豫公通 [2005]36 号
第一章 总 则
第一条 为了加强对我省学校计算机信息系统的安全管理,确保校园网络信息的安全,根据《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《河南省计算机信息系统安全保护暂行办法》等有关规定,结合我省实际,制定本规定。
第二条 加强对学校计算机信息系统安全保护工作的目的是:预防、打击利用或者针对学校计算机信息系统进行违法犯罪活动的行为,提高学校计算机信息系统的整体安全水平,净化校园网络信息,保障计算机信息系统的正常使用,维护学校的正常教学秩序。
第三条 学校计算机信息系统的安全保护工作应按照谁主管、谁负责;预防为主、综合治理;人员防范与技术防范相结合的原则,逐级建立安全保护责任制,加强制度建设,逐步实现管理的科学化、规范化。
第四条 学校计算机信息系统实行安全等级保护,计算机信息系统的建设应符合相应的安全等级标准,使用的安全产品必须具有《计算机信息系统安全专用产品销售许可证》,其等级应与计算机信息系统确定的安全等级相适应。
第五条 学校应当建立与公安机关公共信息网络安全监察部门的通报联系制度,及时通报有关计算机信息系统案(事)件情况,主动提供相应的信息、资料及数据文件,协助公安机关查处学校计算机信息系统的案(事)件。
第六条 公安机关公共信息网络安全监察部门应当加强对学校计算机信息系统安全保护工作的指导和监督,及时查处学校计算机信息系统的案(事)件。
第七条 各级教育行政部门和公安机关依据本规定,对学校计算机信息系统的安全情况进行检查、考核。
第八条 本规定适用于我省行政区域内的所有学校。
第二章 安全管理组织
第九条 校长是学校计算机信息系统安全第一责任人。学校必须建立由校主管领导任组长、相关部门负责人参加的计算机信息系统安全工作领导小组,并确定专职部门负责日常的计算机信息系统安全保护工作。领导小组名单应当按隶属关系报学校所在省辖市教育行政部门或省教育厅,同时报学校所在省辖市公安机关公共信息网络安全监察部门备案。
第十条 学校计算机信息系统安全工作领导小组负责确定本学校计算机信息系统的安全等级,并组织有关人员制定、评审本学校计算机信息系统安全策略、标准、安全工作流程和各项规章制度。
第十一条 学校各部门应当设立专(兼)职计算机信息系统安全管理人员,对安全管理人员要明确职责和任务。安全管理人员必须经过学校所在省辖市公安机关的安全培训后方能上岗。
第十二条 学校计算机信息系统安全管理人员负责应承担的日常安全管理工作,对计算机信息系统进行安全审计跟踪分析和安全检查,及时发现安全隐患和违法犯罪行为,对已经发生的案(事)件,应妥善安置保护现场,立即报告公安机关,并协助开展调查、取证。
第十三条 在学校应经常对教师、学生进行计算机安全教育,有条件的学校应设立有关计算机安全课程,学习计算机安全管理法律、法规,提高师生的法律意识。
鼓励和支持高等院校开设信息网络专业课程,招收和培养信息网络安全专门人才。
第三章 物理安全管理
第十四条 计算机机房应当按照有关国家标准配置防火、防水、防震和防盗报警设施,重要的计算机机房应逐步配置防电磁辐射等安全设施。
第十五条 计算机设备必须有可靠接地,接地电阻不应大于相应设备的技术要求,必要时应安装防雷电设施。
第十六条 对不能停机的计算机,应当采用双回路供电,或配置发电机、长时间UPS等设施,并配置必要的备份机。
第十七条 对与计算机有关的电源接口、通信接口等设备要进行经常性检查维护。
第十八条 计算机机房应保持清洁,温度、湿度应符合设备技术参数要求。
第十九条 重要计算机机房要有物理访问控制措施,具有身份鉴别功能,能够记录出入人员的相关信息,建立重要计算机机房的值班及人员出入管理登记制度。
第二十条 重要计算机机房应划分重点防护区域,应有物理通道控制,确保信息系统中心设备的安全。
第二十一条 对重要或涉密数据的存储介质,应具有必要的安全保护措施,并建立相应的安全管理制度。
第四章 运行安全管理
第二十二条 对重要计算机信息系统应建立定期风险分析和评估制度,对风险分析、评估的结果,要进行相应的安全措施选择,确认和鉴定措施的可行性,同时要对重要计算机信息系统及设备制定应急情况处理方案;公安机关公共信息网络安全监察部门可以协助学校对重要计算机信息系统进行风险分析和评估。
第二十三条 对重要计算机信息系统的用户身份、主机身份、事件类型等应进行安全审计,并留存审计日志,审计日志应进行妥善保存。
第二十四条 计算机信息系统的主要设备、软件、数据等应有备份,并具有在要求时间内恢复系统功能以及重要数据的能力;重要的数据应做到异地备份保存。
第二十五条 对计算机信息系统应定期进行计算机病毒检查,并积极采取预防计算机病毒的相关措施,防止计算机病毒对系统和数据的破坏。用介质交换信息要按规定手续管理,并进行病毒检测。
第二十六条 对接入国际互联网的信息系统,学校应按要求到所在地公安机关公共信息网络安全监察部门备案。
第二十七条 学校应当加强对访问国际互联网公用帐号的管理,建立公用帐号使用登记制度。用户帐号不得转借、转让。
