第一章 總 則
第一條 為規(guī)范昆明醫(yī)科大學信息系統(tǒng)的安全管理,防止外部針對信息系統(tǒng)權限,、功能,、數(shù)據(jù)與內(nèi)容等不合法的攻擊或訪問,保障信息系統(tǒng)的硬件,、軟件和數(shù)據(jù)不因偶然或人為的因素而遭受破壞,、泄露、篡改或復制,,維護信息系統(tǒng)的正常運行,,扎實推進國家信息安全等級保護工作,特制訂本辦法,。
第二條
本辦法所指的信息系統(tǒng)與《中華人民共和國計算機信息系統(tǒng)安全保護條例》中的信息系統(tǒng)定義一致:由計算機及其相關的和配套的設備,、設施(含網(wǎng)絡)構成的,按照一定的應用目標和規(guī)則對信息進行采集,、加工,、存儲、傳輸,、檢索等處理的人機系統(tǒng),,包括范圍是:信息化公共基礎服務、跨部門信息系統(tǒng),、業(yè)務部門管理信息系統(tǒng),、各類網(wǎng)站、教學資源系統(tǒng)等,。
第三條
信息系統(tǒng)安全管理包括信息系統(tǒng)上線前備案,、安全檢測、風險論證,;信息系統(tǒng)運行過程中的管理,、監(jiān)控、加固,;信息系統(tǒng)故障或遭受攻擊后的安全事件分級,、應急處置,;信息系統(tǒng)安全人員的管理、培訓,、工作制度等內(nèi)容,。
第四條 信息系統(tǒng)安全管理應遵循以下原則:
(一)提升意識、預防為主原則,。領導重視,,全員參與信息系統(tǒng)安全工作,重點做好事前和事中的管理制度,、操作流程和技術措施等預防工作,。
(二)統(tǒng)一規(guī)劃、同步建設原則,。學校應逐步建立與完善校內(nèi)信息系統(tǒng)安全防護的技術體系框架,提供可提升全局安全防護能力的平臺,、技術措施與相關設備,。校內(nèi)各單位應主動融入學校信息系統(tǒng)安全的整體防護體系,采取統(tǒng)一的技術手段,,提高學校信息系統(tǒng)安全的整體防護能力,。
(三)明確責任原則。校內(nèi)信息系統(tǒng)及各類網(wǎng)站原則上實行“誰主管誰負責,、誰運維誰負責,、誰使用誰負責”。全校信息化公共服務平臺和跨部門信息系統(tǒng)安全由現(xiàn)代教育技術中心負責,,部門管理信息系統(tǒng)安全由業(yè)務管理部門負責,,各類網(wǎng)站由網(wǎng)站建設及使用單位負責。
(四)適度安全原則,。適度安全是指與信息系統(tǒng)安全等級相適應的安全防護要求,。任何信息系統(tǒng)都沒有絕對的安全,實事求是地確定適當?shù)陌踩胧?,是本管理方法具有可行性,、可操作性的前提?
第二章 管理機構及職責
第五條 現(xiàn)代教育技術中心負責制定信息系統(tǒng)安全經(jīng)費預算,落實學校信息系統(tǒng)安全各項工作,,對校內(nèi)各單位信息安全工作進行監(jiān)督,、評價、指導及審批,,指揮,、協(xié)調(diào)、督促學校網(wǎng)絡信息安全事件的處理,。負責組織協(xié)調(diào)及信息系統(tǒng)登記備案,,提供安全技術手段及業(yè)務培訓,。
第六條 校內(nèi)單位必須成立本單位的信息系統(tǒng)安全工作小組,業(yè)務部門信息系統(tǒng)和二級單位網(wǎng)站應有明確的責任人和技術管理人員,,且必須由在職工作人員管理維護和應急處置,,管理人員調(diào)動時要做好交接工作。
第三章 事前預防
第七條 校內(nèi)信息系統(tǒng)實行登記備案制度,。信息系統(tǒng)等級備案的信息包括但不限于信息系統(tǒng)名稱,、主辦/主管單位、責任人,、技術管理員,、服務器放置地、數(shù)據(jù)庫類型,、開發(fā)商,、域名、IP地址,、開放端口,、運行有效期等。服務器放置在校內(nèi),、使用學校教育與科研計算機網(wǎng)網(wǎng)段IP地址的信息系統(tǒng)必須使用學校域名后綴(kmmu.edu.cn),,不使用學校域名后綴的信息系統(tǒng)必須在公安機關進行登記備案。
第八條
信息化公共基礎服務,、跨部門信息系統(tǒng),、業(yè)務部門管理信息系統(tǒng)等面向師生公開服務的信息系統(tǒng)原則上應盡量使用學校中心機房軟硬件平臺。因技術原因(如外置加密設備)確需存放在單位自建服務器上的,,應把服務器托管到網(wǎng)絡中心,,提高信息系統(tǒng)運行環(huán)境的安全防護能力。
