上外技〔2017〕2号签发人:李岩松
各单位:
为加强学校信息技术安全管理,推进学校信息安全等级保护工作,提高信息技术安全防护能力和水平,保障学校各项事业健康有序发展,根据上级有关文件要求,特制定《上海外国语大学信息技术安全工作管理办法》。现予发布,请遵照执行。 特此通知。
附件:《上海外国语大学信息技术安全工作管理办法》
上海外国语大学
2017年6月16日
中央气象台上海外国语大学校长办公室 2017年6月16日印发
上海外国语大学信息技术安全工作管理办法
第一章总则
第一条为加强学校信息技术安全管理,推进学校信息安全等级保护工作,提高信息技术安全防护能力和水平,保障学校各项事业健康有序发展,根据《教育部关于加强教育行业网络与信息安全工作的指导意见》(教技〔2014〕4号)、《教育部关于进一步加强直属高校直属单位信息技术安全工作的通知》(教技〔2015〕1号)、《教育部公安部关于全面推进教育行业信息安全等级保护工作的通知》(教技〔2015〕2号)等文件的要求,结合我校实际制定本办法。
第二条本办法所称的“信息技术安全工作”,是指针对学校各单位建设或管理的校园网络、数据中心、应用系统、网站和校园广播电视系统而开展的预防和防御网络攻击、信息破坏、信息泄露、有害程序入侵、信息化设施故障等工作。
第三条本办法所指学校各单位包括各机关部、处,学院、直属单位以及有关科研机构。
第四条学校按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,建立健全信息技术安全责任体系。学校各单位、全体师生员工应依照本办法要求及学校相关标准规范履行信息技术安全的义务和责任。
第二章组织机构与职责
第五条学校主要负责人是学校信息技术安全的第一责任人,分管信息化工作的校领导协助主要负责人履行学校信息技术安全责任。
第六条学校成立信息技术安全工作领导小组(以下简称领导小组),由党委书记、校长任组长,信息化工作分管副校长任副组长,相关部门负责人任组员。领导小组负责统筹制定全校信息技术安全的发展战略和重大政策,统一领导、部署信息技术安全工作,研究解决信息技术安全的重要问题。
第七条领导小组下设办公室,是学校信息技术安全工作的归口管理部门,负责学校信息技术安全管理与监督工作。领导小组办公室的职责暂由信息技术中
携程网上订机票心承担,具体职责包括:
1.制定信息技术安全总体规划,并组织实施;
2.拟定信息技术安全管理规章制度,制定信息技术安全标准规范;
4.负责信息技术安全应急管理,协调处理与政府信息安全管理部门的关
系;
5.组织信息技术安全宣传和教育培训工作;
庐山一天怎么玩比较好6.负责信息技术安全监督检查工作;
7.负责学校信息技术安全的其他工作。
第八条学校各单位是本单位信息技术安全工作的责任主体,各单位主要负责人是本单位信息技术安全工作第一责任人,负责按本办法落实信息技术安全工作。各单位应明确指定本单位各应用系统和网站的运行维护责任人,并将责任人名单报备领导小组办公室,人员变动时应及时调整并报备。
第九条信息技术中心是信息技术安全工作的主要支撑单位,负责学校整体信息技术安全防护体系的建设与运行维护,为各单位的信息技术安全工作提供技术指导与服务支持。
第三章校园网络安全管理
南昌市有什么好玩的地方第十条严格按照《上海外国语大学校园网管理办法》进行校园网络的建设和管理,确保校园网的统一、规范、安全。
第四章数据中心安全管理
第十一条数据中心主要包括支撑学校网络、系统运行的网络中心机房、数据中心机房的物理环境,及放置其中的网络设备、服务器及存储设备、信息安全设备等。
第十二条信息技术中心负责数据中心的物理安全、网络安全和主机安全。各服务器托管、虚拟机租用单位负责所使用的操作系统、业务数据库系统、应用系统和数据的安全。
