第一章 总则
第一条 为加强学校网络与信息安全管理,提高网络与信息安全防护能力和水平,保障学校各项事业健康有序发展,根据《中华人民共和国网络安全法》《计算机信息网络国际联网安全保护管理办法》《教育部关于加强教育行业网络与信息安全工作的指导意见》《教育行业信息系统安全等级保护定级工作指南》等法律法规,结合学校实际,制定本办法。
第二条 本办法所称网络与信息安全工作,是指由校内单位建设或管理,服务于学校教学、科研和管理的校园信息网络、数据中心、信息系统(含网络教学平台,虚拟实验平台和移动APP,下同)、互联网站及新媒体账号,为防止发生网络攻击、有害程序入侵、信息泄露、不良信息传播、信息化设备设施故障等发生而开展的预防和防御工作。
第三条 学校按照国家有关网络与信息安全政策法规,制定网络与信息技术安全规范,加强安全管理与技术研究,建立完善相关规章制度,并在实际工作中予以落实。
第四条 按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,校内各单位及全体师生员工要依照本办法及相关标准规范履行网络与信息安全的义务和责任。
第二章 管理体制与责任
第五条 学校成立网络安全与信息化领导小组,负责统一领导、统一谋划、统一部署全校网络与信息安全工作。
第六条 学校主要负责人是学校网络与信息安全的第一责任人,分管信息化工作与安全稳定工作的校领导协助主要负责人履行学校网络与信息安全责任。
学校各二级单位是本单位信息网络安全的责任主体,各二级单位主要负责人是本单位信息网络安全工作第一责任人,负责按本办法落实网络与信息安全工作。
第七条 信息化建设与管理处(以下简称信息化处)为我校网络与信息安全归口管理部门,负责依据本办法开展网络与信息安全相关的建设、运维和管理工作。
第八条 党委宣传部负责校园网络舆情信息的监控和管理,开展网上疏导和正面宣传。
第九条 保卫处负责对网络违规行为进行调查处理,根据相关证据及事态影响或破坏程度,对违规者按照有关规定进行处理。
第三章 校园信息网络安全管理
第十条 校园信息网络包括校园计算机有线和无线网络(WLAN)(以下简称校园网),用于校园卡、监控、财务等业务的专网(以下简称业务专网)。
第十一条 校园网由信息化处负责规划、建设、运维和管理。业务专网由信息化处负责统筹规划,相关业务主管部门按“安康学院网络安全与信息化建设项目管理办法”(校发【2019】71号)建设运维。
第十二条 电信运营商在校内进行通信网络的建设与维护,必须经信息化处审批。未经同意,任何运营商不得私自在校园内进行布线和安装设备。
第十三条 学校网络机房、网络设备、网址域名、安全防护等,由信息化处负责建设、运维和管理。
第十四条 校园网接入互联网遵循“统一出口、统一管理”的原则,由信息化处负责实施。未经批准,学校各单位不得在校园内擅自通过其它渠道接入互联网及其它公共信息网络。
第十五条 校内涉及到校园网及业务专网的基建、修缮工程,其设计和建设方案必须经信息化处审核,其竣工验收必须有信息化处参与。
第十六条 师生员工登录校园网,实行实名注册,认证上网,不得将账号借予或转让他人使用,任何单位和个人不得利用校园网及网络设施开展经营活动。
第四章 数据中心安全管理
第十七条 数据中心主是指位于学校核心网络机房,用于支撑各类信息系统运行的软硬件基础设施。信息化处负责数据中心的建设、运维和管理。
第十八条 信息化处负责数据中心的物理安全、网络安全和主机安全。数据中心的资源(物理或虚拟服务器)使用单位负责其使用服务器资源的操作系统、信息系统和数据的安全。
第十九条 全校各单位应依托校内数据中心实施本单位信息化建设。未经信息化处审批,不得利用位于校外的计算和存储资源部署或使用涉及学校基础数据、师生个人信息等敏感数据的信息系统。
第二十条 学校数据中心的使用实行准入管理,用户拟上线系统须通过具备相关资质的第三方检测机构检进行安全检测与漏洞扫描,符合安全技术规范标准并检测通过的系统经信息化处同意后方可准许上线运行。
第五章 信息系统安全管理
第二十一条 学校各信息系统,由信息化处按照国家信息安全等级保护制度确定安全保护等级,并按照相关规定实施等级保护测评工作。
第二十二条 各二级单位主管的信息系统,应统一向信息化处备案,并配合信息化处完成信息系统等级保护备案和定级工作。信息系统的备案信息发生变动时,管理员应主动报告并修订备案信息。
第二十三条 各二级单位为其主管信息系统的责任部门,应指定专人负责系统的建设、运维和管理。
