第一条 为加强学校网络和信息安全管理,根据《中华人民共和国网络安全法》,结合学校实际,制定本办法。
第二条 在学校范围内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本办法。
第三条 学校坚持网络安全与信息化发展并重,推进网络信息内容建设管理、推进网络基础设施建设和互联互通,鼓励网络技术创新和应用,建立健全网络安全保障体系,提高网络安全保护能力。
第四条 学校成立网络与信息安全工作领导小组。领导小组对学校网络与信息安全工作实行全面的领导、监督和检查。
主要职责:
1.贯彻落实中央、省关于网络与信息安全的工作部署,组织研究制定学校网络与信息安全发展规划与规章制度;
2.统筹协调学校网络与信息安全重大问题,组织实施学校网络与信息安全工作;
3.协调校内外网络与信息安全相关的各项事务;
4.对学校网络与信息安全工作进行指导、监督、考核和检查。
领导小组组长由学校党委书记担任,副组长由学校党委副书记、校长及分管宣传和意识形态、信息化工作的校领导担任。领导小组成员包括党委办公室、党委宣传部、学生工作部、保卫处、研究生工作部、团委、信息中心的主要负责人。领导小组下设办公室,办公室设在党委宣传部,党委宣传部部长担任办公室主任,信息中心主任担任副主任。
第五条 党委宣传部是学校网络与信息安全工作的职能部门,负责协调学校网络与信息安全工作,负责网络内容与意识形态工作。主要职责:
1.组织对学校网络发布的信息、意识形态、网络舆情等网络内容进行监管和处置;
2.负责学校主网站相关栏目(含新闻网)的新闻、图片、资源的上传及审核工作;
3.协同信息中心、保卫处、学生工作部、研究生工作部、团委等部门对师生进行网络安全教育和相关法制教育。
第六条 信息中心负责校园网的建设维护、技术与数据安全管理工作。主要职责:
1.负责学校网络与信息安全基础设施、公共平台的建设管理与运行维护;
2.负责落实安全保护技术措施,做好用户信息的管理,保障校园网的运行安全、信息安全、系统安全和数据安全;
3.负责对各部门、单位(以下统称单位)网络与信息安全技术工作进行指导、培训、督促、检查、考核、技术支持与服务。
4.其他网络运行安全、网络信息安全、网络系统安全的有关职责。
第七条 党委办公室、行政办公室负责学校网络保密管理工作,指导各单位做好网络涉密工作。
第八条 保卫处负责协助相关部门做好网络安全稳定工作,协助政府有关部门查处利用校园网络进行的违纪违法行为。
第九条 各单位党政主要负责人为本单位网络与信息安全第一责任人,各单位应明确一名负责人分管网络与信息安全工作。负责本单位各类网站、网站栏目、新媒体的信息系统安全和意识形态、网络舆情监管处置;有效监管处置本单位工作职责范围内的网络意识形态和网络舆情。负责审核和管理本单位上传的各类网络信息。指定一名网络安全管理员负责本单位网络与信息安全的具体工作,做好与党委宣传部、信息中心的联络工作。
第十条 学校实行网络安全等级保护制度。校园内各网络服务提供者和管理者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
1.制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
2.采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
3.采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
4.采取数据分类、数据备份和加密等措施;
5.法律、行政法规规定的其他义务。
第十一条 校园网上网采用实名制。用户在办理网络接入、域名注册等手续时,应当按要求提供真实身份信息。对于不提供真实身份信息的用户,不得为其提供相关服务。信息中心定期对上网账号信息进行审核。
第十二条 校外人员如因工作需要接入学校网络,由相应单位向信息中心提出网络接入申请,并对其承担监督责任。
第十三条 计算机设备及系统在接入学校网络前须接受信息中心的检查,检查通过后方可接入。
第十四条 接入互联网的计算机必须与各单位的涉密计算机系统实行物理隔离。涉密信息不得在上网设备上操作或存储。
第十五条 所有接入网络的用户必须自觉遵守国家的法律法规,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。
第十六条 信息中心负责学校关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作,应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。
