第一条  为规范国家教育行政学院（以下简称“学院”）网络与信息安全管理工作，贯彻落实信息安全等级保护要求及各项管理与控制措施，切实提高学院网络与信息安全保障能力，依据国家有关法律法规，结合学院实际情况，制定本办法。

　　第二条  学院网络与信息安全管理的总体目标是：根据学院信息化建设整体规划与设计，建立网络与信息安全保障体系，为学院信息化工作提供可持续发展的安全技术、安全管理与安全服务支撑，保障学院网络与信息系统安全、高效、稳定运行，切实符合国家相关标准要求。

　　第三条  学院在信息化总体规划设计的基础上，结合业务及信息系统的实际情况和发展需求，依据国家网络与信息安全相关法律法规，制定信息系统总体安全策略。总体安全策略包括合法性策略、安全组织架构、安全管理体系和安全技术四个方面。

　　第四条  合法性策略是保证网络与信息安全的标准和依据。合法性策略包括：

　　1.按规定使用、管理网络设备及信息系统，严禁在未授权的情况下以任何方式接触各类软、硬件设备及其承载的数据；

　　2.学院信息化建设应按照国家信息安全等级保护的基本要求进行设计、建设和运行。信息系统在建设过程中，应开展信息系统安全保护等级定级、备案、建设、整改、评测等工作，保障系统建设符合国家等级保护政策要求。

　　第五条  安全组织架构是制定网络与信息安全总体规划，推进、落实网络与信息安全工作的保障。安全组织架构如下：

　　1.学院成立网络与信息安全领导小组，办公室设在图书信息技术部；成立网络与信息安全工作小组，小组成员由相关部门人员组成；

　　2.领导小组作为网络与信息安全工作的领导与决策机构，负责领导、监督和管理学院总体网络与信息安全工作；

　　3.工作小组作为网络与信息安全责任和日常管理执行机构，负责组织落实学院各项网络与信息安全规划、安全工作。

　　第六条  安全管理体系是安全保障体系的重要组成部分，是技术体系可以有效执行的规则与指引。安全管理体系如下：

　　1.安全管理体系采用安全性与可执行性并重原则，依据国家网络与信息安全相关法律法规，制定符合要求的管理制度、流程和规范。在保障安全性的基础上，结合实际情况，使安全管理体系具备良好的可操作性，保障安全管理工作有效执行；

　　2.通过安全管理体系的有效落实，保障网络与信息安全工作的有效开展和网络与信息安全技术的有效应用。

　　第七条  全面控制学院各应用系统的安全风险，落实各项安全措施。总体安全技术如下：

　　1.信息系统在设计过程中，确认信息系统的安全等级，并根据安全等级进行信息系统的安全设计与建设。建设完成后，依据信息系统安全等级进行安全检测；

　　2.各应用系统及相关设备的操作系统均以最小访问权限为原则进行控制，并能够实现身份鉴别、访问控制等功能。

　　第八条  学院各项信息化建设项目按照“同步建设”原则开展信息安全建设工作。具体要求如下：

　　1.信息系统整体应符合信息安全等级保护要求，并按照相应规范要求开展等级保护定级、备案、建设、整改、等级评测等相关工作；

　　2.信息系统根据业务数据的安全需要，明确数据安全保护措施，并在详细设计方案中落实，确保重要数据安全；

　　3.提高应用系统软件开发质量，规范软件开发过程中各个阶段的安全控制要求，增强应用系统安全性，对应用系统软件开发过程进行管理，确保应用系统符合信息系统安全等级保护相应级别要求；

　　4.新建信息系统上线前必须进行风险评估，检查信息系统在实际环境中可能存在的安全风险，并把风险评估的结果作为信息系统正式上线决策的依据。

　　第九条  在网络与信息安全工作中，通过建立相应规章制度，明确职责权限，规范日常安全管理，降低运维风险，具体内容如下：

　　1.制定《国家教育行政学院网络与信息安全工作小组岗位职责》；

　　2.制定《国家教育行政学院信息技术安全事件应急预案》及相关实施细则；

　　3.制定《国家教育行政学院中心机房管理制度》及相关设备维护制度；

　　4.制定《国家教育行政学院数据备份与恢复管理制度》；

　　5.制定《国家教育行政学院密码产品采购和使用管理制度》；

　　6.制定《国家教育行政学院网络与信息资产安全管理规定》；

　　7.制定《国家教育行政学院校园网用户行为规范》；

　　8.制定《国家教育行政学院校园无线局域网管理办法》及相关准入办法等；

　　9.制定《国家教育行政学院邮件管理办法》；

　　10.制定《国家教育行政学院信息员制度》；

　　11.制定《国家教育行政学院门户网站和教学办公网各栏目职责与信息发布流程》；

　　12.制定其他相关制度、办法和规范。

　　第十条  本办法自发布之日起试行，由图书信息技术部负责解释。