内工大 校发〔2018〕48号 签发人:邢永明
关于下发《内蒙古工业大学数据管理办法
(试行)》《内蒙古工业大学网络安全工作
实施细则(试行)》的通知
各单位、各部门:
为提高网络与信息安全防护能力和水平,加强学校数据资产的统一管理和质量控制,经2018年第9次校长办公会研究通过,现将《内蒙古工业大学数据管理办法(试行)》《内蒙古工业大学网络安全工作实施细则(试行)》下发给你们,请认真学习领会,切实遵照执行。
特此通知
内蒙古工业大学
2018年10月9日
内蒙古工业大学数据管理办法(试行)
第一章 总 则
第一条 为加强内蒙古工业大学数据资产的统一管理和质量控制,推动学校数据资产有效利用,发挥数据资产在学校日常运行、信息上报、科学决策和信息化建设中的重要作用,提高信息化条件下学校综合管理能力和公共服务水平,依据相关法律法规和《内蒙古自治区大数据发展总体规划(2017-2020年)》等文件精神,结合学校实际,制定本办法。
第二条 数据资产归属于学校,是学校的公共资源,是指我校各职能处室(办)、各学院(学部)(以下简称各业务部门)以及全校师生员工在履行职责过程中产生或获取的各类数据,包括但不限于各业务部门直接或通过第三方依法采集的、依法授权管理的和依托某信息系统形成的数据资产等。
第三条 数据资产管理是指学校运行管理过程中对数据的标准与规范,对数据的采集、存储、交换、共享与应用等方面的管理以及相关规章制度的建设。
第四条 数据资产管理应遵循以下原则:
(一)统筹建设原则。按照《内蒙古工业大学信息标准》及教育部相关标准进行数据的采集、存储、交换、共享和应用工作,坚持“一数一源”“多元校核”,统筹建设数据资产目录体系和交换共享体系。
(二)全面共享原则。以全面共享为根本,不共享为例外。在保证数据资产安全的前提下,业务部门应当在职责范围内,提供本部门业务数据的共享能力及方式。
(三)依法使用原则。对学校数据资产进行合法、合理使用,不得滥用,不得泄露国家秘密、学校秘密和个人隐私,切实维护数据资产主体的合法权益。
(四)安全可控原则。依托学校整体的信息安全保障体系,完善数据资产安全共享机制,确保数据资产的安全。第二篇标题:信息化建设与管理中心运维服务周报(2019第51周)内容:13171418528
第五条 数据资产管理要实现以下目标:
(一)确保数据资产完整准确。建立学校运行管理中所需全部数据的产生和采集机制,按照业务部门要求和数据质量管理规范建立数据交换和质量核查机制,保障各个环节数据完整、准确、真实和规范。
(二)确保数据资产安全可靠。建立数据的分级管理与备份、容灾和恢复机制,建立数据操作日志记录机制,保证数据更改可追溯,并根据国家和学校的要求,做好数据保密工作。
(三)确保数据资产充分共享。建立数据一次产生、采集机制,避免多头采集,重复采集;建立公共数据平台交换机制,明确数据的产生单位和使用单位,确保一次产生、采集的数据可供多方使用。
(四)确保数据资产使用规范。规范数据的使用,建立数据使用的审批、公开等管理机制,在保护个人隐私的基础上合理利用数据辅助管理与决策。
第二章 管理机构
第六条 学校信息化建设领导小组(以下简称领导小组)是我校数据资产管理工作的领导机构,负责学校数据资产有关重大事项的决策。
第七条 信息化建设与管理中心(以下简称信管中心)负责组织、协调和推动学校数据资产建设工作,制定数据资产建设规划、标准、规范等实施办法,指导和组织各业务部门编制数据资产目录,负责学校数据标准制定和公共数据平台建设、运行和管理。
第八条 学校各业务部门为本部门数据资产管理第一责任人,本着“谁产生数据,谁负责管理”的原则,负责本部门数据的产生、采集、使用、维护、存储、归档和备份的全周期管理。
