第一章  总则

第一条  为推进学校信息化建设健康有序发展，规范网络信息技术安全管理，提高网络与信息安全防护能力和水平，根据《中华人民共和国网络安全法》等国家相关法律法规并结合学校实际情况，特制定本管理办法。

第二条  本办法所称网络信息安全是指为保障学校信息化建设相关的基础设施、信息系统及数据的完整性、可用性及保密性，而采取的安全检测、防护、处置等技术措施，以及相关技术标准规范、管理制度的制定等。

第三条  学校各单位、全体师生应依照本办法要求及相关标准规范履行网络信息安全的义务和责任。任何单位及个人不得利用学校网络和信息系统泄露国家或学校秘密、危害国家或学校安全，不得侵犯国家、集体和个人的合法权益，不得从事违法犯罪活动。

第二章  组织机构与职责

第四条  学校网络安全与信息化领导小组是学校网络安全和信息化工作的领导机构，负责制定学校网络信息安全相关政策，统筹指导学校网络信息安全建设，研究处理重大网络信息安全事件。

第五条  信息化管理中心是学校网络信息安全归口管理、技术支撑单位，负责统筹学校网络信息安全工作。主要职责包括：

（一）制定网络信息安全总体规划，并组织实施；

（二）拟定网络信息安全管理规章制度，组织开展网络安全等级保护工作；

（三）负责学校网络信息安全防护系统的建设、运行维护、技术指导和服务支持；

（四）负责网络信息安全应急管理；

（五）组织网络信息安全宣传和教育培训工作；

（六）负责网络信息安全监督检查工作；

（七）学校网络信息安全的其他工作。

第六条  党委宣传部负责网络信息内容的安全监管，负责校园网络舆情信息的监控和管理，开展网上疏导和正面宣传，维护对外宣传信息内容安全。

第七条  党委安全工作部负责对网络违规行为进行调查、取证、处理，根据相关证据及事态影响或破坏程度，对违规者按照有关规定进行处理。

第八条  网络与信息系统的主办单位承担安全监管责任，包括内容安全监管、技术安全保障和监督检查等职责。本单位行政负责人为网络信息安全的第一责任人，负责规划、监督本单位的网络信息安全建设；各信息系统、内部网络的负责人及管理员为相关系统网络信息安全的直接责任人，负责具体落实各相关系统的网络信息安全工作。

第九条  网络与信息系统通过外包服务方式进行维护的，主办单位负责督促外包服务单位做好安全运维工作，网络与信息系统的安全监管责任主体仍为主办单位。

第三章  校园网络安全

第十条  校园网络是指连接学校各单位信息系统及信息终端的计算机网络，包括校园有线网络、无线网络和各种虚拟专网。

第十一条  校园网络与互联网及其他公共信息网络实行逻辑隔离，由信息化管理中心统一出口、统一管理和统一防护。未经批准，学校各单位在校园内不得擅自通过其他渠道接入互联网及其他公共信息网络。

第十二条  校园各区域的网络设备，其管理、维护等均由信息化管理中心统一负责，未经信息化管理中心批准，不得以任何方式试图登录、修改、设置、破坏校园网内的交换机、路由器和服务器等。

第十三条  信息化管理中心应采取访问控制、安全审计、完整性检查、入侵防范、恶意代码防范等措施加强校园网络边界防护。

第十四条  师生员工接入校园网络，实行“实名注册、认证上网”制度；学校非涉密信息系统接入校园网络，实行接入审批和备案登记制度。涉密信息系统不得接入校园网络。任何单位和个人不得窃取或盗用他人的用户名、口令、IP地址和MAC地址等，不得将本人账号借给他人使用。

第十五条  校园网络实行信息系统报批备案制。需要在校园网上开办信息系统的单位，应到信息化管理中心办理登记注册手续，其中BBS、论坛、聊天室、博客、微博等公众信息服务系统，以及在微信、QQ等互联网社交平台上开办公众服务号，应到党委宣传部报备批准。未经许可，任何入网单位或个人不得以冠有“防灾科技学院”中外文字样的任何名义开通信息发布、BBS、论坛、聊天室、博客、微博、微信等公众信息服务系统。

第十六条  接入校园网的机房、电子阅览室等必须安装管理软件，自动记录上网人员身份和上下网时间、机号、IP地址等，网络使用记录保持时间不得少于6个月。

第十七条  接入校园网络的专用网络接入单位负责提供本单位所需的网络设备间和电源保障，负责其安防和消防安全管理。

第四章  信息系统及其数据安全

第十八条  信息系统数据是指信息系统收集、存储、传输、处理和产生的各种电子数据，包括但不限于网站内容、业务数据、网络课程、图书资源、日志记录等。

第十九条  信息系统数据的所有者是数据安全管理的责任主体，应当落实管理和技术措施，规范数据的收集、存储、传输和使用，确保数据安全。

第二十条  信息系统数据收集应遵循“最少够用”原则，不得收集与信息系统业务服务无关的个人信息。按照“谁收集，谁负责”的原则，收集个人信息的单位是个人信息保护的责任主体，应当对其收集的个人信息严格保密，并建立健全相关保护制度。

