上海海事大学信息技术安全管理办法.DOCVIP

上海市高校文明校园创建材料 上海海事大学信息技术安全管理办法 沪海大信息〔2017〕152号 2017年6月7日 第一章 总则 第一条 为加强学校信息技术安全管理，推进学校信息系统（含互联网网站系统）安全等级保护工作，提高信息技术安全防护能力和水平，保障学校各项事业健康有序发展，根据《中华人民共和国网络安全法》、《教育部关于加强教育行业网络与信息安全工作的指导意见》（教技〔2014〕4号）、《教育部公安部关于全面推进教育行业信息安全等级保护工作的通知》（教技〔2015〕2 号）等文件要求，结合我校实际，特制定本办法。 第二条 本办法所称信息技术安全工作，是指为使由学校建设、运行、维护或管理并支撑学校教学、科研和管理等各项事业的信息资产（信息及信息系统）的机密性、完整性、可用性等得到保持、不被破坏所开展的相关管理和技术工作。本办法所指学校各部门包括各机关部、处、室，学院，直属部门以及有关科研机构。 第三条 学校按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，建立健全信息技术安全责任体系，学校各部门、全体师生员工应依照本办法要求及学校相关标准规范履行信息技术安全的义务和责任。 第二章 组织机构与职责 第四条学校主要负责人是学校信息技术安全的第一责任人，分管信息化工作的校领导协助主要负责人履行学校信息技术安全责任。 第五条信息化办公室是学校信息技术安全归口管理部门，负责统筹学校网络安全与信息化建设工作。具体职责包括： （一）制定信息技术安全总体规划，并组织实施； （二）拟定信息技术安全管理规章制度，制定信息技术安全标准规范； （三）组织开展信息系统安全等级保护工作； （四）负责信息安全应急管理，协调处理与政府信息安全管理部门的关系； （五）组织信息安全宣传和教育培训工作； （六）负责信息技术安全监督检查工作； （七）学校信息技术安全的其他工作。 第六条信息化办公室也是信息安全技术支撑部门，负责学校信息技术安全防护体系的建设、运行维护、技术指导和服务支持。 第七条学校各部门是本部门信息技术安全工作的责任主体，各部门主要负责人是本部门信息技术安全工作第一责任人，负责按本办法落实信息技术安全工作。 第三章 校园网络管理 第八条校园网络是指校园范围内连接各种信息系统及信息终端的计算机网络，包括校园有线网络、无线网络和各种虚拟专网。 第九条校园网络规划由信息化办公室制定。同时负责涉及弱电桥架、管道、综合布线、网络机房、网络设备、网管系统、域名管理、安全防护、认证计费、网络接入与运维等方面的建设、运行、维护和管理。校园规划管理部门和建设部门负责在学校地下管网统一管理的原则下，进行规划、建设和运行维护。学校所有基建、修缮工程应将工程范围内校园网络建设纳入工程设计、实施和竣工验收范畴。 第十条校园网络与互联网及其他公共信息网络实行逻辑隔离，由信息化办公室统一出口、统一管理和统一防护。 第十一条信息化办公室应采取访问控制、安全审计、完整性检查、入侵防范、恶意代码防范等措施加强校园网络边界防护。 第十二条师生员工接入校园网络，实行“实名注册、认证上网”制度；学校非涉密信息系统接入校园网络，实行接入审批和备案登记制度。网络接入实名管理制度由信息化办公室负责实施。涉密信息系统不得接入校园网络。 第十三条严禁任何部门和个人利用校园网络及设施开展经营性活动。 第四章 数据中心管理 第十四条 数据中心主要包括支撑学校信息系统的物理环境（其中包含机房）、软硬件设备设施、云计算平台、学校中心数据库（其中包含基础数据库）、数据共享交换平台、统一身份认证平台及统一信息门户等信息化基础设施和平台。信息化办公室负责数据中心的建设、运行、维护和管理。 第十五条 信息化办公室负责数据中心物理环境、软硬件设备设施和云计算平台的建设和安全管理；凡使用数据中心的部门或个人，须向信息化办公室报备审批。 第十六条 信息化办公室负责学校中心数据库、数据共享交换平台的建设和安全管理，负责基础数据库与各部门业务数据库之间完成数据交换和共享。各部门负责建设、维护本部门业务应用系统所配套的业务数据库，并对本部门业务数据库及所申请的共享数据的安全负责。 第十七条 统一身份认证平台为学校信息系统提供统一的身份管理、安全的认证机制、审计及标准接口。学校各部门建设面向师生服务的应用系统时，应使用统一身份认证平台进行身份认证。信息化办公室负责统一身份认证平台的安全，学校各部门负责本部门应用系统的权限管理及安全。 第十八条 原则上，学校各部门应依托学校数据中心开展信息系统建设。需使用校外数据中心的，须报信息化办公室审批。涉及学校基础数据、师生员工个人信息或敏感信息的信息系统，不得部署在校外数据中心。未经批准，严禁使用境外数据中心。 第十九条 信息化办公