第一篇:立达人酒店计算机信息网络安全保护管理办法
计算机信息网络安全保护管理办法
第一章 总则
第一条 为加强计算机信息网络安全的保护和管理,维护国家安全、公共利益和社会稳定,维护公民、法人和其他组织的合法权益,促进信息化建设的健康发展,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《互联网信息服务管理办法》等规定,结合本酒店实际,制定本条例。
第二条 本条例所称的计算机信息网络,是指由计算机及其相关的和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行制作、采集、加工、存储、传输、检索等处理的人机系统和运行体系。
计算机信息网络的安全,包括计算机信息系统及互联网络的运行安全和信息内容的安全。
第三条 立达人酒店区域内的计算机信息网络安全保护与管理活动,适用本条例。对涉及国家秘密的计算机信息系统(以下简称涉密信息系统)实行分级保护制度,按照国家保密法律法规和保密标准管理。
第四条 计算机信息网络安全坚持“保护与管理并重”和“谁主管、谁负责,谁运营、谁负责”的原则。
第五条 酒店IT部根据本条例规定主管全酒店计算机信息网络安全保护管理工作。立达人酒店IT部负责全酒店计算机信息网络安全保护管理工作。
酒店各部门和个运营部门负责本部门区域范围内计算机信息网络安全保护管理工作。
第六条 单位和个人依法使用计算机信息网络的权利,受法律、法规和本条例保护。任何部门和个人不得利用计算机信息网络从事危害国家安全、公共利益及社会秩序以及侵犯公民、法人和其他组织合法权益的活动,不得危害计算机信息网络的安全。
第二章 安全保护和管理
第七条 计算机信息系统实行安全等级保护制度。
计算机信息系统的安全保护等级分为五个等级。等级确定的原则、标准、各级别安全保护和管理内容按照国家和省有关规定执行。
涉密信息系统应当根据国家等级保护的基本要求,按照国家保密工作部门有关涉密信息系统分级保护管理规定和技术标准,结合系统实际情况进行保护。
第八条 计算机信息系统的运营、使用部门作为安全等级保护的责任主体,应当按照国家有关管理规范、技术标准确定计算机信息系统的安全保护等级。对新建、改建、扩建的计算机信息系统,运营、使用部门应当在规划、设计阶段确定计算机信息系统的安全保护等级,并同步建设符合该安全保护等级要求的信息安全设施。
第九条 新建的第二级以上计算机信息系统,其运营、使用部门应当在系统投入运行后三十日内到市公安局办理备案手续。已运行的第二级以上计算机信息系统,其运营、使用单位应当在安全保护等级确定后三十日内到市公安局办理备案手续。
第十条 计算机信息系统运营、使用部门应当建立计算机信息系统安全状况日常检测工作制度。
计算机信息系统运营、使用单位应当按照国家有关管理规范和技术标准,定期对计算机信息系统安全等级状况开展等级测评,对计算机信息系统安全状况、安全保护制度及措施的落实情况进行自查。经测评或者自查,计算机信息系统安全状况未达到安全保护等级要求的,运营、使用部门应当制定方案进行整改。
第十一条 计算机信息系统运营、使用部门应当建立并落实以下安全保护制度:
(一)安全责任制度和保密制度;
(二)核实、登记并及时更新用户注册信息制度;
(三)信息发布审核、登记、保存、清除和备份制度;
(四)信息网络安全教育和培训制度;
(五)信息网络安全应急处置制度;
(六)违法案件报告和协助查处制度;
(七)国家和省规定的其他安全保护制度。
第十二条 计算机信息系统运营、使用部门应当落实以下安全保护技术措施:
(一)系统重要数据备份、容灾恢复措施;
(二)计算机病毒等破坏性程序的防治措施;
(三)系统运行和用户使用日志备份并保存六十日以上的措施;
(四)记录、监测网络运行状态和各种网络安全事件的安全审计措施;
(五)网络安全隔离以及防范网络入侵、攻击破坏等危害网络安全行为的措施;
(六)密钥、密码安全管理措施;
(七)国家和省规定的其他安全保护技术措施。
第十三条 计算机信息系统运营、使用部门应当制定重大突发事件应急处置预案。发生重大突发事件时,运营、使用单位应当按照应急处置预案的要求采取相应的处置措施,并服从酒店IT部门和酒店相关部门的调度。本条例所称的重大突发事件,是指有害信息大范围传播、大规模网络攻击、计算机病毒疫情等危害计算机信息系统安全的重大事件。
第十四条 计算机信息系统中发生重大安全事故的,计算机信息系统运营、使用部门应当在二十四小时内向本酒店IT部报告,违反国家保密法规定泄露国家秘密的,应当向所在地保密工作部门报告,并保留有关原始记录。因计算机病毒等破坏性程序发生计算机信息系统瘫痪、程序和数据严重损坏等安全事故的,计算机信息系统运营、使用部门还应当向本酒店IT部提供计算机病毒等破坏性程序的样本。
