第一章总则
第一条为了加强图书馆网络和信息安全保障能力,维护公共利益和学校稳定,提高安全水平,保证网络通信畅通和应用信息系统的正常运行,提高网络信息服务质量,促进图书馆信息化建设的健康发展,在学校安全体系框架下,根据《吉林农业科技学院网络和信息安全管理办法》,规范安全事件的响应和操作流程,加强对图书馆网络和信息安全的规范化管理。
第二条本办法适用于图书馆门户网站、信息系统、服务器及终端管理。
第三条网络和信息安全管理遵循“谁主管谁负责、谁主办谁负责、谁运维谁负责、谁使用谁负责”的原则。
第二章组织机构和工作职能
第四条图书馆网络技术服务中心作为图书馆网络和信息安全的主管部门,承担图书馆信息安全管理的总体职责,负责图书馆网络和信息安全事件的预防、监测和处置,统一指挥图书馆重大突发事件的应急处置工作;对图书馆的信息系统及终端安全防护工作进行指导、监督、检查。
第五条成立网络安全和信息化工作小组,明确分工,强化管理。馆长、书记负责本单位网络和信息安全总体工作。配备二名信息管理员,负责图书馆信息化相关数据的收集、整理和上报;负责图书馆网站信息的更新、备份和维护;负责图书馆相关信息系统管理、维护;负责组织协调和处理本单位网络和信息安全的一般事件及与信息化管理中心对接工作。
网络安全和信息化工作小组:
组 长:丛立新 周青海
副组长:于 跃 孙国旗
成 员:梁占修 徐 宁 叶春光 高 源 许春雨 孙晓宇 骆鹤飞 刘 倩
信息管理员:梁占修 孙晓宇
第三章图书馆网络安全管理
第六条图书馆网络由网络技术中心负责建设、运行和管理。网络技术中心应采取访问控制、安全审计、入侵防御系统建设,加强图书馆网络安全防护。建立外部人员访问数据中心等重要区域的审批制度,并安排工作人员现场陪同,对访问活动进行记录和保存。
第七条图书馆网络与互联网及其他公共信息网络实行逻辑隔离,由网络技术中心统一管理。未经批准,严禁将其他互联网线路接入图书馆网或一机双网。不能使用网络运营商(如联通、电信、铁通、中国移动公司等)提供的网络出口。如遇特殊情况需要使用网络运营商接入的,需要向学校信息化管理中心申请登记备案后方可开通。
第八条图书馆网络主要服务于学校教学、科研及馆内日常工作等,不得将图书馆网络用于其它用途,严禁利用图书馆网络开展各类未经许可的其它活动,严禁任何部门和个人利用图书馆网络及设施开展经营性活动。如属特殊情况需要网络接入的,需要经馆领导同意并向学校信息化管理中心申请,安全问题由使用部门和个人负责。
第九条使用图书馆网络,严禁以下行为:
1.非法侵入网络设备、信息系统及服务器;
2.非法或不当获取、使用图书馆网资源或对图书馆网的设备进行非法控制;
3.盗用窃取他人校园网账号和密码,或擅自向第三人公开他人账号和密码;
4.窃取他人个人信息,或者擅自向第三人公布他人个人信息;
5.故意制作、传播计算机病毒以及其它破坏程序;
6.将图书馆网资源(包括但不限于各类数据、教学科研信息、设备专用地址、域名、邮箱等)用于商业目的;
第十条图书馆网用户应文明上网,规范网络行为,并做好个人网络安全维护。图书馆网用户的上网行为不得危害到网络安全和正常秩序,严禁利用图书馆网从事任何无授权的探测、破坏、信息窃取等互联网攻击活动,严禁在图书馆网平台发布反共或不良信息,危害图书馆网运行或安全的行为。
第十一条图书馆网用户必须遵守国家有关法律法规,不得利用图书馆网从事违反国家法律法规和图书馆规章制度的活动。图书馆有权按照国家的网络安全管理规定,记录用户上网行为,并配合公安机关的要求,提供用户上网记录。
