第一章 总 则
第一条 为加强对计算机病毒的预防和治理,维护计算机信息系统安全,根据国家相关法律法规的规定,参照国际标准化组织ISO/IEC 17799:2005《信息技术—安全技术—信息安全管理实践指南》的标准,特制定本管理办法。
第二条 本管理办法用以规范个人计算机信息安全及防(反)病毒软件、信息安全工具的使用,适用于东莞职业技术学院下属各部门、在校师生员工等单位或个人计算机用户(下称计算机用户)。
第三条 “信息是一种资产,具有价值,需要适当的保护”。然而,“攻击普遍存在,许多信息系统不再追求设计成安全的,技术已经不能保证信息的绝对安全。因此,要使用恰当的管理手段并增强意识。”[ISO/IEC 17799:2005]。学校通过采取有效的技术手段,并加强广大计算机用户的信息安全防范意识教育,营造校园信息安全文化,积极建立管理、预防、保护、响应相结合的信息安全保障机制。
第二章 定 义
第四条 本管理办法所称的信息安全是指保障、维护信息的机密性、完整性、真实性、可用性和合法性。
第五条 本管理办法所称的计算机病毒(下称“病毒”)是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
第六条 本管理办法所称的计算机病毒疫情,是指某种计算机病毒爆发、流行的时间、范围、破坏特点、破坏后果等情况的报告或者预报。
第七条 本管理办法所称的资产,是任何对组织有价值的事物。资产包括但不仅限于:物理资产(例如:计算机硬件、通讯设备、建筑物),信息/数据(例如:文档、数据库),软件,提供产品和服务的能力(例如:网络服务的能力和质量),无形资产(例如:商誉和形象)。[ISO/IEC 13335-1:2004]
第三章 组织机构与职能
第八条 教育技术中心是学校具体负责信息安全与计算机病毒防治的机构,具体职能包括:
(一)承担对本校计算机用户的管理、教育与培训工作;
(二)及时通报计算机病毒疫情;
(三)提供正版的信息安全工具及软件并提供专业的服务支持;
(四)提供一定的免费或开源信息安全工具及软件使用建议;
(五)提供信息安全紧急响应服务,为各类信息安全事件提供远程协助、现场维护、安全检查及提出改善建议。
第九条 信息安全员是学校信息安全与计算机病毒防治工作的重要辅助力量,由院内各部门选派具有一定计算机技能的员工担任,可以设为专职或兼职岗位。各部门应将信息安全员的名单及联系方式报送教育技术中心。
第十条 信息安全员应遵守学校有关规定,负责本单位(部门)的信息安全与计算机病毒防治的具体工作。
第十一条 信息安全员应参加学校组织的有关信息安全及计算机病毒防治的培训,在业务上接受教育技术中心的指导与监督。
第四章 计算机用户的责任
第十二条 计算机用户应树立正确的信息安全意识,接受教育技术中心的管理、教育与培训,并有责任确保学校及计算机用户个人(包括其他用户)的信息资产免受损失。
第十三条 计算机用户应做好预防性安全措施,及时修补个人计算机的安全漏洞,防止这些漏洞被计算机病毒软件及其所有人攻击或利用。
第十四条 计算机用户应在自己所使用的个人计算机上,启用各种信息安全工具和策略,以防止木马、蠕虫等计算机病毒或恶意软件对计算机中的信息资产的破坏、窃取以及对校园网络的速度、稳定性以及服务质量的影响。〔注:教育技术中心在信息技术其主页上(http://etc.dgpt.edu.cn/)提供防病毒指引及服务支持。〕
第十五条 计算机用户在进行信息安全和与计算机病毒防治操作时,应遵守国家法律、法规的规定,使用合法授权的信息安全工具及软件,而不应使用盗版的信息安全工具及软件。
使用学校提供的正版的商业版本的信息安全工具及软件的计算机用户,离开学校后应该主动卸载有关软件,避免违反许可证的限定。
第十六条 计算机用户或院内各部门可以根据需要,自行采购部署适合自己的正版信息安全工具及软件,并在许可证限定的范围内使用。
第五章 管理与处罚
第十七条 教育技术中心负责落实各项管理制度和技术规范,监控、封堵、清除网上有害信息。为了有效地防范网上非法活动,校园网要统一出口管理、统一用户管理,进出校园网访问信息的所有用户必须使用校园网负责单位设立的代理服务器、Email服务器。未经批准,各部门一律不得开设代理服务器、Email服务器。
第十八条 经学院校园网络安全管理领导小组批准开设的服务器必须保持日志记录功能,历史记录保持时间不得低于6个月。服务器上开设的用户必须按照东莞市公安局计算机监察处要求登记的内容,通过Email按月报教育技术中心。校园网负责单位要按照东莞市公安局计算机监察处的要求规定,不定期地检查各开通服务器的计算机日志。
第十九条 严格遵守《保密法》,校园网及子网的系统软件、应用软件及信息数据要实施保密措施。信息资源保密等级可分为:
(一)可向Internet公开的;
(二)可向校内公开的;
(三)可向本部门公开的;
(四)可向有关单位或个人公开的;
(五)仅限于本部门内使用的;
(六)仅限于个人使用的。
第二十条 严禁在校园网上使用来历不明、引发病毒传染的软件;对于来历不明的可能引起计算机病毒的软件,应使用学校推荐的杀毒软件检查、杀毒。
第二十一条 校园网主、辅节点设备及服务器等发生案件、以及遭到黑客攻击后,校园网负责单位必须在二十四小时内向保卫部门及公安机关报告。
第二十二条 为了及时消除信息安全隐患以及对其他计算机用户的影响,对于拒绝修补安全漏洞和启用各种信息安全工具的计算机用户,教育技术中心可以给予有关当事人警告提醒,并要求当事人立即采取防范措施。对经过警告仍未改正的、有可能造成严重后果的,可采取紧急断网处理,直至其改正为止。
第二十三条 对有下列情况的计算机用户,教育技术中心可无需事先警告,根据《东莞职业技术学院信息网络管理规定》,对该计算机用户或部门进行紧急断网处理,直至消除信息安全隐患为止:
(一)对造成蠕虫、木马等计算机病毒大面积传播的或可能引起严重后果的;
(二)严重影响校园网网速和服务质量的;
(三)可能导致其他计算机用户的重要信息泄漏,造成严重损失的;
(四)可能导致学校的信息资产被恶意控制或利用,造成损害的;
(五)超出信息安全工具许可证使用规定,可能对学校造成名誉或经济上损失的;
(六)其他违反法律法规规定的情形的。
第二十四条 对违反本管理办法规定的所有行为,教育技术中心有权对违规事实进行取证、备案,并视情节轻重报送上级主管部门、当事人所在部门或相关部门做出进一步的处理。
第二十五条 对于妨害计算机信息安全的违法行为以及涉嫌进行侵害国家信息安全的犯罪行为,计算机用户应积极配合公安机关和学校有关部门,积极制裁违法行为和犯罪行为,共同维护信息安全。
第六章 附 则
第二十六条 本管理办法由教育技术中心负责解释。
第二十七条 本管理办法自公布之日起执行。