公安机关、国家安全机关、保密工作部门对危害计算机信息网络安全和涉嫌违法犯罪的活动依法进行调查时,计算机信息系统运营、使用部门应当依法如实提供有关信息、资料及数据文件。
第十五条 计算机信息系统的规划、建设、运营和使用单位在计算机信息系统安全保护设施的规划、建设中,应当依照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定并满足计算机信息系统安全保护需求的信息安全产品。
第十六条 信息安全服务机构应当按照有关法律、法规和相关信息安全技术标准的规定提供信息安全服务,并保守计算机信息系统的技术秘密。
信息安全服务机构发现、掌握危害计算机信息网络安全的证据时,应当及时向所在地公安机关报告并提供所发现、掌握的计算机病毒等破坏性程序的样本。
第三章 公共秩序管理
第十七条 计算机信息系统运营、服务部门应当自网络联通之日起三十日内向所在地公安机关备案。
第十八条 互联网接入服务提供者及主机托管、租赁和虚拟空间租用等互联网数据中心服务提供者,应当建立并落实以下安全保护制度和安全保护技术措施:
(一)如实登记申请服务的用户基本情况、网络应用种类和范围以及身份证明,每月将用户登记情况及所分配的网络地址等有关情况报所在地公安机关备案;
(二)依法与用户签订服务协议,明确双方应当承担的信息安全法律责任;
(三)定期核查用户的网络应用种类和范围,发现用户的活动超出协议约定的应用种类和范围的,应当及时予以纠正;发现传输的内容明显属于本条例第二十三条规定情形的,应当立即停止传输违法内容,保存相关记录,并向所在地公安机关报告。
互联网接入服务提供者应当记录上网用户的上网时间、用户账号、互联网网络地址或者域名、主叫电话号码等信息。
第十九条 互联网信息服务提供者应当建立信息审核制度,明确信息审核人员,发现属于本条例第二十三条规定情形信息的,应当立即删除违法内容,保存相关记录,并向所在地公安机关报告。涉及其他部门的,向有关主管部门报告。
互联网信息服务提供者应当建立并落实以下安全保护制度和安全保护技术措施:
(一)提供新闻、出版以及电子公告等服务的,能够记录所发布信息的内容、时间及互联网网络地址或者域名,并留存六十日以上;
(二)开办政务、新闻、重点商务网站的,能够防范网站、网页被篡改,发现被篡改后能够立即恢复;
(三)提供电子公告、网络游戏和其他即时通信服务的,具有用户注册信息和发布信息审核功能,并如实登记向其申请开设上述服务的用户的有效身份证明;
(四)提供电子邮件和网上短信息服务的,具有信息群发限制措施,能够防范以群发方式发送伪造或者隐匿信息发送者真实标记的电子邮件或者短信息;
(五)提供电子公告服务或其他交互式信息服务的,其计算机信息网络应当使用固定的互联网网络地址。
前款所称的电子公告服务,是指在互联网上以论坛、聊天室、留言板、博客等交互形式为上网用户提供信息发布条件的行为。
第二十条 设立互联网上网服务营业场所的经营单位,应当在申领《网络文化经营许可证》之前到所在地公安机关申请信息网络安全审核。互联网上网服务营业场所经营单位变更营业场所或者对营业场所进行改建、扩建的,应当事先经原审核机关同意。
互联网上网服务营业场所经营单位变更名称、住所、法定代表人或者主要负责人、注册资本、网络地址或者终止经营活动的,应当依法到工商行政主管部门办理变更登记或者注销登记,并到文化行政部门、公安机关办理有关手续或者备案。
非经营性互联网上网服务提供单位应当自提供上网服务之日起十五日内向所在地公安机关备案,其法定代表人、营业场所、网络地址等发生变更的,应当自变更之日起十五日内报原备案机关备案。
第二十一条 互联网上网服务提供单位应当建立并落实以下安全保护制度和安全保护技术措施:
(一)提供互联网上网服务的服务器应当使用固定的互联网网络地址;
(二)如实登记用户有效身份证明、上网时间等有关情况,登记记录应当保留六十日以上;
(三)安装具有防病毒、防入侵、防违法信息传播、记录上网用户日志等功能的安全保护技术设施,并保证其在线正常运行;
(四)发现法律、法规所禁止的行为和信息时,应当立即停止传播违法内容,保存有关日志和记录,并向所在地公安机关报告;
(五)提供无线接入服务的互联网上网服务场所,应当记录并留存用户信息及对应的计算机信息。
第二十二条 任何单位或者个人不得从事下列危害计算机信息网络安全和秩序的行为:
(一)擅自进入、使用他人计算机信息网络;
(二)擅自增加、修改、删除、复制他人计算机信息网络的数据;
(三)擅自增加、修改、删除、干扰他人计算机信息网络的功能;
(四)破坏计算机信息网络运行环境、设备设施;
(五)窃取、盗用、篡改、破坏他人网络资源;
(六)故意制作、传播、使用计算机病毒、恶意软件等破坏性程序,或者制作、发布、复制、传播含破坏性程序或其机理、源程序的信息;
