第一章 总则
第一条 为依法规范学校网络和信息技术安全工作,提升学校网络和信息技术安全防护能力和水平,促进学校网络和信息化建设健康有序发展,保护师生个人信息,明确学校、用户(教职工、学生及其他人员)在学校网络和信息服务过程中的权责与义务,根据《中华人民共和国网络安全法》《教育部关于加强教育行业网络与信息安全工作的指导意见》等相关法律法规和文件要求,结合学校实际,制定本办法。
第二条 本办法所称网络和信息系统安全工作,是指为保障学校建设、运行、维护的IT设施(含:校园网、信息化基础设施、网站、信息系统及业务数据信息)的机密性、完整性、可用性所开展的相关管理和技术工作。
第三条 按照“谁使用谁负责,谁主管谁负责,谁运维谁负责”的原则明确和落实学校各二级单位网络安全责任;按照“同步规划、同步建设、同步运行”的原则全面实施网络安全等级保护制度。
第四条 学校各单位和全体师生应严格遵守国家相关法律法规,并按照本办法要求及学校相关标准规范履行网络和信息系统安全的义务和责任。
第二章 管理机构与职责
第五条 学校网络安全与信息化领导小组负责统一领导、统一谋划、统一部署全校网络安全和信息化发展,统筹制定网络安全和信息化发展战略、长期规划和重大政策,研究解决网络安全和信息化重要问题;指导、监督、检查网络安全各项重点任务落实,统筹管理、推进学校网络安全和信息化工作。
第六条 相关单位职责
(一)信息网络中心作为网络和信息系统安全技术支撑单位,负责学校网络和信息系统安全技术防护体系的建设、运行维护、技术指导和服务支持。负责收集和分析网络安全信息,分析、研判网络安全态势,服务网络安全决策。负责向上一级网络安全和信息化办公室和所在地区网络安全职能部门报告网络安全信息。
(二)党委宣传部负责网络意识形态阵地的舆情监管,负责对校园网络信息内容的编排、维护、语言使用规范等进行指导和监督。
(三)学校办公室负责与上级部门的沟通协调、网络和信息系统安全管理政策发文、学校重大突发网络和信息系统安全事件的统筹协调等工作。负责对学校网络和信息系统安全保密工作落实情况进行监督、指导和检查。
(四)保卫处负责协助重大网络和信息系统安全事件的调查处理,负责网络和信息系统安全相关的安全保卫工作。
第七条 各二级单位是本单位网络和信息系统安全责任主体,负责本单位(含本单位的组织及个人)网络和信息系统安全工作,各二级单位党组织对本单位网络和信息系统安全工作负主体责任,党组织负责人是第一安全责任人,行政负责人按照“党政同责”原则负重要责任。第一安全责任人具体职责包括:
(一)落实本单位网络安全等级保护相关工作。
(二)负责本单位网站和信息系统的日常监管与安全管理,及时处理安全隐患。
(三)落实本单位网络和信息系统安全管理员,负责本单位网络和信息系统安全具体工作。
第三章 校园网基础环境安全管理
第八条 校园网基础环境包括校园有线网络和无线网络。所涉的光缆、网络机房、网络设备、基本网络服务、网络安全防护、认证系统等,由信息网络中心负责建设和运行维护管理。
第九条 校园网接入互联网遵循“统一出口、统一管理”的规定,由信息网络中心负责实施。学校各单位在校园内不得擅自通过社会网络资源接入互联网。
第十条 学校实行实名注册、认证上网的网络接入制度。网络接入实名制由信息网络中心负责实施。
第十一条 严禁任何单位和个人利用校园网及其网络设施开展经营活动。
第十二条 信息网络中心按照网络安全等级保护相关要求将校园计算机网络划分网络安全域,并采取必要的安全隔离措施,按照规定留存相关网络日志不少于6个月。信息网络中心负责监测和检查校园网安全运行状况,紧急情况下,可采取“先断网、后处理”的应对措施。