第九條
財務管理系統(tǒng),、校園一卡通管理系統(tǒng)等涉及校內(nèi)資金管理流通的信息系統(tǒng)應搭建專用的軟硬件平臺和專用傳輸網(wǎng)絡,,實現(xiàn)與校園網(wǎng)的物理隔離,確保系統(tǒng)運行環(huán)境安全,。
第十條
校內(nèi)單位新建的宣傳類,、門戶類的網(wǎng)站原則上盡量使用由現(xiàn)教中心統(tǒng)一開發(fā)的網(wǎng)站群系統(tǒng),減少網(wǎng)站安全漏洞,,提升網(wǎng)站安全防護能力,,確保網(wǎng)站風格統(tǒng)一。
第四章 事中管控
第十一條 信息系統(tǒng)發(fā)布信息必須嚴格遵守國家有關法律法規(guī),,不得發(fā)布違反國家法律,、擾亂社會穩(wěn)定、影響學校聲譽和違反學校相關規(guī)定的信息,不得利用網(wǎng)站散布病毒,。未經(jīng)學校批準,,任何單位和個人不得通過校內(nèi)網(wǎng)站從事經(jīng)營性活動。
第十二條
信息系統(tǒng)發(fā)布信息實行信息審核制度,,除經(jīng)現(xiàn)教中心審批同意的信息系統(tǒng)外,,不允許開設交互類、論壇類欄目,。確因教學,、科研等工作需要開設論壇的,必須接入學校統(tǒng)一身份認證平臺實行實名制,。信息系統(tǒng)責任人負責組織,、監(jiān)督本單位信息系統(tǒng)網(wǎng)頁制作,負責網(wǎng)頁發(fā)布的內(nèi)容審核,、備案及保密工作,,負責監(jiān)督信息系統(tǒng)網(wǎng)頁所有信息的更新、修改,、刪除及網(wǎng)站的維護,,確保網(wǎng)頁內(nèi)容的正確性,保證系統(tǒng)安全運行,。
第十三條
托管在現(xiàn)教中心或放置在本單位提供互聯(lián)網(wǎng)信息服務的服務器,應配備有專業(yè)計算機技術人員進行維護和安全管理,,做好開啟日志,、防病毒、防黑客攻擊的措施,。
第十四條
信息系統(tǒng)責任人和技術管理人員要加強自己所使用的電腦終端的安全防范,,及時安裝防病毒軟件和防火墻,不要瀏覽不明來歷的網(wǎng)站和非法網(wǎng)站,,以免電腦被植入木馬繼而影響網(wǎng)站的安全,。有條件的單位,應為信息系統(tǒng)責任人和技術管理人員配備專用的電腦終端,。
第十五條
加強信息系統(tǒng)的賬號管理和權限管理,。嚴格規(guī)范系統(tǒng)管理員賬號和特權賬號的密碼設定規(guī)則,避免使用過于簡單的密碼,,并做到定期更換,。管理員賬號和特權賬號不得交予他人登錄系統(tǒng)。信息系統(tǒng)授權應采取最小化授權原則,,不得授予超出工作內(nèi)容范圍的信息系統(tǒng)管理與操作權限,。
第十六條
各二級部門應加強信息系統(tǒng)的運行維護和安全監(jiān)控工作。發(fā)現(xiàn)重大隱患、黑客侵入痕跡等安全風險應立即向現(xiàn)教中心報告,,并在現(xiàn)教中心的指導下妥善處理,。
第十七條
現(xiàn)教中心不定期利用掃描設備或委托第三方安全評測機構對校內(nèi)信息系統(tǒng)安全性進行掃描檢測,發(fā)現(xiàn)安全隱患較為嚴重的信息系統(tǒng),,對其主管單位提供安全檢測報告和整改要求,。接到報告后,主管單位須立即組織人員進行整改,、修復和加固,,不能達到整改要求的,現(xiàn)教中心可暫停信息系統(tǒng)運行,。
第十八條
對于已經(jīng)廢棄不用的信息系統(tǒng),,主管單位應該及時關停,并上報現(xiàn)教中心備案,。
第十九條 各單位信息系統(tǒng)技術管理員有義務參加公安機關,、上級單位和網(wǎng)絡中心組織的安全技術培訓和考核。多次不參加培訓且管理的信息系統(tǒng)安全性較差的單位,,學校將予以通報,,情節(jié)嚴重的,暫停信息系統(tǒng)運行,。
第五章 事后處置
第二十條 針對信息系統(tǒng)特點,,主管單位應事先制定突發(fā)安全事件的應急處置方案。當發(fā)生信息系統(tǒng)安全事件時,,信息系統(tǒng)主管單位做好先期應急處置工作,,按相應的應急預案處置規(guī)程,立即采取措施控制事態(tài),,同時立即向上級安全部門報告,。
第二十一條 信息系統(tǒng)安全事件的分類:信息系統(tǒng)安全事件主要分為有害程序、網(wǎng)絡攻擊,、信息破壞,、信息內(nèi)容安全和災害性事件等。
