上海师范大学校园网信息系统安全管理办法.pdf

上海师范大学校园网信息系统安全管理办法 第一条 为切实加强校园网信息系统安全的管理，进一步规范校 园网络信息服务，促进学校信息化建设的健康发展，根据《中华人民 共和国计算机信息系统安全保护条例》 、 《中华人民共和国计算机信息 网络国际互联网络管理暂行规定》、 《信息安全等级保护管理办法》以 及国家其他相关法律、法规对互联网安全管理的要求，特制定本规定。 第二条 学校校园网信息系统安全管理工作实行责任制和责任追 究制，按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则 切实落实各部门网络信息系统安全责任。 第三条 校园网信息系统的分类 根据《教育行业信息安全等级保护定级工作指南》，校园网信息 系统根据业务对象的不同可分为校务管理类、教学科研类、招生就业 类和综合服务类。每一个大类细分为不同的子类。具体如下： 1.校务管理类。分为（1）办公与事务处理， （2）公文和信息 交换， （3）人事管理， （4）财务管理， （5）资产管理， （6）后勤管 理， （7）学生教育工作管理， （8）学生体质健康数据管理， （9）档 案管理， （10）党务管理， （11）其他和校务管理相关的信息系统。 2.教学科研类。分为（1）教学改革管理， （2）学科与专业管 理， （3）教务教学管理， （4）教学资源管理， （5）教学质量评估与 保障， （6）科研管理， （7）科研情报， （8）其他与教学科研相关的 信息系统。 3.招生就业类。分为（1）招生录取管理， （2）学生就业管理， （3）其他与招生就业相关的信息系统。 4.综合服务类。分为（1）门户网站， （2）论坛和社区类网站， （3）数字图书馆， （4）电子邮件， （5）视频服务， （6）安防监控， （7）校园一卡通，（8）内网门户与身份认证，（9）公共数据库， （10）运维管理，（11）其他。 第四条 学校信息系统安全等级保护定级、备案及测评工作。 1.信息系统安全等级保护定级原则 凡是需提供 Internet 外网访问服务的学校信息系统，定级为二 级及以上安全等级保护（以下简称“等保” ）信息系统，必须符合二 级及以上信息安全等保要求。仅向校内网络提供访问服务的信息系统， 应参照一级或以上等级的信息安全等保要求运行及管理。 2.信息系统安全等保备案 按照国家信息系统等级保护制度的相关法律法规、标准规范以及 《关于开展上海教育行业信息系统安全等级保护工作的通知》（沪教 委科[2015]51 号）要求，学校定期向上级主管部门备案学校信息系统 安全等级保护定级情况。信息化办公室作为学校信息系统定级备案归 口管理单位，落实上报备案工作，并接受校内二级单位自建自管信息 系统的备案。 3.信息系统安全等保测评 原有列入校信息化专项建设的信息系统，其安全等保测评由学校 统筹安排，并由项目承建单位配合学校落实第三方测评；新建的校信 息化专项，应将信息系统的安全等保测评经费列入项目预算。自建自 管信息系统的安全等保测评工作由二级单位委托信息化办公室进行 或自行实施第三方测评，测评发现的问题由本单位落实整改工作，测 评和整改费用主要由二级单位承担。 第五条 服务器及信息系统网络开放范围 服务器或信息系统的网络开放范围将根据安全等保测评的情况 而定，完成二级等保测评的信息系统，可以开放被 Internet 外网访 问的权限。未完成二级等保测评的信息系统仅允许开放校内网络访问。 学校原则上只有校数据中心机房内的服务器可开放被 Internet 外网访问。 第六条 二级单位自建自管信息系统的安全管理 设有自建自管服务器及信息系统的二级单位，须严格执行信息系 统的分级安全保护措施，与学校签订《自建自管系统信息安全保障工 作责任书》，切实落实责任，建立本单位自建自管信息系统名录，规 范建设、运维、使用等各个环节；要严格执行信息发布审核制度，避 免保密信息外泄，防止在自管服务器及系统上制作、复制、发布、传 播含有法律、法规禁止内容的信息，防止不正当地复制和利用学校具 有知识产权的相关数据；要做好相关系统日志的 60 天留存工作。 第七条 信息安全管理的责任追究 二级单位责任人未履行职责开展信息安全工作，如在国家、市级 重大事件时期出现信息安全问题的，由上级部门直接追究相关责任； 如在非国家、市级重大事件时期出现信息安全问题的，将列入学校信 息安全事故黑名单，在校信息门户公布，并由校信息化办公室停止该 单位相关服务器或应用系统的网络接入，待整顿并通过安全审核后再 予恢复；如多次发生安全问题或因工作失职导致出现重大网络信息安 全后果的，按照学校有关规定给予处分，并取消该单位和责任人的评 优、评先资格，构成违法的应当依法追究相关人员的法律责任。 第八条 本办法由校信息化办公室负责解释，自颁布之日起实施。 上海师范大学 2016 年 6 月 28 日