第一章 总则
为加强西安开放大学(以下简称学校)网络安全与信息化管理,提高学校网络信息安全防护能力和水平,为全校师生和社会公众提供安全、可靠、稳定的网络服务和信息服务,保障学校各项事业健康有序发展,根据《中华人民共和国网络安全法》《中华人民共和国计算机信息系统安全保护条例》《中华人民共和国数据安全法》和《关键信息基础设施安全保护条例》等国家有关法律、法规对网络与信息技术安全管理的要求,结合学校实际,制定本办法。
第一条 本办法适用于:在学校校园范围内建设、运营、维护和使用的网络信息化基础设施、网站及信息系统;在互联网上以西安开放大学名义建设、运营、维护和使用的网站及信息系统;学校网络与信息安全的监督管理等方面。
第二条 学校校园网络是指由西安开放大学投资建设,为学校教学、科研、管理及办学服务的计算机网络,包含校园有线网络、无线网络,其服务对象是学校的教学、科研、办学和管理机构、全校师生等。
第三条 网络与信息安全是指保护校园网络硬件设施、各类信息系统(含网站)及其承载的信息内容,不因偶然或恶意的原因导致信息数据被攻击、泄露、更改、破坏、未经授权访问和使用。保障网络服务不中断,信息系统(含网站)连续、可靠、正常地运行,确保信息内容的机密性、完整性、可用性、可控性和不可否认性。
第四条 信息安全等级保护制度是国家提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。学校按照“同步规划、同步建设、同步运行”的原则,规划、设计、建设、运行、管理网络与信息安全设施,建立健全网络与信息安全防护体系,全面实施信息系统安全(含网站)等级保护制度。
第五条 学校任何部门或个人,不得利用网络及计算机信息系统从事危害国家安全、学校安全和师生合法权益的活动,不得危害校园网络及信息系统的安全。
第六条 本办法将根据国家相关法律法规、学校的相关要求变化做出相应调整。
第二章 组织机构
第七条 按照教育部关于加强教育行业网络与信息安全工作的指导意见中“分级管理、逐级负责”的指导原则,建立西安开放大学网络安全与信息化工作领导小组。领导小组由学校党委书记和校长任组长,其他校领导任副组长,各部门、各办学单位主要负责人为成员。领导小组办公室设在现代教育技术处(资源中心),负责日常管理工作。
第八条 西安开放大学网络安全与信息化工作领导小组是负责统筹学校网络安全与信息化工作的领导机构,负责学校网络安全与信息化建设的统筹规划、协调部署、重大问题的决策和监督检查。
第九条 西安开放大学现代教育技术处(资源中心)是学校网络安全和信息化建设的管理和执行机构,负责学校网络安全和信息化建设相关工作,负责全校信息化公共基础设施、基础平台及公共资源的建设、管理与运行维护,负责为学校各单位信息化建设提供技术支持。
第十条 西安开放大学网络信息安全工作由信息技术安全和信息内容安全两部分组成。现代教育技术处(资源中心)牵头负责信息技术安全工作。科研处牵头负责信息内容安全工作。
第十一条 西安开放大学网络安全与信息化工作组织机构和相应的职责,由“西安开放大学网络安全与信息化工作领导小组”另行规定。
第三章 网络通信基础设施安全
第十二条 网络通信基础设施指网络安全运行所需的各种设施,主要包括校园网络、计算机机房、服务器及网络存储等硬件设备,以及相关的运维管理信息系统。基础设施的安全可靠运行是保障学校网络与信息安全的基础。
第十三条 校园网基础设施是构建校园网和校园网运行所需的相关设施,包括综合布线、网络设备等。
第十四条 校园网既是用户使用互联网的基础条件,又是依托网络运行的各种信息系统的基础条件。校园网管理包括校园网运维管理、网络资源与服务管理等。校园网络安全管理由“西安开放大学校园网络安全管理办法”(附件1)另行规定。
第四章 校园网站安全
