还剩6页未读,继续阅读
文本内容:
学院网络信息安全工作管理办法
一、总则为了建立行之有效的网络信息安全保障体系,健全网络信息安全管理组织架构,落实网络信息系统安全保障责任,保障网络信息系统的安全稳定运行,确保网络信息的机密性、完整性和可用性,进而保障我学院业务的持续开展,特制定本管理办法
二、适用范围本办法适用于学院的各类网络信息安全工作的管理
1、网络信息安全保障工作应遵循以下基本原则1责任明确的原则建立完善的网络信息安全治理架构,明确各个层面的职责权限,落实网络信息安全管理责任制;通过契约、协调等方式进行责任划分2规范化原则遵循国内、国际的网络信息安全标准及行业规范,对网络信息系统实行等级保护3全员参与的原则网络信息安全不仅是信息技术部门的责任技术只是手段,管理才是保障,技术与管理缺一不可,要求每一个部门,每一名师生把安全放在首位4全面统筹原则网络信息系统安全保障工作应贯穿于网络信息化全过程,坚持统筹规划、突出重点,安全与发展并进,管理与技术并重,应急防御与长效机制相结合5基于安全需求主动预防、动态管理原则根据二级、三级网络信息系统担负的使命,积累的信息资产的重要性,和可能受到的威胁和面临的风险分析安全需求,按照二级、三级网络信息系统安全保护等级的要求加固信息系统;安全风险是动态发展的,因此必须实行动态管理,预防先行,以主动及时地应对各种新的安全风险6快速响应原则建立统一指挥、功能完善、反应迅速的网络信息安全应急管理机制,确保信息安全事件发生时能得到及时、高效、准确的响应7持续改进原则定期对网络信息安全管理工作进行评价,持续改进网络信息安全保障制度和方案8实用性原则在确保网络信息系统性能和安全的前提下,充分利用资源,讲究实效,避免重复和盲目投资,积极采用国家法律法规允许的、成熟的先进技术和专业安全服务,降低成本,保障安全运行
三、网络信息安全工作目标和安全策略网络信息安全工作的总体目标是确保网络信息和网络信息系统的完整性、保密性、可用性、时效性、可审查性和可控性,促进网络信息系统持续、稳定、健康地发展
1、网络信息安全工作的具体目标1保护网络信息系统的物理环境、设备设施和运行环境,保证信息系统的环境安全;2确保网络信息内容的合法性,保护信息在采集、传输、使用和存储过程中的保密性、完整性、可用性、时效性、可审查性和可控性,保证信息的安全;3提高全员的网络信息安全意识、安全专业素质以及安全管理与服务水平4提高网络信息系统的可用性和灾难恢复能力,为业务的可持续性运行提供保障
2、网络信息安全工作的安全策略框架依据学校二级网络信息系统的实际情况,将在网络信息安全领导小组的领导下,依照国家政策法规和技术及管理标准进行自主保护;并从物理安全、网络安全、数据安全、软件安全、系统安全、灾难恢复和人为意识等方面建立较为完善的安全管理策略;制定风险管理策略,业务连续性策略、安全培训和教育策略,以保证网络信息系统的高安全性、高可用性及高可恢复性
五、网络信息安全事件处置
1、事件报告加强对其用户发布的信息、应用软件的管理,发现有害信息、恶意程序立即停止传输或停止下载服务,采取消除等处置措施,保存记录并向主管部门报告;禁止发布涉及实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息;建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报;对网信部门和有关部门依法实施的监督检查,应当予以配合;按照国家网信部门和有关部门的要求,对有害信息停止传输,采取消除等处置措施,保存有关记录;网络信息安全事件发生后,最先获悉信息安全事件发生信息的员工,应当在第一时间按规定报告网络信息安全工作小组网络信息安全工作小组应立即组织有关人员分析信息安全事件的影响程度;影响重大或特别重大的,应按突发事件应急处置程序和要求立即报告学院网络信息安全领导小组对于影响特别重大的,网络信息安全领导小组应向当地国家信息安全应急管理机构报告报告要迅速、准确、完整事件报告内容网络信息安全事件性质(包括计算机系统故障、信息泄密等)影响业务情况(包括事件发生的时间和地点、系统运行的状态、对业务的影响等情况)现场处置情况(包括现场组织指挥,所采取的先期处置措施,系统修复等情况)启动突发事件应急预案(报告单位应根据事件情况,提出启动突发事件应急预案的请求)