第二十一条  校内各类信息系统原则上应依托于学校数据中心建设，使用学校域名并进行登记备案。对于特殊用途使用非学校域名或在非校园网环境中建设的各类信息系统，需经信息化管理中心审核后单独备案。未经审批备案的信息系统不属于学校官方行为，不得使用学校资金建设，不得使用校名、校徽等学校标识，一切责任由建设人员承担。涉及学校基础数据、师生员工个人信息或敏感信息的信息系统，不得部署在校外。需要在校外开办信息系统的单位，应到信息化管理中心办理备案手续。部署在校外的网络和信息系统，安全监管责任主体仍为主办单位。

第二十二条  学校信息化项目建设应遵循校内相关制度、技术规范、标准流程开展，信息化项目中的人员、经费、采购、合同、建设、验收、运维等各环节中都要包含网络信息安全相关说明。各单位对于新建、改建、扩建的信息系统，应当在规划、设计阶段同步建设网络信息安全保障措施。新开发的信息系统必须经过第三方安全检测机构出具检测报告后方可上线运行。

第二十三条  各单位作为安全等级保护的责任主体，应当按照国家信息安全等级保护的管理规范、技术标准确定信息系统的安全保护等级，并报信息化管理中心审核。学校按相关规定选择具有相关技术资质和安全资质的测评单位，对二级及以上的信息系统进行等级测评。经测评，信息安全状况未达到安全保护等级要求的，信息系统的主办单位应制定整改方案并落实到位。

第二十四条  信息化管理中心负责学校核心信息系统的备份与恢复管理，制订备份与恢复计划，根据业务实际需要对重要数据和信息系统进行备份，定期测试备份与恢复计划，并确保备份数据和备用资源的有效性。

第二十五条  任何单位和个人，不得私自设立互联网服务器或自建联网的应用系统。根据教学和科研实际工作需求，确实需要建立应用系统的，经信息化管理中心批准后方可联网运行。

第二十六条  需要开设联网信息服务的单位，须向信息化管理中心提出书面申请，由信息化管理中心进行技术评估、备案后方可对外提供服务；服务器必须具有保持日志记录功能，历史记录保持时间不得低于6个月。

第二十七条  接入互联网的服务器及应用系统，应该采取必要的网络安全防护措施、安装防护软件，并将防护措施上报信息化管理中心备案。

第二十八条  信息化管理中心有权对各单位服务器和应用系统进行必要的安全检查和评测，对达不到安全要求的，关闭对外服务，整改合格后系统方可上线运行。

第二十九条  各单位对于主办的信息系统，应当设立专门的系统管理员，负责每季度至少进行1次安全检查，检查内容包括：

（一）查杀病毒，清除木马、后门等恶意程序，升级系统补丁；

（二）检查网页和重要数据的备份情况；

（三）检查网页内容，及时清除无关网页和暗链；

（四）定期更改口令，清理不必要的管理帐号；杜绝空口令、弱口令和默认口令；

（五）检查SQL注入和跨站脚本等安全漏洞；

（六）检查服务器安全策略，关闭不必要的端口和服务；

（七）检查系统日志留存情况，留存相关日志不少于6个月。

第三十条  各单位对于主办的重点信息系统，应当采取措施重点防护，保障系统和重要数据的安全，每月至少进行1次安全检查。重点信息系统包括：

（一）学校WWW门户网站；

（二）学校重要办公网站和办公信息系统；

（三）统一身份认证、一卡通等校级重要公共服务平台；

（四）教学、科研、人事、财务、资产等学校重要业务信息系统及相关重要数据库。

第五章  互联网网站安全

第三十一条  学校各单位开办互联网网站，应使用学校互联网域名和互联网IP地址，并遵守学校相关规章制度。

第三十二条  党委宣传部统一建设学校网站集群平台，信息化管理中心负责纳入该平台网站的技术安全。未纳入学校网站集群平台的网站，其技术安全由网站开办单位负责。

第三十三条  学校各单位开办互联网网站应优先选择学校网站集群平台，集群平台不能满足需求时可委托其他供应商管理。网站投入试运行后，通过信息化管理中心组织的安全检查方可正式上线。

第三十四条  互联网网站运行维护单位应建立网站值守制度，制订应急处置流程，组织专人对网站进行监测，发现网站运行异常及时处置。

第三十五条  互联网网站的内容安全由网站开办单位负责。互联网网站开办单位应建立完善的网站信息发布与审核制度，确定负责内容编辑、内容审核、内容发布的人员名单，明确审核与发布程序，保存相关操作记录。