第十五条 西安开放大学校园网站是指网站域名后缀为“xaou.sn.cn”的网站,学校任何部门和个人依托校园网提供网络信息发布服务,均须遵照“西安开放大学校园网站管理办法”(附件2)执行。
第十六条 任何部门和个人在建设、使用信息系统及校园网站时,应当遵守《中华人民共和国网络安全法》、《网络安全审查办法》等国家法律法规,并依法负有法律义务和责任。
第十七条 任何部门和个人不得利用信息系统或校园网站,制作、复制、查阅、传播涉密信息和《互联网信息服务管理办法》所禁止的内容。
第十八条 任何部门和个人应尊重、保护知识产权与版权,遵守《中华人民共和国知识产权法》,不得利用西安开放大学校园网或外部网络进行任何形式的网上侵权活动。
第十九条 任何部门和个人出现或发现网络与信息安全事故时,应按照“西安开放大学网络与信息安全事件应急预案”(附件3)所规定的流程,第一时间报告现代教育技术处(资源中心),根据安全事件的级别进行相应处置;同时,根据网络与信息安全事故类型,向学校后勤保卫处报告网络违法犯罪行为,向学校科研处报告有害信息发布行为。
第二十条 任何部门和个人应当接受并配合学校、地市级和省级相关部门依法进行的监督检查。
第二十一条 现代教育技术处(资源中心)定期组织开展对学校及各部门负责的信息系统和网站进行恶意代码、安全漏洞等技术检测,对存在高安全风险的信息系统和网站下达限期整改通知书,责令有关部门限期完成安全整改,并在整改完成后进行安全复查。
第二十二条 在紧急情况下,现代教育技术处(资源中心)可以采取特别技术措施以维护校园网的网络信息安全。
第五章 安全制度与措施
第二十三条 依据《计算机信息系统安全保护等级划分准则》,对于各类网站及信息系统进行安全等级保护定级与备案。信息系统等级备案的信息主要包括信息系统名称、主办/主管单位、责任人、安全保护等级、服务器放置地、数据库类型、开发商、域名、IP地址、开放端口、运行有效期等。
第二十四条 现代教育技术处(资源中心)对学校内的各类网站和信息系统进行日常安全管理,根据网站和信息系统的安全防护级别,定期进行安全扫描和风险评估,及时发现存在的风险并采取整改与修复措施。
第二十五条 每年定期对网站和信息系统备案情况进行核查修订,对发现超过规定期限未进行备案信息确认的网站和信息系统,将视为无人维护,进行关闭处理。
第二十六条 学校内网站与信息系统在委托第三方进行开发时,注重对运维和安全修复方面条款的要求,在服务合同中明确网络与信息安全保密责任,不得将学校数据提交给境外机构。确保使用中出现网络安全相关问题时,能积极响应并迅速解决。
第二十七条 学校加强对系统维护和系统账户管理,严格管理系统账户密码及账户授权。因岗位或职责发生变更时,及时更改系统管理账户密码和相关账户授权,避免授权不当的风险。因密码或数据泄露造成损失和不良后果的,追究相关人员责任。
第六章 安全教育培训
第二十八条 学校制定网络与信息安全教育培训规划,组织开展形式多样、针对性强的安全教育,不定期举办面向全体教职工及学生的普及性网络安全培训,提高全校师生的网络信息安全与防范意识。
第二十九条 学校制定网络安全技术防御等方面的专题培训计划,定期开展面向网络安全管理和信息化工作的技术人员专业技能教育和培训。
第七章 附则
第三十条 任何部门和个人不得私自利用校园网络建立网站、论坛、信息系统等,不得利用校园网对外提供商业服务或提供非法网站链接等。
第三十一条 任何部门和个人,未经现代教育技术处(资源中心)同意,不得擅自安装拆卸或改变网络设施。
第三十二条 涉密信息的计算机及信息系统不得接入校园网络及互联网。
第三十三条 本办法由现代教育技术处(资源中心)负责解释,自发布之日起施行。
附件:1.西安开放大学校园网络管理办法
2.西安开放大学校园网站管理办法
3.西安开放大学网络与信息安全事件应急预案