关于印发《上海海事职业技术学院网络安全管理办法》的通知

各部门：

为加强学院网络安全管理工作，《上海海事职业技术学院网络安全管理办法》经上海海事职业技术学院2024年11月18日第29次院长办公会审议通过，现予以发布，本办法自发布之日起施行。原《网络安全管理制度》（沪海职院〔2021〕25号）同时废止。

附件：上海海事职业技术学院网络安全管理办法

上海海事职业技术学院

                              2024年11月18日

上海海事职业技术学院行政事务部        2024年11月21日印发

上海海事职业技术学院

网络安全管理办法

第一章  总则

第一条  为加强和规范上海海事职业技术学院（以下简称“学院”）的网络安全管理，提高总体防护能力和水平，保障学院信息化建设健康发展，促进学院数据合法开发利用，依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中远海运人才发展院网络安全管理办法》等有关法律、法规、行业标准和要求，结合学院实际，制定本办法。

第二条  本办法适用于学院各部门。

第三条  网络，是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。本办法所称网络主要包括信息化设施设备、通信网络设施、信息系统等。

网络安全，是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。

本办法所称数据，是指网络数据，暨通过网络收集、存储、传输、处理和产生的各种电子数据。

数据安全作为学院网络安全的重要组成部分，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

第四条  坚持网络安全与业务发展并重，遵循“积极利用、依法管理、科学发展、确保安全”的方针，坚持“谁主管谁负责，谁建设谁负责，谁运行谁负责”的原则，在学院统筹规划、一体推进的基础上，实行集中管理、逐级负责。

第二章  机构与职责

第五条  学院党委对学院网络安全工作负主体责任，将网络安全工作纳入重要议事日程，定期听取和研究网络安全工作。学院主要负责人是网络安全第一责任人，主管网络安全的分管领导是直接责任人。

第六条  学院设立网络安全领导小组和工作小组，网络安全领导小组和工作小组在学院党委和主要负责人领导下，负责学院网络安全重大工作的顶层设计、总体布局、统筹协调、整体推进、督促落实，主要履行以下职责：

（一）贯彻落实网络安全战略决策、法律法规；

（二）确定学院网络安全目标、方针、政策；

（三）审定学院网络安全制度和规范；

（四）建立学院网络安全责任制和检查考核制度；

（五）研究解决学院网络安全的重大事项和问题。

第七条  行政事务部是学院网络安全的主管部门，主要履行以下职责：

（一）贯彻落实国家政策法规和人才院、学院管理要求，负责按照学院网络安全发展战略、方针、政策和目标规划各项工作；

（二）负责制定并落实学院网络安全相关制度规范和技术标准；

（三） 负责学院网络安全工作的政策指导、协调沟通、宣传培训等；

（四）负责学院网络安全风险管控、应急准备和事件处置的总体管控；

（五）配合党委工作部做好国家秘密、商业秘密相关数据安全技术支持工作；

（六） 负责学院网络安全人才培养和队伍建设等工作；

（七）负责对学院各部门的网络安全工作进行指导协调、监督检查和考核；

（八）完成网络安全领导小组和工作小组交办的其他任务。

第八条  学院各部门按照职责分工落实网络安全管控措施，并协同处理网络安全问题和事件，主要职责分工如下：

（一）行政事务部严格管控设施设备、通信网络、信息系统和其中数据的安全性；

（二）党委工作部协同处置网络安全事件舆情；

（三）人力资源部加强员工入职离职管控，开展网络安全培训；

（四）后勤保卫部加强人员出入和办公场所安全管控及采购过程中网络安全管控；

（五）其他相关部门积极配合落实网络安全措施。

第三章  基本管理办法

第九条  学院网络安全工作的总体目标：满足国家网络安全监管要求和集团、人才院和学院管理需要，确保信息化设施设备、通信网络设施、信息系统的持续、稳定、可靠、安全运行，确保数据的保密性、完整性、可用性、可控性和不可否认性，防止因网络安全造成学院培训教学、管理、服务和业务往来中断，支撑学院信息化服务需要和战略目标的实现。

第十条  各类网络和数据资产中使用集团、人才院或学院名称、logo、域名、证书、ICP备案等信息的应当严格管理，历史信息、演示资产应当及时删除、注销。

第十一条  按照“谁主管谁负责、谁运营谁负责”的原则，实行分层级、分业务负责制，建立网络安全队伍机制。形成行政事务部和各部门之间联动，共同协作处理网络与信息安全问题。

