传媒大学网络与信息安全管理办法

传媒大学网络与信息安全管理办法（修订）第一章总则

第一条

为提高学校网络与信息安全防护能力和水平，保障网络与信息安全工作顺利进行，促进学校各项事业健康有序发展，根据《中华人民共和国网络安全法》、《信息安全技术网络安全等级保护基本要求》等国家网络安全相关法律法规、国家标准和政策要求，结合学校实际，制定本办法。

第二条

本办法适用于非涉密信息管理，涉密信息管理按照学校信息安全保密管理体系文件的要求，落实“涉密不上网、上网不涉密”的基本原则。

第三条

本办法所称网络与信息安全，包括校园网与信息系统的运行安全和信息内容安全。

第四条

学校网络安全管理按照“谁管理谁负责、谁运维谁负责、谁使用谁负责”的原则，学校各部门应签署《网络安全责任书》，各部门和全体师生应依照本办法及相关文件履行网络安全的义务和责任。

第二章组织机构与职责

第五条

学校设立网络安全和信息化领导小组（简称“领导小组”），主要职责包括:

第六条

统一领导和部署学校网络与信息安全工作，召开网络安全专题工作会议；

第七条

制定学校网络安全的整体规划、规章制度和标准规范；

第八条

贯彻落实上级部门关于网络与信息安全工作的决策部署，统筹决策学校网络与信息安全重大问题。

第九条

网络安全和信息化领导小组办公室（简称“办公室”）的主要职责包括：

第十条

贯彻执行领导小组形成的各项决议；

第十一条

统一组织协调校内外安全服务能力资源及支持；

第十二条

督促检查网络与信息安全工作落实情况，对网络与信息安全的违规行为、事件和事故提出处理意见。

第十三条

学校网络与信息安全归口管理部门（简称“归口管理部门”）为信息化处，主要职责包括:

第十四条

负责监督学校各部门网络与信息安全工作，并提供技术指导与服务；

第十五条

负责统筹学校网络安全与信息化建设项目的申报、立项、验收和绩效评价；

第十六条

负责学校基础网络设施的安全运行与维护，协助承办部门、服务提供商进行故障处置，保障网络与信息系统的正常运行；

第十七条

协同承办部门完成系统部署、业务开通、上线运行等工作；

第十八条

牵头负责学校网络安全漏洞和网络安全事件应急处置工作。

第十九条

负责组织学校网络安全技术培训工作。

第二十条

学校网络和信息系统承办部门（简称“承办部门”）是指负责建设、管理、运维学校网络和信息系统的二级单位，包括学校所属无独立法人资格的教学科研单位、机关职能部门和直属单位。承办部门主要职责包括：

第二十一条

负责其牵头建设的信息系统的应用安全和数据安全，是其牵头建设的信息系统的应用安全和数据安全的责任主体。应用安全和数据安全包括但不限于信息系统基础安全配置（如身份与访问控制、会话管理等）、代码质量、防钓鱼、数据采集、数据传输与存储、数据脱敏与加密等；

第二十二条

负责对接与监督管理服务提供商进行网络和信息系统建设与安全测试，完成系统上线前备案登记；

第二十三条

负责协同服务提供商、归口管理部门做好网络和信息系统的运行维护工作，保障系统正常运行；

第二十四条

负责配合归口管理部门完成信息系统安全等级保护备案和测评工作；

第二十五条

负责接收归口管理部门的漏洞通报并及时处置，配合应急处置网络安全事件；

第二十六条

设置网络安全联络员和信息系统管理员。网络安全联络员负责与归口管理部门对接网络安全工作，信息系统管理员负责信息系统的运行维护管理工作。

第二十七条

党委宣传部负责网络信息内容的安全监管，负责校园网络舆情信息的监控和管理，推进学校网络文化建设，组织开展网络安全宣传教育等工作。

第二十八条

保卫部(处)负责校园安全管理，配合归口管理部门对网络违规行为进行调查、取证、处理，做好与公安机关的沟通、联络工作。

第三章环境安全管理

第二十九条

物理机房应按照《信息安全技术网络安全等级保护基本要求》的要求进行建设。

第三十条

机房内设备必须按照设计及相关规定布置，机房内预留位置不能随意占用。

第三十一条

无人值守机房必须有配套的环境监控设备，如出现环境监控告警应及时解决。

第三十二条

应明确各设备的安全管理责任人，设备的维护必须有专人负责，他人不可随意操作。若信息系统服务器端的网络、服务器等基础设施需要停机检查和维护，应在执行前将计划执行时间与内容知会归口管理部门，需关闭时应提前知会归口管理部门。