第十二条图书馆网终端用户应使用防火墙和防护软件,定期进行操作系统升级及杀毒。图书馆网络技术中心定期对校内终端用户进行安全检测,终端用户应配合网络技术中心进行相关的整改和补丁升级,保障网络终端安全。
第十三条对于违反上述规定的用户,经查实,对违规用户暂停网络服务,并进行追责处理,情节严重者,需承担相应的法律责任。
第四章信息系统安全管理
第十四条网络技术中心应制定信息系统使用与维护的管理制度,规范信息管理员的操作行为。关键系统管理人员应签订信息安全与保密协议,明确信息安全与保密要求和责任。
第十五条信息系统数据收集遵循“最少够用”原则,不得收集与信息系统业务无关的个人信息。按照“谁收集,谁负责”的原则,收集个人信息的单位是个人信息保护的责任主体,应当对其收集的个人信息严格保密,并建立健全相关保护制度。
第十六条信息系统保证数据所在系统安装防病毒软件和防火墙,定期升级病毒库,定期为操作系统更新补丁,妥善保管账户和密码,禁止使用空密码、弱口令,密码定期更新。
第十七条信息系统的重要密码,必须由主要负责人和系统管理员妥善保管并定期更换。信息系统的不同应用权限的用户密码由本人妥善保管。信息系统合法用户在调离或身份变更时应由系统管理员及时注销。
第十八条信息管理员定期对系统运行环境、用户活动、日志信息进行排查,处置异常访问和操作。需要远程访问时,可向信息化管理中心申请VPN账号,禁止使用第三方远程软件。
第十九条涉密信息系统严禁接入图书馆网等公用网络,涉密信息不得进入公用信息系统。
第二十条原则上图书馆不提供信息系统外网访问服务,如确有特殊需求,经馆领导批准并经学校信息化管理中心同意后方可使用,申请单位承担全部网络安全责任。
第二十一条网络技术中心定期对各信息系统开展安全检测工作,对于发现的问题及时整改。信息管理员应配合学校信息化管理中心及时整改安全问题。
第二十二条对于违反信息系统管理制度导致出现网络安全事件的,由相关责任人承担相应责任,情况严重的,将依据国家相关法律对责任人依法进行追究。
第五章网站安全管理
第二十三条为保障图书馆网站的安全,以信息发布为主的网站,纳入学校网站群平台实行统一管理。对于未纳入学校网站群平台、自行建设的网站,其技术安全和内容安全均由网站主办者和网站所属部门负责。
第二十四条图书馆网络技术中心为网站群平台及其运行环境提供统一的技术安全支持与管理服务,包括系统配置、数据备份及安全技术防护等,采用技术手段对网络攻击、系统漏洞及网站内容进行监控与检测,保障网站群平台稳定、安全、高效运行。
第二十五条信息发布坚持“涉密不上网,上网不涉密”和“谁发布、谁负责”的原则,确保发布的信息合法合规、真实有效、准确及时,符合学校新闻发布相关制度。入驻网站发布的信息必须严格遵守国家法律法规,严禁制作、复制、发布、传播含有违反《互联网信息服务管理办法》(国务院令第292号)第十五条所列内容。
第二十六条网站的信息安全由图书馆负责。发布信息等需经馆领导审核批准,网络技术中心进行内容编辑、内容审核、内容发布的负责人员,明确审核与发布程序,保存相关操作记录。
第二十七条对于使用频度不大、阶段性使用的网站,采取非工作时间或寒暑假、节假日关闭的方式运行。对于无人管理、无力维护、长期不更新的网站,应关闭网站以降低安全风险。
第二十八条网站群平台采用分级授权管理模式,各级管理员必须是学校在编在岗人员,网络技术中心应向学校信息化管理中心报备。管理员信息发生异动时,应及时到学校信息化管理中心更新备案信息。
第二十九条网站设置校外网站或网页链接的,网络技术中心须对链接的网站或网页内容进行审核,并巡查链接内容,保证链接的合法性及有效性。
第三十条网站管理员应严格账号管理制度,如因管理不善导致发生网站安全事件或不良后果的,依法追究相关人员责任。
