当前位置: 首页 > 管理制度 > 信息化管理 > 正文

信息化管理

南京农业大学信息安全管理暂行办法

信息来源: 本站原创 发布日期: 2014-12-23 浏览次数:

附件

南京农业大学信息安全管理暂行办法

为加强学校信息安全管理,提高学校信息安全防护能力和水平,保障学校信息化可持续发展,维护学校信息化相关各方的合法权益,根据《信息安全等级保护管理办法》等有关法律法规制定本办法。

第一章

第一条    学校信息安全是指学校信息基础设施、各类信息系统及其承载的信息内容受到保护,不因偶然的或者恶意的原因而受到泄露、更改、破坏、未经授权访问和使用,保证信息系统和信息内容的机密性、完整性、可用性、可控性和不可否认性。

第二条    信息安全管理的总体目标是建立健全学校信息安全保障体系,提高信息安全防护能力和水平,确保学校信息安全工作规范、有序开展,保障学校信息化可持续发展。

第三条    信息安全工作的总体方针是以信息安全等级保护制度为指导,预防为主、综合防范

第四条    信息安全工作的总体原则

1.主要领导负责原则学校信息安全工作由学校主要领导总负责,从学校全局出发制定信息安全政策、调动并优化配置必要的资源,协调信息安全管理工作与各部门工作的关系,确保学校信息安全管理制度得到有效落实。各学院、各单位主要领导对本学院、本单位信息安全工作负总责。

2.保护重点、适度安全原则根据信息系统所承载信息的重要性对信息系统进行分级,优化信息安全资源配置,做到重要系统重点保护和适度安全。

3.管理与技术并重原则根据相关信息安全制度和技术规范对信息系统进行自主保护,将科学管理与安全技术结合起来进行综合防范,同时接受上级安全部门的监管和指导,全面提高信息系统安全防护能力。

4.分权和授权原则根据特定职能或责任领域的管理工作需要对相关人员及实体(如用户、管理员、进程、应用或系统)进行授权,仅授予该人员及实体完成其任务所必须的权限,限制其享有任何多余权限,避免权限过分集中所带来的隐患。

第二章信息安全管理组织体系

第五条    学校信息安全领导小组负责制定学校信息安全政策,研究处置重大信息安全事件,定期召开信息安全工作例会等。

第六条    信息安全领导小组下设信息安全办公室作为执行机构,负责学校日常信息安全工作的组织实施。

第七条    信息安全管理组织体系及岗位职责由《南京农业大学信息安全管理组织体系与岗位职责》另行规定。

第八条    信息安全人员管理由《南京农业大学信息安全人员管理办法》另行规定。

第三章信息基础设施安全

第九条    学校信息基础设施指信息系统安全运行所需的各种设施,主要包括信息机房、校园网、服务器及网络存储等,以及相关的运维管理系统。信息基础设施安全可靠运行是保障学校信息安全的基础。

第十条    信息机房是集中存放信息处理硬件设施的空间,包括学校的网络与数据中心、公共机房、各种专用机房等,其安全管理由《南京农业大学信息机房安全管理办法》另行规定。

第十一条校园网基础设施是指构建校园网和校园网运行所需的相关设施,包括弱电管道、弱电间、综合布线、无线频道、网络设备等,其安全管理由《南京农业大学校园网基础设施管理办法》另行规定。

第十二条校园网既是用户使用互联网的基础条件,又是依托网络运行的信息系统的基础条件。校园网管理包括校园网运维管理、网络资源与服务管理、非涉密网络保密管理等。校园网安全管理由《南京农业大学校园网安全管理办法》另行规定。

第四章信息发布与传播安全

第十三条学校任何单位和个人依托校园网建设网站提供网络信息发布服务,均须遵照《南京农业大学网站建设与管理办法》执行,不得出现涉密信息和《互联网信息服务管理办法》所禁止的有害信息。

