发布时间:2022-05-18 点击量:
第一章 总 则
第一条 为全面落实湖南信息学院网络与信息安全相关要求,提升网络与信息安全管理水平,明确网络与信息安全事故责任主体(以下简称“责任主体”),追究网络与信息安全事故的责任,依据《湖南信息学校园院网络与信息安全管理办法》《湖南信息学院网络安全与信息化建设应用管理办法》,根据学校实际情况,特制定本制度。
第二条 责任主体的范围包括湖南信息学院各部门或个人。负责追究责任主体事故责任的部门或个人统称为责任追究主体。
第三条 责任追究是责任主体在履行职责过程中发生失职、渎职、失误或其他原因,对湖南信息学院造成不良影响时,对责任主体的追究与处理。
第四条 网络与信息安全事故责任认定实行“谁主管谁负责、谁维护谁负责、谁使用谁负责”的原则。
第五条 发生网络与信息安全事故后,应根据安全事件造成的影响及相关责任主体的态度,做出如下处理:
(一)批评教育。包括责令责任主体反省、诫勉谈话等;
(二)书面检查。责令责任主体向上级做出书面检查;
(三)通报批评。在湖南信息学院范围内发文通报,责令责任主体整改;
(四)一般处理。降低或扣除责任主体绩效,纳入月度或年度考核;
(五)严肃处理。追究发生严重网络与信息安全事故相关责任人的相关责任。
以上方式可以单独适用,也可以同时适用。
第六条 责任追究应当坚持公平公正、有责必究、过罚相当、教育与惩戒相结合的原则。
第二章 责任追究范围和适用
第七条 信息安全事件的分级
对网络信息安全事件的分级主要考虑三个要素:信息系统的重要程度、系统损失和社会影响。根据信息安全事件的分级考虑要素,将信息安全事件划分为四个级别:特别重大事件、重大事件、较大事件和一般事件。
各级信息安全事件的定义如下:
(一)特别重大事件(一级)
特别重大事件是指能够导致特别严重影响或破坏的信息安全事件,包括以下情况:
(1)特别严重的系统损失:造成系统大面积瘫痪,使其丧失业务处理能力,或系统关键数据的保密性、完整性、可用性遭到严重破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价十分巨大,对于事发组织是不可承受的。
(2)特别重大的社会影响:波及到一个或多个省市的大部分地区,极大威胁国家安全,引起社会动荡,对经济建设有极其恶劣的负面影响,或者严重损害公众利益。
(二)重大事件(二级)
重大事件是指能够导致严重影响或破坏的信息安全事件,包括以下情况:
(1)严重的系统损失:造成系统长时间中断或局部瘫痪,使其业务处理能力受到极大影响,或系统关键数据的保密性、完整性、可用性遭到破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价巨大,但对于事发组织是可承受的。
(2)重大的社会影响:波及到一个或多个地市的大部分地区,威胁到国家安全,引起社会恐慌,对经济建设有重大的负面影响,或者损害到公众利益。
(三)较大事件(三级)
较大事件是指能够导致较严重影响或破坏的信息安全事件,包括以下情况:
(1)较大的系统损失:造成系统中断,明显影响系统效率,使重要信息系统或一般信息系统业务处理能力受到影响,或系统重要数据的保密性、完整性、可用性遭到破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价较大,但对于事发组织是完全可以承受的。
(2)较大的社会影响:波及到一个或多个地市的部分地区,可能影响到国家安全,扰乱社会秩序,对经济建设有一定的负面影响,或者影响到公众利益。
(四)一般事件(四级)
一般事件是指不满足以上条件的信息安全事件,包括以下情况:
(1)较小的系统损失:造成系统短暂中断,影响系统效率,使系统业务处理能力受到影响,或系统重要数据的保密性、完整性、可用性遭到影响,恢复系统正常运行和消除安全事件负面影响所需付出的代价较小。
(2)一般的社会影响:波及到一个地市的部分地区,对国家安全、社会秩序、经济建设和公众利益基本没有影响,但对个别公民、法人或其他组织的利益会造成损害。
第八条 责任主体有下列行为之一者,应对其进行批评教育或责令做出书面检查:
