第一章 总则
第一条 为加强学校网络与信息安全工作,提高网络与信息安全防护能力和水平,保障学校各项事业健康有序发展,根据《中华人民共和国网络安全法》《中华人民共和国计算机信息系统安全保护条例》《国家网络安全事件应急预案》《教育部关于加强教育行业网络与信息安全工作的指导意见》等有关法律法规,结合学校实际,制定本办法。
第二条 学校所有的校园网络、信息系统以及互联网网站安全管理工作,适用本办法。
第三条 学校按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,建立健全网络与信息安全责任体系,各部门依照本办法要求履行网络与信息安全的义务和责任。
第二章 组织机构与职责
第四条 学校主要负责人是学校信息网络安全的第一责任人,分管信息化工作与安全稳定工作的校领导协助主要负责人履行学校网络与信息安全责任。
第五条 学校网络安全与信息化领导小组负责协调全校网络与信息安全保障体系建设。各部门党政负责人是本部门网络与信息安全工作第一责任人,负责按本办法落实网络与信息安全工作。具体使用人员是网络与信息安全工作的直接责任人。
第六条 学校办公室是学校网络与信息安全归口管理部门,负责统筹学校网络与信息安全工作,日常工作由信息化中心落实。具体职责包括:
(一)制定网络与信息安全总体规划,并组织实施;
(二)拟定网络与信息安全管理规章制度,制定网络与信息安全标准规范;
(三)组织开展网络与信息安全等级保护工作;
(四)网络与信息安全应急管理,协调处理政府网络与信息安全管理部门的关系;
(五)网络与信息安全监督检查工作;
(六)学校网络与信息安全管理的其他工作。
第七条 宣传统战部负责网络信息内容的安全监管,负责校园网络舆情信息的监控和管理,开展网上疏导和正面宣传,做好对外宣传工作。
第八条 学校办公室协调保卫处等相关部门对网络违规行为进行调查、取证、处理,根据相关证据、事态影响或破坏程度,对违规者按照有关规定进行处理。
第九条 网络与信息系统的主办部门承担安全监管责任,包括内容安全监管、技术安全保障和监督检查等职责。网络与信息系统的使用部门党政负责人和使用人对系统操作与信息内容的安全监管分别承担第一责任和直接责任。网络与信息系统通过外包服务方式进行维护的,主办部门负责督促外包服务单位做好安全运维工作。
第三章 校园网络安全管理
第十条 校园网络是指校园范围内连接各种信息系统及信息终端的计算机网络,包括校园有线网络、无线网络和各种虚拟专网。
第十一条 信息化中心负责校内所有互联网接入服务,根据相关规定履行审批程序开展工作,包括光纤接入、带宽申请、IP申请等。校园网络与互联网及其他公共信息网络进行逻辑隔离,实行统一出口、统一管理和统一防护。
第十二条 未经批准,各部门在校园内不得擅自通过其他渠道接入互联网及其他公共信息网络。
第十三条 信息化中心负责制定校园网络建设规划,统筹管理校园建筑物内、地下管井及空中路由的光缆布施,统筹落实机房、网络管理系统、网络防护系统等软硬件设施的运维工作。
第十四条 学校所有基建、修缮工程应当将工程范围内的网络建设内容按照校园网络规划的标准纳入工程设计、实施和竣工验收范畴。
第十五条 信息化中心统一部署校园网络安全策略,采取访问控制、安全审计、完整性检查、入侵防范、恶意代码防范等措施加强校园网络边界防护。
第十六条 校园网络接入实行实名管理制度。师生员工接入校园网络,实行“实名注册、认证上网”制度。学校非涉密信息系统接入校园网络,实行接入审批和备案登记制度。
第十七条 涉及国家秘密的信息系统不得接入校园网络。
第十八条 校园网络接入部门负责提供本部门所需的网络设备间和电源保障,协助解决网络布线和设备安装所需空间,负责设备设施安全和消防安全管理。
第十九条 任何部门和个人未经允许不得利用校园网络及设施开展经营性活动。
第四章 信息系统安全管理
第二十条 学校按照统一规划、分步建设、同步运行的原则,规划、建设、运行、管理信息系统安全设施,建立健全信息系统安全防护体系,全面实施信息系统安全等级保护制度。
