為加強(qiáng)南京大學(xué)網(wǎng)絡(luò)與信息系統(tǒng)安全日常管理工作,依照國(guó)家法律法規(guī)和《南京大學(xué)網(wǎng)絡(luò)與信息系統(tǒng)安全管理辦法》,制定本實(shí)施細(xì)則。
一、人員管理
各單位主管信息化工作的領(lǐng)導(dǎo)擔(dān)任本單位網(wǎng)絡(luò)與信息系統(tǒng)安全責(zé)任人,并指定專(zhuān)人擔(dān)任網(wǎng)絡(luò)與信息系統(tǒng)安全管理員,負(fù)責(zé)本單位網(wǎng)絡(luò)與信息系統(tǒng)安全管理工作。
各單位網(wǎng)絡(luò)與信息系統(tǒng)安全責(zé)任人應(yīng)簽訂《南京大學(xué)網(wǎng)絡(luò)與信息系統(tǒng)安全責(zé)任書(shū)》,并報(bào)信息化建設(shè)與管理辦公室登記備案。各單位網(wǎng)絡(luò)與信息安全相關(guān)重點(diǎn)崗位人員,如網(wǎng)站與系統(tǒng)管理員、網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)與信息安全管理員等,須簽訂《南京大學(xué)網(wǎng)絡(luò)與信息系統(tǒng)安全保密承諾書(shū)》。
非管理人員訪問(wèn)機(jī)房等重要區(qū)域,須經(jīng)過(guò)網(wǎng)絡(luò)與信息系統(tǒng)安全管理員批準(zhǔn),由管理人員陪同,并做好進(jìn)出記錄。
二、資產(chǎn)和采購(gòu)
各信息系統(tǒng)建設(shè)和管理單位應(yīng)重視信息化資產(chǎn)的管理工作,遵守國(guó)家相關(guān)法律法規(guī),以及南京大學(xué)國(guó)有資產(chǎn)管理的相關(guān)規(guī)定和制度,指定專(zhuān)人負(fù)責(zé)信息化資產(chǎn)管理工作。
信息化相關(guān)軟硬件設(shè)備的采購(gòu)須嚴(yán)格遵守國(guó)家相關(guān)法律法規(guī),以及南京大學(xué)采購(gòu)管理的相關(guān)規(guī)定和制度,選擇經(jīng)過(guò)國(guó)家有關(guān)權(quán)威部門(mén)的安全測(cè)評(píng)和認(rèn)證的產(chǎn)品。
信息化相關(guān)軟硬件應(yīng)在測(cè)試環(huán)境下經(jīng)過(guò)運(yùn)行測(cè)試和安全檢測(cè),未經(jīng)測(cè)試、驗(yàn)收或驗(yàn)收不合格的不得交付使用。
三、外包管理
采取信息技術(shù)外包的單位,應(yīng)重視外包服務(wù)的安全管理工作,選擇具有國(guó)家專(zhuān)業(yè)資質(zhì)認(rèn)證的外包服務(wù)提供商,與其簽訂網(wǎng)絡(luò)與信息系統(tǒng)安全保密協(xié)議,并在外包服務(wù)合同中明確安全與保密責(zé)任。
外包服務(wù)原則上不得采用遠(yuǎn)程在線(xiàn)方式,確需遠(yuǎn)程服務(wù)時(shí)須采取書(shū)面審批、訪問(wèn)控制、在線(xiàn)監(jiān)測(cè)、日志審計(jì)等安全防護(hù)措施。現(xiàn)場(chǎng)服務(wù)過(guò)程中也須安排專(zhuān)人管理,并記錄服務(wù)過(guò)程。
外包開(kāi)發(fā)的系統(tǒng)、軟件上線(xiàn)前,必須通過(guò)網(wǎng)絡(luò)信息中心的安全測(cè)評(píng)。
四、教育培訓(xùn)
各單位應(yīng)加強(qiáng)網(wǎng)絡(luò)與信息系統(tǒng)安全教育,信息系統(tǒng)管理人員應(yīng)主動(dòng)參加信息化建設(shè)與管理辦公室組織的安全類(lèi)專(zhuān)業(yè)培訓(xùn)。
信息化建設(shè)與管理辦公室每年組織一次網(wǎng)絡(luò)與信息系統(tǒng)安全管理人員和技術(shù)人員專(zhuān)業(yè)培訓(xùn),不定期邀請(qǐng)校內(nèi)海家家開(kāi)展網(wǎng)絡(luò)與信息系統(tǒng)安全講座。
網(wǎng)絡(luò)信息中心不定期面向校園網(wǎng)全體用戶(hù)開(kāi)展網(wǎng)絡(luò)安全形勢(shì)與警示教育、基本技能培訓(xùn)等活動(dòng)。