学校各业务部门指定专人协助信管中心完成本部门信息化资源与学校公共数据平台的联通,并按数据资产目录向公共数据平台提供、获取、使用数据。
第三章 公共数据平台
第九条 信管中心负责建设满足学校数据资产共享和业务协同需求的统一公共数据平台。公共数据平台是数据资产建设的主要载体,为业务部门之间数据共享交换提供支撑。公共数据平台包括数据标准管理、数据交换系统、公共数据库三部分。
第十条 根据学校各业务部门的职能及信息化管理程度,公共数据平台的职能域分类如下:
(一)组织机构域:包括学校各类组织机构名称、机构性质、组织层级、隶属关系、人员编制、干部编制等相关数据。
(二)人力资源域:包括教职工基本信息、人员招聘、入职离校、职称评审、职务任免、考核管理、培训管理、薪资管理、党团工作、出国证件管理、出国出访以及离退休等相关数据。
(三)学生管理域:包括本科生、专科生、研究生、留学生等所有与学生相关的基本信息,以及招生、迎新、学籍、奖惩、党团、毕业、就业和生活、出国(境)外留学等相关数据。
(四)教学资源与管理域:包括本科生、专科生、研究生、留学生等所有与学生相关的教学管理、教学研究、培养方案、培养计划、培养过程管理等学籍、教学管理、教育教学资源等相关数据。
(五)科研管理域:包括科研项目管理、合同管理、成果管理、科研机构管理、科研经费预算管理等相关数据。
(六)财务资产域:包括财务管理、经费管理、招投标管理、固定资产管理、无形资产管理、实验室管理、设备管理、房产管理等相关数据。
(七)数字档案域:包括人事档案管理、学生档案管理、文件档案管理、科研档案管理、教职工电子健康档案等相关数据。
(八)个人信息域:包括个人通讯信息、论文信息、获奖信息、社会工作信息等个人相关数据。
(九)公共服务域:包括新闻服务、电子邮件服务、图书服务、校园一卡通服务、医疗健康服务、校园安全治理等相关数据。
(十)系统数据域:包括网络出口数据、访问数据、数据库连接数据、应用系统安全数据、有线无线网连接数据、操作系统管理、数据库管理、应用系统功能等相关数据。
学校将根据办学和发展需要,不断更新、完善和调整各职能域具体内容。
第十一条 全校性的管理信息系统必须纳入数据资产共享工作范围内统筹建设与管理,需无条件、免费提供信息系统的数据库结构说明和数据库只读权限,以便与学校公共数据平台对接。
第十二条 学校各业务部门应当根据数据的性质和特点,选择采用公共数据平台接口或离线文件途径共享数据资产。其中以公共数据平台接口方式提供的为主要途径,如确因特殊情况不宜通过公共数据平台接口提供,可通过公共数据平台导出离线文件共享。
第四章 数据资产产生和运维
第十三条 数据资产产生主要包括数据采集、录入和审核三个步骤。学校各业务部门作为数据资产产生单位,应遵照本部门业务规范以及《内蒙古工业大学信息标准》,并保证数据的真实性、完整性、规范性和时效性。
(一)真实性。学校各业务部门的数据必须真实,须经本部门业务人员审核。
(二)完整性。学校各业务部门须确保数据完整、齐全,避免数据缺失。
(三)规范性。学校各业务部门在进行数据采集、录入、审核时须保证数据的规范可用。
(四)时效性。学校各业务部门须在规定的时间内进行数据更新,确保数据与实际业务同步,防止无效数据、过时数据产生。
第十四条 学校各业务部门有数据采集需求时,除法律、法规另有规定以外,应当遵循“一数一源”的原则,不得重复采集。凡属公共数据平台可以提供的数据,各业务部门不得要求其它部门或师生重复提交。
第十五条 数据资产运维管理是指学校各部门在业务操作过程中,对其数据所进行的补充、修正、更新和删除等操作。