第二十一条 信息化中心负责统筹学校信息系统安全等级保护工作,定期开展各部门信息系统等级评审、系统备案、等级测评与监督检查工作。
第二十二条 信息系统建设部门是信息系统安全等级保护的责任主体,具体负责系统定级、建设整改、安全自查,协助系统备案、等级测评并接受有关部门监督检查。
第二十三条 信息系统建设部门在信息系统建设的立项阶段应当确定安全保护等级,由信息化中心组织对建设方案进行安全论证和等级评审。对于安全等级第二级以上(含第二级)的信息系统,由学校统一办理系统备案。
第二十四条 学校鼓励建设部门优先采购安全可靠、技术成熟和服务优质的成品软件用于信息系统建设。没有相应成品软件或者成品软件不适应实际需求的,应当按照学校采购与招标工作的相关管理办法,委托资质和信誉良好的软件开发商进行开发。
第二十五条 信息系统建设部门在信息系统建设阶段应当按照已经确定的安全保护等级,同步落实安全保护措施。信息系统在正式上线前,由信息化中心对于系统的安全性进行等级测评,测评通过后方可投入试运行。
第二十六条 信息系统建设部门应当严格按照网络安全等级保护制度要求,履行下列安全保护义务:
(一)制定信息系统使用与维护的管理制度,规范信息系统使用者和维护者的操作行为;
(二)定期对于终端计算机和承担网络与信息系统运行的关键设备(服务器、安全设备、网络设备)进行安全审计,通过记录、检查系统和用户活动信息,及时发现系统漏洞,处置异常访问和操作;
(三)定期对重要数据和信息系统进行备份,定期测试备份与恢复计划,确保备份数据和备用资源的有效性。
第二十七条 信息系统通过互联网提供的服务应当向学校办公室提出申请,严格按照学校相关的网络安全管理制度执行。
第五章 信息网络安全应急管理
第三十五条 学校办公室负责学校信息系统安全应急工作的统筹管理,制定学校网络安全事件报告与处置流程,制订学校网络安全应急预案。
第三十六条 学校信息系统建设部门应当制订本部门的网络安全应急预案,组织开展网络安全应急预案的宣传、教育和培训,确保相关人员熟悉应急预案。
第三十七条 信息化中心定期组织网络安全应急演练,评估并适时组织各部门的网络安全应急预案的修订。各部门的网络安全应急预案出现修订等变化情况的,应当及时报信息化中心备案。
第三十八条 信息化中心负责组建学校网络安全应急技术支援队伍,完善24小时应急值守制度,提高网络安全事件的预防、预警和应对能力,预防和减轻网络安全事件造成的损失和危害。
第三十九条 各部门应当按照网络安全事件“早发现、早报告、早控制、早解决”的原则,做好事发紧急报告与处置、事中情况报告与处置、事后整改报告与处置工作。
第四十条 各部门和师生员工均有义务及时向学校办公室报告信息网络安全事件。任何部门和个人不得在未经批准或者授权情况下对外公布所发现的安全漏洞或安全问题,禁止利用所发现的安全漏洞或安全问题进行相关有目的的操作。
第六章 信息网络安全检查监督
第四十一条 各部门应当定期对于本部门信息系统、互联网网站的安全状况、安全保护制度与措施的落实情况进行自查,配合有关部门的信息网络安全检查、保密检查与审批等工作。
第四十二条 信息化中心对各部门的网络安全工作落实情况进行检查,对于发现的问题下达、整改通知书,限期整改。信息化中心定期对全校的信息系统、互联网网站进行漏洞扫描,发现存在漏洞时,关停互联网服务,通知建设管理部门及时进行整改。
第四十三条 有关部门在收到限期整改通知书后,应立即整改。整改不力的,学校给予通报批评;玩忽职守、失职渎职造成严重后果的,依纪依法追究相关人员的责任。
第四十四条 各部门应当及时、如实地报告和妥善处置网络安全事件。瞒报、缓报、漏报网络安全事件,或者对于网络安全事件处置和整改不力的,对于相关部门责任人进行约谈或通报。
第七章 附则
第四十五条 学校互联网网站安全管理按照《BETVLCTOR伟德国际官网平台互联网网站管理办法》执行。
第四十六条 本办法自公布之日起实施,由学校办公室信息化中心负责解释。