第四章 数据信息安全管理
第十三条 信息网络中心负责学校基础数据库和统一数据交换平台的建设和安全管理,负责各单位业务数据库与基础数据库之间完成数据交换和共享。各单位负责建设、维护本单位业务应用系统所配套的业务数据库;对本单位业务数据库的系统安全、数据安全及所申请的共享数据的安全负责。
第十四条 各单位对产生和使用的数据安全负责,不得收集与业务无关的个人信息,应当按照网络安全等级保护要求落实安全管理和技术措施,规范数据的收集、存储、传输和使用,确保数据安全。未经审批,不得对外发布和提供数据信息。
第十五条 各单位应严格管理业务数据的增加、修改、删除等变更操作,按照数据的重要程度,对数据进行分类管理,适时进行业务数据有效性检查,做好数据备份工作。
第五章 信息系统安全
第十六条 信息网络中心负责校内信息化基础设施(包括软硬件基础设施、学校云平台、学校基础数据库)的物理安全、网络安全和主机安全。信息化基础设施资源的使用单位负责所使用的操作系统、业务数据库系统、应用系统和数据的安全。
第十七条 统一身份认证系统为校内信息系统提供统一的身份管理、安全的认证机制、审计及标准接口。校内各单位建设面向师生服务的应用系统时,应与统一身份认证系统进行认证集成并备案系统信息。信息网络中心负责统一身份认证系统的安全,各单位负责本单位应用系统的权限管理及安全。
第十八条 校内各信息系统应按照国家要求开展信息系统等级保护工作。
第六章 网站建设管理
第十九条 各单位以信息发布为主的网站,应主要利用学校网站群平台进行建设。
第二十条 学校网站群平台由信息网络中心统一建设,其技术安全由信息网络中心负责;运行在网站群平台上的网站的内容安全由各二级单位负责。
第二十一条 因特殊原因未纳入学校网站群平台的网站,各二级单位对其技术和内容安全负责。
第二十二条 各网站的主管单位应建立网站应急值守制度,规范应急处置流程,由专人对网站进行监测,发现网站运行异常及时处置。
第七章 校园网用户与终端安全管理
第二十三条 校园网用户必须本人实名认证上网,必须严格遵守国家相关法律法规,上网行为不得危害到学校网络信息安全,并对上网产生的一切行为负责。
第二十四条 校园网用户应做好计算机等使用终端的安全防护工作,应设置系统登录账号和复杂度高的密码,安装正版操作系统、办公软件和防病毒软件,及时更新系统补丁,修补漏洞。
第八章 监测与处置
第二十五条 各单位应加强对所属网站和信息系统的日常监管,做到安全事件早发现、早报告、早控制、早解决。对发现的网络安全问题及时整改并报告信息网络中心。
第二十六条 信息网络中心负责对学校网站和信息系统安全情况进行监测与检查,对于检查不合格的网站和信息系统,视其安全问题级别进行关停、限制校内访问等处理。
第二十七条 信息网络中心负责制定网络和信息安全事件应急预案,对各单位网络和信息技术安全工作落实情况进行检查,对发现的问题下达限期整改通知书,对网络和信息技术安全事件进行调查处理。联合相关单位定期组织网络和信息安全突发事件应急演练。学校各单位应做好网络和信息安全应急响应工作。
第二十八条 各单位应按照我校网络和信息安全事件报告与处置流程,做好事发紧急报告与处置、事中情况报告与处置和事后整改报告与处置工作。
第九章 责任追究
第二十九条 对于违反本办法,造成网络和信息安全事件的单位及个人,给予通报批评;情节严重的,追究其主管领导、相关部门第一安全负责人及直接责任人的责任;构成犯罪的,依法追究刑事责任。网络信息失泄密事件按照国家和学校相关法律法规和规章制度处理。
第十章 附则
第三十条 本办法由信息网络中心负责解释,自发布之日起生效。