第一章 总 则
第一条 为建立健全学校网络信息安全管理体系,落实校园网络信息安全工作责任制,提升校园网络信息安全整体水平,进一步保障校园网络信息正常运行,根据《中华人民共和国网络安全法》及《信息安全技术 网络安全等级保护基本要求》(GB/T22239-2019)等相关法规和技术标准,结合学校实际,特制定本办法。
第二条 本办法所称网络信息安全是指校园网基础设施、网站及信息系统、数字资源系统等所涉及的硬件、软件和信息的安全。涉密网络和涉密信息的安全管理不在本办法范畴内,由学校相关单位根据相关规定进行管理。
第三条 学校网络信息安全管理以“谁主管谁负责,谁运营谁负责,谁使用谁负责”为原则,严格落实网络信息安全分级责任制,不断提高网络信息安全保护能力,全力保障学校网络信息安全。
第二章 组织机构与职责分工
第四条 学校网络安全和信息化建设领导小组(以下简称领导小组)负责领导学校网络信息安全工作,主要职责如下:
(一)负责制定并落实学校网络信息安全建设的总体规划。
(二)负责落实上级的各项网络信息安全规章制度,细化并落实各项规章制度。
(三)负责学校网络信息安全管理人员的授权工作。
(四)负责学校网络信息安全事件查处与汇报工作。
第五条 学校网络安全和信息化建设领导小组办公室(以下简称领导小组办公室)负责学校网络信息安全的具体管理工作,主要职责如下:
(一)负责制定和实施网络信息安全各项管理制度。
(二)负责制定和实施网络信息安全技术方案。
(三)负责网络信息安全运行情况检查工作。
(四)负责网络信息信息安全制度落实情况检查、责任追究和奖励工作。
(五)负责组织网络信息安全教育培训。
(六)负责网络信息安全档案的建立与管理。
第六条 信息资源部负责学校网络信息安全的日常管理、技术防护、安全事件处置等,主要职责如下:
(一)负责拟订网络信息安全的相关规章制度。
(二)负责学校网络、主机设备、系统平台、业务应用等网络信息安全相关的日常管理维护工作。
(三)负责为校内其他单位提供网络信息安全相关技术支持和协助。
(四)负责参与网络信息安全事件的调查。
(五)负责网络信息安全相关的其他事项。
第七条 各单位负责本单位的网络信息安全工作。主要职责如下:
(一)负责本单位所属信息系统和自建网络系统的安全,包括设备设施安全、系统运行安全和内容数据安全。
(二)建立健全本单位网络信息安全管理制度,并切实加以落实。
(三)监控本单位所属信息系统和自建网络系统的运行状态,及时发现和消除安全隐患。如果发现危及全校网络信息安全的情形或者有害信息后,必须及时向领导小组办公室报告。
(四)组织开展对本单位师生员工的网络信息安全教育。
第八条 各单位负责人是本单位的网络信息安全第一责任人,对本单位的网络信息安全负领导责任。
第九条 各单位必须指定网络信息安全管理员,承担本单位网络信息安全的具体工作。各单位应当及时向领导小组办公室报备网络信息安全管理员相关信息。
第十条 各单位网络信息安全管理员一般应具有相关专业知识背景,在正式上岗前,应当参加网络信息安全培训,掌握网络信息安全相关技术,了解学校网络信息安全体系,理解网络信息安全制度,熟悉本单位网络信息安全措施。
第三章 网络安全
第十一条 网络安全是指在校内提供网络接入和网络访问等网络服务的安全。该网络服务包括校级校园网接入服务、各学院或部门(单位)自主管理的机房上机上网服务、各办公室、实验室或教室、宿舍区等组建的供内部使用的网络子网等。
第十二条 网络接入和网络访问提供单位在开展服务活动时,应遵守国家法律法规和学校相关规定,履行网络安全保护义务,接受学校监督。
第十三条 学校网络出口由信息资源部统一提供和管理。未经许可,不得通过其他渠道接入公网或提供互联网接入服务。
第十四条 提供校内网络接入和网络访问等网络服务的应进行登记备案。
第十五条 由学校各单位管理的上机机房、电子阅览室等不得私自对校外开放,如因工作需要开放的,必须登记用户实名信息。
第十六条 各类网络服务应如实做好日志记录工作,日志至少保留6个月。
第十七条 网络服务提供单位应采取必要的技术措施,保障网络安全稳定运行,消除网络安全隐患,有效应对网络安全事件,切实维护网络数据的完整性、保密性和可用性。
第十八条 网络服务提供单位及使用者应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。
第四章 信息安全
第十九条 信息安全是指为保护校内计算机硬件、软件、数据不因偶然和恶意的原因而遭到破坏、更改和泄露而建立和采用的技术、管理上的安全保护。
第二十条 信息服务提供单位收集用户数据信息时应遵循“数据最小化”原则,不得私自收集无关信息,且应对收集的用户信息严格保密。不得泄露、篡改、毁损其收集的用户信息,不得私自向他人提供收集的信息。如因工作需要向他人提供用户信息的,应做数据脱敏及匿名化处理。不得收集涉密信息。
