第一章　 总 则

第一条　为规范学校信息安全管理，提高信息安全意识,明确岗位分工，确保各项工作有序开展，依据《中华人民共和国数据安全法》、《关于促进网络安全保险规范健康发展的意见》，以及《德州学院网络安全与数据安全工作责任制实施办法》，特制定本办法。

第二条　本办法适用于学校所有职工。

第三条　信息安全管理是信息科技管理的重要组成部分，是在运用信息技术过程中，为保障信息科技工作既定目标的实现所做出的制度安排。

第四条　本办法中涉及的名词定义：

（一）信息安全事件，指由于黑客攻击或病毒感染对重要信息系统造成一定损失或影响（如经济损失、敏感数据泄露、数据篡改、系统宕机或缓慢、业务中断、重大舆情等）的事件，不包括自然灾害、基础设施或软硬件故障、人为操作失误等原因导致信息系统服务异常、业务中断事件。

（二）信息安全管理体系（简称ISMS）：是整个信息科技管理体系的一部分，建立在信息安全的方法上，以开发、实施、运行、评审、维护和改进信息安全。

（三）信息资产，是指学校具有的，进行业务活动的任何信息。包括学校使用的所有数据、文件、硬件、软件和服务、网络构架、系统文件、物理环境、支持设施以及业务持续计划等。

（四）网络安全，是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。

（五）网络数据，是指通过网络收集、存储、传输、处理和产生的各种电子数据。

第二章　 信息安全方针

第五条　信息安全是学校不可推卸的责任，包括提高信息安全意识、落实信息安全控制、降低信息安全风险、保障业务持续稳定。

第六条　信息安全管理的关键要素是人，学校信息安全的首要任务是提高全体人员的信息安全意识，通过培训、教育，明确职责，将信息安全的工作落实到每一个人。

第七条　信息安全管理的方法是控制，学校信息安全工作就是将各项安全控制措施落到实处，明确分工，落实技术控制措施，做到有流程、有规范、有工具、有检查、有改进。

第八条　信息安全的目的是降低风险，指导思想是将信息安全事件损失控制到可接受的程度，建立与学校业务信息化发展相适应的信息安全控制能力。

第九条　信息安全保障的核心是业务，围绕业务的要求，采取技术保障措施，确保在紧急情况下业务的持续稳定运行。

第十条　学校信息安全的三大要素分别为保密性、完整性和可用性：

（一）保密性（Confidentiality）——确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。应恪守学校机密，杜绝因学校的管理问题而导致学校秘密以及学生信息泄露的事件。

（二）完整性（Integrity）——确保信息在存储、使用、传输过程中不会被非授权篡改，防止授权用户或实体不恰当地修改信息，保持信息内部和外部的一致性。应保证系统、网络数据的完整性，避免出现重大的非授权变更；建立完善的备份策略并按策略进行备份，将每年备份资料的缺失或未按照备份策略工作的次数控制在一定可接受范围内。

（三）可用性（Availability）—— 确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源。应提供连续的IT服务，及时响应服务请求，限制系统故障次数，避免系统长时间计划外停止服务。