第十六条 学校各部门须依照其业务数据资产运维的权限和职责,明确数据的修正、补充、更新、删除等操作流程,遇特殊或大范围数据运维操作之前,要提前向信管中心进行操作流程和内容的报备,并在运维过程中保存所有相关的日志记录,未经授权不得对数据进行操作。
第五章 数据资产共享
第十七条 数据资产按共享类型分类如下:
(一)自然共享类:具有基础性、基准性、标识性的数据资产;如学校标准编码、标准代码等。
(二)普遍共享类:资源提供方明确可以共享的数据;经领导小组核定应当共享的数据。
(三)有条件共享类:数据内容敏感、按照保密管理或其它规定,只能按特定条件提供给资源需求方的数据。
(四)不共享类:有法律法规、学校规章制度或其他依据明确规定不允许共享的数据。
第十八条 学校各业务部门根据职责,协同信管中心对本部门所掌握的数据进行梳理,确定其共享属性,协助信管中心在公共数据平台进行目录编制,形成数据资产目录,并确保其准确性、完整性和合规性。审核通过的数据资产目录,应及时发布。
第十九条 各信息化项目建设应在项目验收前,完成数据资产目录编制工作和公共数据平台对接工作,对未编制数据资产目录和未完成公共数据平台对接工作的项目不予验收。
第二十条 学校各业务部门应当建立本部门数据资产目录更新制度,因数据资产目录要素内容发生调整或可共享的数据出现变化时,应当在2个工作日内将变化告知信管中心,进行数据资产目录的更新操作。
第六章 数据资产使用
第二十一条 学校的数据资产应为学校各项事业发展和各单位业务需求服务,发挥数据资产在数据共享、管理服务能力提升、数据挖掘分析、辅助决策支持等方面的作用。
第二十二条 学校各业务部门有义务向其他业务部门提供可共享的数据资产,并有权利根据工作需要,提出数据资产共享需求。除法律、法规另有规定外,业务部门不得拒绝其他业务部门提出的数据资产共享需求。
第二十三条 对普遍共享类数据资产,资源需求方向信管中心提出申请,填写《内蒙古工业大学数据资产使用申请表》(以下简称《申请表》)、《内蒙古工业大学数据共享保密协议》(以下简称《保密协议》),信管中心通过数据接口或数据导出等形式提供数据。
对有条件共享类数据资产,资源需求方向信管中心提出申请,填写《申请表》和《保密协议》,经数据提供方在5个工作日内审核同意后,信管中心通过数据接口或数据导出等形式提供数据。
如资源需求方对资源提供方不予提供的意见持有异议,可向信管中心协调处理,必要时报请领导小组决定。
第二十四条 共享数据资产只能用于部门工作需要,使用部门要按照“谁使用,谁负责”的原则加强对共享数据使用的全过程管理。
第二十五条 建立疑义、错误数据快速校核机制,使用部门对获取的共享数据有疑义或发现有明显错误的,应及时反馈给提供部门,提供部门应立即予以校核修正或做出解释。
第二十六条 校内数据使用审批及数据使用费用问题遵循“数据使用需审批、校内工作用途不收费、使用标准数据不收费”的基本原则,“标准数据”是指按学校信息标准建设和采集的数据。具体按以下原则执行:
使用学校数据用于校内工作,不收费;使用学校数据用于校外公益分析,需经学校批准;使用学校数据用于校外商业分析,需经学校批准,应收费。
各业务部门“非标准数据”清洗转换形成标准数据进入学校中心库,由学校统一向服务方支付相关费用;各业务部门使用学校中心库标准数据,不收费;需要额外加工、将标准数据转换为非标准数据时,使用方应向服务方支付相关费用。
第七章 数据资产安全
第二十七条 学校各业务部门要采取必要的措施保证数据资产安全,避免数据丢失或被破坏、篡改和泄露。
第二十八条 学校各业务部门在使用校内数据时只能通过公共数据平台获得,不得在业务部门之间直接传递。在使用校外数据时,应明确其来源,避免使用来源不明确的数据。
