成都市教育计算机信息安全管理细则

附件一成都市教育计算机信息安全管理细则（试行）第一章总则第一条本办法规定了成都市中小学计算机信息系统安全在规划建设使用管理过程中应执行的安全项目和操作规程。第二条本办法适用于成都市行政区划范围内的所有中学、小学、师范、职中的计算机信息安全，是计算机信息系统安全规划、建设、监理、验收的依据。第三条教育计算机信息安全管理应本着积极预防、突出重点、狠抓落实的原则。第四条教育计算机信息系统应严格按照国家教育部、省教育厅和公安部门的有关规定进行管理，严格执行安全保密制度，对所提供的信息负责。不得利用网络从事危害国家安全、泄露国家秘密等犯罪活动，不得制作、查询、复制和传播有碍社会治安的信息。必须接受并配合国家有关部门、各级网络中心依法进行监督检查。第五条利用互联网实施违法行为，构成犯罪的，依照刑法有关规定追究刑事责任；违反社会治安管理，尚不构成犯罪的，由公安机关依照《治安管理处罚条例》予以处罚；违反其他法律、行政法规，尚不构成犯罪的，由有关行政管理部门依法给予行政处罚；对直接负责的主管人员和其他直接责任人员，依法给予行政处分或者纪律处分。利用互联网侵犯他人合法权益，构成民事侵权的，依法承担民事责任。第六条用于重要部门的计算机系统投入运行前，应报请教育信息技术中心的专家组进行安全检查。第二章机构人员职责第七条机构第一款建立安全组织并制定学校计算机信息系统的安全规划和实施计划。第二款单位应将使用计算机信息系统的情况报公安部门计算机监察部门备案，取得《成都市计算机信息系统安全使用合格证》。第三款单位按分层负责的原则，建立信息安全保障责任制。第八条人员第一款单位应有主要领导分管计算机信息系统的安全工作，第二款单位有计算机信息系统安全负责人和安全管理员，负责系统管理维护，制定计算机信息系统的安全策略、风险防范。第三款各单位的计算机信息系统管理负责人和安全管理员，应经成都市公安局计算机安全应用知识的培训，取得《四川省计算机安全应用资格证》。应用人员应经过安全培训，具有较好的计算机信息系统安全意识。第四款安全管理员应具有相应的安全意识、法律观念、技术知识和管理水平，能预防、处理或针对计算机信息系统进行的违法犯罪活动，能预防、处理各种安全事故，能进行软件系统的正常升级维护。第九条制度第一款单位应建立计算机信息系统安全管理制度，张贴上墙并严格执行。第二款必须制定有关电源设备、电气设备、防水防盗消防等防范设备的管理规章制度，确定专人负责维护和制度实施。第十条各单位有建设计算机信息安全系统的专项经费，并认真有效地管理已有的计算机信息系统财产，有计划有步骤的添置相应的软硬件资源。第三章网络安全第十一条外部信息接口第一款各单位连接的外部信息接口必须符合《计算机信息网络国际连网出入口信道管理办法》、中国公用计算机互联网管理办法。第二款各单位的计算机和其他通信终端进行国际联网，必须使用国家公用电信网提供的国际出入的信道，必须通过接入网络进行。可以通过专线或通过公用电信交换网进入接入网络。第十二条日志管理：计算机系统必须有完整的日志记录：用户名、节点名、终端点、登录时间、操作的数据或程序名、操作的类型、修改前后数据值、访问的网站名、访问者的ＩＰ等。记录日志应完整而连续，保存至少3个月。第十三条数据备份第一款安全管理员要审阅每天的系统报告，包括控制台操作记录、系统日志、系统报警记录、系统活动统计及其他与安全有关的材料。应定期用存档的源程序与现行运行程序进行对照，以有效的防止对程序的非法修改。应实时检查数据库的逻辑结构、数据元素的关连及数据内容。对于从日志或实时终端上查获的全部非法操作都应加以分析，找出原因及对策。第二款必须对系统口令的查声、登记、更换期限实行严格管理。第三款重要应用数据应每月备份一次。第四款软件系统应三月备份一次。对系统进行维护时，应采取数据保护措施。第五款在发现病毒、发现黑客等紧急时刻，应对重要应用数据和软件系统备份一次。第六款实行分布式备份。实行应用者本地、网络共享端、网络发布端三级备份。