(一)发生一般(四级)或较大(三级)安全事件,未按要求上报的;
(二)发生重大(二级)安全事件后,对调查工作配合不力的;
(三)无正当理由,未按规定落实相关网络与信息安全管理办法及技术规范,未导致安全事件发生的;
(四)在涉及网络和信息安全工作中,加工、填报虚假、不完整数据,有可能导致决策工作失误的;
(五)在网络和信息系统业务开发、网络规划和建设中,缺少或忽视网络和信息安全相关要求,并进行相关业务开发、研究、规划、建设的;
(六)未定期(至少每年一次)进行保密政策、法规和技术培训的;
(七)在不涉及系统改造的情况下,存在弱口令和无用账号的;
(八)承担安全评价、认证、检测、检验工作的单位,出具虚假证明的。
第九条 责任主体有下列行为之一者,应当责令其做出书面检查或通报批评:
(一)发生重大(二级)安全事件,未按要求上报的;
(二)无正当理由,未按规定落实相关网络与信息安全管理办法及技术规范,导致一般(四级)或较大(三级)安全事件发生的;
(三)发生重大(二级)或特别重大(一级)安全事件,且发生安全事件后处理及时,未对湖南信息学院财产或声誉造成影响的;
(四)发生特别重大(一级)安全事件后,对调查工作配合不力的;
(五)经过批评教育或责令做出书面检查后,仍不按规定落实相关网络与信息安全管理办法及技术规范的;
(六)未与系统操作管理人员签署保密协议的;
(七)未按照湖南信息学院要求保留相关日志,定期检查日志有效性,导致无法完整查询与安全事件相关日志的;
(八)未建立网站以及信息发布系统信息制作、发布流程的;
(九)不按照规定进行演练,导致出现可以通过演练发现的安全事故的;
(十)不按湖南信息学院相关要求落实网络与信息安全责任制或将网络与信息安全责任人落实到非本湖南信息学院人员的;
(十一)对不符合网络与信息安全规定的系统予以批准或者验收通过的。
第十条 责任主体有下列行为之一者,应当予以通报批评或一般处理:
(一)发生特别重大(一级)安全事件,未按要求上报的;
(二)发生重大(二级)或特别重大(一级)安全事件,且发生安全事件后处理不及时,给湖南信息学院财产或声誉带来一定影响的;
(三)发生特别重大(一级)安全事件后,对调查工作不配合的;
(四)未与相关厂商签订保密合同,导致安全事件发生后,无法进行对厂商进行处罚的;
(五)对于所负责的系统未制定网络和信息安全应急预案的;
(六)不按照应急预案规定时限到场处理的;
第十一条 责任主体有下列行为之一者,应当给出严肃处理:
(一)发生重大(二级)或特别重大(一级)安全事件造成严重后果并刻意隐瞒或谎报,造成恶劣影响的;
(二)无正当理由,未按规定落实相关网络与信息安全管理办法和技术规范,导致发生重大(二级)或特别重大(一级)安全事件,且发生安全事件后处理不及时,给湖南信息学院财产或声誉带来恶劣影响的;
(三)无论出于什么目的,对外泄露湖南信息学院网络信息、重要数据的;
(四)发生安全事件后销毁证据、弄虚作假的;
(五)从个人利益出发,不执行湖南信息学院网络和信息安全相关要求的。
第十二条 有下列情形之一者,酌情减轻对责任主体的责任追究:
(一)因不可抗力导致发生的网络与信息安全事故;
(二)有充分证据证明完全落实了相关安全要求,由未知原因导致网络与信息安全事故发生的;
(三)责任主体已经对可能产生的事故进行过预警,并积极采取相关应急措施的。
第三章 责任追究程序和实施
第十三条 责任追究过程采用层层负责制,下级责任追究主体对上级责任追究主体负责。
第十四条 责任追究程序包括调查、对调查报告审核、做出责任追究决定等。
第十五条 对网络与信息安全事故的调查和对事故责任的初步定性由网络安全与信息化建设领导小组办公室负责,并对调查报告进行审核。
第十六条 调查报告的审核重点:
(一)事故的事实是否清楚;
(二)证据是否确实、充分;
(三)性质认定是否准确;
(四)责任划分是否明确。
第十七条 由网络安全与信息化建设领导小组负责监督与处罚。
第十八条 对构成犯罪的移交司法机关处理。
第四章 附 则
第十九条 本制度由信息中心负责解释。
第二十条 本制度自发布之日起施行。