第三十三条

应根据教职员工工作范围与岗位职责设置其对办公区域的访问权限，第三方人员进入办公区需由本校人员进行带领，且仅可在访客区活动。

第三十四条

当携带存储敏感信息的计算机存储介质离开办公区时必须经过审批同意。

第三十五条

教职员工离开座位时，应对计算机进行锁屏，桌面上禁止摆放存有敏感信息的纸件文档。

第三十六条

下班后桌面上禁止摆放敏感信息的纸件文档，敏感信息的文档应妥善保管，存放敏感信息文件的保密柜必须设置密码。

第三十七条

教职员工调离部门或更换办公室时，必须立即交还原办公室钥匙。

第四章人员安全管理

第三十八条

学校重点岗位人员应签署保密协议，明确保密责任，承诺相关保密义务。

第三十九条

人员转岗和离岗时，需及时变更转岗与离岗人员的网络和信息系统的访问权限。

第四十条

学校各单位应明确一名网络安全联络员，并报归口管理部门登记，若人员变更应及时与归口管理部门同步更新网络安全联络员信息。

第四十一条

定期开展网络安全培训，内容包含但不限于：网络安全意识培训与考核；对涉及网络安全管理、检查和执行的岗位人员，开展网络安全管理知识、网络安全技术能力培训与考核等。第五章介质与设备管理

第四十二条

存储介质与信息化设备要指定专人负责，并对责任人赋予相应的职责，确保所有设备均可核查。

第四十三条

应对磁带、磁盘、闪盘、可移动硬件驱动器、CD、DVD、打印媒体等进行有效的管理，防止非授权的使用和破坏。

第四十四条

对可移动存储介质的管理包括将所有介质应存储在安全可控环境中，使用介质要进行授权、登记并追踪审计等。

第四十五条

应对不再需要的介质进行安全处置，降低介质敏感信息泄漏给未授权人员的风险。

第四十六条

对于涉密人员的非密计算机，定期检查。对于非密人员的计算机，不定期抽查。

第六章网络和系统安全管理

第四十七条

校园网络和信息系统接入互联网必须采取防火墙、身份认证、MAC地址绑定、安全审计、病毒防护及入侵检测等安全技术手段。校内互联网接入由归口管理部门统一管理，包括IP地址、域名及网络账号等。

第四十八条

承办部门新建的系统上线需向归口管理部门办理入网登记。校园网络与信息系统实行报批备案制，承办部门按信息系统名称的拼音或英文缩写设置域名并提出入网申请，经归口管理部门批准后使用。任何单位和个人均须落实实名登记网络账号信息，并对网络账号安全使用负责。

第四十九条

各部门原则上应依托校园网开展信息系统建设。涉及学校基础数据、师生员工个人信息或敏感信息的信息系统，不得部署在校外。需要在校外部署信息系统的承办部门，应到归口管理部门办理备案手续。部署在校外的网络和信息系统，安全监管责任主体为承办部门。

第五十条

网络结构要按照分层网络设计的原则来进行规划，做到合理清晰的层次划分和设计，以保证网络系统骨干稳定可靠、接入安全，便于扩充和管理、易于故障隔离和排除。

第五十一条

对重要网段应进行重点保护，要使用防火墙等安全设备以及VLAN或其他访问控制方式与技术将重要网段与其它网段隔离开。

第五十二条

网络设备的安装、配置、变更、撤销等操作必须严格按照相关流程进行，定期检查网络设备的日志，及时发现攻击行为。

第五十三条

定期开展网络安全运行维护工作，保存网络运行日志，对网络违规行为进行调查、取证、处理，根据相关证据及事态影响或破坏程度，对违规者提出责任追究和处理意见。

第五十四条

信息系统规划建设阶段应依据网络安全等级保护定级指南要求拟定其等级保护级别，并按照相应级别要求进行网络安全设计与建设。

第五十五条

系统需开展上线前安全检测，包括但不限于渗透测试、漏洞扫描与代码审计，并依据学校漏洞管理要求落实整改要求。

第五十六条

承办部门应配合归口管理部门落实等级保护备案、测评与监督检查工作。

第五十七条

系统下线前应留存相关系统的配置与数据，到达保留期限后删除。

第五十八条

由系统管理员根据业务需求和系统安全分析制定系统的访问控制策略，控制分配信息系统、文件及服务的访问权限，对系统管理员用户进行分类，明确各个角色的权限、责任和风险，权限设定遵循最小授权原则。

第五十九条

由系统管理员定期对系统安装安全补丁程序，在安装系统补丁前，首先在测试环境中测试通过，并用磁盘或磁带对重要文件进行备份后，方可实施系统补丁程序的安装。

第六十条

用户的口令是用户登录系统的关键，为保证口令的安全性，对用户口令的管理应该遵循以下安全原则：

  （一）在进行网络安全管理时，对所管网络设备中的各级管理口令和密码，由网络管理员统一进行管理，注意保密；

  （二）口令和密码的设置符合保密要求；

  （三）口令一般不少于

8

个字符，必须由大写、小写、数字、特殊字符中的2种及以上构成，不使用姓名的汉语拼音和常见的英文单词；

  （四）定期改变口令，通过系统设置强制实现所有用户密码至少每三个月修改一次，并且不能与上两次的密码相同；  （五）用户口令不能以明文显示在显示器上；

  （六）用户口令与系统应用数据分开保存；

  （七）采用有效措施，保证用户口令的传输和存储时安全，例如口令的加密传输和保存。第六十一条

各计算机终端用户应定期对计算机系统、杀毒软件等进行升级和更新，并定期进行病毒清查，不允许下载和使用未经测试和来历不明的软件，不要打开来历不明的电子邮件，不要随意使用带毒U盘等介质。