第十二条  根据相关安全法律法规、标准和集团、人才院和学院有关网络安全、信息系统安全、等级保护、分级保护和商密保护等要求，行政事务部协同各部门开展以下工作：

（一）建立健全网络安全制度管理体系，推进标准化和规范化。定期对照检查网信安全体系、制度和流程的落实情况，及时修订；

（二）开展等级保护工作。按照“属地化管理”原则加强与属地公安机关的联系，开展等级保护工作，并根据整改意见落实管理和技术措施；

（三）加强软件正版化管理，满足国家知识产权保护要求，鼓励使用国产化网信安全产品。密码产品应当符合国家密码管理局监管要求和上级单位密码使用相关制度的管理要求；

（四）开展信息安全风险评估工作。梳理管控的各类信息资产、识别威胁、脆弱性和已有控制措施，确认风险情况，及时上报和处置。在引入和使用各类新兴信息化技术前，要进行网信安全风险评估工作；

（五）做好分级保护工作。严格执行“涉密不上网、上网不涉密”，严禁将涉密计算机与互联网和其他公共信息网络连接，严禁在非涉密计算机和互联网上存储、处理国家秘密，严禁在外网计算机上存储处理涉密信息，严禁将涉密移动存储介质在涉密计算机、非涉密计算机和互联网上交叉使用；

（六）做好商业秘密保护的技术支持工作。根据上级的保密管理和商业秘密管理要求，行政事务部配合党委工作部加强商密保护，确保核心商密信息不外泄、学院利益不受侵害。

第十三条  加强网络与信息系统的安全检测工作。通过技术手段或购买服务，提高保密技术检测、网络攻击检测、设备安全配置检测、漏洞检测等基本能力。

第十四条  各类设备、基础软件和应用系统应采用高强度密码策略，需从大写字母、小写字母、数字、符号中选取三种及以上形成混用组合，且不少于8位。密码中不要使用包括姓名拼音或缩写、单位名、本人生日、电话号码、键盘顺序等组合。系统管理账号密码要确保唯一性，不同设备不要使用相同密码。重要设备、系统和互联网资产原则上应当具备双因子认证方式。

第十五条  网络生产环境应具备时间同步手段，提高日志时间准确性。系统自身访问/操作等运行及安全日志、网络安全设备告警等相关日志保存至少6个月，按需进行日志远程存储，并开展严格审计，采取必要技术手段提高日志分析效率和效果，及时发现异常行为。

第十六条  各部门应配合行政事务部做好重大节假日或活动的网络安全保障工作，避免造成不良社会影响。

第十七条  各部门在设置或调整岗位时，应充分考虑职责分离、人员备岗，并明确岗位网络安全职责；加强关键岗位入职人员背景审查，加强各类信息安全培训和宣传。网络和信息系统的访问权限根据岗位变动及时调整。

第十八条  信息化设备、信息系统采购应严格遵照国家法规政策、上级单位要求和学院管理要求，做好信息化设备、软件和服务等采购工作的供应链安全管控，优先采购安全可信、自主可控的网络产品和服务，并符合以下管理要求：

（一）防止供应商在非授权情况下使用、操作学院的设备、网络、系统及相关信息，严格控制远程运维接口或通道，按需开启，及时关闭。对于可以接触到学院内信息系统、设备或重要数据的供应商，应当签署保密协议或网络安全责任告知，明确提出相关网络安全要求和防控措施，设备和系统管理员权限不得开放给第三方人员；

（二）对于信息化相关产品和服务的协议合同，需审查供应商的从业资质、网络安全认证资质、人员从业资质、产品信息安全认证资质等，明确网络安全相关条款，包括软硬件、服务文档等的知识产权归属、服务过程安全管理要求、服务团队成员变更控制要求、服务内容和技术变更流程等。产品和服务变更时，需重新评审协议合同适用性，并评估变更导致的网络安全风险；

（三）信息化相关产品和服务采购单位对供应商负有网信安全管理责任，应当及时提醒第三方遵守学院办法，安排适当的宣贯，进行相应的过程化监督检查，对网络安全办法的遵守情况应当作为供应商评价的一项重要指标。

第四章  设施设备安全

第十九条  学院网络管理中心机房须满足国家机房建设和安全管理标准、信息系统等级保护标准。

第二十条  行政事务部需制定机房管理制度，明确机房内各类设施设备的维护要求，做好机房人员出入管理工作，监督来访人员对机房设备的各项操作，严格保管机房进出凭证、机房图纸和设备清单等资料。