第十一条　网络与教育技术中心应建立和实施信息分类和保护体系，应使所有职工都了解信息安全的重要性，并组织提供必要的培训，让职工充分了解其职责范围内的信息保护流程。

第十二条　网络与教育技术中心应落实信息安全管理职能。该职能应包括建立信息安全计划和保持长效的管理机制，提高全体职工信息安全意识，就安全问题向其他部门提供建议。

第三章　 信息安全管理

第十三条　应设立专门的信息安全管理部门或岗位，制定安全管理制度和实施计划，定期对制度和流程的执行情况进行检查和报告。

第十四条　应明确信息安全总体目标、范围、原则。信息安全管理应覆盖如下领域：

（一）安全制度管理；

（二）信息安全组织管理；

（三）资产管理；

（四）人员安全管理；

（五）物理与环境安全管理；

（六）通信与运营管理；

（七）系统开发与维护管理；

（八）信息安全事故管理；

（九）灾难恢复管理；

（十）合规性管理。

第十五条　应建立健全信息安全监测预警和信息通报机制，制定网络安全事件应急预案，并定期组织演练。针对发生的事件，采取相应补救措施，并按照规定和流程向有关部门报告。

第十六条　本办法信息安全检查包括安全自查、渗透测试、等级保护测评或其他形式的覆盖辖内的信息安全检查。

第十七条　应制定并实施信息安全检查计划，定期开展信息安全现场检查。

第十八条　应自主或聘请外部专业机构对重要信息系统开展渗透测试。

第十九条　学校应按照监管机构要求，开展网络安全等级保护工作。

第二十条　应识别并及时处置信息安全事件，根据制度及监管要求向行内及监管机构报告。

第二十一条　应组织对网络安全与数据安全问题进行落实整改，并定期督导，保证网络安全与数据安全问题整改的及时有效。

第二十二条　应建立信息发布管理机制，依照法律及学校要求严格管理信息发布内容。应建立网络安全投诉举报机制。应配合监管机构实施的监督检查。

第二十三条　应建立数据外包安全管理要求，对外包商、外包人员行为进行有效的管控，签订保密协议，并定期进行评价。

第四章　 安全制度管理

第二十四条　学校信息安全管理体系运行过程包括体系的建立、实施、监视和改进。通过该体系运行和改进，实现不断的完善和优化。

第二十五条　学校在保证信息安全管理体系正常运行的情况下，保留建立、实施、运行、监控、评审、维护和改进信息安全管理体系的证据。

第二十六条　依据信息安全标准、行业规范、监管要求，结合学校现状，应定期对信息安全管理制度进行评价、修订完善。

第五章　 信息安全组织管理

第二十七条　信息安全管理委员会，即ISC（Information Security Committee），是信息安全管理体系中不可或缺的一部分。信息安全管理体系要求学校设立信息安全管理委员会负责信息安全管理。

第二十八条　广义上，信息安全管理体系在学校党委的领导下，设立信息安全组织。学校信息安全管理体系内的所有业务流程、步骤、活动及其信息资产都隶属于学校党委领导与管理。

第二十九条　信息安全管理组织负责规划学校的信息安全工作的发展战略和方针；制定信息安全政策、制度；落实各项政策、制度的执行；监督、审查信息安全工作执行情况。

第三十条　信息安全管理组织包括领导层和执行层。领导层为学校网络安全与数据安全领导小组，执行层包括网络与教育技术中心以及业务系统主管部门。

第三十一条　网络与教育技术中心是信息安全管理体系执行层的牵头部门，负责全校的信息安全管理，是衔接网络安全与数据安全领导小组与执行层其他部门的核心枢纽。

第三十二条　业务系统主管部门主要负责落实业务条线的信息安全管控措施。

第六章　 资产管理

第三十三条　应加强信息资产管理，识别信息资产并建立责任制，根据信息资产重要性实施分类控制和分级保护，防范信息资产生成、使用和处置过程中的风险。

第三十四条　应建立信息资产清单，并定期更新。清单中的信息资产应明确对应责任人。对于每一类信息资产，所有者应根据其重要性程度确定它的安全保护和使用措施，并且指定管理者来执行这些安全措施。

第三十五条　应根据信息资产的价值与群组，建立相应的标识（主要考虑文件密级标识）和处理机制，确保上述资产可以得到明确的区分，并实施相应的处理与保护措施。

第三十六条　所有信息资产的保护和处理应和它们的重要程度相一致。无论是硬件，软件还是数据文档，都应有相应的保护措施。信息资产在它从生成至销毁的任何阶段，都应有一致的保护措施。

第七章　 人员安全管理

第三十七条　应建立和落实人员安全管理制度，明确信息安全管理职责；通过安全教育与培训，提高人员的安全意识和技能；建立重要岗位人员备份制度和监督制约机制。

第三十八条　应评估关键岗位信息科技职工流失带来的风险，做好安排后补职工和岗位接替计划等防范措施；在职工岗位发生变化后及时变更相关信息。

第三十九条　应进行必要的培训，至少每两年覆盖全校信息安全员。使其充分掌握信息科技管理制度和流程，了解违反规定的后果，并对违反安全规定的行为采取零容忍政策。

第四十条　人员安全管理需要指定专门的人员来承担一些必需的角色。

第四十一条　信息安全角色管理分为雇佣前管理、雇佣中管理以及雇佣终止或变更管理。

第四十二条　为确保学校正式职工、临聘职工在离职或内部转岗时的信息安全，各部门管理层、人事处、网络与教育技术中心应该密切合作保证其离职和变更中的信息安全，要处理的内容至少包括原有职责的终止，资产归还和访问权限撤销。

第八章　 物理与环境安全管理

第四十三条　应确保设立物理安全保护区域，包括中心机房或数据中心、存储机密信息或放置网络设备等重要信息科技设备的区域及日常办公区域，明确相应的职责，采取必要的预防、检测和恢复控制措施。

