第一章 总 则

第一条 为了保障学院校园网络及信息系统的安全稳定、促进学院信息化健康发展，根据《中华人民共和国网络安全法》和其他法律法规，结合学院实际情况，制定本办法。

第二条 网络信息安全是指网络基础设施、网站、信息系统及数据内容等受到保护，保证网络、信息及内容的安全性、完整性、可用性、可控性。

第三条 网络信息安全管理的基本原则是“谁主管谁负责、谁运维谁负责、谁使用谁负责”，明确责任、突出重点、保障安全。

第四条 网络信息安全管理的总体方针是以国家标准《信息系统安全等级保护基本要求》（GB/T 22239-2008）为指导，预防为主、综合防范。

第五条 网络信息安全管理的目标是建立健全网络信息安全保障体系，提高安全防护能力，确保学院网络信息安全工作规范、有序开展，保障学院信息化可持续发展。

第二章 组织架构

第六条 学院信息化领导小组负责制定网络信息安全相关政策，研究处理重大网络信息安全事件，定期召开网络信息安全工作会议，统筹指导学院网络信息安全建设。

第七条 信息化办公室负责学院网络信息安全的日常工作。

第八条 学院各部门负责本部门办公电脑、网站及应用系统的管理及安全运维。各部门主要负责人是本部门网络信息安全工作的第一责任人，各部门专（兼）职网络安全员，负责本部门网络信息安全具体工作。

第三章 安全建设

第九条 各部门在制定信息化项目预算时，须包含网络信息安全的专项经费，用于该信息系统的安全建设及运维。

第十条 各部门须明确信息系统（网站）是否需要对校外开放，对校外开放的信息系统（网站），须满足国家标准《信息系统安全等级保护基本要求》规定的安全等级要求。

第十一条 各部门信息系统（网站）在上线前，须开展安全自查工作，提供安全自查报告，并填写《信息系统（网站）统计表》，由本部门主要负责人签字确认后，提交信息化办公室备案。

第四章 运行管理

第十二条 各部门须定期对本部门的信息系统（网站）开展安全巡检，并做好巡检记录，填写《信息系统（网站）巡检记录表》。对校外开放的信息系统（网站）每天巡检一次，对校内开放的网站或信息系统每周巡检一次。

第十三条 各部门须每月对所负责的信息系统（网站）进行漏洞修补，包括主机系统漏洞、WEB应用漏洞、中间件漏洞、数据库漏洞等，并填写《信息系统（网站）更新记录表》。

第十四条 特殊时期，各部门须加强信息系统（网站）的安全监管工作，安排专人24小时值守，安全值守情况报信息化办公室。

第五章 安全事件应急响应

第十五条 安全事件分为紧急事件和普通事件。

第十六条 紧急事件是指：

1、可由校外访问的页面发生篡改或被替换成非法信息的事件，尤其是发生在主页、新闻网站、招生信息网等访问量高的系统或网站的事件。

2、影响学院系统正常运转的攻击事件，如与服务门户、教务系统、财务系统、办公自动化系统相关的攻击事件。

3、可能造成师生隐私信息被窃取、丢失、损坏的漏洞。

4、其它可能对社会公共安全或学院造成危害或不良影响的事件或漏洞。

第十七条 普通事件是指：

1、对校内开放系统或网站的页面发生无害篡改或有隐藏漏洞。

2、影响不大的攻击事件或可能造成中低隐患的漏洞。

3、其他不构成公共危害或社会不良影响的安全事件或漏洞。

第十八条 网络信息安全事件应急响应流程如下：

1、信息化办公室接到安全事件通报，通过沟通协调，结合技术手段，获取事件截图等相关证据。

2、信息化办公室核实事件类别，发起处理流程。

3、若事件为紧急事件，信息化办公室第一时间向分管信息化工作校领导汇报，同时通报责任部门相关情况及事件证据，并关闭相关信息系统（网站）的访问权限，以降低不良影响。若事件为普通事件，则此环节略过。

4、信息化办公室指导分析事件原因，并提供整改建议。

5、责任部门对信息系统（网站）进行安全修复，并提交整改报告。

6、信息化办公室对修复后的信息系统（网站）恢复其访问权限。

第十九条 各部门须制定本部门的信息系统（网站）安全应急预案，并定期进行安全应急演练。

第六章 附 则

第二十条 涉密网络信息系统的运行安全保护工作不适用本管理办法。

第二十一条 本管理办法自2019年6月1日起施行。

（本规定由图书信息中心提供）