第十三条学校各单位应依托校内数据中心实施本单位信息化建设,需要使用校外数据中心的需报领导小组办公室审批。涉及学校基础数据、师生个人信息泰国普吉岛最佳旅游时间
或敏感信息的应用系统和网站,严禁放置在校外数据中心。任何系统、网站严禁使用设置在的数据中心。
第十四条信息技术中心对学校数据中心的使用实施准入管理,并负责制定使用数据中心的技术规范和标准,在系统上线前进行安全检测。符合技术规范标准并检测通过的系统方可上线运行。
第十五条数据中心的使用单位应遵循数据中心相关管理制度和技术标准,按需申请、有序使用,不得利用数据中心资源从事任何与申请项目无关或危害网络与信息安全的活动。
第五章信息系统安全管理
第十六条各院系部门根据学校要求和部门信息化需求申请信息化项目。项目立项过程中,需将项目方案提交领导小组办公室审核。未经审核或审核不通过的项目不予立项。领导小组办公室负责对项目的必要性、完整性、规范性、安全性等提出要求和意见,避免出现由于技术方案设计缺陷而导致的安全漏洞等方面的问题。
第十七条信息系统建设单位在立项阶段应确定系统的安全保护等级,由领导小组办公室对建设方案进行单独的安全论证和等级评审。对于安全等级第二级以上(含第二级)的信息系统,由领导小组办公室统一办理系统备案。
第十八条领导小组办公室负责统筹学校信息系统安全等级保护工作,组织学校各单位开展信息系统定级、系统备案、等级测评、建设整改,具体负责信息系统台账管理、等级评审、系统备案、监督检查工作。按照“自主定级、自主保护”的原则,信息系统建设单位是信息系统安全等级保护的责任主体,具体负责系统定级、建设整改、安全自查,协助系统备案、等级测评并接受有关部门监督检查。信息技术中心是信息系统安全等级保护工作的技术支撑保障部门,负责网络与信息安全防护体系建设和等级测评组织工作,参与监督检查工作,并协助学校各单位进行系统定级、建设整改。
第十九条信息系统在建设阶段应按已确定的安全保护等级,同步落实安全保护措施。信息系统投入试运行后,由建设单位初步验收,出具初步验收报告。
对于安全等级第二级以上(含第二级)的信息系统,由领导小组办公室组织等级测评。信息系统通过初步验收和信息安全保护等级测评后,由领导小组办公室组织竣工验收。
第二十条学校各单位建设的信息系统,应使用学校互联网域名和IP地址,并遵守《上海外国语大学校园网管理办法》及相关规章制度。
第二十一条信息系统建设单位托管在学校数据中心的信息系统,必须向信息技术中心提交院系部门正职签署的信息系统(网站)安全责任书、信息系统(网站)部署说明书以及第三方安全认证机构出具的信息系统(网站)漏洞扫描报告,并且通过信息技术中心的测评方可上线。
第二十二条信息系统建设单位应定期对终端计算机和承担网络与信息系统运行的关键设备(服务器、安全设备、网络设备)进行安全审计,通过记录、检查系统和用户活动信息,及时发现系统漏洞,处置异常访问和操作。
第二十三条信息系统建设单位应制定信息系统使用与维护的管理制度,规范信息系统使用者和维护者的操作行为。
山东日照疫情最新消息今天第二十四条对于安全等级第二级以上(含第二级)的信息系统,领导小组办公室将定期组织开展等级测评,查、发现并及时整改安全问题、漏洞和隐患。根据国家和教育行业有关标准规范,四级系统应每年进行两次测评,三级系统每年进行一次测评,二级系统每两年进行一次测评。
第六章信息系统数据安全管理
第二十五条信息系统数据是指信息系统收集、存储、传输、处理和产生的各种电子数据,包括但不限于网站内容、业务数据、网络课程、图书资源、日志记录等。
第二十六条信息系统数据的所有者是数据安全管理的责任主体,应当落实管理和技术措施,规范数据的收集、存储、传输和使用,确保数据安全。
第二十七条信息系统数据收集应遵循“最少够用”原则,不得收集与信息系统业务服务无关的个人信息。按照“谁收集,谁负责”的原则,收集个人信息的