第二十九条 学校各业务部门必须确保数据资产的采集遵循知情同意原则且具有明确的使用用途。
第三十条 在数据资产应用时应注意保护个人隐私,只能用于申请授权范围以内的用途。任何单位和个人不得将获得的数据公开,不得直接或以改变数据形式等方式提供给第三方,也不得用于或变相用于其他目的。
第三十一条 学校各业务部门应定期对本部门负责管理的数据资产进行检查,以确保安全,并且做好检查记录。
第八章 数据资产监督
第三十二条 业务部门违反本办法规定,有下列情形之一的,由领导小组根据实际情况责令限期改正;造成严重不良后果的,由领导小组按照相关规定予以追责问责:
(一)不按照规定将本部门数据资产目录和掌握的数据提供给其他部门共享的;
(二)不按照规定随意采集数据,扩大数据采集范围,造成重复采集数据,增加成本和负担的;
(三)提供不真实、不准确、不全面的数据资产目录和数据的,未按照规定时限发布、更新数据资产目录和数据的;
(四)对获取的共享数据资产管理失控,致使出现滥用、非授权使用、未经许可的扩散以及泄漏的;
(五)不按照规定,擅自将获取的共享数据资产用于本部门履行职责需要以外的,或擅自转让给第三方,或利用共享数据资产开展经营性活动的。
第三十三条 对于违反法律、法规和学校相关规定,造成国家、学校和个人损失的,学校将依法依规追究相关单位及个人的责任。
第三十四条 本办法由信息化建设领导小组办公室、信息化建设与管理中心负责解释。
第三十五条 本办法由学校批准,自公布之日起施行。
附件:1.内蒙古工业大学信息化数据资产使用申请表
2.内蒙古工业大学数据共享保密协议
附件1
内蒙古工业大学数据资产使用申请表
申请部门 |
|
申请时间 |
|
申请内容 |
|
用 途 |
|
负 责 人 |
|
联系电话 |
|
经 办 人 |
|
联系电话 |
|
部门承诺 |
我部门承诺遵守学校数据资产管理办法规定,不将所申请使用的数据资产用于申请授权范围以外用途,对提供的数据保密,不向第三方提供,不损害用户隐私权等权益。 部门负责人签字: 公章: 年 月 日 |
信息化建设与管理中心 意见 |
负责人签字: 公章: 年 月 日 |
数据提供 部门意见 |
负责人签字: 公章: 年 月 日 |
填表说明:只有申请使用有条件共享数据资产时才需数据提供部门审批。
附件2
内蒙古工业大学数据共享保密协议
为做好我校数据管理工作,保障数据安全和合理使用,特签订本协议。
一、签约双方
甲方:信息化建设与管理中心
乙方(数据使用方):
二、保密的内容和范围
甲方提供的学校信息化数据。
三、乙方保密责任
1.乙方保证数据安全,防止任何形式泄露数据。
2.乙方不能将所申请使用的数据用于申请授权范围以外用途。
3.如乙方造成数据泄密等问题,一切后果由乙方承担。
四、本协议一式两份,自签订之日起生效。
甲 方(公章): 乙 方(公章):
负责人(签字): 负责人(签字):
日期: 年 月 日 日期: 年 月 日
内蒙古工业大学网络安全工作实施细则(试行)
第一章 总 则
第一条 为提高网络与信息安全防护能力和水平,保证学校网络与信息安全工作顺利进行,保障学校各项事业健康有序发展,根据《中华人民共和国网络安全法》《教育部关于加强教育行业网络与信息安全工作的指导意见》(教技〔2014〕4号)、《内蒙古工业大学信息化建设与管理办法》(校发〔2013〕1号)等文件精神,结合我校实际,制定本细则。
第二条 学校网络与信息安全,包括校园计算机网络(以下简称校园网络)与信息系统(含网站,下同)的信息内容安全和运行安全。本细则对其中的“运行安全”做出详细规定。
第三条 学校将按照国家网络安全和信息化建设的有关法律、法规、规章,制定网络与信息安全总体规划,加强安全管理与技术研究,建立健全相关规章制度,并在实际工作中予以落实。