第四十四条　应建立和落实物理环境安全管理制度，明确安全区域，规范区域访问管理，减少为授权访问所造成的风险。

第四十五条　应建立机房准入标准，第三方人员进入机房前应进行审批或登记，并由学校人员全程陪同。

第四十六条　应建立计算机设备安全标准。主要包括个人电脑安全标准、电源和供电安全标准、设备维护和保养标准、设备安全使用标准、设备安全转移标准、安全报废和再使用标准、线路安全标准等。

第四十七条　应实施环境安全保护措施，保护学校的各类信息资产和确保学校业务的正常运作。应定期检查，保证措施的有效性。环境安全保护的最低要求包括防火、防水、防雷、温度控制、湿度控制系统等。

第四十八条　应配备切实有效的系统，确保所有终端用户设备的安全，并定期对所有设备进行安全检查，包括台式个人计算机（PC）、便携式计算机、柜员终端、自动柜员机（ATM）、存折打印机、读卡器、销售终端（POS）和个人数字助理（PDA）等。

第九章　 通信与运营管理

第四十九条　应建立操作安全管理机制，制定操作规范文档，规范信息系统监控、日常维护和批处理操作等过程。

第五十条　对信息处理设施的操作，应制定明确的操作流程以及清晰的职责分工机制。应对学校系统容量进行预测与规划。

第五十一条　应建立有效的安全控制手段，预防和检查系统中可能存在的隐秘渠道或木马。

第五十二条　所有与学校网络连接的终端、服务器等电子设备都应当安装杀毒软件。所有与因特网的连接和文件交换，以及邮件的收发需要防病毒软件进行保护。

第五十三条　当有严重的病毒爆发或收到明确预警时，网络与教育技术中心应及时通知学校职工，做好预防工作。

第五十四条　应实施防范蠕虫、木马、间谍程序等恶意代码的检测、预防以及恢复措施，保障学校系统不受其威胁。浏览器应设定安全访问控制措施，保护用户不受恶意移动代码的威胁。

第五十五条　应实时监测网络攻击行为并保存日志，定期进行分析、评估和处理。

第五十六条　应制定信息存储介质管理机制，规范介质的处理和操作，存储介质包括但不限于磁盘、设备、可移动媒介、纸质文档。

第五十七条　所有通过学校的设备，网络和其他设施交换的信息，都属于学校的财产。学校职工在做信息交换时应避免信息泄露。

第五十八条　安全意识和合理使用网络的行为是网络服务正常运行的首要条件。所有职工应了解在网络使用中的责任，包括使用因特网和电子邮件。下载的文件应先经过病毒检查。

第五十九条　信息处理设备在技术可行的条件下应建立时间控制措施，包括会话超时控制、联机时间限定和同步设备时间。

第六十条　应对网络设备、主机、终端等建立并实施配置基线，建立网络设备版本和缺陷管理流程。

第六十一条　应采取加密技术，防范涉密信息在传输、处理、存储过程中出现泄露或被篡改的风险，并建立密码设备管理制度，以确保：

（一）使用符合国家要求的加密技术和加密设备；

（二）管理、使用密码设备的职工经过专业培训和严格审查；

（三）加密强度满足信息机密性的要求；

（四）制定并落实有效的管理流程，尤其是密钥和证书生命周期管理。

第六十二条　应通过以下措施，确保所有计算机操作系统和系统软件的安全。

（一）制定每种类型操作系统的基本安全要求，确保所有系统满足基本安全要求；

（二）明确定义包括终端用户、系统开发人员、系统测试人员、计算机操作人员、系统管理员和用户管理员等不同用户组的访问权限；

（三）制定最高权限系统账户的审批、验证和监控流程，并确保最高权限用户的操作日志被记录和监察；

（四）要求技术人员定期检查可用的安全补丁，并报告补丁管理状态；

（五）在系统日志中记录不成功的登录、重要系统文件的访问、对用户账户的修改等有关重要事项，手动或自动监控系统出现的任何异常事件，定期汇报监控情况。

第六十三条　应通过以下措施，确保所有信息系统的安全。

（一）明确定义终端用户和信息科技技术人员在信息系统安全中的角色和职责；

（二）针对信息系统的重要性和敏感程度，采取有效的身份验证方法；

（三）加强职责划分，对关键或敏感岗位进行双重控制；

（四）在关键的接合点进行输入验证或输出核对；

（五）采取安全的方式处理保密信息的输入和输出，防止信息泄露或被盗取、篡改；

（六）确保系统按预先定义的方式处理例外情况，当系统被迫终止时向用户提供必要信息；

（七）以书面或电子格式保存审计痕迹；

（八）要求用户管理员监控和审查未成功的登录和用户账户的修改。

第六十四条　应制定相关策略和流程，管理所有生产系统的活动日志，以支持有效的审核、安全取证分析和预防欺诈。日志可以在软件的不同层次、不同的计算机和网络设备上完成，日志划分为两大类:

（一）交易日志。交易日志由应用软件和数据库管理系统产生，内容包括用户登录尝试、数据修改、错误信息等。交易日志应按照国家会计准则要求予以保存；

（二）系统日志。系统日志由操作系统、数据库管理系统、防火墙、入侵检测系统和路由器等生成，内容包括管理登录尝试、系统事件、网络事件、错误信息等。系统日志保存期限按系统的风险等级确定，但不能少于一年。

第十章　 访问控制管理

第六十五条　应建立有效管理用户认证和访问控制的流程。用户对数据和系统的访问必须选择与信息访问级别相匹配的认证机制，并且确保其在信息系统内的活动只限于相关业务能合法开展所要求的最低限度。用户调动到新的工作岗位或离开时，应在系统中及时检查、更新或注销用户身份。

第六十六条　应建立网络通信与访问安全策略，隔离不同网络功能区域，采取与安全级别对应的预防、监测等控制措施，防范对网络的未授权访问，保证网络通信安全。应实时监测网络攻击行为并保存日志，定期进行分析、评估和处理。

第六十七条　应根据信息安全级别，将网络划分为不同的逻辑安全域（以下简称为域）。并根据安全级别定义和评估结果实施有效的安全控制，如对每个域和整个网络进行物理或逻辑分区、实现网络内容过滤、逻辑访问控制、传输加密、网络监控、记录活动日志等。

（一）域内应用程序和用户组的重要程度；

（二）各种通讯渠道进入域的访问点；

（三）域内配置的网络设备和应用程序使用的网络协议和端口；

（四）性能要求或标准；

（五）域的性质，如生产域或测试域、内部域或外部域；

（六）不同域之间的连通性；

（七）域的可信程度。

第六十八条　应通过有效的技术手段和管理手段，建立并实施网络通信、操作系统、应用系统等领域的访问控制措施，实施有效的权限检查和身份认证。

第六十九条　应制定并执行用户账户、密码保护措施。

第七十条　应制定密码设备管理要求，对密码设备的准入、维护、维修及报废进行规范管理。应制定机构全辖密钥管理要求，对密钥生命周期进行全面管理。

第七十一条　系统访问控制内容应至少包括访问信息限制、敏感信息隔离、系统事件日志。应规范远程访问操作，远程访问时应得到必要的授权。

第七十二条　应关闭不需要的网络服务，以减少外部攻击的可能性。在开放特殊的网络服务之前，应对开放该服务可能带来的潜在的风险做详细的评估和分析。

第七十三条　应建立计算机或其他设备入网审批机制，禁止未授权的终端设备私自接入内部网络。

第十一章　 系统开发与维护管理

第七十四条　应建立应用系统安全建设规范，应用系统建设及管理应符合安全管理要求。

第七十五条　对于数据的输入输出及应用系统的内部处理过程，系统应有一定的机制验证其正确性，有效性。对于关键系统，要有相应技术保证信息的防抵赖性。

第七十六条　重要信息系统建设时应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。

第七十七条　应建立新系统、系统升级和新版本的验收准则，并在验收前，在非生产环境中进行适当的系统测试。

第七十八条　应建立规范的投产变更流程，变更前应进行必要的评估，经审批后方可实施。应对变更过程进行详细记录。

第七十九条　除得到管理层批准执行紧急修复任务外，禁止应用程序开发和维护人员进入生产系统，且所有的紧急修复活动都应立即进行记录和审核。

第八十条　应定期对重要信息系统进行漏洞扫描，并及时进行修复，修复前应对补丁进行必要的测试。

第八十一条　应建立专门的数据管理组织，负责管理、交付和提供有质量保证的数据。

第八十二条　应建立数据安全管理制度，严格管理和规范数据特别是用户信息的采集、处理、存贮、传输、分发、备份、恢复、清理和销毁的管理，以及存储介质的台账、转储、抽检、报废和销毁的管理，保证数据的保密、真实、完整和可用。

