第一章 总则
第一条 为加强学校安全管理,提高中心信息化安全水平,制定本管理办法。
第二条 信息安全事件,是指由于自然或者人为、软硬件本身缺陷或故障的原因,对中心信息系统安全运行造成危害或对社会造成负面影响的事件。
第二章 信息安全事件分类及定级
第三条 根据信息安全事件的起因、表现及结果,信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、信息设备故障、灾害性事件和其他信息安全事件。
(一) 有害程序事件是指蓄意制造、传播有害程序,或是因受到有害程序的影响而导致的信息安全事件。
(二) 网络攻击事件是指通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击,并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。
(三) 信息破坏事件是指通过网络或其他技术手段,造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件。
(四) 信息内容安全事件是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。
(五) 信息设备故障是指由于信息系统自身故障或外围故障而导致的信息安全事件,以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的信息安全事件。
(六) 灾害性事件是指由于不可抗力对信息系统造成物理破坏而导致的信息安全事件,包括水灾、台风、地震、雷击、火灾、战争而导致的信息安全事件。
第四条 根据信息系统的重要程度、系统损失及社会影响,将信息安全事件分为四个级别:特别重大事件、重大事件、较大事件和一般事件。
(一) 特别重大事件(Ⅰ级)是指导致特别重要信息系统遭受特别严重的系统损失或产生特别重大社会影响的信息安全事件。如数据中心出现重大灾难,可能导致核心业务运行长时间全面停顿的情形。
(二) 重大事件(Ⅱ级)是指导致特别重要信息系统遭受严重的系统损失、或使重要系统遭受特别严重的系统损失、或产生重大社会影响的信息安全事件。如数据库、存储系统、核心网关出现严重故障,可能导致在工作时间内核心业务运行停止时间在两小时以上的情形。
(三) 较大事件(Ⅲ级)是指特别重要信息系统遭受较大的系统损失、或使重要信息系统遭受严重的系统损失、或使一般信息系统遭受特别严重的系统损失、或产生较大社会影响的信息安全事件。如数据库、存储系统、核心网关出现较大故障,可能导致在工作时间内核心业务运行停止时间在半小时以上、两小时以下的情形。
(四) 一般事件(Ⅳ级)是指不满足以上条件的,会使特别重要信息系统遭受较小的系统损失、或使重要信息系统遭受较大的系统损失、或使一般系统遭受严重或严重以下级别的系统损失、或产生一般社会影响的信息安全事件。如数据库、存储系统、核心网关出现故障,可能导致在工作时间内核心业务运行停止时间在半小时以下的情形。
第三章 信息安全事件的管理组织机构及职责
第五条 在学校下设立网络安全应急领导小组(以下简称应急小组)。应急小组是处理所有信息安全事件的集中联络点,应急小组组长由学校领导担任,应急小组组成人员包括学校主要人员。应急小组的基本职责如下:
(一) 整体管理及监督与信息安全事件相关的所有规划与准备工作。
(二) 在接获信息安全事件的报告后,第一时间组织力量进行修复或恢复工作,并向信息安全事件的应急工作提供需要的内部资源支持。
(三) 在处理信息安全事件时,与公安机关、技术服务支持商及安全顾问进行沟通协调,为信息安全应急工作提供需要的外部资源支持。
(四) 向学校领导汇报信息安全事件的进展情况及处理结果。
第四章 信息安全事件管理流程
第六条 针对信息安全事件,应采取事前防范准备、事中应急恢复、事后评估处理的工作机制。
第七条 信息安全事件的防范及应急准备
(一) 在学校信息安全规划中,应采取安装防火墙、安装入侵检测工具、安装计算机防病毒软件、安装互联网内容过滤工具、严格操作权限管理、定期进行安全检测及设备巡检等措施,提升中心重要系统及网络运行的安全等级。
(二) 在安全事件的应急准备中,应建立明晰的报告机制及信息披露流程。对Ⅳ级以上事件,必须在第一时间向应急小组组长进行报告,在应急小组组长的统一协调领导下进行响应解决;对Ⅲ级以上安全事件,需第一时间向学校领导进行报告;对Ⅱ级以上安全事件,需第一时间向学校进行报告;对Ⅰ级安全事件,需第一时间向监管机关进行报告。在安全事件可能对客户服务造成较大影响时,应根据信息披露的法律规范,以适当的方式告知客户。
第八条 信息安全事件应急处理,应采取如下流程:
第九条 信息安全事件的事后评估及处理
(一) 信息安全事件报告编制。在安全事件得到恢复处理后,应急小组应在一周内提交相关事件报告。报告内容应包括:事件的类型、范围及程度;事件发生的原因、过程及详情;应急恢复处理的程序、过程及方法;事件的损失评估、经验教训及改进方法。
(二) 根据信息安全事件报告内容,学校应及时对相关系统的安全措施及保护机制进行全面检视,更新修订信息安全的机制、程序及预防措施,并对相关岗位及人员进行技能培训,以防止类似安全事件的重复发生。
(三) 在发生特别重大事件或重大事件的情况下,还必须在学校层面对人为引起安全事件的个人或合作方采取个案调查、纪律处分或法律检控等行动措施,以减少或杜绝严重信息安全事件的发生。
(四) 信息安全事件的未尽职事项包含但不限于:对设备巡检、数据备份等风险防范制度执行不力导致事件发生的情形;对事件发生后未及时上报或未及时到岗处理的情形;在事件处理过程中相关部门未及时支持配合的情形。对以上未尽职事项,信息安全事件应急管理小组应组织采取问责及处罚措施,以杜绝或减少未尽职事项的发生。
第五章 附则
第十条 本管理办法由教育技术中心负责解释。
第十一条 本管理办法适用于学校。