五、安全等級(jí)保護(hù)
學(xué)校各網(wǎng)絡(luò)信息系統(tǒng)的建設(shè)管理單位作為安全等級(jí)保護(hù)的責(zé)任主體,應(yīng)當(dāng)按照國(guó)家等級(jí)保護(hù)相關(guān)管理規(guī)范、技術(shù)標(biāo)準(zhǔn)確定網(wǎng)絡(luò)信息系統(tǒng)的安全等級(jí),以及各級(jí)別安全和管理的內(nèi)容。涉密信息系統(tǒng)應(yīng)當(dāng)根據(jù)國(guó)家涉密信息保護(hù)的基本要求,按照學(xué)校保密工作部門(mén)有關(guān)涉密信息系統(tǒng)分級(jí)保護(hù)管理規(guī)定和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。
對(duì)新建、改建、擴(kuò)建的網(wǎng)絡(luò)信息系統(tǒng),建設(shè)管理單位應(yīng)當(dāng)在規(guī)劃、設(shè)計(jì)階段確定信息系統(tǒng)的安全等級(jí),并同步建設(shè)符合該安全等級(jí)要求的信息安全設(shè)施。
新建的網(wǎng)絡(luò)與信息系統(tǒng),其建設(shè)管理單位應(yīng)當(dāng)在系統(tǒng)投入運(yùn)行后30日內(nèi)到信息化建設(shè)與管理辦公室辦理備案手續(xù)。已運(yùn)行的網(wǎng)絡(luò)信息系統(tǒng),其建設(shè)管理單位應(yīng)當(dāng)?shù)叫畔⒒ㄔO(shè)與辦公室補(bǔ)辦理備案手續(xù)并確定安全等級(jí)。對(duì)于二級(jí)及以上的計(jì)算機(jī)信息系統(tǒng)由信息化建設(shè)與管理辦公室統(tǒng)一上報(bào)至公安等相關(guān)部門(mén)。
信息系統(tǒng)建設(shè)管理單位應(yīng)當(dāng)建立信息系統(tǒng)安全狀況日常檢測(cè)工作制度,應(yīng)當(dāng)按照國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),定期對(duì)信息系統(tǒng)安全狀況、安全制度及措施的落實(shí)情況進(jìn)行自查,學(xué)校信息化建設(shè)與管理辦公室將定期進(jìn)行檢查。三級(jí)以上的信息系統(tǒng)需由公安部門(mén)進(jìn)行系統(tǒng)評(píng)測(cè)。對(duì)于計(jì)算機(jī)信息系統(tǒng)安全狀況未達(dá)到安全等級(jí)要求的,建設(shè)管理單位應(yīng)當(dāng)制定方案進(jìn)行整改。
信息系統(tǒng)建設(shè)管理單位應(yīng)當(dāng)建立并落實(shí)以下安全制度:
(一)安全責(zé)任制度和安全培訓(xùn)制度;
(二)核實(shí)、登記并及時(shí)更新用戶(hù)注冊(cè)信息制度;
(三)信息發(fā)布審核、登記、保存、清除和備份制度;
(四)網(wǎng)絡(luò)信息安全處置制度;
(五)違法案件報(bào)告和協(xié)助查處制度;
(六)國(guó)家和江蘇省規(guī)定的其他安全制度。
信息系統(tǒng)建設(shè)管理單位應(yīng)當(dāng)落實(shí)以下安全技術(shù)措施:
(一)系統(tǒng)重要數(shù)據(jù)管理、備份、容災(zāi)恢復(fù)措施;
(二)計(jì)算機(jī)病毒等破壞性程序的防治措施,防范網(wǎng)絡(luò)入侵、攻擊破壞等危害網(wǎng)絡(luò)安全行為的措施;
(三)系統(tǒng)運(yùn)行和用戶(hù)使用日志備份并保存六十日以上的措施;
(四)密鑰、密碼安全管理措施;
(五)國(guó)家和江蘇省規(guī)定的其他安全技術(shù)措施。
六、隱患排查
網(wǎng)絡(luò)信息中心定期對(duì)校園網(wǎng)出口對(duì)外發(fā)送大量報(bào)文的服務(wù)器或終端進(jìn)行分析,發(fā)現(xiàn)異常通知校園網(wǎng)用戶(hù)進(jìn)行處理。
網(wǎng)絡(luò)信息中心定期對(duì)我校核心應(yīng)用服務(wù)器進(jìn)行漏洞掃描,發(fā)現(xiàn)安全漏洞通知建設(shè)管理單位盡快進(jìn)行修復(fù)和補(bǔ)丁的完善。
