信息系统安全测评管理办法
第一条 为规范和加强学校信息系统运行安全,及时发现信息系统安全漏洞等隐患,防止信息系统“带病”运行,有效抵御非法网络攻击,保证学校信息系统安全、可靠、稳定运行,根据国家《网络安全法》、《信息安全等级保护管理办法》等文件精神,结合我校实际情况,制定本办法。
第二条 信息系统是由计算机硬件、网络和通信设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统。主要有五个基本功能,即对信息的输入、存储、处理、输出和控制。
第三条 本办法所称的信息系统安全测评,是指依据国家有关信息安全标准、规范,对学校承担教学、管理和服务的计算机信息系统,进行安全保障性能测试、评估的活动。
第四条 学校内的信息系统安全测评及其管理活动,适用本办法。国家法律、法规另有规定的,从其规定。
第五条 信息与网络管理中心负责学校信息系统安全测评的组织协调和监督管理工作。各部门(院部处室)对本部门的信息系统具有管理责任,要积极配合信息与网络管理中心对其所属信息系统进行安全测评。学校所有信息系统均须经过安全测评,测评合格方可上线运行。
第六条 信息系统安全测评,原则上由与学校签订“网络和信息系统安全外包服务”合同的服务商(以下简称测评服务商)实施,特殊情况下,也可委托国家有关部门认可的或者信息与网络管理中心委托的第三方信息安全测评机构实施。
第七条 信息与网络管理中心应当与测评服务商(或测评机构)共同制定信息系统安全测评方案,明确测评的范围、内容、流程等。
第八条 信息系统安全测评应当依据国家和学校信息技术、信息系统安全的标准、规范,实施信息系统安全测评,保证测评活动的客观、公正。
第九条 信息系统安全测评的实施过程可能影响信息系统正常运行的,信息与网络管理中心应当事先告知各部门(院部处室),并协助其采取相应的预防措施。
第十条 测评服务商(或测评机构)实施信息系统安全测评后,应当出具加盖公章包括以下内容的测评报告:
(一)测评范围、内容;
(二)测评所依据的相关标准、规范;
(三)系统安全的评估结论、整改建议。
第十一条各部门(院部处室)应当根据测评报告的整改建议,对信息系统采取安全整改措施, 信息与网络管理中心应当给予协助和指导。信息系统完成安全整改,经安全测评合格后,方可上线运行。
第十二条信息与网络管理中心应当每年将实施信息系统安全测评的汇总情况向学院网络安全和信息化领导小组报告;发现信息系统存在重大安全问题时,应当立即向学校网络安全和信息化领导小组报告。
第十三条新建未上线运行的信息系统,在信息系统试运行结束后30日内,各部门(院部处室)须提请信息与网络管理中心对拟上线运行信息系统进行安全测评,未经安全测评的信息系统不能上线运行。
第十四条信息与网络管理中心对上线运行的信息系统原则上每学期进行一次安全复测;系统的网络结构、信息处理流程等发生重大变更的,应当及时进行复测。信息系统的复测应当包括以下内容:
(一)系统前次测评时发现的主要问题;
(二)核心网络设备、服务器、安全防护设施、应用软件等系统关键部分发生变更,可能出现的安全隐患;
(三)新的信息技术可能对系统安全造成的影响。
第十五条测评服务商(或测评机构)对学校信息系统安全测评过程中取得的技术数据、业务资料等信息负有保密义务,不得以任何方式将相关信息提供给第三方。
第十六条各部门(院部处室)对本部门的信息系统未按照本办法的规定开展信息系统安全测评或者采取安全整改措施的,由学校网信办(信息与网络管理中心)督促其改正;因未开展信息系统安全测评或者采取安全整改措施,可能导致系统发生安全故障的,网信办(信息与网络管理中心)将按照国家有关法律法规和《郑州工程技术学院网络信息安全管理办法》关停信息系统。
第十七条 本办法由学校信息与网络管理中心负责解释,自发布之日起实施。