(七)故意阻塞、阻碍、中断计算机信息网络的信息传输,恶意占用网络资源;
(八)利用计算机信息网络大量或者多次发送电子邮件、短信息等,干扰他人正常生活秩序或者网络秩序;
(九)利用计算机信息网络违背他人意愿、冒用他人名义发布信息;
(十)明知本单位或本人的计算机信息网络的网络地址、主机空间等资源已被他人利用,从事可能危害计算机信息网络安全的活动而不予制止;
(十一)擅自利用计算机信息网络收集、使用、提供、买卖他人专有信息;
(十二)其他危害计算机信息网络安全和秩序的行为。第二十三条 任何部门或者个人不得利用计算机信息网络制作、发布、传播含有下列内容的信息:
(一)反对宪法确定的基本原则的;
(二)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
(三)损害国家荣誉和利益的;
(四)煽动民族仇恨、民族歧视,破坏民族团结,或者侵害民族风俗习惯的;
(五)破坏国家宗教政策,宣扬邪教、封建迷信的;
(六)散布谣言,扰乱社会秩序,破坏社会稳定的;
(七)鼓动公众恶意评论他人、公开发布他人隐私或者通过暗示、影射等方式对他人进行人身攻击的;
(八)公然侮辱他人或者捏造事实诽谤他人的;
(九)以非法社团名义活动的;
(十)买卖法律、法规禁止流通的物品的;
(十一)非法买卖法律、法规限制流通的物品,对公共安全构成威胁的;
(十二)含有淫秽、色情、赌博、暴力、欺诈等内容,或者教唆犯罪、传授犯罪方法的;
(十三)含有法律、法规禁止的其他内容的。
第四章 监督管理
第二十四条 公安机关对计算机信息网络安全保护工作履行以下监督管理职责:
(一)指导计算机信息系统运营、使用单位开展安全等级保护工作,接受第二级以上计算机信息系统的备案,并对其安全保护状况进行监督、检查;
(二)监督、检查、指导计算机信息系统运营、使用单位建立、落实各项安全保护制度和安全保护技术措施;
(三)依法对计算机信息网络中的公共信息服务实施监督、检查,发现公共信息中含有本条例第二十三条所列信息的,应当通知计算机信息系统运营、服务单位予以删除,必要时中止对发送者的网络服务;
(四)负责接受危害计算机信息网络安全的事件、案件的报告、举报,勘查现场并收集相关证据,提取疑似计算机病毒等破坏性程序的样本,依法查处计算机信息网络安全违法犯罪案件;
(五)向社会发布信息安全事件和计算机病毒疫情;
(六)与计算机信息网络安全保护工作相关的其他监督职责。公安机关发现计算机信息系统存在安全隐患,可能危及公共安全的,可以委托具有相应资质的测评机构进行测评。经测评发现存在安全问题的,计算机信息系统运营、使用单位应当立即予以整改。
第二十五条 公安机关、国家安全机关为保护计算机信息网络安全,在发生重大突发事件,危及国家安全、公共安全及社会稳定的紧急情况下,可以对计算机信息系统运营、使用单位采取二十四小时内暂时停机、暂停联网、数据备份等措施。
第二十六条 公安机关应当组织计算机信息系统运营、使用单位的安全保护组织成员、管理责任人、信息审查员以及信息安全服务机构工作人员等从事计算机信息网络安全保护工作的人员参加计算机信息网络安全专业技术培训。
第二十七条 国家安全机关负责计算机信息网络国家安全事项管理工作,依法查处利用计算机信息网络危害国家安全的违法行为。第二十八条 保密工作部门依法对有关计算机信息网络的保守国家秘密工作实施监督管理,并做好以下工作:
(一)指导、监督和检查涉密信息系统安全分级保护工作;
(二)指导涉密信息系统建设、使用单位规范信息定密,合理确定安全保护等级;
(三)参与涉密信息系统安全分级保护方案论证,指导涉密信息系统建设、使用单位做好保密设施的同步规划设计;
(四)指导涉密信息系统安全保护等级测评工作,监督、检查涉密信息系统安全分级保护管理制度和技术措施的落实情况;
(五)对涉密信息系统按照国家规定进行投入使用前审批,并对其管理使用情况进行检查;
(六)依法查处违反保密法律法规的行为。
第二十九条 密码管理部门应当加强对计算机信息系统内使用密码产品的单位的监督、检查和指导,定期对计算机信息系统安全等级保护工作中密码配备、使用和管理的情况进行检查和测评,同时对密码产品使用单位的操作人员和管理人员进行培训。
密码管理部门在监督检查过程中,发现存在安全隐患、违反密码管理相关规定或者未达到密码相关标准要求的,应当按照国家密码管理的相关规定进行查处。
第三十条 信息化行政主管部门负责组织、协调和指导计算机信息网络安全工作,组织信息网络安全技术、设备和产品的监督管理,组织、指导和管理计算机病毒防范工作,并根据信息安全发展形势和信息安全保障要求,组织有关部门编制全市信息安全保障规划,报市政府批准后实施。第三十一条 互联网新闻信息服务管理部门负责指导、协调互联网新闻信息管理工作,协调处理计算机信息网络传播违法新闻信息的行为。
第五章 法律责任