第六十二条

系统运维人员依据操作手册对系统进行维护，详细记录操作日志，包括重要的日常操作、运行维护记录、参数的设置和修改等内容，严禁进行未经授权的操作。

第六十三条

归口管理部门协同承办部门对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和异常报警，形成记录并妥善保存;同时组织相关人员定期对监测和报警记录进行分析，发现可疑行为，形成分析报告，并采取必要的应对措施。

第七章信息发布管理

第六十四条

各部门各单位应建立健全信息发布、信息审查、应急处置机制，指定人员负责审查上网信息和信息系统保密管理，严禁发布涉密信息，不得擅自发布涉军信息。负责涉及学校或本单位舆情的处置引导，以及监管本单位师生开设的博客、微博、微信等自媒体平台。

第六十五条

各部门各单位进行信息发布公开时应避免将学号、身份证号等敏感信息在网站进行公开展示，若确需展示应按照一定规则对敏感信息进行脱敏后展示。

第六十六条

应按照校内信息发布审核登记要求、信息监视保存清除备份要求、不良信息报告和协助查处流程管理发布信息，并明确信息发布管理人员的岗位责任。

第六十七条

在论坛、聊天室、博客、微博等公众信息服务系统以及在微信、QQ等互联网社交平台上开办公众服务号，应向党委宣传部报备并获得批准。未经许可，任何单位或个人不得以任何名义用“传媒大学”或“中传”等中外文字样开通论坛、聊天室、博客、微博、微信等公众信息服务系统或发布信息。

第六十八条

在校园网络上严禁下列行为:

  （一）未经允许，进入计算机信息网络或者使用计算机信息网络资源的;

  （二）未经允许，对计算机信息网络功能进行删除、修改或者增加的;

  （三）未经允许，对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;

  （四）故意制作、传播计算机病毒等破坏性程序的;  （五）其他危害计算机信息网络安全的。

第八章系统变更管理

第六十九条

应严格控制和审批变更行为，按照学校变更流程进行变更申请。

第七十条

系统变更应明确变更需求，对于新增功能模块、系统版本升级等影响较大的系统变更，应制定变更方案，由变更需求部门组织对变更方案进行评审，评审后方可实施。

第七十一条

较大的系统变更需由承办部门知会归口管理部门，由归口管理部门判断是否开展安全性测试，承办部门负责开展安全性测试并组织落实整改，归口管理部门可提供技术支持。

第九章备份恢复管理

第七十二条

由承办部门根据信息系统的资产价值以及系统故障对业务正常开展造成的影响进行相应的备份需求分析，明确数据备份策略，确保系统恢复的目标，如：关键业务功能、恢复的优先顺序、恢复的时间范围等。

第七十三条

承办部门应对定期备份的重要业务信息、系统数据及软件系统形成备份清单。

第七十四条

承办部门应定期检查和测试备份介质的有效性，确保可以在恢复程序规定的时间内完成备份的恢复。

第十章网络安全事件与应急响应管理

第七十五条

根据国家及教育部对网络安全事件分类与分级的定义，明确学校网络安全事件分类与分级。

第七十六条

网络与信息系统重大网络安全事件的报告和处置管理工作由归口管理部门统一组织协调。

第七十七条

承办部门发生网络安全事件的单位首先以口头方式立即向归口管理部门报告，同时应当立即对发生的事件进行调查核实、保存相关证据，并在事件被发现或应当被发现时起24小时内将有关材料报至归口管理部门。

第七十八条

对于重大的网络安全事件，归口管理部门接到报告后，应当立即上报领导小组，并负责组织协调相关承办部门对事件进行调查和处理。

第七十九条

承办部门应配合归口管理部门开展网络安全监测预警和信息通报工作。归口管理部门负责信息收集、分析和通报工作，按照规定向全校统一发布网络安全监测预警信息。

第八十条

一旦发现涉密计算机或涉密存储介质遗失、失窃等情况，当事人应立即上报保密办，按照泄密事件报告和查处管理规定采取处理措施。

第八十一条

归口管理部门组织制定应急响应预案，负责组织网络安全应急演练，必要时组织网络安全应急预案修订。各部门应配合归口管理部门开展网络安全检查与应急演练工作；承办部门应配合组织开展网络安全应急预案的宣传、教育和培训，确保相关人员熟悉应急预案。

第八十二条

承办部门应配合归口管理部门开展网络安全事件的风险评估和隐患排查工作，协助制订完善相关应急预案，及时采取有效