第二十八条 学校应加强对接入国际互联网的公共机房、电子阅览室、办公区,家属区以及学生宿舍等上网场所的管理,建立IP地址申请、变更登记制度。
第二十九条 学校应采取必要措施对访问国际互联网的用户进行身份认证或实名登记,并记录上网访问日志。上网讯问日志的留存时间不得少于60日,且能对应到具体的上网终端。
对在互联网上提供交互式栏目(BBS、聊天室、留言板等)、FTP、邮件、IDC、SP、个人主页等服务的应当记录用户访问日志,日志记录留存时间不得少于60日。
公安机关依法在对上述日志记录查询时,学校应予以提供,且在保存期内不得修改或者删除日志。
第三十条 学校公共上网场所应当建立场内巡查制度,并有专人负责,及时制止上网人员访问、发布、下载有害信息和其他违法犯罪行为。
第三十一条 对联网的计算机及其网络设备和通讯设备的安装、使用,应当采取严格的安全管理措施。
第三十二条 公安机关公共信息网络安全监察部门应当定期对学校的计算机信息系统进行检查,检查中发现的安全问题,应及时提出整改意见,并做出详细记录,存档备查。
第三十三条 公安机关公共信息网络安全监察部门应当定期对学校计算机信息系统安全管理人员进行安全知识培训,使其掌握机关网络安全的有关法律法规和业务常识,能够及时处理突发案(事)件,确保学校计算机信息系统的安全运行。
第五章 信息安全管理
第三十四条 重要计算机信息系统应建立身份鉴别机制,制定相应的访问控制策略,对重要数据应进行完整性校验。
第三十五条 对涉密数据的存储和传输应进行加密。
第三十六条 存有涉密数据的计算机,不得以任何方式与国际互联网联网。
第三十七条 存有重要数据的设备发生故障,需要外单位人员维修时,本单位必须有人在场监督。
第三十八条 学校应建立信息分类标记和涉密信息安全管理制度、废弃数据、存储介质的处理制度。
第三十九条 学校应建立互联网信息发布、审核和登记制度,坚持“先审后贴”的原则,并有专职部门负责审核发布的信息,同时要有审核登记记录。
第四十条 学校应建立校园网信息的监视、保存和备份制度,要有专人对网站、交互式栏目发布的信息进行监视,发现有害信息备份后立即删除,并报告当地公安机关公共信息安全监察部门。
第四十一条 学校计算机信息系统在国际互联网上提供WWW、FTP、IDC、邮件、交互式栏目、SP等服务的,应当报当地公安机关公共信息网络安全监察部门备案。
第四十二条 接入国际互联网的计算机信息系统应当具备必要的防黑客攻击、防病毒以及过滤有害信息等安全技术措施;提供邮件服务的,应具备垃圾邮件过滤功能。
有害信息和垃圾邮件过滤安全技术措施的相应技术参数应符合所在省辖市公安机关公共信息网络安全监察部门的要求。
第四十三条 对接入国际互联网的计算机要有专人管理,定期对计算机上存储的内容进行必要的检查。任何单位和个人不得利用国际互联网危害国家安全、泄露国家秘密,不得侵犯国家的、社会的、集体的利益和公民的合法权益,不得从事违法犯罪活动。
第六章 人员安全管理
第四十四条 学校应建立重要计算机信息系统安全管理人员的录用、考核制度,不能胜任工作的人员必须及时调离。
第四十五条 建立信息安全管理人员培训制度。各级教育行政部门应根据人员变化情况,依托当地学校开展相关的业务培训;省级教育行政部门将培训各省辖市、县的业务骨干。
第四十六条 计算机信息系统安全管理人员调离时,必须按规定移交全部技术资料和有关数据,设有口令的密钥的要及时进行更换。涉及科研、开发及其他重要业务的技术人员调离时,应确认对业务不会造成危害后方可调离。
第四十七条 学校发生重大计算机事故,应当立即报告本单位计算机信息系统安全工作领导小组和专职部门,并填写《计算机事故申报表》,报学校所在地公安机关公共信息网络安全监察部门。
第四十八条 发现计算机违法、犯罪案件,须立即向公安机关公共信息网络安全监察部门报案,并保护好现场。同时填写《计算机犯罪案件报告表》,报学校所在地公安机关公共信息网络安全监察部门。
第四十九条 公安机关接到学校报案后,应当立即派人赶赴现场,查处案件。
第七章 罚 则
第五十条 对于违反本暂行规定,存在计算机信息系统安全隐患的学校,由公安机关发出整改通知,限期整改。因不及时整改而发生重大案件和事故的,由上级教育行政主管部门对该单位的有关责任人给予行政处分;对违反国家相关法律法规的,由公安机关依法进行处罚,构成犯罪的,由司法机关依法追究刑事责任。
第八章 附 则
第五十一条 本暂行规定下列专有名词的含义:
UPS是指“不间断供电电源”,能在电网异常(停电、浪涌、欠压、市电陷落、辐射干扰等)时不间断的提供交流电力的电源保护、储能设备;
FTP是文件传输协议,利用该协议为用户提供文件传输服务;
IDC是指互联网数据中心,提供专业化的服务器托管、空间租用、网络批发宽带、电子商务等业务;
SP是指短信息内容服务提供者。
第五十二条 本暂行规定由省公安厅、省教育厅负责解释。
第五十三条 军事院校的计算机信息系统安全保护工作,按照军队的有关规定执行。
第五十四条 本暂行规定自印发之日起执行,原《河南省学校计算机信息系统安全管理暂行规定》(豫公通[1998]165号)同时废止。