第六章  终端计算机安全

第三十六条  终端计算机是指由学校师生员工使用并从事学校教学、科研、管理等活动的各类计算机及附属设备，包括台式电脑、笔记本电脑及其他移动终端。

第三十七条  终端计算机使用人按照“谁使用，谁负责”的原则，对其终端负有保管和安全使用的责任。信息化管理中心对终端计算机的安全管理提供技术支持和指导。

第三十八条  终端计算机设备上安装、运行的软件应为正版软件。在终端上使用盗版软件带来的安全和法律责任由终端使用人承担。

第三十九条  终端计算机应当设置系统登录账号和密码，登录密码应具有一定强度并定期更改。

第四十条  终端计算机使用人应做好数据日常管理和保护，定期进行数据备份。非涉密计算机不得存储和处理涉密信息。

第四十一条  终端使用人应做好终端计算机的安全防范，如发现终端计算机出现可能由病毒或攻击导致的异常系统行为或其他安全问题，应立即断网后进行处置。

第七章  存储介质安全

第四十二条  存储介质是指存储数据的载体，主要包括硬盘、存储阵列等不可移动存储介质，以及移动硬盘、U盘等等可移动存储介质。

第四十三条  原则上存储阵列等大容量介质应托管在学校数据中心，并由信息化管理中心统一运行、维护和管理。信息化管理中心应采取必要技术措施防范数据泄漏风险，确保存储数据安全。

第四十四条  学校各单位应建立移动介质管理制度，记录介质领用、交回、维修、报废、损毁等情况。介质使用人按照“谁使用，谁负责”的原则，对其移动介质负有保管和安全使用的责任。

第四十五条  非涉密移动存储介质不得用于存储涉密信息，不得在涉密计算机上使用。

第四十六条  移动存储介质在接入终端计算机和信息系统前，应当查杀病毒、木马等恶意代码。

第四十七条  介质使用人应注意移动存储介质的内容管理，对送出维修或销毁的介质应事先清除敏感信息。

第四十八条  信息化管理中心应配备必要的电子信息消除和销毁设备。存储介质履行必要的审批程序后，可由信息化管理中心集中销毁。

第八章  人员管理安全

第四十九条  学校各单位应建立健全本单位的岗位信息安全责任制度，明确岗位及人员的信息安全责任。关键岗位的计算机使用和管理人员应签订信息安全与保密协议，明确信息安全与保密要求和责任。

第五十条  学校各单位应加强人员离岗、离职管理，严格规范人员离岗、离职过程，及时终止相关人员的所有访问权限，收回学校提供的软硬件设备，并签署安全保密承诺书。

第五十一条  学校各外包服务需求单位应与网络信息系统开发和运维服务提供商签订网络信息安全与保密协议，明确网络信息安全与保密责任，要求服务提供商不得将服务转包，不得泄露、扩散、转让服务过程中获知的敏感信息和各类电子数据，不得占有服务过程中产生的任何信息资产，不得以服务为由强制要求委托方购买、使用指定产品。各单位签署外包服务合同时，应将学校统一制定的网络信息安全与保密协议作为合同附件。

第九章  网络信息安全应急管理

第五十二条  信息化管理中心负责学校网络信息安全应急工作的统筹管理，制定学校网络信息安全事件报告与处置流程，以及安全应急工作的技术支撑和保障。

第五十三条  信息化管理中心定期组织网络信息安全应急演练，评估并适时组织网络信息安全应急预案修订。学校各单位应组织开展网络信息安全应急预案的宣传、教育和培训，确保相关人员熟悉应急预案。

第五十四条  学校各单位应按照学校网络信息安全事件报告与处置流程，做好事发紧急报告与处置、事中情况报告与处置和事后整改报告与处置工作。做到安全事件早发现、早报告、早控制、早解决。

第五十五条  学校各单位及师生员工均有义务及时向信息化管理中心报告信息安全事件，不得在未授权情况下对外公布、尝试或利用所发现的安全漏洞或安全问题。

第十章  网络信息安全责任追究

第五十六条  学校建立网络信息安全责任追究和倒查机制。

第五十七条  有关单位在收到网络信息安全限期整改通知书后，整改不力的，学校给予通报批评；玩忽职守、失职渎职造成严重后果的，依纪依法追究相关人员的责任。

第五十八条  学校各单位应按照网络信息安全事件报告与处置流程及时、如实报告和妥善处置网络信息安全事件。如有瞒报、缓报、处置和整改不力等情况，学校将对相关单位责任人进行约谈或通报。

第五十九条  师生员工违反本办法规定的，由信息化管理中心责令改正，并通报批评；拒不改正或者导致危害网络信息安全等严重后果的，根据学校有关规定给予以纪律处分。触犯法律的，移交司法机关处理。

第十一章  附则

第六十条  本办法由信息化管理中心负责解释。

第六十一条  本办法自2018年12月1日起施行。学校其他有关文件规定与本办法不一致的，按本办法执行。