第二章 管理体制和职责
第四条 根据《中国共产党问责条例》《中央网络安全和信息化领导小组工作规则》、中共中央办公厅《党委(党组)网络安全工作责任制实施办法》等规定,学校网络信息管理领导小组负责协调全校网络与信息安全工作,各学院(系)、单位(以下统称各单位)、部门、应在本单位内部相应成立网络与信息安全工作小组,按照谁主管谁负责的原则,各单位党委(党组)对本单位网络安全工作负主体责任,领导班子主要负责人是第一责任人,主管网络安全的领导班子成员是直接责任人,各单位指定专人担任网络安全员,负责本单位的网络运行安全工作。
第五条 学校信息化建设与管理中心负责学校网络与信息系统的日常监督与管理,保障网络与信息系统的正常运行;保存网络运行日志,配合调查取证;负责入网单位和个人办理入网登记手续,签署相应的安全责任书。
第六条 各单位有责任配合协助相关部门对网络违规行为进行调查、取证、处理,根据相关证据及事态影响或破坏程度,对违规者按照有关规定进行处理。
第七条 坚持“谁主管谁负责,谁主办谁负责,谁使用谁负责”原则。网络与信息系统的主办单位承担安全监管责任,落实技术安全保障和监督检查等职责;网络与信息系统的使用单位和个人对系统操作与信息内容的安全监管承担直接责任。网络与信息系统通过外包服务方式进行维护的,主办单位负责督促外包服务单位做好安全运维工作,网络与信息系统的安全监管责任主体仍为主办单位。
第三章 安全秩序
第八条 校园网络和信息系统接入互联网必须采取防火墙、身份认证、MAC地址绑定、安全审计、病毒防护及入侵检测等安全技术手段。校内互联网接入由信息化建设与管理中心统一管理,包括IP地址、域名及网络帐号等。
第九条 学校域名为imut.edu.cn,各主办单位按信息系统名称的拼音或英文缩写简写设置域名并提出申请,经信息化建设与管理中心批准后使用。各单位和个人均须落实实名登记网络帐号信息规定,并对网络帐号安全使用负责。
第十条 校园网络实行信息系统报批备案制。需要在校园网上开办信息系统的单位,应到信息化建设与管理中心办理登记注册手续,其中BBS、论坛、聊天室、博客、微博等公众信息服务系统,以及在微信、QQ等互联网社交平台上开办公众服务号,应到学校党委宣传部报备批准。未经许可,任何入网单位或个人不得以冠有“内蒙古工业大学”或“内工大”中外文字样的任何名义开通信息发布、 BBS、论坛、聊天室、博客、微博、微信等公众信息服务系统。
第十一条 各单位原则上应依托校园网开展信息系统建设。涉及学校基础数据、师生员工个人信息或敏感信息的信息系统,不得部署在校外。需要在校外开办信息系统的单位,应到信息化建设与管理中心办理备案手续。部署在校外的网络和信息系统,安全监管责任主体仍为主办单位。
第十二条 经批准建立的公众信息服务系统应明确专门的管理员和制订相应管理制度,包括安全保护技术措施、信息发布审核登记制度、信息监视保存清除备份制度、不良信息报告和协助查处制度、管理人员岗位责任制。
第十三条 在校园网络上严禁制作、查阅、复制或传播下列信息:
(一)煽动抗拒、破坏宪法和国家法律、行政法规实施;
(二)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一;
(三)损害国家荣誉和利益;
(四)煽动民族仇恨、民族歧视,破坏民族团结,或者侵害民族风俗习惯;
(五)宣扬恐怖主义、邪教、封建迷信,违反国家宗教政策;
(六)捏造或者歪曲事实,散布谣言,扰乱社会秩序,破坏社会稳定;
(七)侮辱他人或者捏造事实诽谤他人;
(八)含有淫秽、色情、赌博、暴力、欺诈等内容;
