第一章 总 则
第一条 为规范中国传媒大学(以下简称学校)信息系统建设与运行维护工作,加强信息系统安全管理,提高信息系统建设与运行维护水平,根据《信息技术软件生存周期过程》、《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护定级指南》等要求,结合我校信息化工作实际,特制定此办法。
第二条 本办法适用非涉密信息管理,涉密信息管理按照学校信息安全保密管理体系文件进行落实。
第三条 本办法所称网络与信息安全,包括校园网安全、信息系统运行安全和信息内容安全。
第四条 学校网络安全管理按照“谁管理谁负责、谁运维谁负责、谁使用谁负责”的原则,学校各部门和全体师生应依照本办法及相关文件履行网络安全的义务和责任。
第二章 职责和分工
第五条 信息系统建设与运行维护过程中,涉及的单位主要包括信息化处、承办部门和服务提供商。
第六条 学校网络和信息系统承办部门(以下简称“承办部门”)是指负责建设、管理、运维学校网络和信息系统的二级单位,包括学校所属无独立法人资格的教学科研单位、机关职能部门和直属单位,其主要职责如下:
(一)负责提出信息系统建设需求和规划草案;
(二)负责对接与监督管理服务提供商进行网络和信息系统建设与安全测试,完成系统上线前备案登记;
(三)负责编写网络安全等级保护定级备案所需材料,配合信息化处开展网络安全等级保护备案与测评工作;
(四)负责依据发现的网络安全风险与安全整改建议督促服务提供商进行整改;
(五)负责协调处理信息系统建设与运行维护过程中出现的各类问题,包括但不限于信息系统的故障申告受理、咨询和建议,并协同服务提供商、信息化处进行故障处理;
(六)承办部门应设置网络安全联络员和信息系统管理员。网络安全联络员负责与归口管理部门对接网络安全工作,信息系统管理员负责信息系统的运行维护管理工作。
(七)监督管理服务提供商在信息系统建设与运行维护过程中严格遵守校内要求,履行各自职责。
第七条 学校网络安全归口管理部门是信息化处(以下简称“归口管理部门”),主要职责如下:
(一)负责学校信息化基础设施环境的安全运行与维护;
(二)对信息系统建设和运行维护的各阶段工作进行安全技术审核,对信息系统定期进行安全检测;
(三)组织承办部门、服务提供商完成信息系统安全等级保护测评及备案工作;
(四)配合承办部门完成系统部署、业务开通、上线运行等工作;
(五)配合承办部门、服务提供商进行故障处理。
第三章 上线前安全要求
第八条 安全规划建设。承办部门应当在项目建设需求初期初步确认信息系统网络安全保护等级,并依据对应网络安全保护等级要求进行需求调研与建设开发等工作,项目规划建设前需开展项目论证,并留存信息系统安全建设方案与论证会会议纪要等文件。
第九条 定级备案。承办部门应根据初步确认的网络安全等级保护级别编写等级保护备案材料,包含但不限于《网络安全等级保护定级报告》、《中国传媒大学重点岗位人员网络与数据安全保密承诺书》、《中国传媒大学二级部门网络安全责任书》等,由归口管理部门统一组织开展等级保护级别专家评审会与测评工作,原则上一级信息系统不允许开放外网访问。
第十条 资源申请。系统承办部门在签订项目建设合同后,在信息系统计划部署前应首先填写《信息系统资源使用需求表》申请所需系统基础资源,并明确申请资源用途、申请资源配置要求等。
第十一条 安装部署。承办部门在获得所需部署资源后应制定系统部署计划、系统安装部署说明,经承办部门主要负责人批准后开展系统部署工作。
第十二条 测试数据。承办部门负责为服务提供商提供与信息系统数据格式一致的测试数据;信息系统使用的学校基础数据由归口管理部门提供测试数据。测试数据一律不得直接使用真实数据。
第十三条 安全测试。承办部门在信息系统建设完成初期系统上线前,应在进行功能性测试后,开展充分的安全性测试,包含但不限于漏洞扫描、渗透测试,并提供由第三方检测机构所提供的安全测试报告,报告中应明确无高危风险与中危风险遗留,第三方检测机构应至少具备中国网络安全审查技术与认证中心颁发的信息安全风险评估服务资质一级认证。
第十四条 正式上线。承办部门在完成系统部署并通过安全测试后可申请系统正式上线,系统正式上线前需要提交网络安全等级保护备案材料、安全测试报告等。
第四章 上线后安全要求
第十五条 技术检测。信息系统根据网络安全等级保护等要求,按照规定进行技术检测,检测手段主要包括对信息系统进行渗透测试、漏洞扫描等。承办部门需配合归口管理部门开展技术检测工作,提供技术检测工作所需材料与支持,并进行漏洞整改工作,其中紧急、高危、中危风险必须整改,低危风险能改尽改。
第十六条 等级保护测评。学校每年拨付专项经费用于学校二、三级信息系统的等级保护测评,信息系统上线后归口管理部门统一组织开展网络安全等级保护测评工作,系统承办部门应配合归口管理部门开展等级保护测评工作,包括但不限于协调相应服务提供商运维人员配合上机检查、人员访谈以及安全整改等工作。
第十七条 安全整改。归口管理部门按照网络安全等级保护要求定期开展系统安全测试工作,承办部门应对安全测试结果及时进行整改,并在规定时间内反馈整改情况,并经由归口管理部门验证修复结果。
第十八条 运行维护工作原则。各承办部门应对信息系统的维护与管理定岗、定人、定责,确保运行维护工作的持续性和有效性。
第十九条 运行维护工作内容。承办部门生产环境的运行维护工作主要包括:服务器、操作系统、中间件、数据库、文件系统及网络等的配置、管理与维护。应用系统的运行维护工作主要包括:用户、权限、数据及内容等的配置、管理与维护。
第二十条 系统更新分类。信息系统上线运行后的系统更新按照目的分为修复性更新和功能性更新。修复性更新的主要目的是对运行过程中发现的系统问题进行修复、提升稳定性和提高性能;功能性更新的主要目的是根据业务需求变化等对原有功能进行增加或更改。
第二十一条 功能性更新原则上需要对更新后的系统重新开展安全性测试工作,若涉及原等级保护备案变更(如级别变更、名称变更、系统合并等情况)应由系统承办部门更新系统等级保护备案材料,编写信息系统变更情况说明,提交《系统变更信息表》,由归口管理部门进行等保备案更新。
第五章 安全管理
第二十二条 安全监测。承办部门应指派相关人员对上线运行的信息系统安全状况进行监控。归口管理部门定期对上线运行的信息系统进行技术检测,一旦发生安全事件应第一时间通知承办部门负责人并及时通知归口管理部门协助开展安全事件应急处置与溯源。
第二十三条 安全事件整改与事件处理。归口管理部门会同承办部门及服务提供商依照《信息安全技术安全事件报告与处置流程》与《中国传媒大学网络安全事件应急预案》对发现的安全事件进行整改和处理。
第六章 附 则
第二十四条 本管理办法由信息化处负责解释。
第二十五条 本管理办法自发布之日起施行。