江苏科技大学信息系统(网站)安全管理规定

发布时间:2021-04-09 文章作者:浏览次数:129

    为进一步强化网络和信息安全管理,落实安全管理责任,保障学校各部门信息系统(网站)持续、稳定、安全运行,特制定本规定。

  第一条 本规定适用于学校各部门在校内外运行或使用的所有信息系统(网站)。

  第二条 按照“谁主管、谁负责,谁使用、谁负责,谁运营、谁负责”的原则,严格落实安全管理责任。各部门应采取必要的技术手段和管理措施,堵塞漏洞,排除风险,加强对所属信息系统(网站)的日常维护和内容管理,严禁涉密信息上网。

  第三条 运行在业务专用网络的信息系统(网站),由所属部门负责运行维护,承担全部安全责任;未经许可严禁接入校园网。

  第四条 需运行在校园网的信息系统(网站),所属部门须签署《信息系统(网站)安全承诺书》,填写《信息系统(网站)审批表》,明确管理员,说明系统用途、参数、内网及公网开放端口等信息,经审核后方可在校园网内运行。

  第五条 未经许可,任何部门或个人不得在校园网内自行建立信息系统(网站)。各部门的信息系统(网站)服务器应交信息化建设与管理中心(以下简称“信息化中心”)代为管理,信息化中心提供运行保障和技术支持。

  第六条 交由信息化中心代管的信息系统(网站),可部署为站群服务器、虚拟服务器或托管服务器,均须先进行漏洞扫描,至少达到“无高危漏洞”的基本条件,否则不予接收。

  第七条 按照最小特权原则,对校园网内的信息系统(网站)进行安全管理和控制。若需远程访问控制信息系统(网站)服务器,远程主机的IP地址必须为校园网内网地址。

  第八条 信息系统(网站)部署在校外或云端,须经审批,原则上不使用学校域名;所属部门应与服务提供方明确安全责任,签署安全承诺,并加强安全监测。未经批准,私自部署在校外的信息系统(网站),所属部门承担全部安全责任。

  第九条 对校外开放或部署在校外的信息系统(网站),所属部门须报分管校领导审批。

  第十条 任何部门或个人在校内严禁私自建立校外可直接访问的信息系统(网站)。否则,有关部门或个人承担全部安全责任。

  第十一条 信息系统(网站)停止使用,所属部门须履行注销手续,及时向信息化中心报备。信息系统(网站)6个月无访问,学校有权终止其运行。

  第十二条 信息系统(网站)管理员须定期对相关操作系统、网络设备、应用软件等进行安全补丁管理与维护,定期备份业务数据,开展漏洞和病毒扫描,保证信息系统(网站)的即时安全性。

  第十三条 信息系统(网站)须存储日志信息。信息系统(网站)管理员须定期对日志文件进行备份,日志文件保存时间应在6个月以上;定期查看日志文件,发现异常情况及时处理并报告,尽早消除网络安全隐患。

  第十四条 信息系统(网站)所属部门应加强日常安全监测,制定应急响应预案,发现异常及时处置、报告。

  第十五条 违反上述规定,造成不良后果,学校将追究部门主要领导、信息主管和直接责任人的相应责任。

  第十六条 学校每年对信息系统(网站)的安全管理情况进行考核,考核结果纳入所属部门信息化工作考核。

    第十七条 本规定自发布之日起执行,由信息化建设与管理中心负责解释。