第二十四条 校内信息系统实行年审制。信息化处负责每年定期对信息系统备案情况进行核查。各系统管理员负责对本系统备案信息进行确认和更改。在年审过程中,超过规定期限没有进行备案信息确认的信息系统,将视为“僵尸系统”,进行关闭处理。
第二十五条 各单位要保留不少于6个月的系统维护日志。各单位管理员和个人要做好应用系统账号和密码安全管理。
第二十六条 校内各二级单位主管的信息系统产生、保存和利用的相关数据(简称信息系统数据)是学校的无形资产和战略资源,纳入学校统一管理。
第二十七条 信息化处负责全校信息系统数据管理的总体规划、交换共享、技术平台支撑和安全保障工作,要不断提升数据管理的规范性,数据融合的有效性,数据安全的可靠性。各信息系统主管单位,应加强数据安全意识,采取有效措施,避免系统数据遭到篡改、破坏和泄露。
第六章 互联网网站及新媒体安全管理
第二十八条 学校及各二级单位开办的互联网网站必须依托学校统一站群系统搭建。党委宣传部是站群系统的责任部门,应指定专人负责系统的建设、运维和管理。站群中各子网站的内容安全由其主办单位负责。信息化处负责为网站提供运行环境的支撑和技术保障。
第二十九条 各网站的主办单位须建立网站内容发布审核及应急处理制度,规范信息发布和应急处理流程,由专人对网站进行管理。
第三十条 各二级单位如需在校外开通新媒体账号,必须经党委宣传部审批和备案。新媒体账号实行年审制。每年定期由党委宣传部对备案情况进行核查。新媒体账号的内容安全由其主办单位负责。
第三十一条 校园网所有用户必须遵守国家有关法律法规和学校的有关管理规定,严格执行信息安全保密制度,对所提供和发布的信息承担相应责任。
第三十二条 在校园网络上严禁制作、查阅、复制或传播下列信息:
(一) 煽动抗拒、破坏宪法和国家法律、行政法规实施;
(二) 煽动颠覆国家政权、推翻社会主义制度的;
(三) 煽动分裂国家,破坏国家统一的;
(四) 煽动民族仇恨、民族歧视,破坏民族团结的;
(五) 捏造或者歪曲事实、散布谣言、扰乱社会秩序的;
(六) 宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪的;
(七)公然侮辱他人或者捏造事实诽谤他人的;
(八)损害国家机关信誉的;
(九)其他违反宪法和法律、行政法规的。
第三十三条 校园网用户必须自觉配合国家和学校有关部门依法进行的监督、检查。用户发现违法有害信息,有义务向学校有关部门报告。
第七章 安全检查与应急处置
第三十四条 信息化处定期对学校各单位的网络与信息安全工作进行检查,对于发现的问题下达限期整改通知书,责成相关单位制定整改方案并落实到位。
第三十五条 信息化处负责学校网络与信息安全应急工作的统筹管理,制定网络与信息安全事件报告与处置流程,制定学校网络与信息安全应急预案,组织开展应急预案的宣传、教育和培训并定期开展应急演练。各二级单位按照安全事件早发现、早报告、早控制、早解决的原则,依据学校网络与信息安全事件报告与处置流程,做好应急事件处置工作。
第八章 保障措施
第三十六条 学校保障网络与信息安全及信息化发展所需的人员编制和经费投入,建设高水平网络与信息安全技术支撑队伍。
第三十七条 信息化处负责网络与信息安全教育培训的规划制定及组织实施,不断提高师生员工的网络与信息安全防范意识,培养良好的网络素养和规范、文明的用网行为。
第三十八条 学校建立并完善网络与信息安全工作检查考核、责任追究和倒查机制,将网络与信息安全工作列为各二级单位领导班子和领导干部目标管理、业绩评定、年度考核、奖励惩处和干部选拔任用的重要内容和依据。
第九章 责任追究
第三十九条 有关单位在收到网络与信息安全限期整改通知书后,整改不力的,学校给予通报批评;玩忽职守、失职、渎职造成严重后果的,依纪依法追究相关人员的责任。
第四十条 师生员工违反网络与信息安全相关管理规定,造成不良后果的,依据情节严重程度,分别由所在二级学院(部门)、人事管理部门或学生管理部门按相关规定给予批评教育或纪律处分;触犯法律的,移送相关国家机关依法追究法律责任。
第十章 附则
第四十一条 紧急情况下,经学校网络与信息安全工作领导小组批准,信息化处可以采取特别技术措施以维护学校网络与信息安全。
第四十二条 本办法由信息化建设与管理处负责解释,自发布之日起执行,原《安康学院校园计算机网络安全管理规定》(校发【2009】118号)同时废止。