(九)含有法律、法规禁止的其他内容。
第十四条 在校园网络上严禁下列行为:
(一)破坏、盗用、篡改计算机网络中的信息资源;
(二)故意泄露、窃取、篡改个人电子信息,擅自利用网络收集、使用个人电子信息,出售或者非法向他人提供个人电子信息;
(三)违背他人意愿、冒用他人名义发布信息;
(四)攻击、入侵、破坏计算机网络、信息系统及设备设施;
(五)故意阻塞、中断校园网络,恶意占用网络资源;
(六)故意制作、传播、使用计算机病毒、木马、恶意软件等破坏性程序;
(七)故意大量发送垃圾电子邮件、垃圾短信等,干扰正常网络秩序;
(八)盗用他人帐号、盗用他人 IP 地址;
(九)私自转借、转让用户帐号造成危害;
(十)私自开设二级代理和路由接纳网络用户;
(十一)上网信息审查不严, 造成严重后果;
(十二)以端口扫描和私搭 DHCP 服务器等方式,破坏网络正常运行;
(十三)私自将外网串接到校园网络。
(十四)破坏校园网络基础设施,包括线路、终端连接器、交换机、路由器、无线AP等。
(十五)其它违反法律法规或危害网络与信息安全的行为。
第四章 安全防护
第十五条 各单位作为网络安全的责任主体,应当按照国家网络安全等级保护制度的管理规范和技术标准确定信息系统的安全保护等级,经信息化建设与管理中心报自治区公安厅审核。学校定期组织对二级及以上的信息系统进行等级测评。经测评,信息安全状况未达到安全保护等级要求的,信息系统的主办单位应及时制定整改方案并落实到位。
第十六条 各单位对于新建、改建、扩建的信息系统,应预算相关费用,在规划、设计阶段同步建设网络安全保障措施。新开发的信息系统必须经过第三方安全检测机构出具检测报告、提交《信息系统安全技术保障方案》《信息系统安全事件应急处置预案》后签订《内蒙古工业大学网络安全责任书》方可上线运行。
第十七条 各单位对于主办的信息系统,应当采取必要的安全措施,严防入侵、篡改、泄露等事件发生。信息系统的主办方和运维方要各司其职,各负其责。
第十八条 学校建立检查巡查机制,定期或不定期组织开展信息系统安全演练,查找安全漏洞和隐患;对机房、网络设备、服务器等设施定期开展安全检查;更新和升级必要的服务器软件,及时安装补丁,包括操作系统、web服务器、应用中间件、数据库等,加强服务器应用的安全性。对上述检查中发现安全漏洞和隐患的,检查单位及时填发《隐患整改通知书》。逾期未采取措施和提交处理报告的,以及对于一时难以修复或整改落实的,应当立即采取措施进行隔离,直至修复完成。
第十九条 各单位应建立本单位信息安全值守制度,做到安全事件早发现、早报告、早控制、早解决。
第二十条 各单位对于主办的信息系统,每季度至少进行1 次安全检查,填写检查台账。检查内容包括:
(一)查杀病毒,清除木马、后门等恶意程序,升级系统补丁;系统禁止采用已失去技术升级的系统(如:Windows2003等);禁止采用含有已知漏洞的组件、应用程序框架(如:Struts2.5-Struts2.5.10)、应用程序服务器、web服务器、数据库服务器和平台定义,以上系统必须执行安全配置,禁止默认安装。
(二)检查系统中及系统代码运行中无各种调试、报错信息(如:断点,printf等调试信息)及注释信息,系统中需删除默认安全的各种例程、文档及管理程序;
(三)系统中没有暴露配置信息(如数据库连接信息),源码备份文件,.git,svn仓库等。
(四)检查网页内容,及时清除无关网页、失效链接和暗链,及时清除信息泄露网页。
(五)定期更改口令,清理不必要的管理帐号;杜绝空口令、弱口令和默认口令;系统必须有密码复杂度检查模块,设置有效的验证码或者滑动等手段防止暴力破解,密码长度需大于8位,含字母(大小写)、数字及符号组合,重要系统须采用二次认证。禁止在数据库中明文存放用户密码,需进行带salt的哈希之后入库。对于多次错误登陆进行封堵。如果长期不登录默认账号应停用处理。