第三十二条 计算机信息系统运营、使用单位违反本条例第八条规定,未建立计算机信息系统安全保护等级的,由公安机关给予警告,责令其限期改正;逾期不改正的,处以一千元以上五千元以下的罚款;情节严重的,给予六个月以内停机整顿的处罚。
第三十三条 第二级以上计算机信息系统运营、使用单位违反本条例第九条规定的,由市公安局给予警告,责令其限期改正;逾期不改正的,处以一千元以上五千元以下的罚款。
第三十四条 计算机信息系统运营、使用单位违反本条例第十条第一款规定的,由公安机关给予警告,责令其限期改正;逾期不改正的,处以一千元以上五千元以下的罚款。
计算机信息系统运营、使用单位违反第十条第二款、第十五条规定的,由公安机关给予警告,责令其限期改正;逾期不改正的,对经营性单位处以二千元以上二万元以下的罚款,对非经营性单位处以二千元的罚款。
第三十五条 计算机信息系统运营、使用单位违反本条例第十一条、第十二条规定的,由公安机关给予警告,责令其限期改正;逾期不改正的,处以二千元以上五万元以下的罚款;情节严重的,给予六个月以内停机整顿的处罚;对单位直接负责的主管人员和直接责任人员可处以五百元以上五千元以下的罚款。
第三十六条 计算机信息系统运营、使用单位违反本条例第十三条、第十四条规定的,由公安机关给予警告,责令其限期改正,并处以一千元以上一万元以下的罚款。
第三十七条 信息安全服务机构违反本条例第十六条第二款规定的,由公安机关给予警告,责令其限期改正,并处以一千元以上一万元以下的罚款。第三十八条 计算机信息系统运营、服务单位违反本条例第十七条规定的,由公安机关给予警告或者六个月以内停机整顿的处罚。
第三十九条 互联网接入服务和数据中心服务提供者、互联网信息服务提供者或者互联网上网服务提供单位违反本条例第十八条、第十九条或者第二十一条规定的,由公安机关给予警告,责令其限期改正,并可处以一千元以上一万五千元以下的罚款;情节严重的,给予六个月以内停机整顿的处罚;对单位直接负责的主管人员和直接责任人员可处以五百元以上五千元以下的罚款。
第四十条 单位或者个人违反本条例第二十条规定,未经信息网络安全审核从事互联网上网服务经营活动的,由公安机关责令其停业,并可处以一千元以上一万五千元以下的罚款。
第四十一条 单位或者个人违反本条例第二十二条、第二十三条规定,由公安机关给予警告,有违法所得的,没收其违法所得;对单位可并处以一千元以上一万五千元以下的罚款,对个人可并处以五百元以上五千元以下的罚款;情节严重的给予六个月以内停业整顿、停机联网的处罚。其中,危害国家安全的行为由国家安全机关依照有关法律法规规定查处。
第四十二条 违反本条例规定的行为,涉及其他法律法规的,由有关部门依法处罚;构成犯罪的,依法追究其刑事责任。
第四十三条 公安机关及其他部门工作人员违反本条例规定,玩忽职守、滥用职权或者徇私舞弊的,由其所在单位或者上级主管部门、监察机关依法追究其行政责任;构成犯罪的,由司法机关依法追究其刑事责任。
第六章 附则
第四十四条 本条例所称“以上”、“以下”包含本数。
第四十五条 本条例自2011年3月1日起施行。
第二篇:单位计算机信息网络安全保护管理制度
单位计算机信息网络安全保护管理制度
计算机信息网络国际联网安全保护管理是社会公共安全的重要组成部分,根据《全国人大常委会关于维护互联网安全的决定》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》等法律法规要求,计算机信息网络单位应当采取如下的安全管理基本措施:
1、建立健全安全组织;
2、人事安全管理,即广泛开展计算机信息网络安全宣传,提高全员信息安全意识;
3、健全规章制度,落实安全防范责任制;
4、运行安全管理,即深入开展安全检查,切实整改安全隐患;
5、安全技术保障,即加强重点保护,落实安全标准;
6、加强风险管理意识,开展系统安全审核,积极改善安全措施。
建立、健全安全管理制度,是安全管理的关键。规范化的安全管理,能够最大限度地遏制或避免各种计算机危害,是保障计算机信息网络系统安全的最重要环节。安全管理制度分为安全技术管理制度和安全事务管理制度两类:
一、安全事务管理制度,主要包括:
1、保密制度。
2、人事管理制度:(1)人员审查制度;(2)安全培训制度;(3)综合考评制度;(4)人员调离规定。
3、环境安全保护制度:(1)实体安全配置规定(按照有关国家标准及行业标准制定);(2)设备维护专人制度;(3)安全检查制度;(4)危险品管理制度等。
4、计算中心出入管理制度。
5、应急计划与备份。
6、日志审计制度。审计工作应长期不间断进行,对实体安全、信息安全、系统安全进行全面审计,重要信息网络系统定期与公安机关网监部门共同进行安全检查。
7、安全保护管理工作、经验、范例、事故、案件等安全事件报告制度。
二、安全技术管理制度,主要包括:
1、严格的技术文件管理制度;
2、严格的操作规程;
3、完备的系统维护制度;
4、电磁环境控制办法(防电磁干扰、防信息泄露);
5、磁媒体安全管理、软件安全管理、数据库安全管理、输入输出控制等信息网络系统人员操作制度;
6、计算机病毒防治制度;
7、网络安全控制制度。
单位(盖章):
2014年3月 15 日
第三篇:杭州师范大学计算机信息网络安全管理办法
杭州师范大学计算机信息网络安全管理办法
杭师大发〔2014〕40号
关于印发杭州师范大学计算机信息网络安全
管理办法的通知
各学院、部门:
现将《杭州师范大学计算机信息网络安全管理办法》印发给你们,请认真遵照执行。
杭州师范大学 2014年11月4日
杭州师范大学计算机信息网络安全管理办
法
第一章
总则
第一条
为进一步加强我校计算机信息网络安全的保护和管理,维护公共利益和学校稳定,促进我校信息化建设的健康发展,根据《中华人民共和国计算机信息系统安全保护条例》等有关规定,结合学校实际,制定本办法。
第二条
本办法所称的计算机信息网络,是指由计算机及其相关的和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行制作、采集、加工、存储、传输、检索等处理的人机系统和运行体系。计算机信息网络的安全,包括计算机信息系统及互联网络的运行安全和信息内容的安全。
第三条
本办法适用于接入学校校园网的计算机、网站、信息系统等信息网络安全保护与管理等。
第二章
组织机构
第四条
学校计算机信息网络安全坚持“保护与管理并重”和“谁主管、谁负责”的原则。
第五条
学校信息化工作领导小组负责全校计算机信息网络安全规划与制度、重大管理措施与方案等的决策。信息化中心负责全校计算机信息网络安全保护与监管的日常工作。第六条
学校各二级单位应建立相应的计算机信息网络安全工作组,负责本单位产生、管理的信息安全。设有计算机信息系统、网站的部门需指定专人担任系统管理员负责系统的日常运行维护和信息安全工作。
第三章
校园网络管理
第七条
校园网是学校教学、科研、管理、服务工作的重要工具和基础设施,由信息化中心负责日常维护和管理,任何单位和个人不得擅自动用机房设备、线路、修改参数等。
第八条
学校中心机房是校园网连接内外的重要计算机网络系统设备放置的场所。出入中心机房的人员应做好登记工作,保持中心机房环境的整洁和安全。校外施工单位人员进入中心机房,应由校方管理人员陪同,并做好施工记录。
第九条
学校中心机房为校内各二级单位提供主机托管服务。托管的主机主要用于学校网站(www.xiexiebang.com(xxx为单位标识或网站名称标示)。
第十七条
严格执行“上网信息不涉密,涉密信息不上网”,确保国家秘密和学校工作秘密的安全。
第十八条
各二级单位网站日常管理的有关规定:
(一)原则上,各二级单位网站应依托于学校内容管理平台建立,学校平台技术条件无法满足网站功能需求的除外。
(二)网站版面设计由网站主办单位负责,应根据需要及时进行改版和发布信息。
(三)二级单位网站未经批准不得单独开设论坛(BBS)等交互式栏目。
(四)网页中引用学校有关情况的数据、口径等须与学校主网站保持一致。
(五)按照《中华人民共和国语言文字法》的规定,网页名称、标题、正文等必须使用简体中文。需要开办外文网页或繁体中文网页的,必须同时设简体中文网页,且外文、繁体中文、简体中文版本内容应一致。
第十九条
设立含有“杭州师范大学”命名的官方微博、官方微信、APP等新媒体,按《中共杭州师范大学委员会 杭州师范大学关于进一步加强网络平台建设与管理的若干意见》(杭师大党委发〔2014〕38号)规定执行。
第五章
计算机信息系统安全管理
第二十条
计算机信息系统是按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。学校的信息系统主要包括支持教学管理与决策、科研管理与资源建设、行政办公与决策、数字化校园运行与服务等方面的应用系统。
第二十一条
学校计算机信息系统建设、管理和使用,须严格执行学校信息化标准,保障基础设施、信息系统和信息数据的安全。
(一)信息系统项目的立项、实施和验收等各项管理规范按《杭州师范大学信息化建设管理办法》要求执行。
(二)由校外单位开发的信息系统应与开发单位签订信息安全保密协议。
(三)信息系统中的有关信息必须严格授权、合法使用,未经授权不得以任何形式对外公布或泄漏。不属于主动公开的信息确需公开的,应按规定程序报批,以确保学校各类信息数据的安全。
第二十二条
根据国家等级保护相关管理规定,学校计算机信息系统实行安全等级保护制度。
(一)学校各计算机信息系统的建设使用部门作为安全等级保护的责任主体,应当按照国家有关管理规范、技术标准确定计算机信息系统的安全保护等级。信息化中心协助做好安全保护和管理的各项技术指导和监督工作。
