管理制度

第一章 总 则

第一条 为了保护山西综合职业技术学院校园信息系统的安全、促进学院计算机网络的应用和发展、保证校园网络的正常运行和网络用户的使用权益，制定本安全管理制度。

第二条 本管理制度所称的校园信息系统，是指由学院投资购买、由信息中心负责维护和管理的校园网络主、辅节点设备、配套的网络线缆设施及网络服务器、工作站所构成的、为校园网应用及服务的硬件、软件的集成系统。

第三条 校园信息系统的安全运行和系统设备管理维护工作由信息中心负责，任何部门和个人，未经校园信息系统负责部门同意、不得擅自安装、拆卸或改变网络设备。

第四条 任何部门和个人、不得利用联网计算机从事危害校园网及本地局域网服务器、工作站的活动，不得危害或侵入未授权的（包括CERNET或其它互联网在内的）服务器、工作站。

第二章 安全保护运行

第五条 除校园信息系统负责部门，其他部门或个人不得以任何方式试图登陆进入校园网主、辅节点、服务器等设备进行修改、设置、删除等操作；任何单位和个人不得以任何借口盗窃、破坏网络设施，这些行为被视为对校园网安全运行的破坏行为。

第六条 校园网中对外发布信息的WWW服务器中的内容必须经各单位领导审核，由单位部门人签署意见后，交学院党委宣传部审核，经主管院领导审批后，由网络信息中心从技术上开通其对外的信息服务和备案。

第七条 校园网各类服务器中开设的用户帐户和口令为个人用户所拥有，信息中心对用户口令保密，不得向任何单位和个人提供这些信息。

第八条 网络使用者不得利用各种网络设备或软件技术从事用户帐户及口令的侦听、盗用活动，该活动被认为是对网络用户权益的侵犯。

第九条 校园内从事施工、建设，不得危害计算机网络系统的安全。

第十条 校园网主、辅节点设备及服务器等发生案件、以及遭到黑客攻击后，校园网负责部门必须在二十四小时内向校保卫部门及公安机关报告。

第十一条 严禁在校园网上使用来历不明、引发病毒传染的软件；对于来历不明的可能引起计算机病毒的软件应使用公安部门推荐的杀毒软件检查、杀毒。

第十二条 任何部门和个人不得在校园网及其联网计算机上传送危害国家安全的信息(包括多媒体信息)、录阅传送淫秽、色情资料。

第十三条 校园网及子网的系统软件、应用软件及信息数据要实施保密措施。信息资源保密等级可分为：

（１）可向Internet公开的；

（２）可向校内公开的；

（３）可向本系（部门）公开的；

（４）可向有关部门或个人公开的；

（５）仅限于本部门内使用的；

（６）仅限于个人使用的。

第十四条 对所有联网计算机及上网人员要及时、准确登记备案。多人共用计算机上网的各部门、教学业务部门上网计算机的使用要严格管理，部门负责人为网络安全负责人。学院公共机房一律不准对社会开放，上网人员必须出示学生证、教师证，机房工作人员记录上网人员身份和上下网时间、机号、机器IP地址。

第十五条 校园网负责部门必须落实各项管理制度和技术规范，监控、封堵、清除网上有害信息。为了有效地防范网上非法活动，校园网要统一出口管理、统一用户管理，进出校园网访问信息的所有用户必须使用校园网负责单位设立的代理服务器、Email服务器。未经学院网络安全领导小组批准，各部门一律不得开设代理服务器、Email服务器。

第十六条 经学院网络安全领导小组批准开设的服务器必须保持日志记录功能，历史记录保持时间不得低于60天。校园网负责部门要不定期地检查各开通服务器的计算机日志。

第三章 违约责任与处罚

第十七条 违反第五条及第十二条规定的行为一经查实，将向学院国家安全领导小组及保卫部门报告，视情节给予相应的行政纪律处分；造成重大影响和损失的将向市公安部门报告，由个人依法承担相关责任。

第十八条 违反第八条规定的侦听、盗用行为一经查实，将提请学院给予行政处分，并在校园网上公布；对他人造成经济损失的，由本人加倍赔偿受害人损失，关闭其拥有的各类服务帐号；行为恶劣、影响面大、造成他人重大损失的，将向公安部门报案。

第十九条 故意传播或制造计算机病毒，造成危害校园网系统安全的按《中华人民共和国计算机信息系统安全保护条例》中第二十三条的规定予以处罚。

第四章 其 他

第二十条 本管理制度中所指出的校园网负责部门为信息中心。

第二十一条 本管理制度自公布之日起实行。

信息安全工作总体方针

信息安全保障工作必须坚持积极防御、综合防范的方针。坚持这一方针就是要充分认识信息安全风险和威胁，立足安全防护，加强信息安全应急处置，在信息化推进中同步规划、同步建设信息安全，坚决防止不设防、重建设轻管理、重发展轻安全的问题；就是要用发展的办法、积极的措施解决信息安全问题，具备应对各种威胁和挑战的能力与手段，而不是通过不上网、不共享、不互联互通，或者片面强调建专网等封闭的方式保安全；就是要从法律、管理、技术、人员等多个方面，从预防应急和打击犯罪等多个环节采取多种措施，全面提高信息安全防护水平。防止因信息安全问题过度增加信息化成本和降低信息化的效益，防止因信息安全问题影响信息系统和信息资源为学院服务，为师生服务。

应该认识到，如果信息安全得不到保障，不仅校园安全会受到威胁，而且由于有价值的信息不能上网，可以利用网络处理的业务不能用网络来处理，就难以发挥信息化的巨大效益，信息化发展就会受到严重制约。

制定和发布

制定安全管理制度是规范各种保护单位信息资源的安全活动的重要一步，制定人员应充分了解机构的业务特征（包括业务内容、性质、目标及其价值），只有这样才能发现并分析机构业务所处的实际运行环境，并在此基础上提出合理的、与机构业务目标相一致的安全保障措施，定义出与管理相结合的控制方法，从而制定有效的信息安全政策和制度。机构高级管理人员参与制定过程，有利于：1）制定的信息安全政策与单位的业务目标一致；2）制定的安全方针政策、制度可以在机构上下得到有效的贯彻；3）可以得到有效的资源保障，比如在制定安全政策时必要的资金与人力资源的支持，及跨部门之间的协调问题都必须由高层管理人员来推动。

该控制点在不同级别主要表现为：

一级：要求有人员负责安全管理制度的制定，相关人员能够了解管理制度。

二级：在一级要求的基础上，要求有专门部门或人员负责安全管理制定的制定，并且发布前要组织论证。

三级：在二级要求的基础上，对制度的制定格式、发布范围、发式等进行了控制。

四级：除三级要求外，侧重对有密级的安全制度的管理

评审及修订

安全政策和制度文件制定实施后，并不能“高枕无忧”，机构要定期评审安全政策和制度，并进行持续改进，尤其当发生重大安全事故、出现新的漏洞以及技术基础结构发生变更时。因为机构所处的内外环境是不断变化的，信息资产所面临的风险也是一个变数，机构中人的思想、观念也在不断变化。在这个不断变化的世界中，要想保证本系统的安全性，就要对控制措施和信息安全政策与制度持续改进，使之在理论上、标准上及方法上与时俱进。

该控制点在不同级别主要表现为：

一级：无此要求。

二级：要求对安全管理制度定期评审和修订。

三级：在二级要求的基础上，增加了安全领导小组负责组织定期评审和修订，并对评审和修订的时机做了要求。

四级：除三级要求外，侧重对有密级的安全制度的修订和制度的日常维护等