第七款每星期应对系统软件和应用软件进行一次检查，确定是否需要升级。在发现软件漏洞时，应立即下载补丁、升级软件或采取其他安全措施。作到预防在先，及时查缺补漏。第十四条网站管理第一款凡利用国际互联网信息资源，在国内经营计算机信息服务的，按开放经营电信业务的有关规定审批。第二款管理员应对互联网的使用者的有关情况进行必要的登记。第三款单位应保证发布的网页不含有害数据。第四款以公用数据网作为通信子网的计算机网络，应采取设置闭合用户组等限制非法外来或外出访问，确保网络安全。第五款任何单位和个人不得制造或者故意输入、传播计算机病毒和其他有害数据，不得利用非法手段复制、截收、窜改计算机信息系统中的数据。第六款不得在网络上发布不真实的信息、散布计算机病毒、进入未经授权使用的计算机和不以真实身份使用网络资源等。应在分中心网站公布公布报警电话或设立电子信箱。第七款对病毒感染、黑客攻击等情况要进行登记。第八款电子公告服务应符合《互联网电子公告服务管理规定》。第九款新闻服务应符合《互联网站从事登载新闻业务管理暂行规定》。第十款网页内容应符合《教育部关于加强对教育网站和网校进行管理的公告》。第十五条事故报告制度第一款学校必须制定较全面的应急计划。根据影响系统正常工作的各种可能出现的紧急情况及其影响范围，如火灾、水灾、意外停电、外部攻击、误操作、突发事件、敏感时期等，指定专人负责计划制定、专人组织计划的实施，保证能有组织有措施的应对紧急情况。第二款对计算机信息系统中发生的案件，及发现新的计算机病毒、政治性病毒和其他危害严重的有害数据，有关使用单位应当在24小时内向教育信息技术中心报告，并保护现场及相关资料，条件许可的应停机等候处理。第三款对于违反本办法的用户，网络中心有权无条件取消其网络使用权，对于发生重大安全事故的用户，网络中心将上报高一级网络管理部门和公安机关，由公安机关追究其相应责任，直至刑事责任。第四章城域网及网站安全管理第十六条接入互联网申报备案制度第一款需要接入互联网的单位需将安全方案报送市信息中心，由专家组对安全方案进行审定并立即实施。第二款审定合格的单位，在办理完毕接入手续后，将接入单位、网络系统构成、接入线路类型、应用范围、联网设备型号数量、域名地址、管理人员及终端用户数据等资料报送成都教育信息技术中心备案。第三款接入运行后，上述事项发生变更时，应及时向中心申报。第十七条城域网管理中心应保证网络平稳运行，合理分配负载，做好运行检测，做好有害信息的防范、信息过滤，及时对安全漏洞或故障进行处理，指导用户做好安全防范工作。定期对管理中心进行漏洞扫描检查，并建档管理。对存在安全漏洞或隐患的单位，要提出具体的防范、整改措施，并督促其落实。第十八条在成都教育城域网上不允许进行任何干扰其他网络用户、破坏网络服务和网络设备的活动。第五章校园网安全管理第十九条学校面向互联网提供公开服务的网站页服务器、域名服务器、邮件服务器及文件服务器等均应在市信息中心备案。第二十条权限管理：第一款学校网络控制中心负责网络设备的运行管理、网络资源、用户账户和安全管理，系统管理员口令绝对保密，网络用户口令应经常更新。第二款根据用户需求严格控制、合理分配用户权限。第三款网络中心有专人负责信息发布，一般应用人员只有浏览权和使用权。第二十一条校园内的光缆及其他网络设施应妥善保护，避免人为损坏。第二十二条校园网分为内部网和互联网两部分，技术上采用虚拟网络管理。一般用户不提供与Intemet直接连接。第二十三条数据由网络信息中心及各级网络管理部门进行定期备份，对备份后的数据应有专人保管，确保发生意外情况时能及时恢复系统运行。第二十四条防杀病毒软件应妥善保管，确保防杀病毒软件本身无毒。向学生开放的教学实验室应禁止使用软驱和光驱，以杜绝病毒的传播。第六章党政网安全管理第二十五条使用者必须按照所分配的用户名称和IP地址进行接入、登录。第二十六条接入、登录信息及网上内容不得外传。第二十七条使用党政网必须按照管理规定执行。第二十八条上网必须采用加密卡第二十九条必须与互联网物理隔离。