(一)有害程序事件:計算機病毒,、蠕蟲,、特洛伊木馬、僵尸網(wǎng)絡,、混合攻擊程序,、網(wǎng)頁內(nèi)嵌惡意代碼和其它有害程序事件等。
(二)網(wǎng)絡攻擊事件:拒絕服務攻擊(DOS),、后門攻擊,、漏洞攻擊、網(wǎng)絡掃描竊聽、網(wǎng)絡釣魚,、通過Syn flood和ARP欺騙等進行網(wǎng)絡干擾和網(wǎng)絡攻擊事件等,。
(三)信息破壞事件:在惡意非授權情形下篡改網(wǎng)絡配置、系統(tǒng)配置和安全配置信息,;偽造用戶或管理員身份破壞系統(tǒng)數(shù)據(jù),;非法泄露內(nèi)部信息化系統(tǒng)的數(shù)據(jù);利用偵聽,、密碼猜測等非正常手段獲取數(shù)據(jù),;因保管不當或惡意攻擊造成的數(shù)據(jù)丟失和其他信息破壞事件。
(四)信息內(nèi)容安全事件:是指利用信息網(wǎng)絡發(fā)布,、傳播危害國家安全,、社會穩(wěn)定和公共利益的內(nèi)容,違反憲法和法律,、行政法規(guī)的信息安全事件,。包括針對社會事項進行討論、評論形成網(wǎng)上敏感的輿論熱點,,出現(xiàn)一定規(guī)模炒作的信息安全事件,;組織串連、煽動集會游行的信息安全事件及其他信息內(nèi)容安全事件,。
(五)災害性事件:由水災,、火災、臺風,、地震,、雷擊等自然災害和因施工或其他突發(fā)事件引發(fā)的大規(guī)模或局部網(wǎng)絡癱瘓,、數(shù)據(jù)破壞或丟失等。
第二十二條 信息系統(tǒng)安全事件的分級:學校信息安全事件分為四級:I級(特別重大的信息系統(tǒng)安全事件),、II級(重大信息系統(tǒng)安全事件),、III級(較大信息系統(tǒng)安全事件)、IV級(一般信息系統(tǒng)安全事件),。
(一)I級:能夠?qū)е绿貏e嚴重影響或破壞的信息安全事件,,包括會使特別重要的信息系統(tǒng)遭受特別嚴重的系統(tǒng)損失,產(chǎn)生特別重大的工作和社會影響,。
(二)II級:能夠?qū)е聡乐赜绊懟蚱茐牡男畔踩录?,包括會使特別重要信息系統(tǒng)遭受嚴重的系統(tǒng)損失、或使重要信息系統(tǒng)遭受特別嚴重的系統(tǒng)損失,,產(chǎn)生的重大的工作和社會影響,。
(三)III級:指能夠?qū)е螺^嚴重影響或破壞的信息安全事件,包括會使特別重要信息系統(tǒng)遭受較大的系統(tǒng)損失、或使重要信息系統(tǒng)遭受嚴重的系統(tǒng)損失,、一般信息信息系統(tǒng)遭受特別嚴重的系統(tǒng)損失,,產(chǎn)生較大的工作和社會影響。
(四)IV級:不滿足以上條件的信息安全事件,,包括以下會使特別重要信息系統(tǒng)遭受較小的系統(tǒng)損失,、或使重要信息系統(tǒng)遭受較大的系統(tǒng)損失,一般信息系統(tǒng)遭受嚴重或嚴重以下級別的系統(tǒng)損失,,產(chǎn)生一般的工作和社會影響,。
第二十三條 對IV級信息系統(tǒng)安全事件,由信息系統(tǒng)主管單位負責應急處置,,并將有關情況向現(xiàn)教中心報告,,必要時可請求協(xié)助。對有可能演變?yōu)镮II級,、II級,、I級的信息系統(tǒng)安全事件,由現(xiàn)教中心調(diào)配應急資源,,協(xié)助信息系統(tǒng)主管單位進行處置,。發(fā)生II級、I級的信息系統(tǒng)安全事件,,由現(xiàn)教中心向上級安全部門報告,,并請示處置方案。
第二十四條 將信息收集,、記錄和分析貫穿于事件應急處置全過程,。當接到校園網(wǎng)絡與信息安全事件報警后,信息系統(tǒng)主管單位要協(xié)助現(xiàn)教中心盡可能全面,、準確地收集與事件相關信息,,如采取現(xiàn)場快照或設備日志快照等方式,并詳細記錄事件細節(jié)信息,,了解事件造成的損失和影響,。
第二十五條 信息系統(tǒng)主管單位要積極配合現(xiàn)教中心對安全事件的起因、性質(zhì),、影響,、責任、經(jīng)驗教訓和恢復重建等問題進行調(diào)查評估,,根據(jù)暴露的問題和調(diào)查評估的結果,,對系統(tǒng)應急預案進行相應的修改和維護。
第六章 附則
第二十六條 對于違反本辦法造成損失的,,視情節(jié)輕重報有關部門處理,。
關注微信公眾號
關注新浪微博