(二)对新建、改建、扩建的计算机信息系统,建设使用部门应当在规划、设计阶段确定计算机信息系统的安全保护等级,并同步建设符合该安全保护等级要求的信息安全设施。
(三)二级及以上的计算机信息系统由信息化中心统一报上级公安部门。
(四)三级以上的信息系统需由公安部门授权机构进行系统评测。
(五)对于计算机信息系统安全状况未达到安全保护等级要求的,建设使用单位应当制定方案进行整改。
(六)涉密信息系统应当根据国家涉密信息分级保护管理规定和技术标准进行保护。
第二十三条
计算机信息系统建设使用部门应当建立并落实以下安全保护制度:
(一)安全状况日常检测制度。
(二)安全责任制度和安全培训制度。
(三)核实、登记并及时更新用户注册信息制度。
(四)信息发布审核、登记、保存、清除和备份制度。
(五)信息系统安全处置制度。
(六)违法案件报告和协助查处制度。
(七)信息安全保密制度。
(八)国家和省市规定的其他安全保护制度。
第二十四条
计算机信息系统建设使用单位应当落实以下安全保护技术措施:
(一)系统重要数据管理、备份、容灾恢复措施。
(二)计算机病毒等破坏性程序的防治措施,防范网络入侵、攻击破坏等危害网络安全行为的措施。
(三)系统运行和用户使用日志备份并保存六十日以上的措施。
(四)密钥、密码安全管理措施。
(五)二级以上的计算机信息系统建设使用单位应当制定重大突发事件应急处置预案。
(六)国家和省规定的其他安全保护技术措施。
第六章
附则
第二十五条
本办法由信息化中心负责解释,自公布之日起实施。
附件
杭州师范大学校园网用户守则
为了加强对学校计算机信息网络的安全保护,维护网络秩序与安全,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》和学校相关制度的规定,制定本守则。违反本守则,有下列行为之一者,信息化中心提出警告、停止其使用校园网络,情节严重者,提交学校相关部门或司法部门处理。1.不得利用计算机网络从事危害国家安全、泄露国家秘密等犯罪活动,不得查阅、复制和传播有碍社会治安和有伤风化的信息。
2.不得在网络上发布不真实的信息,传送具有威胁性、不友好、有损他人或学校声誉的信息。
3.不得利用网络窃取学校机密材料或受法律保护的资源、侵犯他人正当权益。
4.不得进行任何干扰其他网络用户,破坏网络服务和破坏网络设备的活动。这些活动包括(但不局限于)散布计算机病毒、使用网络进入未经授权使用校园网主干设备、接入设备、各类服务器、信息系统等。
5.校园网用户在学校网站上发现有碍社会治安和不健康的信息有义务及时上报并自觉立即销毁。
6.自觉接受校园网实名制认证管理。用户必须对自己的用户名和密码负责,不得擅自转让用户名和密码给他人使用,如因密码泄露造成损失,责任自负;不得建立任何形式的代理服务器供其他用户上网使用。
7.不得使用软件或硬件的方法窃取他人口令,盗用他人账户,非法入侵他人计算机系统。
8.学校教职工和用户必须接受并配合学校依法进行的监督检查和采取的必要措施。9.自觉遵守互联网上网行为规范,及时反映和举报违反网络行为规范的人和事。所有用户都应自觉执行国家和校园网的行为规范与准则。
第四篇:教育系统计算机信息网络安全管理办法[模版]
教育系统计算机信息网络安全管理办法(试行)
发布日期:2011-3-4 7:47:47 【该信息共被浏览了:293 次】
第一章总 则
第一条 为加强教育系统计算机信息网络安全的保护与管理,维护社会稳定和学校正常教学秩序,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》等有关法律法规,结合我市教育系统实际,制定本办法。
第二条 本办法所称的计算机信息网络、系统,是指我市教育系统内单位、个人计算机及其相关的配套设备、设施构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统和运行体系。计算机信息网络的安全包括计算机信息系统及互联网络的运行安全和信息内容的安全。
第三条 常州市教育系统内的计算机信息网络安全保护与互联网安全管理活动,适用本办法。常州市教育系统内建设、运营、使用计算机信息网络的单位和个人,均须遵守本办法。第四条 各单位计算机信息网络安全坚持保护与管理并重和“谁运行、谁负责,谁管理、谁负责”的原则。第二章 机构职责
第五条 常州市教育局成立计算机信息网络安全管理领导小组(以下简称“领导小组”),全面负责本市教育系统计算机信息网络安全。其主要职责是:
(一)统一规划本地教育系统计算机信息网络安全管理工作,落实各级管理责任,协调有关事务。
(二)制定实施计算机信息网络安全管理制度、措施、工作方案以及安全教育、培训工作计划。
(三)对辖市(区)计算机信息网络安全管理工作进行监督、检查和指导。
