信息化办公室

重庆大学继续教育学院

重大校继教〔2015〕45号

重庆大学继续教育学院信息系统安全管理规定

第一章　总则

第一条　为了进一步加强我院信息系统安全管理，保证设施设备、人员及信息安全，确保网络正常运行，根据《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《中华人民共和国治安处罚法》第29条、《互联网安全保护技术措施》、《教育行业信息系统安全等级保护定级工作指南（试行）》等相关法律法规的要求，特制定本规定。

第二条　本管理规定所称的网络系统，是指由学校或学院投资购买，由我院维护和管理的，为教学、科研、管理服务的各类网络设备、配套设施、数据资料等软硬件系统的总和。

第二章　机构与制度

第三条　信息系统安全管理应遵循统一管理、分级负责的原则。学院应成立专门部门负责网络安全管理工作。该部门在网络安全责任人的领导下，负责制定和完善相关的管理制度，组织和指导各部门实施网络安全管理工作，监督和评估制度的执行效果。

第四条　学院各部门应指定专人（部门网络安全责任人）负责本部门业务范围所涉及的信息系统安全的管理工作。各部门应结合自身工作性质和特点，制定具体的网络安全管理实施细则，明确工作职责和管理权限，责任要落实到人。

第五条　网络安全主管部门要强化有关网络安全法律、法规和网络安全意识的宣传教育工作，开展多种形式的安全检查，对发现的网络安全隐患，要及时督促整改。

第三章　技术措施

第六条　学院应对服务器、交换机、通信线路、IP地址等网络软硬件资源的使用进行统筹管理，按需分配。任何部门或个人不得通过任何手段私自使用以上资源或更改其用途。网络安全主管部门要对网络资源的使用和分配情况进行登记，并上报学校相关部门备案。

第七条　重要的网络设施设备必须实行专人专管。

第八条　信息系统中账号、密码、权限的安全设置必须符合相关的技术规范。重要的服务器应做到“功能单一、专机专用”，严禁在服务器中安装与其功能无关的服务类软件，不得用服务器做与其功能无关的事。

第九条　严格管理信息系统中的账号和密码，不得向无关的单位和个人提供相关信息（法律法规另有规定除外）。任何人不得以任何手段侦听、破解、盗用账号和密码，严禁登录与本人工作职责无关的网络设备。

第十条　所有接入网络的计算机必须安装防病毒软件；网络服务器必须采取防范网络入侵和攻击的技术手段；定期备份重要数据；网络中的重要设备应采取容灾措施。

第十一条　学院开设的服务器必须启用日志记录功能，记录并留存用户登录和退出时间、操作内容、访问地址或域名等关键信息，历史记录保留时间不得低于60天。

第十二条　对网络中的各类应用软件、数据库系统等信息资源应视其重要程度采取相应的保密措施和权限控制。

第十三条　养成良好的计算机使用习惯，不随意下载和安装不熟悉的软件、不无序存放数据资料、不使用盗版软件、不接收和转发来历不明的电子邮件、不随意访问不熟悉的网站、不随意修改系统参数，及时升级系统和应用软件、及时备份重要的数据资料。

第十四条　学院教学用机房一律不准对社会开放，严禁向学生提供有偿网络服务。在教学过程中不能无限制对教师和学生开通上网服务，应视具体的教学内容而定。

第四章　审查与备案制度

第十五条　学院应建立完备的审查与备案制度。需要审查和备案的事项包括：信息发布、提供网络服务、新建网络设施、申请网络账号等。

第十六条  各部门对外的信息发布的审查和备案工作由部门网络安全责任人负责。学院对外提供网络服务、新建网络设施或申请网络账号等由网络安全主管部门负责向学校提交相关申请和备案工作。

第十七条  未经批准，任何部门和个人不得以学院的名义对外发布信息，不得私自对外开设代理、邮件、文件、信息等网络服务服务。如无特殊需要，学院的服务器一般不对学生和学院以外的人员开通信息发布功能。

第五章　应急处置机制和信息通报制度

第十八条　网络安全事件的处理应坚持“加强监控、主动防范、先期处置、及时汇报”的原则。

第十九条　出现以下情况可视为网络安全事件：

１.网站主页被恶意篡改，出现反党、反政府、分裂国家、危害社会稳定等违法言论，出现宣扬色情、暴力、封建迷信的信息或损害他人利益、声誉的不实言论以及其他违法的信息。

２.网络服务器遭受入侵，数据被非法复制、修改、删除等。

３.网络服务器受到攻击，导致服务中断或严重受阻。

４.网络服务器感染计算机病毒，导致重大损失。

第二十条　若发生网络安全事件或疑似网络安全事件，应按以下步骤处理：

１.相关技术人员应立即停止受到影响的服务器、工作站的运行，关闭交换机等网络设备，防止势态蔓延、危害扩大；备份系统和应用软件的各类日志文件及重要的数据文件。

２.立即向学院网络安全主管部门汇报情况，由网络安全责任人召集技术人员对事件的性质进行认定。若确认为网络安全事件，应及时以书面形式向学校相关部门汇报。并在保留证据的前提下，及时修复受损的网络设备和数据。若确由必要，可向学校相关部门提出技术支持的请求。

３.处置完成后应总结教训、查找漏洞，制定相应的防范措施，尽量杜绝相同事件再次发生。

第六章　违约责任与处罚

第二十一条　违反本规定的行为一经查实，学院将视情节给予相应的行政纪律处分，情节严重或造成重大影响和损失的向学校相关部门报告，违反法律者，依法承担相关责任。

第七章　其他

第二十二条　本规定自公布之日起实行。

 继续教育学院、应用技术学院

2015年11月10日