網(wǎng)絡(luò)信息中心負(fù)責(zé)跟蹤各類(lèi)安全漏洞平臺(tái)公布的涉及我校的安全漏洞及安全問(wèn)題,第一時(shí)間封閉網(wǎng)站的外網(wǎng)訪問(wèn)及出校訪問(wèn)權(quán)限,并通知用戶(hù)單位進(jìn)行緊急處理,同時(shí)報(bào)送信息化建設(shè)與管理辦公室。
信息化建設(shè)與管理辦公室每季度發(fā)布一次網(wǎng)絡(luò)與信息系統(tǒng)安全檢查季報(bào),督促各相關(guān)單位進(jìn)行排查和安全整改。
七、其他
任何單位或者個(gè)人不得從事下列危害網(wǎng)絡(luò)與信息系統(tǒng)安全的行為:
(一)擅自進(jìn)入、使用他人計(jì)算機(jī)信息網(wǎng)絡(luò);
(二)擅自增加、修改、刪除、復(fù)制、利用他人計(jì)算機(jī)信息網(wǎng)絡(luò)的數(shù)據(jù);
(三)擅自增加、修改、刪除、干擾、利用他人計(jì)算機(jī)信息網(wǎng)絡(luò)的功能;
(四)擅自接入、安裝、拆卸或改變計(jì)算機(jī)信息網(wǎng)絡(luò)運(yùn)行環(huán)境、設(shè)備設(shè)施;
(五)竊取、盜用、篡改、破壞他人網(wǎng)絡(luò)資源;
(六)故意制作、傳播、使用計(jì)算機(jī)病毒、惡意軟件等破壞性程序,或者制作、發(fā)布、復(fù)制、傳播含破壞性程序或其機(jī)理、源程序的信息;
(七)故意阻塞、阻礙、中斷計(jì)算機(jī)信息網(wǎng)絡(luò)的信息傳輸,惡意占用網(wǎng)絡(luò)資源;
(八)利用網(wǎng)絡(luò)大量或者多次發(fā)送電子郵件、短信息等,干擾他人正常生活秩序或者網(wǎng)絡(luò)秩序;
(九)利用網(wǎng)絡(luò)違背他人意愿、冒用他人名義發(fā)布信息;
(十)明知本單位或本人的網(wǎng)絡(luò)地址、主機(jī)空間等資源已被他人利用,從事可能危害網(wǎng)絡(luò)信息安全的活動(dòng)而不予制止;
(十一)擅自利用網(wǎng)絡(luò)收集、使用、提供、買(mǎi)賣(mài)學(xué)校公共數(shù)據(jù)和他人專(zhuān)有信息;
(十二)其他危害網(wǎng)絡(luò)與信息系統(tǒng)安全的行為。
任何單位或者個(gè)人不得利用網(wǎng)絡(luò)制作、發(fā)布、傳播含有下列內(nèi)容的信息:
(一)反對(duì)憲法基本原則的;
(二)危害國(guó)家安全,泄露國(guó)家秘密,顛覆國(guó)家政權(quán),破壞國(guó)家統(tǒng)一的;
(三)損害國(guó)家榮譽(yù)和利益的;
(四)煽動(dòng)民族仇恨、民族歧視,破壞民族團(tuán)結(jié),或者侵害民族風(fēng)俗習(xí)慣的;
(五)破壞國(guó)家宗教政策,宣揚(yáng)邪教、封建迷信的;
(六)散布謠言,擾亂社會(huì)秩序,破壞社會(huì)穩(wěn)定的;
(七)鼓動(dòng)公眾惡意評(píng)論他人、公開(kāi)發(fā)布他人隱私或者通過(guò)暗示、影射等方式對(duì)他人進(jìn)行人身攻擊的;
(八)公然侮辱他人或者捏造事實(shí)誹謗他人的;
(九)以非法社團(tuán)名義活動(dòng)的;
(十)買(mǎi)賣(mài)法律、法規(guī)禁止流通的物品的;
(十一)非法買(mǎi)賣(mài)法律、法規(guī)限制流通的物品,對(duì)公共安全構(gòu)成威脅的;
(十二)含有淫穢、色情、賭博、暴力、欺詐等內(nèi)容,或者教唆犯罪、傳授犯罪方法的;
(十三)含有法律、法規(guī)禁止的其他內(nèi)容的。
學(xué)校相關(guān)管理部門(mén)對(duì)違反本辦法的可根據(jù)情況作以下處理:
(一)警告、勒令改正;
(二)中斷網(wǎng)絡(luò)3至60天;
(三)關(guān)閉信息系統(tǒng);
(四)給予相應(yīng)的行政和紀(jì)律處分;
(五)對(duì)情節(jié)嚴(yán)重的,學(xué)校向公安部門(mén)報(bào)告,追究其法律責(zé)任。
本實(shí)施細(xì)則自發(fā)布之日起實(shí)施,由信息化建設(shè)與管理辦公室負(fù)責(zé)解釋。