第二十一条  加强员工办公场所网信安全管理，明确办公场所的消防、安保等方面的管理要求，加强物业单位和人员的管理，规范外部人员访问程序，加强办公计算机设备的防病毒和安全加固工作，加强对存储介质和移动设备的管控，采取技术措施防止因移动设备使用导致病毒木马传播。各类办公IT设备的领用、部署、使用、变更、回收过程应当明确安全要求。

第五章  通信网络安全

第二十二条  学院通信网络安全遵循“不可信任、默认拒绝”原则，学院通信网络划分核心区域和接入区域。核心区域与接入区域间根据不同安全级别采用适当的安全防护措施，只允许因业务需要的跨区域网络访问。

服务器接入区域根据系统或用途进行细化隔离，重点系统禁止无关联系统或设备间的相互访问。

办公接入区域中，访客或者特殊用户的区域根据需求进行隔离并明确访问权限。

互联网接入区域进行多层防护，根据需要使用白名单技术进行控制，仅开放必需业务端口，不得开放运维协议和危险协议相关端口。

专线接入区域应当做好隔离防护，部署防火墙等基本防护设备，并根据业务需求开放相应IP、端口和应用。

第二十三条  通信网络是信息系统的共享基础设施，其安全标准应达到学院运营信息系统的最高等保定级要求，确保核心网络设备和线路的冗余配置，设备性能和线路带宽可以适度超前规划，带宽合理分配，按需限制通信网络最大流量数及连接数。

第二十四条  新建互联网出口或内部专线，报备人才院数字信息中心；内网IP段分配规则和域名命名规则满足规范和要求，域名解析服务由内部人员管理。

第二十五条  互联网接入须充分考虑各类网络攻击威胁，加强入侵检测和预警。互联网出口优先保障业务信息系统流量，对用户带宽进行合理限制，对其上网行为进行过滤和监控，基于用户行为的监控须注意保护个人隐私。

第二十六条  加强内网攻击的监控和预警，接入集团内网的设备应采取措施，保证接入设备符合集团公司安全要求；严格办公区域网络准入管理，严格控制非授权终端的网络接入行为；严禁员工私自搭建无线网络平台或私自接入无线网络设备；访客使用的有线接口和无线网络默认不得访问内网；远程办公需通过VPN系统，经各类安全设备过滤监测后，再接入内部网络。

第二十七条  在部署网络设备、安全设备及无线管理设备前，做好登录认证和访问控制，并定期对设备进行风险评估、漏洞检测、安全加固，以降低攻击等安全事件的发生概率。

第二十八条  行政事务部须制定各类网络设备、安全设备的日常维护规范，做好账号、补丁、配置和日志等维护管理工作，特权账号应当统一进行管理并严格审计。

第六章  信息系统安全

第二十九条  依据国家网络安全等级保护标准对信息系统分等级实行安全保护，以增强安全保护的整体性、针对性和实效性，确保信息系统安全建设工作统一规范、重点突出。

第三十条  在信息系统规划设计、开发实施、部署上线等建设环节中同步做好网络安全工作，建立覆盖建设各方、各环节的网络安全责任制，加强项目实施过程中的重要数据和权限管控，确保符合以下要求：

（一）在规划设计阶段，明确信息系统的安全要求，并结合功能和技术需求，在设计方案中同步设计安全保障方案，充分考虑身份鉴别、密码策略、访问控制、软件容错、资源控制、数据安全保护和安全审计等相关安全功能。信息系统如需进行数据加密，鼓励使用国产密码算法；

（二）在开发实施阶段，确保开发测试环境与生产环境的安全隔离，严格控制访问账号、权限；涉及重要数据的生产数据未脱敏不得用于测试，重点保护源代码和研发资料，明确软件编码的版本发布周期和流程，遵循安全编码规范，尽量减少代码层面的安全漏洞。加强软件版本发布过程控制；

（三）在信息系统上线之前，基于系统运行环境全面评估安全风险，配备安全防护设备和措施，充分考虑冗余和高可用要求，不符合要求的信息系统应在整改加固完成后方可上线，确保上线系统及运行环境不存在高中危漏洞。系统试运行应在确保安全的前提下进行，建设单位和运营单位应共同明确系统试运行安全需求。

第三十一条  加强信息系统运行维护的全过程管理。

（一）信息系统管理人员根据工作需要制定系统维护规范和用户手册，加强对主机环境和应用系统的基础指标监控；

（二）重点加强管理员和用户账号权限的分配和管理，及时清理锁定僵尸账号。基础软件的管理员账号宜统一进行管理和授权，针对域控等高权限系统，明确技术管理要求和策略。各类应用原则上禁止使用操作系统管理员账号或权限安装、发布；

