内蒙古农业大学信息系统安全保护管理办法

　　第一条　我校的信息系统实行安全等级保护制度，信息系统的建设管理部门作为安全等级保护的责任主体，应按照国家信息系统等级保护制度的相关法律法规、标准规范以及《教育行业信息系统安全等级保护定级工作指南》（教技厅函[2014]74号）要求，确定信息系统的安全保护等级，落实信息系统安全等级保护制度。

　　第二条　对新建、改建、扩建的信息系统，应当在规划、设计阶段确定信息系统的安全保护等级，并同步建设符合该安全保护等级要求的信息安全设施。

　　第三条　新建的信息系统，其建设管理部门应当在系统投入运行后到信息与网络中心办理备案手续。已运行的信息系统，其建设管理部门应当在本办法执行后到信息与网络中心办理备案手续并确定安全保护等级。对于二级及以上的信息系统由信息与网络中心统一上报。

　　第四条　信息系统建设管理单位应当建立信息系统安全状况日常检测工作制度，应当按照国家有关管理规范和技术标准，定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查，学校管理部门将定期进行检查。三级以上的信息系统需由公安部门进行系统评测。对于信息系统安全状况未达到安全保护等级要求的，建设管理单位应当制定方案进行整改。

　　第五条　信息系统建设管理单位应准确掌握本单位信息系统建设情况，建立信息系统名录，做到底数清、情况明；严格执行本单位信息安全管理措施，切实落实责任，规范建设、运维、使用等各个环节。

　　第六条　信息系统建设管理单位要规范信息维护、信息管理、运行维护等方面的工作流程和机制，指定专人负责系统运行的日常工作，做好用户授权等管理服务工作。

　　第七条　信息系统建设管理单位应当建立并落实以下安全保护制度：

　　（一）安全责任制度和安全培训制度；  

　　（二）核实、登记并及时更新用户注册信息制度；  

　　（三）信息发布审核、登记、保存、清除和备份制度；  

　　（四）信息网络安全处置制度；  

　　（五）违法案件报告和协助查处制度；  

　　（六）国家和自治区规定的其他安全保护制度。  

　　第八条　信息系统建设管理单位应当落实以下安全保护技术措施：

　　（一）系统重要数据管理、备份、容灾恢复措施；  

　　（二）计算机病毒等破坏性程序的防治措施，防范网络入侵、攻击破坏等危害网络安全行为的措施；  

　　（三）系统运行和用户使用日志备份并保存一年以上的措施；  

　　（四）密钥、密码安全管理措施；  

　　（五）国家和自治区规定的其他安全保护技术措施。  

　　第九条　二级以上的信息系统建设管理单位应当制定重大突发事件应急处置预案。发生重大突发事件时，应当按照应急处置预案的要求采取相应的处置措施。

　　第十条　本规定由网络安全与信息化建设领导小组办公室负责解释。

　　第十一条　本规定自发布之日起施行。