都应制定相应的安全事件应急预案,并经常组织演练。应急处置人员应准备好可随时进行应急处置的设备、工具和远程接入条件,熟练掌握预案中的处置 流程和处置办法,在任何条件下,至少应具备关闭系统的能力。
第三十七条 发现安全漏洞或发生安全事件时,信网中心可根据危险和危害程度采取断开网络、封闭端口、关闭云主机等措 施避免危害发生或扩大。
第三十八条 信网中心负责监督信息系统安全工作的开展情况,安排各单位自查或组织检查。在检查工作中,发现工作落实不到位的,应责令其整改,情节严重的,报学校网络安全与信息化领导小组处理。
2.5. 第五章 附 则
第三十九条 本办法经 2017 年第 5 次校长办公会审议通过, 自印发之日起施行,试行期 二 年。