（三）加强主机操作系统、数据库、中间件和应用系统的安全补丁升级工作，在安装补丁前做好测试和备份。对于厂商不再提供安全支持的基础软件，及时迁移基础环境；

（四）主机上必须配置防病毒和入侵检测措施，及时升级规则库，明确查杀策略和告警策略。遵循人才院和学院关于操作系统、数据库和中间件方面的安全基线配置要求，进行有效加固；

（五）非技术故障原因或数据归属单位授权，数据库管理员原则上不得调整生产系统数据库中的数据，由于业务原因需调整数据的，由数据归属部门在业务操作层面进行调整；

（六）严格信息系统变更、配置和接入申报审批程序，建立健全变更管理制度和流程，加强僵尸设备、系统的关停下线管理；

（七）做好信息系统各类WEB攻击、恶意篡改和违规信息的防范工作；邮件系统重点关注病毒邮件、垃圾邮件、钓鱼邮件、异常访问等恶意攻击，严格用户注册审批和注销管理，严禁将邮件自动转发至私人或境外邮箱；

（八）需接入互联网的信息系统，建立以网页防篡改、域名防劫持以及防攻击、防瘫痪、防挂马为主的防护体系，严格设置访问控制策略，通过加固并通过复测后再开放到互联网，后台维护管理的页面和端口禁止互联网访问，防护措施未满足标准的禁止开放到互联网。

第三十二条  采用虚拟化或云平台的系统，须注意虚拟化层和云平台自身的安全性。使用公有云的系统，按照有关国家标准进行云计算服务需求分析，评估云计算服务安全风险，确保满足系统安全需求。对于包含重要数据的，原则上不采用公有云。

第七章  数据安全

第三十三条  数据处理活动中应贯彻并执行数据安全、个人信息保护相关法律法规和集团、人才院和学院数据安全管理规范等要求，制定相应细则，加强数据的收集、存储、使用、加工、传输、提供、公开到销毁等数据活动全过程安全管理，根据数据安全分类分级要求采取必要安全技术措施，确保数据的保密性、完整性和可用性。安全技术措施包括但不限于数据加密、数据脱敏、数据防泄漏、身份鉴别、访问控制、安全审计、数据溯源等。

第三十四条  严格遵守数据安全和个人信息保护的法律办法，在集团数据治理体系下，加强数据资产的梳理，实行数据资产登记，形成数据资产清单，按照分级分类管理要求，明确数据安全等级和重要数据目录，落实数据安全相关措施。

第三十五条  涉及单位重要数据及个人信息的，须对其数据处理活动定期开展风险评估，并逐级向上级网络安全主管部门报送风险评估报告。报告应包括处理的重要数据、个人信息的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等。

第三十六条  对重要数据、个人信息的存储，采用加密手段、数据防泄露措施等，保护主机和数据库等存储环境，对于个人电脑（浏览器、文档等方式）保存设备和系统认证凭据、个人信息或其他重要数据的，应当做好加密保护工作。加强员工数据安全意识宣传。

第三十七条  对重要数据、个人信息的网络传输，应采用点对点专用网络通道、数据加密等措施，避免重要数据传输过程泄露。

第三十八条  建立数据全生命周期管理操作的身份鉴别手段并制定适当的授权保证机制，保证由适当的人员通过适当的授权对数据进行操作。与外部监管机构、合作伙伴发生数据交互时，应按照数据分级分类要求，建立对应的审批机制和授权流程，确保数据共享安全合规。

第三十九条  对于存储重要数据、个人信息的服务器、个人终端以及离线存储介质等的维修，采取措施对设备上的数据进行处理，报废的设备采用硬件消磁或物理破坏的方式销毁，避免重要数据的泄露。

第八章  应急和事件管理

第四十条  做好网络安全的应急准备，根据业务及合规需要，从出口路由备份、代码备份、主机环境备份、应用软件备份、配置备份和数据备份等方面，明确备份策略满足业务要求，有序开展备份工作和备份数据有效性定期验证工作。

第四十一条  明确网络安全事件应急响应机构和职责，筹备应急资源，建立应急演练和培训机制，并组织制定基础设施、通信网络、信息系统及数据安全的应急预案，明确应急人员、流程、措施、场景和步骤。预案每年至少组织一次应急演练，根据演练发现问题及时改进优化，并通过专用系统或渠道上报应急演练情况和总结。