第十七条 信息中心应当定期对关键信息基础设施运营的工作人员进行网络安全教育、技术培训和技能考核,对重要系统和数据库进行容灾备份。
第十八条 对于学校关键信息基础设施,信息中心应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关部门。
第十九条 各网络服务提供者和管理者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度;收集、使用用户个人信息时,应当遵循合法、正当、必要、公开的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
第二十条 各网络服务提供者和管理者不得泄露、篡改、毁损其收集的个人信息;应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。未经被收集者同意,不得向他人提供个人信息。
第二十一条 学校各单位网站原则上要求建在校园网服务器上。有特殊原因需要使用独立服务器的须报信息中心审批、备案,要求取得原始代码,掌握最高管理权限,并实行有效监控。以学校或学校内设机构的名义在校外创建的网站和新媒体平台,须报党委宣传部和信息中心审批、备案,并接受常态检查和年审。
第二十二条 学校各单位网站原则上使用学校统一的域名。未经审批,任何单位不得在校园网上申请校外域名用于对外提供域名解析服务。已获批准的,需到工信部门进行备案。
第二十三条 各网站主办单位应加强对网站的建设与管理,并对该网站的形式、内容、运行安全、信息安全负责。
第二十四条 网络与信息安全工作分管领导、网络安全管理员因各种原因不能继续行使职责的,各单位要及时调整,做好交接工作,并报党委宣传部、信息中心备案。
第二十五条 各单位网站未经党委宣传部批准不得开设聊天室、论坛等栏目;需要开设留言板功能模块的必须设置审核功能。
第二十六条 各单位负责本单位信息系统的运行维护、信息审核、信息安全管理。
第二十七条 信息系统原则上应使用学校二级域名和IP地址。未经学校批准,任何单位和个人不得以学校名义注册互联网域名及校外服务器发布信息系统。
第二十八条 信息中心不定期对各单位信息系统进行监督检查,不符合网络与信息安全要求的,视其情况限期整改或终止网络接入。
第二十九条 学校根据教育部颁发的《教育信息系统安全等级保护定级指南》等文件要求,对学校所有信息系统进行等级评定和安全保护。信息中心负责信息系统安全等级保护工作的技术指导,各单位负责做好本单位信息系统安全等级保护工作。
第三十条 各单位信息系统须严格执行国家安全和保密法规,杜绝发布涉密信息。涉密信息系统,应严格执行有关涉密计算机及信息系统保密管理规定。
第三十一条 各单位信息系统的管理账号和密码要严格保密,发现任何非法使用或存在其他风险,应立即上报信息中心,及时处理解决。
第三十二条 各单位信息系统涉及的程序编码应符合安全规范,并按照网络与信息安全要求部署安全防范措施。发现漏洞、病毒、木马程序的,应及时处理解决并报告信息中心。
第三十三条 各单位信息系统须建立数据备份制度,定期对数据进行备份,遭遇突发情况应及时恢复服务。
第三十四条 各单位信息系统须建立信息安全突发事件应急预案,并建立有效的监控和防范机制。
第三十五条 学校建立网络安全监测预警和信息通报制度。党委宣传部、信息中心统筹协调有关单位加强网络安全信息收集、分析和通报工作,按照规定统一发布网络与信息安全监测预警信息。
第三十六条 党委宣传部和信息中心、保卫处等单位统筹协调有关单位建立健全网络安全风险评估和应急工作机制。
第三十七条 网络安全事件应急预案应当按照事件发生后的危害程度、影响范围等因素对网络安全事件进行分级,并规定相应的应急处置措施。
第三十八条 当网络安全事件发生的风险增大时,应当按照规定的权限和程序,并根据网络安全风险的特点和可能造成的危害,采取下列措施:
1.要求有关单位和人员及时收集、报告有关信息,加强对网络安全风险的监测;
2. 组织有关单位和专业人员,对网络安全风险信息进行分析评估,预测事件发生的可能性、影响范围和危害程度;
3.报告和发布网络安全风险预警,发布避免、减轻危害的措施。
第三十九条 发生网络安全事件,涉事单位应立即向党政办、党委宣传部、信息中心、保卫处报告,并根据学校统一安排启动网络与信息安全事件应急预案,采取相应的技术措施和方法,消除安全隐患,防止危害扩大。
第四十条 学校有关单位在履行网络安全监督管理职责时,发现网络存在较大安全风险或者发生安全事件的,可以按照规定的权限和程序对相关部门提出要求,相关单位应当采取措施进行整改和消除隐患。
第四十一条 因违规违法或管理不力导致的网络与信息安全事件,给学校造成严重损害或产生严重后果的,学校将按照有关规定追究直接责任人和相关领导责任。
第四十二条 本办法由党委宣传部负责解释。
