第一章 總 則
第一條 為落實國家和教育部對網絡安全提出的一系列要求,建立網絡安全長效機制,確保學校信息系統安全,根據《中華人民共和國網絡安全法》、《中華人民共和國計算機信息系統安全保護條例》(國務院147號令)、《信息安全等級保護管理辦法》(公通字〔2007〕43號)等法律法規,制定本規定。
第二條 本規定涵蓋的網站和信息系統是以國家開放大學為主辦單位的網站和信息系統。
第三條 網絡安全工作遵照“誰主管,誰負責;誰運維,誰負責”的原則,各司其責,建立事前防御、事中監測、事后審計的信息安全保障機制。
第二章 網絡安全管理組織機構及其職責
第四條 學校設立網絡安全領導小組,負責統籌、部署、監督和協調國家開放大學的網絡安全總體工作,組長由校長擔任。網絡安全領導小組的具體職責包括:
一、 確定網絡安全工作的總體方向和目標,制定和發布信息系統安全發展規劃;
二、 監督網絡安全建設、管理和運行工作;
三、 指揮、協調和審查重大信息安全事件的處理;
第五條 網絡安全領導小組下設網絡安全工作小組,作為學校信息安全工作的日常管理執行機構,負責落實各項網絡安全工作,組長由信息化部負責人擔任。具體職責包括:
一、 貫徹執行上級機關和學校網絡安全領導小組的決議和工作部署;
二、 制定和落實學校網絡安全管理制度以及信息安全策略;處理信息系統建設、管理和運行中的安全問題;
三、 組織協調信息安全事件應急處置和相關恢復工作;
四、 組織協調開展信息安全等級保護工作;
五、 指導分部開展信息安全工作;
六、 開展信息安全檢查和培訓工作;
七、 完成網絡安全領導小組交辦的其他工作。
第三章 網絡與信息系統安全責任制
第六條 學校的網絡與信息系統安全實行一把手責任制。網絡安全領導小組組長全面負責學校的網絡安全工作;網絡安全工作小組組長承擔日常的網絡安全管理工作;信息系統的主管部門和運維部門是安全工作的責任主體,部門負責人須簽訂相應的安全責任書。信息系統建設與運維須遵照《國家開放大學信息系統建設運維管理規定》執行。
一、主管部門須簽署《信息系統主管安全責任書》,負責所主管信息系統的管理和信息發布審核等工作,監督運維單位保障信息系統特別是內容安全。運維單位或部門須簽署《信息系統運維安全責任書》,負責信息系統的技術運維以及基礎設施的安全運維。
二、如果信息系統發生安全事件并被上級機關通報批評,相關主管、運維部門負責人年終考核不合格;如果發生重大或特別重大信息安全事件,學校對相關主管、運維部門負責人給予相應處罰。如由合作公司造成安全事件,按照合同約定進行處理。
第七條 信息系統在立項建設階段須確定安全保護等級,系統的建設方案中包含按照等級保護要求設計的安全保護方案,系統的安全保護建設遵循“同步規劃、同步建設、同步使用”原則,主管部門須在上線前提交安全保護等級定級報告與備案表,同時按照要求填報相關信息。
第八條 安全保護等級為二級及以上的信息系統在上線時須達到相應安全保護等級要求。信息系統主管部門有責任督促項目承建單位按照等級保護要求進行安全加固與評估。在信息系統驗收時須提交安全評估報告,未達到相應安全等級要求的信息系統不能通過驗收。
第九條 如系統被攻擊或被通報存在安全漏洞,信息化部將根據情況采取封閉IP地址/端口和關停網站等措施,責成相關單位進行整改,直至整改符合要求為止。
第十條 網站主管部門負責監督和審核網站所發布的內容,教師須確保上傳的網絡課程資源不含非法或其他不當內容。
第十一條 安全保護等級為二級及以上的信息系統在建設或運維時若涉及第三方單位或人員,信息系統主管部門應負責與具有獨立法人資格的第三方單位簽署委托服務合同和信息安全保密協議,同時第三方單位須與核心運維人員簽署信息安全保密協議,并報信息化部。
第四章 信息安全事件應急響應與處置
第十二條 按照教育部辦公廳印發的《信息技術安全事件報告與處置流程(試行)》要求,成立信息安全應急響應小組,對信息安全事件進行應急響應。應急響應小組由網絡安全領導小組組長、網絡安全工作小組組長、相關信息系統主管負責人和運維負責人等組成。
第十三條 網絡安全工作小組對信息安全事件的應急響應進行協調、處置和管理。一旦發生安全事件,運維或使用部門應第一時間采取斷網等有效措施進行處置,保留現場,報告至本部門安全負責人及網絡安全工作小組,確定安全事件級別。
第十四條 安全事件根據其作用對象的重要程度和影響程度的不同分為四個等級:特別重大事件(I級)、重大事件(II級)、較大事件(III級)和一般事件(IV級)。
特別重大事件(I級)是指能夠導致特別嚴重影響或破壞的信息安全事件;重大事件(II級)是指能夠導致嚴重影響或破壞的信息安全事件;較大事件(III級)是指能夠導致較嚴重影響或破壞的信息安全事件;一般事件(IV級)是指能夠導致較小影響或破壞的信息安全事件。
第十五條 網絡安全工作小組接到安全事件報告后,應立即組織技術人員趕赴現場進行處置,同時將相關情況上報,涉及人為破壞事件應及時報告網絡安全領導小組,若有必要,經核準后報送當地公安機關處理。
第十六條 安全事件的事中情況報告和事后整改報告由網絡安全領導小組責成相關部門填寫。安全事件的事中情況報告應在安全事件發生8小時內以書面報告的形式報送,安全事件的事后整改報告應在安全事件處置5個工作日內以書面形式報送。對于較大、重大和特別重大安全事件,報送教育部科技司。
第十七條 信息系統主管部門及基礎設施運維部門應設立安全員,保證在發生安全事件時能夠及時聯系到安全員。
第五章 附 則
第十八條 涉及分部、學院的網絡安全相關管理辦法另行制定。
第十九條 本規定由國家開放大學負責解釋、修訂。
第二十條 本規定自發布之日起執行。
附錄:1.信息系統主管安全責任書
2.信息系統運維安全責任書
3.信息安全事件報告表