第四十二条  在网络安全事件发生时，有效组织应急，及时获取充分而准确的信息，快速研判，果断决策，及时报告，有效隔离，科学迅速处置，持续跟踪，并及时恢复，最大限度降低事件影响和损失。

第四十三条  对于网络安全事件，坚持“四不放过”原则，有效落实整改措施，做好网络安全事件的定级、归类、总结和通报工作。“四不放过”原则是指网络安全事件原因未查清不放过、整改措施未落实不放过、责任人员未处理不放过、教育培训未到位不放过。

第四十四条  学院网络安全事件定级、分类按照网络安全事件应急处置的相关国家标准和集团、人才院管理制度执行。

第九章  监督检查与信息通报

第四十五条  行政事务部负责建立学院网络安全监督检查和评价机制，从管理情况和技术能力等方面组织专业人员检查学院各部门的网络安全情况，并予以评价指导，督促各部门提高网络安全总体水平，各部门应积极配合。

第四十六条  涉及网络安全技术检查的，检查人员与业务系统使用单位做好沟通，进行影响性分析，生产系统尽量避开业务高峰时间，降低检查过程技术风险。

第四十七条  行政事务部负责建立网络安全通报机制，加强网络安全风险信息的获取、分析、研判和预警工作，及时通告威胁预警、漏洞信息、安全事件等信息，明确各单位需上报的信息及方式，向网安委汇报内外部网络安全形势，提高学院网络安全总体协防性。

第四十八条  在重大活动或重要敏感时期，按照国家和上级单位有关要求，组织专人值守，加强网络安全防范和监测预警，建立24小时应急联络渠道，执行报告制度。

第十章  奖惩办法

第四十九条  学院建立网络安全评价和考核机制，制定网络安全评价标准和评价方法，将网络安全工作纳入年度经营/管理考核。

第五十条  日常检查发现违反国家法律法规和集团、人才院和学院有关办法或存在严重安全缺陷的部门或员工，发生网络安全事件，或在国家网络攻防演习、重大活动、监督检查等期间造成集团、人才院被扣分或通报的，学院按照影响等级对相应部门追究责任，各部门逐级向下追责，采用口头约谈、书面通报、扣罚相应考核绩效等方式进行处理。因员工个人原因导致网络安全事件的，按照学院管理要求处罚。有下列情形之一的，将给予从重处理：

（一）多次通报安全预警、隐患不积极整改闭环的；

（二）迟报、谎报、瞒报、漏报网络安全事件的；

（三） 导致事件升级、影响恶劣、损失巨大的行为；

（四）故意违反网络安全管理办法，或以牟利为目的泄露学院内部信息的行为；

（五）滥用职权、玩忽职守等渎职行为；

（六）隐瞒事实真相，隐匿、篡改、销毁证据，妨碍调查等逃避责任行为；

（七）其他应当予以从重处理的情形。

第五十一条  对在网络安全工作中做出显著成绩的部门或人员，学院将给予表彰：

（一）举报、制止或及时反映可能造成重要数据泄露或其他重大网络安全事件或隐患，在大幅度降低信息系统运行风险等方面做出突出贡献；

（二）对重大及以上网络安全事件处理及时准确，使业务服务中断时间和负面影响程度得到大幅度缩减；

（三）在网络安全技术或管理层面有重大创新并有效降低安全风险；

（四）在网络安全日常管理工作中取得优异成绩，重大活动期间保障得力；

（五）其他经评估符合表彰的情形。

第十一章  附则

第五十二条  本办法关于通信网络、信息系统、个人信息等相关事项的界定：

（一）通信网络，分为信息内网和信息外网。信息内网是指学院信息化应用承载网络和内部办公网络，信息外网是指对外业务网络和访问互联网用户终端网络；

（二）信息系统，是指由人、计算机及其他外围设备等组成的能进行信息的收集、传递、存贮、加工、维护和使用的系统；

（三）重要数据，是指学院明确进行认定的，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能造成重大危害以及法律法规、行业标准明确认定的相关数据。

（四）个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

第五十三条  存储、处理涉及国家秘密和集团、学院商业秘密信息的网络的运行安全保护，除应当遵守本办法外，还应当遵守保密法律法规及集团、人才院相关办法。

第五十四条  本办法由行政事务部负责解释。

第五十五条  本办法自发布之日起施行。

第五十六条  上海海运学校参照本办法执行。