第十四条南京农业大学党委宣传部负责校园网络信息发布的管理,接受处理网络有害信息举报。各单位须按照“谁主管、谁负责,谁主办、谁负责”原则加强本单位网络信息的发布管理,发现有害信息须及时上报和处理。

第十五条学校校园网仅限发布公益性、共享性的网络信息,如依托校园网进行经营性互联网信息服务,须按《互联网信息服务管理办法》到电信主管部门办理登记注册手续。

第五章信息系统安全

第十六条信息系统指处理业务信息的软件及其相关的和配套的设备与设施。信息系统安全是指保障信息系统的可用性、完整性、机密性。信息系统的生命周期可分为系统建设、系统运行、系统终止三个阶段,学校根据《信息安全等级保护管理办法》及相关信息安全技术标准规范制定各个阶段相应的安全管理办法以确保信息系统安全。

第十七条学校信息系统建设安全管理由《南京农业大学信息系统建设管理办法》另行规定。

第十八条学校信息系统运行管理包括系统运行监控管理、系统主机管理、软件运行管理、密码管理、信息存储与利用、运维服务外包、系统安全检查与审计等,信息系统运行安全管理由《南京农业大学信息系统运行安全管理办法》另行规定。

第十九条学校信息系统终止安全管理由《南京农业大学信息系统终止管理办法》另行规定

第六章信息安全事件管理

第二十条信息安全事件是指由于自然或人为的原因对校园网、各类信息系统或信息内容造成危害,对学校或社会造成负面影响的事件。信息安全事件包括有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设施故障事件、灾害性事件以及其他安全事件。信息安全事件管理包括应急预案管理、安全事件报告与协查、安全事件处置等。

第二十一条学校信息安全办公室负责制定学校信息安全事件应急预案并组织演练。

第二十二条校园信息安全事件的报告和处置由南京农业大学信息安全事件报告和处置管理办法》另行规定。

第七章信息化文档管理

第二十三条本办法中信息化文档专指校园网及各类信息系统建设、运行、使用、终止过程中产生的各种文档与历史数据,具体内容包括各类建设方案、采购与维护服务合同、设备资料、配置文件、运行维护日志、需求说明书、验收材料、使用手册、安全检查数据、系统定级与测评报告、历史数据、总结报告、管理制度、管理部门文件等,保存形式分纸质文档和电子文档。

第二十四条信息化文档与信息系统密切相关,信息化文档管理事关信息系统安全。图书与信息中心负责根据《南京农业大学校园信息化文档管理办法》规定,对各类信息化文档进行扎口管理,其它业务单位自行管理的重要信息系统产生的信息化文档,除根据管理办法自行管理外,须另交图书与信息中心一份统一存档。图书与信息中心定期对过期且失去保存价值的文档进行清理。

第二十五条各类信息化文档中对学校和社会有保存价值的,由图书与信息中心按照《南京农业大学档案管理办法(修订)》和南京农业大学电子文件归档与管理规定》相关规定及时送校档案馆存档管理。

第八章考核与奖惩

第二十六条学校信息安全领导小组根据学校信息安全情况并结合上级部门安排不定期开展学校信息安全检查工作,并对信息安全工作成绩突出的单位和个人给予表彰奖励。

第二十七条信息安全工作是学校及各单位的重要工作之一,信息安全工作情况作为学校对各单位年度工作考核、先进集体评选的一项重要依据,出现重大安全事件的单位不得评为先进集体。

第二十八条对于玩忽职守或有意危害学校信息安全而造成信息安全事件的,学校将根据损失情况和不良影响的程度给予当事者以通报批评直至处分,构成犯罪的移交司法部门处理。

第九章

第二十九条本办法及相关配套管理制度(另行发布)由南京农业大学信息安全办公室制订和负责解释。

第三十条本办法自印发之日起执行。

—————————————————————————————————
南京农业大学校长办公室              2014年12月18日印发
—————————————————————————————————