學校網(wǎng)絡與信息安全管理辦法

學校網(wǎng)絡與信息安全管理辦法第一章總則第一條為進一步提高我校的網(wǎng)絡與信息安全防護能力和水平，保障網(wǎng)絡與信息安全工作順利進行，根據(jù)《教育部關于進一步加強直屬高校直屬機構信息技術安全工作的通知》等相關文件精神，結合我校實際，制定本辦法。第二條學校網(wǎng)絡與信息安全包括校園網(wǎng)絡與信息系統(tǒng)（含網(wǎng)站）的運行安全和信息內容的安全。第三條學校按照國家有關網(wǎng)絡安全和信息化建設的法律、法規(guī)、規(guī)章，制定網(wǎng)絡與信息安全總體規(guī)劃，加強安全管理與技術研究，建立健全相關規(guī)章制度，并在實際工作中予以落實。第二章管理體制和職責第四條網(wǎng)絡安全與信息化建設工作領導小組是學校網(wǎng)絡信息安全工作的領導決策機構，負責學校網(wǎng)絡安全工作的戰(zhàn)略決策、實施監(jiān)督及重大網(wǎng)絡安全事件處理的決策指導。CIO是學校網(wǎng)絡與信息安全的第一責任人。第五條網(wǎng)絡安全與信息化辦公室負責協(xié)調全校網(wǎng)絡與信息安全保障體系建設，統(tǒng)籌推進網(wǎng)絡安全和信息化法治、標準建設；負責處理相關違法違規(guī)網(wǎng)站平臺，清理網(wǎng)上違法有害信息。第六條各二級組織機構是本單位信息資產(chǎn)（信息及信息系統(tǒng)）網(wǎng)絡安全工作的責任主體，各二級組織機構的主要負責人為本單位信息資產(chǎn)網(wǎng)絡安全工作第一責任人，負責按本辦法落實網(wǎng)絡安全工作。第七條網(wǎng)絡與教育技術中心負責學校網(wǎng)絡與信息系統(tǒng)的日常管理和維護，保障網(wǎng)絡與信息系統(tǒng)的正常運行；保存網(wǎng)絡運行日志，配合學校和執(zhí)法機關進行調查取證；負責入網(wǎng)機構和個人辦理入網(wǎng)登記手續(xù)，簽署相應的安全責任書。第八條黨委宣傳部負責網(wǎng)絡宣傳陣地建設。負責校內網(wǎng)絡平臺信息發(fā)布內容的監(jiān)管，校園二級組織機構新媒體平臺備案監(jiān)管，開展網(wǎng)絡輿情監(jiān)測和輿論引導工作。網(wǎng)信辦配合宣傳部開展輿情數(shù)據(jù)分析，并提供技術支持。第九條堅持“誰主管誰負責，誰主辦誰負責，誰使用誰負責”原則。網(wǎng)絡與信息系統(tǒng)的主辦機構（信息系統(tǒng)的建設部門和資產(chǎn)歸屬部門）承擔網(wǎng)絡與信息安全主體責任；網(wǎng)絡與信息系統(tǒng)的管理使用機構和個人對系統(tǒng)業(yè)務承擔直接責任；網(wǎng)絡與信息系統(tǒng)通過外包服務方式進行維護的，業(yè)務主管機構承擔直接責任。第三章網(wǎng)絡安全管理秩序第十條校園網(wǎng)絡和信息系統(tǒng)接入互聯(lián)網(wǎng)必須采取防火墻、中央認證、安全審計、病毒防護及入侵檢測等安全技術手段。校內互聯(lián)網(wǎng)接入由信息系統(tǒng)的建設單位提出申請，由網(wǎng)絡安全與信息化辦公室統(tǒng)一核準準入，網(wǎng)絡與教育技術中心實施準入。第十一條各主辦機構按信息系統(tǒng)名稱的拼音或英文縮寫簡寫設置域名并提出申請，經(jīng)網(wǎng)絡安全與信息化辦公室審核后使用。任何機構和個人均須落實實名登記網(wǎng)絡帳號信息，并對網(wǎng)絡帳號安全使用負責。第十二條為保障內網(wǎng)重要信息系統(tǒng)的安全，任何機構和個人不得私自與校外機構聯(lián)網(wǎng)。第十三條根據(jù)國家有關法律法規(guī)及相關要求，校園網(wǎng)絡實行信息系統(tǒng)報批備案制。需要在校園網(wǎng)上開辦信息系統(tǒng)的機構，應到網(wǎng)絡安全與信息化辦公室辦理登記注冊手續(xù)。第十四條各二級組織機構原則上應依托校園網(wǎng)開展信息系統(tǒng)建設。涉及學?；A數(shù)據(jù)、師生員工個人信息或敏感信息的信息系統(tǒng)，不得部署在校外。如有特殊原因需要在校外開辦信息系統(tǒng)的機構，應到網(wǎng)絡安全與信息化辦公室辦理備案手續(xù)。部署在校外的網(wǎng)絡和信息系統(tǒng)，安全監(jiān)管責任主體仍為主辦機構。第十五條經(jīng)審核建立的公眾信息服務系統(tǒng)應明確專門的管理員和制訂相應管理制度，包括安全保護技術措施、信息發(fā)布審核登記制度、信息監(jiān)視保存清除備份制度、不良信息報告和協(xié)助查處制度、管理人員崗位責任制。