2、事件等级划分根据《信息安全事件的等级划分细则》,将网络信息安全事件划分为四个级别特别重大事件、重大事件、较大事件和一般事件特别重大事件(I级)特别重大事件是指能够导致特别严重影响或破坏的网络信息安全事件,包括以下情况a)会使特别重要网络信息系统遭受特别严重的系统损失;b)产生特别重大的社会影响重大事件(II级)重大事件是指能够导致严重影响或破坏的网络信息安全事件,包括以下情况a)会使特别重要网络信息系统遭受严重的系统损失、或使重要网络信息系统遭受特别严重的系统损失;b)产生的重大的社会影响较大事件(III级)较大事件是指能够导致较严重影响或破坏的网络信息安全事件,包括以下情况a)会使特别重要网络信息系统遭受较大的系统损失、或使重要网络信息系统遭受严重的系统损失、一般网络信息信息系统遭受特别严重的系统损失;b)产生较大的社会影响一般事件(W级)一般事件是指不满足以上条件的网络信息安全事件,包括以下情况a)会使特别重要网络信息系统遭受较小的系统损失、或使重要网络信息系统遭受较大的系统损失,一般网络信息系统遭受严重或严重以下级别的系统损失;b)产生一般的社会影响
3、报告程序
(1)出现特别重大网络信息安全事件(I级)时,当事人或单位应马上报告事件主管部门(主管部门领导立即报告学院网络信息安全领导小组)学院网络信息安全领导小组在两小时内报告国家应急管理机构
(2)出现重大网络信息安全事件(H级)时,当事人或单位应报告事件主管部门主管部门领导在1小时内立即报告学院网络信息安全领导小组网络信息安全领导小组在两小时内报告国家应急管理机构
(3)出现较大网络信息安全事件(HI级)时,当事人或单位应马上报告事件主管部门事件处理后,主管部门领导视情况将处理结果报告学院网络信息安全领导小组网络信息安全领导小组视情况报告国家应急管理机构
(4)出现一般网络信息安全事件(IV级)时,当事人或单位应马上报告事件主管部门主管部门领导立即报告学院网络信息安全工作小组工作小组前往解决,在事件处理后,向学院网络信息安全领导小组报告事件详情网络信息安全领导小组视情况报告国家应急管理机构为公安机关、国家安全机关依法维护国家安全和侦察犯罪的活动提供技术支持和协助
4、恢复管理安全事件发生后可能到时部分数据的丢失或损坏,应根据安全事件对系统造成的影响,对系统进行恢复并有工作小组对系统实施恢复注意事项任何情况下用户不应尝试验证安全弱点和可疑事件在安全事件出之后应对安全事件发生的原因进行分析,采取必要的措施避免再次发生安全事件针对本次安全事件进行事后教育及培训采用加密或其他保护措施实现重要信息的存储保密性;在境外收集和产生的个人信息和重要数据在境内存储、向境外提供应当进行安全评估
六、制度的制定和发布
1、由网络信息安全工作小组负责网络信息安全管理策略和网络信息安全管理制度的制定
2、网络信息安全领导小组负责安全管理制度的审批,对制度的合理性和适用性进行论证和审定
3、经网络信息安全领导小组审核通过后签发,并由网络信息安全工作小组按照学院文件发布管理规定进行文件的发布
4、网络信息安全管理制度的发布范围由制度本身涉及的范围决定
5、网络信息安全管理制度的版本和格式根据《制度文件格式说明》实施
6、网络信息安全领导小组应定期对制度的合理性和适用性进行检查和审定,每年根据制度的执行情况对管理制度进行修订
七、问责机制
1、学院网络信息安全领导小组为网络信息系统安全保障第一责任人,按“谁主管谁负责,谁运行谁负责”的原则,层层落实网络信息安全责任制
2、将网络信息系统安全保障责任分解细化,逐项落实到具体部门、具体责任人,强化网络信息安全管理执行力
3、对于以下情况,学院将根据具体情况追究有关人员的责任对于网络信息安全管理失职并造成严重后果的,将对其通报批评;对情节特别严重的,将按有关规定追究其责任1因网络信息安全工作管理不到位或失职,导致发生重大网络信息安全事件2迟报、漏报、瞒报信息安全事件,或对网络信息安全事件处理不到位3不遵守网络信息安全管理制度,不执行上级部门及监管部门的网络信息安全管理要求
八、附则
1、本规定由学院负责制定、修改和解释
2、本规定自印发之日起实施。