(六)检查 SQL 注入和跨站脚本等安全漏洞;数据库和应用系统如在同一台服务器,须采用本机回路进行访问,如前端及数据库分为不同服务器,须设置本机防火墙访问规则,禁止非前端服务器访问数据库网络端口;使用最低权限的数据库用户作为web应用所需,禁止具有不必要的额外权限。检查应用节目是否对用户输入进行严格有效过滤防止sql注入,xss跨站脚本,命令执行,crsf跨站请求伪造等。禁止在HTTP请求中以明文或可逆编码(如base64,URL编码等)的形式传递SQL语句到后端程序代入执行,禁止由web前端直接生成和传递SQL语句到数据库进行执行,数据库查询必须采用预编译和参数结构化查询。
(七)检查系统上传点,对于上传文件类型进行严格控制(禁止用js进行控制),同时上传目录不能有执行权限,原则上不允许有未经登录验证的上传点。
(八)检查服务器安全策略,关闭不必要的端口和服务;从本机关闭不需要的端口(如:关闭Windows netbios等服务),设置本机防火墙如iptable对于访问的原地址进行限制,同时相关服务设置类似host.allow,host.deny等策略。
(九)进行漏洞扫描,进行补丁更新。所有的软件应该保持及时更新。
(十)检查网页和重要数据的备份情况;对于身份信息、单位职务、财务信息、健康信息、通讯信息等敏感信息禁止在数据库中明文存放。
(十一)检查系统日志留存情况,留存相关日志不少于六个月。
第二十一条 各单位对于主办的重点信息系统,应当采取措施重点防护,保障系统和重要数据的安全。每月至少进行 1 次安全检查,填写检查台账。重点信息系统包括:
(一)学校 WWW 门户网站;
(二)学校重要办公网站和办公信息系统;
(三)统一身份认证、校园卡等校级重要公共服务平台;
(四)教学、科研、人事、财务、资产、学工、研究生等学校重要业务信息系统及相关重要数据库。
第二十二条 建立网络安全监测预警和信息通报制度。信息化建设与管理中心负责信息收集、分析和通报工作,按照规定向全校统一发布网络安全监测预警信息。各单位应做好网络与信息安全事件的风险评估和隐患排查工作,制订完善相关应急预案,及时采取有效措施,避免和减少网络与信息安全事件的发生及其危害。
第二十三条 建立健全学校网络与信息安全类突发公共事件应急工作机制,提高应对网络与信息安全类突发公共事件的能力,预防和减少由此造成的损失和危害,维护学校的安全和稳定。
第五章 责任追究与考核考评
第二十四条 对于违反本办法第十三条、第十四条规定的,将依法依规提请学校相关部门或组织认定,并停止其校园网络的使用。需给予责任人(教师和学生)处分的,按学校相关规定执行。
第二十五条 对于私自占用网络资源,破坏网络和信息系统,违反网络用户行为规范的行为,根据国家和学校相关规定作出处理决定。
第二十六条 各单位和个人应当履行安全职责。如因未尽职责或管理不善而造成严重后果的,将依法依规追究其相应责任。
包括:
(一)中断网络连接;
(二)关闭信息系统;
(三)警告并勒令改正;
(四)通报批评;
(五)情节严重的,给予相应处分;
(六) 触犯国家有关法律法规的, 移交公安、 司法部门处理。
第二十七条 信息化建设与管理中心将根据本细则对各单位进行网络安全工作考核、考评,结果应用于各单位年度考核结果中。
第六章 附 则
第二十八条 本细则由学校信息化建设与管理中心负责解释。
第二十九条 本细则由学校批准,自公布之日起施行。
内蒙古工业大学党政办公室 2018年10月9日制发
上传办公自动化系统