第十六條各二級組織機構應建立健全信息發(fā)布、信息審查、應急處置機制，指定人員負責審查上網(wǎng)信息和信息系統(tǒng)保密管理，負責涉及學校或本機構輿情的處置引導，以及監(jiān)管本機構師生開設的博客、微博、微信等自媒體平臺。第十七條各二級組織機構和個人應認真落實《計算機信息網(wǎng)絡國際互聯(lián)網(wǎng)安全保護管理辦法》、《網(wǎng)絡安全管理制度》及《信息審核管理制度》等文件精神，嚴禁在校園網(wǎng)絡上制作、查閱、復制或傳播國家法律法規(guī)禁止的內容。第十八條在校園網(wǎng)絡上嚴禁下列行為：（一）破壞、盜用、篡改計算機網(wǎng)絡中的信息資源；（二）故意大量發(fā)送垃圾電子郵件、垃圾短信等，干擾正常網(wǎng)絡秩序；（三）盜用他人帳號、盜用他人IP地址；（四）私自轉借、轉讓用戶帳號造成危害；（五）私自開設二級代理和路由接納網(wǎng)絡用戶；（六）上網(wǎng)信息審查不嚴，造成嚴重后果；（七）以端口掃描和私搭DHCP服務器等方式，破壞網(wǎng)絡正常運行；（八）私自將外網(wǎng)串接到校園網(wǎng)絡。（九）其它違反法律法規(guī)或危害網(wǎng)絡與信息安全的行為。第四章網(wǎng)絡安全防護第十九條各二級組織機構作為安全等級保護的責任主體，網(wǎng)站統(tǒng)一遷入本校的網(wǎng)站群平臺，并按照國家信息安全等級保護的管理規(guī)范、技術標準確定信息系統(tǒng)的安全保護等級。網(wǎng)絡安全與信息化辦公室按國家相關法律和法規(guī)要求，監(jiān)督二級及以上信息系統(tǒng)進行等級測評，若信息系統(tǒng)安全狀況未達到安全保護等級要求的，信息系統(tǒng)的主辦機構應根據(jù)符合資質的安全等保測評機構制定的整改方案進行整改并落實到位。第二十條各二級組織機構對于新建、改建、擴建的信息系統(tǒng)，應當在規(guī)劃、設計階段同步建設網(wǎng)絡信息安全保障措施，并報網(wǎng)絡安全與信息化辦公室審查監(jiān)督。第二十一條各二級組織機構對于主辦的信息系統(tǒng)，應當采取必要的安全措施，嚴防入侵、篡改、泄露等事件發(fā)生。信息系統(tǒng)的主辦方和運維方要各司其職，各負其責。第二十二條各二級組織機構應積極配合網(wǎng)絡安全與信息化辦公室開展相關的工作，若被通知存在安全漏洞和隱患的應積極配合整改。對于一時難以修復或整改落實的，應當立即采取措施進行隔離，直至修復完成。第二十三條各二級組織機構應建立本機構信息安全值守制度，做到安全事件早發(fā)現(xiàn)、早報告、早控制、早解決。第二十四條各二級組織機構對于主辦的信息系統(tǒng)，每學期至少進行1次全面性的網(wǎng)絡安全檢查。第二十五條建立網(wǎng)絡安全監(jiān)測預警和信息通報制度。網(wǎng)絡安全與信息化辦公室負責信息收集、分析和通報工作，按照規(guī)定向全校統(tǒng)一發(fā)布網(wǎng)絡安全監(jiān)測預警信息。各二級組織機構機構應做好網(wǎng)絡與信息安全事件的風險評估和隱患排查工作，及時采取有效措施，避免和減少網(wǎng)絡與信息安全事件的發(fā)生及其危害。第二十六條建立健全學校網(wǎng)絡與信息安全類突發(fā)公共事件應急工作機制，提高應對網(wǎng)絡與信息安全類突發(fā)公共事件的能力，預防和減少由此造成的損失和危害，維護學校的安全和穩(wěn)定。第五章責任追究第二十七條依據(jù)《GB\Z20985-2007信息安全技術信息網(wǎng)絡攻擊事件管理指南》、《GB\Z20986-2007信息安全技術信息網(wǎng)絡攻擊事件分類分級指南》等法律和法規(guī)文件規(guī)定，學校信息安全事件劃分為四個級別：特別重大事件（I級）、重大事件（Ⅱ級）、較大事件（Ⅲ級）和一般事件（Ⅳ級）。各二級組織機構和個人應當認真履行網(wǎng)絡安全職責。凡違反網(wǎng)絡用戶行為規(guī)范的行為，由網(wǎng)絡安全與信息化辦公室根據(jù)事件的涉及范圍、嚴重程度與校內有關部門進行調查，并根據(jù)國家和學校相關規(guī)定上報學校作出處理決定。第二十八條各二級組織機構在收到網(wǎng)絡安全限期整改通知書后，整改不力的，學校應給予通報批評；玩忽職守、失職瀆職造成嚴重后果的，依紀依法追究相關人員的責任。第二十九條各二級組織機構應按照網(wǎng)絡安全事件報告與處置流程及時、如實地報告和妥善處置網(wǎng)絡安全事件。如有瞞報、緩報、處置和整改