第七章保密第三十条坚持谁上网谁负责、谁泄密追究谁的原则，建立完善保密工作责任体系。第三十一条将保密工作纳入目标管理。第三十二条有专人对上网信息严格把关。第三十三条写有涉密文件、资料的计算机软盘不使用时应存放在铁皮柜内锁好，严禁乱丢乱放。第三十四条不允许在与互联网相联的计算机中采集、处理、存储和传递涉密信息。第三十五条对涉密计算机维修、涉密载体的保管和销毁，应有专人负责。第三十六条对重点涉密部位必须安装“三铁一器”，即：铁门、铁栏杆、铁皮柜和报警器。第三十七条加强监督管理工作，使用过程中的重要信息记录要保存到审计文件中，以便掌握使用情况，发现可疑现象，及时追查安全事故责任。第七章其他第三十八条成都市教育信息技术中心在计算机信息系统安全保护工作中的主要职责是：对计算机信息系统安全保护工作事实监督、检查、指导开展计算机信息系统安全的保护宣传教育工作对计算机信息系统的新建、改建、扩建工程进行安全指导进行安全系统建设使用和管理的验收管理计算机病毒和其他有害数据的防治工作制定安全系统的技术规范进行管理使用人员的培训。第三十九条教育信息技术中心发现影响计算机信息系统安全的隐患时，应当及时向使用单位发出安全管理公告。附件二成都市教育计算机信息系统安全建设规范第一章总则第四十条本办法规定了成都市中小学计算机信息系统安全的规划要求和建设标准。第四十一条本办法适用于成都市行政区划范围内的所有中学、小学、师范、职中的计算机信息系统安全，是计算机信息系统安全规划、建设、监理、验收的依据。第四十二条建设教育计算机信息安全系统应本着预防为主、因地制宜、注重实效、及时补漏的原则。第四十三条计算机信息系统，是指由计算机及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。第四十四条计算机信息系统的安全保护，应当保障计算机及其相关配套设备、设施(含网络)的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，维护计算机信息系统的安全运行。第四十五条有害数据是指计算机信息系统及其存储介质中存在、出现的，以计算机程序、图像、文字、声音等多种形式表示的，含有攻击人民民主专政、社会主义制度，攻击党和国家领导人，破坏民族团结等危害国家安全内容的信息；含有宣扬封建迷信、淫秽色情、凶杀、教唆犯罪等危害社会治安秩序内容的信息，以及危害计算机信息系统运行和功能发挥，应用软件、数据可靠性、完整性和保密性，用于违法活动的计算机程序（含计算机病毒）。第二章安全防范机构及制度第四十六条安全组织第一款单位必须建立安全机构，单位主要领导必须主管计算机信息系统安全防范工作。第二款安全机构的任务是根据本单位的实际情况制定安全防范策略、作出风险分析、建立安全保障体系。第三款单位必须实行安全防范制度。第四款安全负责人负责安全机构的具体工作。第四十七条人事管理第一款人员审查：必须根据计算机信息系统所定的保密级别确定审查标准。第二款必须保证关键岗位的人选安全可靠。第三款所有工作人员必须进行相应的计算机安全防范培训。第四款人事部门应定期对系统所有工作人员进行考核，对不适于接触信息系统的人员要及时调离，要向其申明调离后的保密义务，收回所有资料和证件，退还全部技术手册及有关材料。系统必须更换口令和机要锁。第四十八条制定严格的计算中心出入管理制度。第四十九条制定严格的技术文件管理制度。第五十条制定严格的操作规程。第五十一条制定完备的系统维护制度。第五十二条制定数据记录媒体管理制度。第三章实体安全第五十三条设计或改建计算机机房时必须符合下列标准：《计算站场地安全要求》（GB2887-82）、《计算站场地技术条件》、《电子计算机机房设计规范》的规定。在计算机机房附近施工，不得危害计算机信息系统的安全。单位采购的计算机信息系统安全产品和保密专业产品必须具有公安部门核发的销售许可证。新购进的计算机及其设备、软件系统，应经单位计算机安全人员进行检查，