第二十一条 信息服务中各类信息内容应在责任单位职权范围之内发布,不得超权限发布,应建立完善的信息发布和审核机制。不得发布涉密信息。
第二十二条 信息责任单位应做好数据信息的备份工作。在数据收集、再利用过程中做好日志记录,日志至少保留6个月。
第二十三条 学校任何单位和个人不得私自设立提供校内外用户可以访问的网站、信息系统或其他服务器等。因工作需要架设服务器或提供对外访问的,需履行审批手续,通过信息安全检测并签订信息安全责任承诺书后方可开放访问。
第二十四条 信息服务提供单位及使用者不得发布违反国家法律法规的有害信息。一旦发现违法有害信息,应立即停止有害信息传输传播,并采取消除等处置措施,防止有害信息扩展,保存相关信息,及时向有关部门报告。
第二十五条 学校有权利和义务对校内网络、信息系统或其他服务器进行安全检测、检查,达不到安全要求的必须限期整改直至关停相关网络服务。
第二十六条 信息服务提供单位应积极配合国家机关实施信息安全监督检查。
第五章 安全管理
第二十七条 学校建立网络信息安全责任制度,学校二级单位应签订网络信息安全责任书。
第二十八条 根据国家相关规定要求,学校网络信息安全实行等级保护制度。原则上所有网站、信息系统建设同时应确立等级保护级别,一般按照等级保护测评“第二级”或更高级等级保护要求建设,通过等级保护测评并整改落实之后方可上线。
第二十九条 各类学校网络服务应建立日常运营和管理制度,制定应急处置流程。日常应加强对网络信息安全的监控和检测检查。服务器和信息系统的补丁升级、漏洞检测修补、信息内容排查等常规巡检至少每月一次,每次巡检应做好台账资料登记。
在特殊时期或紧急状态下应进行24小时有人值守值班,确保网络信息安全。
第三十条 领导小组办公室定期开展校内网络信息安全检测和检查,及时通报发现的各类网络信息安全问题,对责任单位下达限期整改通知。
第三十一条 因自身技术力量不足,对部分网络服务、信息系统服务等工作进行外包,引入校外运维、运营团队的,应与服务外包供应单位签订网络信息安全与保密协议。
第三十二条 各二级单位有开展网络信息安全培训的责任,各用户有接受网络信息安全培训的义务。
第三十三条 任何单位和个人应合法、合规、合理利用学校网络资源、享受学校网络服务,不得攻击和破坏学校网络及其配套软硬件设施设备,不得利用网络信息安全漏洞开展违法活动,不得窃取、篡改、传播、出售各类数据信息,不得发布非法有害信息。
第六章 安全应急处置
第三十四条 网络信息安全事件是指有害程序事件、网络攻击事件、信息破坏事件、设备设施故障、灾害事件、信息内容安全事件和其他信息安全事件。
第三十五条 网络信息安全事件分为四个等级:特别重大事件(Ⅰ级)、重大事件(Ⅱ级)、较大事件(Ⅲ级)和一般事件(Ⅳ级)。
第三十六条 各单位一旦接到上级部门关于网络信息安全事件的通知通报或发现学校网络信息安全事件,应立刻报告本单位网络信息安全责任人,同时报告信息资源部,组织技术人员赶赴现场进行处置,根据实际情况第一时间采取断网等措施,保留事件现场,并向信息化建设分管校领导汇报。
第三十七条 网络信息安全事件发生后,由领导小组根据涉及系统的重要程度、损失情况和社会影响等判定事件等级。对确认属于Ⅰ级至Ⅲ级安全事件的,应口头或书面报告教育部。如有必要应向本地公安机关报案。
第三十八条 网络信息安全事件处置完毕后,应形成包含事件经过、处置办法和整改措施在内的书面报告交信息资源部留存。
第三十九条 为确保应急处置快速、准确,各单位应认真梳理本单位信息化软硬件设施设备、系统配置参数、操作手册等基础信息,完善相关台账资料,做好标签标识和标志。
第四十条 领导小组应定期或不定期组织应急预案演练。检验应急预案各环节之间的通信、协调、指挥等是否符合快速、高效的要求。通过演习,进一步明确应急响应各岗位责任,对预案中存在的问题和不足及时补充、完善。
第七章 奖 惩
第四十一条 领导小组办公室定期开展全校网络信息安全工作的检查,每年向领导小组汇报各单位网络信息安全工作汇总信息。对网络信息安全工作成绩显著的单位和个人,学校给予表彰和奖励;对违反网络信息安全管理制度、网络信息安全工作存在不足和隐患且逾期不改的单位,学校给予通报批评。
第四十二条 对拒不执行网络信息安全管理相关制度、漠视网络信息安全工作以至造成重大事故和案件的单位,学校将追究该单位主要负责人和直接责任者的责任。对触犯法律的,将移送公安司法机关处理。
第四十三条 对损坏校园网络系统或信息系统设备设施的个人,学校将视其情节轻重追究责任,如触犯法律应移交公安司法机关处理。
第八章 附 则
第四十四条 本办法自公布之日起施行,由网络安全和信息化建设领导小组办公室负责解释。