第八十三条　数据脱离生产环境使用时，应经过主管部门授权和审批。非生产环境使用生产数据时，应进行必要的脱敏处理，并明确规定生产数据的使用期限、回收或清理措施。

第八十四条　数据存贮、传输应进行必要的加密，所有的加密控制应遵循国家的法律法规。

第八十五条　学校在中华人民共和国境内运营中收集和产生的师生信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应进行安全评估；法律、行政法规另有规定的，依照其规定。

第八十六条　数据和系统应定期进行备份，关键数据应异地存放。应制定数据恢复预案，并进行演练，保证数据的有效性。

第八十七条　应建立重要或敏感数据标准，根据数据重要程度，分级建立数据备份与恢复策略。

第十二章　 信息安全事故管理

第八十八条　信息安全事故指由于信息安全事件或突发事件导致的，对学校业务造成严重影响的事件。应按照影响范围、持续时间、危害程度等，对信息安全事故进行分级管理。

第八十九条　信息安全事故处置和报告按照学校应急预案执行。日常管理及事件处置过程中应注意，保留一份突发事件发生时可能需要的学校以外的第三方人员名单，并在发现信息安全事故时，所有人员应及时向其直属负责人汇报。

第九十条　应根据信息安全事故等级，制定对应的处置要求。信息安全事故发生后，若因未及时解决导致该事故符合较为严重的事故标准，应按照升级后的事故处置要求进行处置。

第十三章　 灾难恢复管理

第九十一条　应将灾难恢复管理纳入业务连续性管理框架，建立灾难恢复管理组织框架，明确灾难恢复管理机制和流程。

第九十二条　应统筹规划灾难恢复工作，定期进行风险评估和业务影响分析，确定灾难恢复目标和恢复等级，明确灾难恢复策略、预案并及时更新。

第九十三条　灾难恢复预案应包括，灾难恢复指挥小组和工作小组人员组成及联系方式、汇报路线和沟通协调机制、灾难恢复资源分配、基础设施与信息系统的恢复优先次序、灾难恢复与回切流程及时效性要求，对外沟通机制、最终用户操作指导及第三方技术支持和应急响应服务等内容。

第九十四条　应为灾难恢复提供充分的资源保障，包括基础设施、网络通信、运维及技术人力资源、技术培训等。

第九十五条　应建立与服务提供商、电力部门、公安部门、当地政府和新闻媒体等单位的外部协作机制，保证灾难恢复时能及时获取外部支持。

第九十六条　应建立灾难恢复有效性测试验证机制，测试验证应定期或在重大变更后进行，内容应包括业务功能的恢复验证。

第九十七条　每年至少进行一次重要信息系统专项灾备切换演练，每三年至少进行一次重要信息系统系统全面灾备切换演练，以真实业务接管为目标，验证灾备系统有效接管生产系统及安全回切的能力。

第九十八条　因灾难事件启动灾难恢复或将灾备中心回切至生产中心后，应及时向主管部门报告，报告内容包括但不限于：灾难事件发生时间、影响范围和程度，事件起因、应急处置措施、灾难恢复实施情况和结果、回切方案。

第十四章　 合规性管理

第九十九条　设计，使用和管理信息资产应满足法律法规和相关合同中的安全要求。当存在违法活动或迹象时，应告知国家或当地法律机关。

第一百条　应保留职工上诉权力。建立并通过一定渠道识别与学校业务活动过程相关的信息安全法律、法规以及其他应该遵守的要求，并在学校内部进行有效的传达，以保持学校信息安全管理对法律的符合性。信息安全相关法律法规的要求需要加以明确地定义并得到信息安全管理委员会审核，形成文档并保持更新。

法律事务部，或学校授权的其它法律顾问负责向学校职工提供关于法律上的建议和咨询。

第一百〇一条　应保护审计工具和监控工具，保证它们的安全使用。出于信息系统审计的要求，信息安全审计有责任了解及关注学校发生的信息安全事故。

第一百〇二条　应通过技术及管理手段保证专利性和机密性信息的安全。

第十五章　 信息安全报告

第一百〇三条　网络与教育技术中心落实信息安全工作，并每年组织至少一次组织信息安全管理评审，审议重大信息安全事项的落实情况。

第一百〇四条　网络与教育技术中心应定期向主管校长汇报信息安全工作的开展和落实情况。

第十六章　 附 则

第一百〇五条　本办法由学校负责解释、修订。

德州学院网络安全与信息化领导小组办公室

网络与教育技术中心（代章）

 2024年1月10日