(四)负责与上级计算机信息网络安全管理部门的工作联系,接受上级的安全检查。
第六条 各辖市(区)教育行政部门应相应成立计算机信息网络安全管理领导小组,全面负责本区域教育系统计算机信息网络安全。
第七条 各单位应在有关国家安全、保密、思想政治等领导机构指导下负责本单位计算机信息网络的安全保护管理工作,建立计算机信息网络安全管理机构,落实责任部门,配备相应的安全管理人员和专业技术人员,具体负责本单位计算机信息网络安全管理工作。安全保护责任部门负责人和安全管理人员名单、联系电话应在计算机信息网络系统投入运行后的30日内报当地公安机关网络安全管理部门和教育网络信息安全主管部门备案,机构、人员有变动的,应及时补报。
第三章 安全保护和管理
第八条 教育系统计算机信息系统运营、使用者在建网时必须考虑网络安全系统的配置。在选用网络安全产品时,应选购通过公安部安全产品质量监督检验中心检测、并获得公安部安全监察局颁发许可证的产品。同时安装正版的防黄、防毒软件。
第九条 教育系统计算机信息系统运营、使用者,包括各单位网站、局域网、校园网等应实行信息安全等级保护管理,建立计算机信息网络安全状况日常检测工作制度。基础信息网络和重要信息系统的运营、使用者应按照国家有关技术规范和标准,对信息系统的安全进行等级备案,有必要的应委托具有资质的评测机构进行信息安全等级评测。评测结果不合格的,运营、使用者应当按照相应的安全等级保护要求进行整改。
第十条 各单位计算机信息系统运营、使用者应建立并落实以下安全保护制度:
(一)信息网络安全教育和培训制度;
(二)信息发布审核、登记、保存、清除和备份制度;
(三)信息网络安全应急处置制度;
(四)违法案件报告和协助查处制度;
(五)提供FTP服务、具有交互性栏目、开设论坛和留言版等的网站单位,须落实实名注册、先审后发、及时处理有害信息和24小时巡查制度,并在技术上保证栏目具有身份地址识别和记录功能;
(六)访问记录保存制度。网站、服务器须具有日志记录功能,用户访问记录至少保存2个月;
(七)上网人员登记制度。主要登记项目有:机器号、姓名、地址、证件类型、证件号、上网起止时间等;
(八)工作交接制度。网络与信息工作人员调离岗位时应将有关材料、档案、软件移交给其他工作人员,调离后对需要保密的内容要严格保密。接替人员应对系统进行重新调整,重新设置用户名、密码。
(九)及时汇报制度。发现有本办法第十三条、第十四条、第十五条所列情形之一的,应立即切断与网络联系渠道,保留有关原始记录,并及时向当地公安机关网络安全管理部门和教育网络信息安全主管部门报告。
第十一条 严格实行登记备案制度。各单位计算机信息系统运营、使用者须将本单位计算机信息系统接入互联网情况向有关部门进行登记备案,未经主管部门批准,禁止擅自利用教育系统网络资源为其他单位或个人提供互联网接入服务。涉及国家秘密的计算机信息系统或计算机不得直接或间接联入校园网、国际互联网或其他公共信息网。确实需要联网的一定要采取严密的技术防范措施,确保信息安全。
第十二条 各单位计算机信息系统运营、使用者应当落实以下安全保护措施:
(一)网站、网页程序代码防漏洞、防篡改等保护措施;
(二)系统重要数据备份、容灾恢复措施;
(三)计算机病毒和破坏性程序的防治措施;
(四)系统运行和用户使用日志备份并保存2个月以上的措施;
(五)记录、监测网络运行状态、变化和各种网络安全事件的安全审查措施;
(六)网络安全隔离以及防范网络入侵、攻击破坏等危害网络安全的措施;
(七)密钥、密码安全管理措施;
(八)本单位网络注册域名(含中文域名)有效期保护措施;
(九)法律、法规和相关规定应当落实的其他安全保护技术措施。
第十三条 用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定,利用校园网侵犯用户的通信自由和通信秘密。任何单位和个人不得利用计算机信息网络危害国家安全、泄露国家秘密,不得侵犯国家、社会、学校、集体的利益和公民的合法权益,不得从事违法犯罪活动。
第十四条 任何单位和个人不得利用计算机信息网络制作、复制、查阅和传播下列信息:
(一)煽动抗拒、破坏宪法和法律、行政法规实施的言论;
(二)煽动颠覆国家政权、推翻社会主义制度的言论;
(三)煽动分裂国家、破坏国家统一的言论;
(四)煽动民族仇恨、民族歧视,破坏民族团结的言论;
(五)捏造或者歪曲事实,散布谣言,扰乱社会秩序;
(六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪;
(七)公然侮辱他人或者捏造事实诽谤他人;
(八)损害教育系统形象和利益的言行;
(九)其他违反宪法、法律、行政法规的言行。
第十五条 任何单位和个人不得从事下列危害计算机信息网络安全的活动:
(一)未经允许,对计算机信息网络功能进行删除、修改或者增加;
(二)未经允许,对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加;
(三)未经允许,私自修改本单位工作站上的IP地址,开设二级代理、WEB、DNS、DHCP等服务;
(四)未经允许,擅自在本单位网络上设置网站、上传信息;
(五)未经允许,擅自使用他人计算机或利用他人账号制作、复制、传播信息;
(六)故意制作、传播计算机病毒等破坏性程序;
(七)以端口扫描方式,破坏网络正常运行;
(八)链接含有色情、反动言论、恶意代码等不良信息网站;
(九)其他危害计算机信息网络安全的行为。第四章 安全监督
第十六条 各单位网络信息安全主管部门应掌握用户的入网情况,定期组织网络安全检查,对所发现的问题,应当提出改进意见,并存档备查。对发现问题没有整改的单位予以通报批评,情节严重的,报公安机关处理。
第十七条 各单位网络信息内容安全监控、巡查工作由本单位网络信息安全主管部门负责。各单位网络信息安全领导机构应负责本单位网络信息的技术安全监查,并从技术上保证对重要信息、证据的保存、备份,对不良信息的及时删除与处理。
第十八条 各单位计算机信息系统的运营、使用者应当制定重大突发事件应急处置预案。发生重大突发事件时,运营、使用者应当按照应急处置预案的要求采取相应的处置措施,并服从公安机关和国家指定的专门部门的调度。
第十九条 各单位计算机信息系统的运营、使用者应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,按照国家有关规定如实提供有关计算机信息系统安全保护的信息、资料及数据文件。对信息系统中发生的案件和重大安全事故,计算机信息系统的运营、使用者应当在二十四小时内报告所在地公安机关,并保留有关原始记录。
第五章 附则
第二十条 本办法自2011年2月1日起执行。
第五篇:计算机网络安全管理办法
计算机网络安全管理办法
第一章 总则
第一条 为加强公司计算机信息系统网络安全、保密管理,特制定本办法。第二条 本办法适用于公司各部门。
第三条 任何部门及个人,不得利用公司计算机从事危害国家、企业及职工合法利益的行为。
第二章 计算机系统的安全与保密管理
第四条 计算机使用者负责各自计算机的简易维护及日常安全管理,公司网络管理员负责对计算机使用者进行不定期培训。
第五条 公司计算机保密管理实行责任到人制,计算机使用者负责各自计算机安全信息的保密,由于当事人的玩忽职守,造成公司机密资料泄露的,追究当事人责任。
第六条 计算机使用者使用计算机时,必须为系统设臵开机密码与屏保密码,确保计算机在使用者离开时能够自动上锁。使用过程中,发现问题应及时处理或报办公室。
第七条 计算机使用者应至少每月对计算机操作系统进行维护,如发现问题及时处理或报办公室。
第八条 计算机使用者应至少每周对各自使用计算机进行全盘病毒检测,发现问题及时进行处理或报办公室。
第九条 计算机内技术资料和重要保密数据要有冗余备份措施,多份拷贝异 地存放。
第十条 计算机信息系统的技术文件如说明书、手册应交公司档案室,使用时要有严格的借阅手续,不得损坏及丢失。
第三章 计算机网络的安全管理
第十一条 加强病毒防治工作。各部门必须由公司统一安装杀毒软件及防火墙软件,并且不得在电脑运行期间私自将其关闭;必须安装统一的网络管理软件;发现感染计算机病毒的,应立即断网杀毒,不得带毒运行,以免病毒通过网络传播至整个局域网。第十二条 计算机仅用于撰写材料及上网查询资料,不得利用网络看电影、玩游戏、聊天、炒股。
第十三条 运行K3物流系统或保存有公司重要或机密信息的计算机,未经允许,一律不得接入互联网。
第四章 处罚
第十四条 违反本办法规定,有下列行为之一的,每发现一次,对当事人处200元以下罚款,情节严重的,对当事人处200元以上1000元以下罚款,发现三次以上者,公司将与其解除劳动合同;触犯法律法规的移交司法机关追究法律责任。
(一)不按规定报告计算机信息系统中发生事故导致资料泄密或病毒在局域网内扩散的;
(二)接到要求改进安全状况的通知后,在限期内拒不改进的;
(三)单机私自接入公司局域网或运行K3的计算机及公司禁止上互联网的计算机未经允许私自接入互联网的;
(四)工作期间上网聊天、玩游戏、看电影、炒股票及一切利用单位电脑上网做与工作无关或个人私事的;
(五)听任他人在本人电脑上玩游戏、聊天、看电影、炒股票的;
(六)未按要求统一安装杀毒软件及防火墙软件或者在电脑运行期间私自将其关闭,未按要求安装统一网络管理软件或者在电脑运行期间私自将其关闭的;
(七)违反本办法,造成公司秘密泄露的;
(八)有危害计算机信息系统安全的其他行为的。
第五章 附则
第十五条 本办法自发布日起施行。
第十六条 本办法由办公室负责解释并监督执行。
点击咨询 