衢州学院网络与信息安全管理办法
发布人:系统管理员  发布时间:2020-12-02   浏览次数:384

202011月)

第一章 总 则

第一条  为提高网络与信息安全防护能力和水平,保证学校网络与信息安全工作顺利进行,维护国家、社会、学校的安全和利益,保障学校各项事业健康有序发展,根据《中华人民共和国网络安全法》《中华人民共和国计算机信息系统安全保护条例》《计算机信息网络国际联网安全保护管理办法》《互联网新闻信息服务管理规定》等国家有关法律、法规,结合学校工作实际,特制定本办法。

第二条  学校网络与信息安全,包括校园计算机网络、信息系统及网站的运行安全和信息内容的安全。

第三条  学校采取技术和管理措施,规范网络与信息系统的使用和管理,保护学校网络基础设施、信息系统及其承载的信息内容安全,防范网络信息系统受到攻击、侵入、干扰和破坏,保障网络信息数据合法、安全、完整、可用,维护网络空间安全和秩序。

第二章 组织机构与职责

第四条 学校网络安全和教育信息化工作领导小组组织领导全校网络与信息安全工作,制定学校网络与信息安全政策,研究解决学校网络与信息安全重大问题。各学院、部门、单位(以下统称各单位)应在本单位内部相应成立网络与信息安全工作小组,其主要负责人为第一责任人,并指定专人担任信息安全员,负责本单位的网络与信息安全工作。

第五条 党委宣传部是校园网信息宣传工作的主管部门,负责统一协调校园网信息发布与管理的重要事项,制定各类网络媒体和自媒体平台管理制度,对网络信息发布进行监督和管理,指导和协助相关部门预防和处理网络舆情突发事件。

第六条 党委学生工作部负责招生就业、迎新、离校、学工在线等学生服务信息系统的安全管理。保卫处负责网络与信息安全事件的强制处置,协助公安部门做好有害信息源追查工作,保持与公安、国安等有关部门的联络协调。

第七条 各单位应做好网络文化建设与网络道德教育,进行网络舆情监控引导,党委宣传部、团委要加强校园网络评论员队伍、论坛版主队伍的建设,教育、引导学生文明规范上网。

第八条 网络与信息化建设办公室负责校园网日常运行、管理和维护,为校园网络和信息安全提供技术支持;负责学校公共基础网络信息平台的安全建设和管理,监控运行状态等,制定安全保护措施;负责学校各类网站系统开通上线前的技术性安全审核;组织开展网络与信息安全的隐患排查和监督检查,协助学校有关部门处理违反网络与信息安全管理有关规定的事件,配合公安、国安等有关部门查处危害网络与信息安全的违法案件。

第九条 坚持“谁主管谁负责,谁主办谁负责”的原则。网络与信息系统的主办单位承担安全监管责任,包括内容安全监管、技术安全保障和监督检查等职责;网络与信息系统的使用单位和个人对系统操作与信息内容的安全监管承担直接责任。网络与信息系统通过外包服务方式进行维护的,主办单位负责督促外包服务单位做好安全运维工作,网络与信息系统的安全监管责任主体仍为主办单位。

 

第三章 校园网络安全

第十条  任何单位及个人不得利用校园网危害国家安全、泄露国家秘密,不得侵犯国家、社会、集体利益和个人的合法权益,不得从事违法犯罪活动。

第十一条  用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定,利用校园网侵犯用户的通信自由和通信秘密。

第十二条  用户上网、VPN、电子邮箱开户等实行实名制,在办理入网手续时,须核实用户信息,并签订相应的用户责任协议。

第十三条  未经学校批准,任何单位或个人不得将校园网延伸至校外或将校外网络引入至校园内,不得擅自在校园内进行网络相关工程施工,不得擅自开设服务器提供信息服务。

第十四条  校园网用户须对其网络登录、电子邮箱等各类网络账号进行安全保护,确保密码具有一定强度并定期更换,防止密码泄露,对通过其网络账号进行的全部行为负责。如发现有非法使用他人用户账号或存在安全漏洞的情况,应立即报告网络与信息化建设办公室。

第十五条  任何单位和个人不得从事下列危害计算机信息网络安全的活动:

(一)未经允许,私自修改校园网联网设备的IP地址,开设二级代理、WEBDNSDHCP等服务的;

(二)未经允许,对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;

(三)私自连接外网线路,不通过校园网统一出口连接进入INTERNET,危害校园网络安全的;

(四)未经允许,私自对校园网提供的网络设备、线路、机房设施、服务器等进行变更、移动、拆卸、调整的;私自安装AP及路由器等软硬件系统,扰乱校园网正常工作的;

(五)故意制作、传播计算机病毒等破坏性程序的;

(六)未经允许,私自在校园网上设置网站、上传信息,提供应用服务的;

(七)私自转借、转让用户上网、校园统一信息门户登录、VPN、电子邮箱等网络账号;

(八)用户对电脑未采取足够的安全措施,电脑中病毒、木马或有黑客恶意软件而不及时清理,放任其攻击其他用户或在网络上蔓延,干扰校园网络正常运行的;

(九)使用网络黑客工具以及其它恶意软件,进行强占带宽、盗窃账户、扫描网络信息等不良活动,干扰破坏网络正常运行的;

(十)利用网络大量发送电子邮件、短信息等,干扰他人正常生活秩序或者网络秩序;

(十一)其他危害计算机信息网络安全的。

第四章 信息发布与传播安全

第十六条  任何单位和个人须严格遵守国家安全和保密法律法规,严禁涉密信息上网。

第十七条  任何单位和个人不得利用校园网制作、复制、传播和查阅下列信息:

(一)煽动抗拒、破坏宪法和法律、法规实施的;

(二)煽动颠覆国家政权,推翻社会主义制度的;

(三)煽动分裂国家、破坏国家统一的;

(四)煽动民族仇恨、民族歧视,破坏民族团结的;

(五)煽动非法集会、结社、游行、示威、聚众扰乱社会秩序的;

(六)捏造或者歪曲事实,散布谣言,扰乱社会秩序的;

(七)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;

(八)公然侮辱他人或者捏造事实诽谤他人的;

(九)损害国家荣誉和利益的;

(十)以非法民间组织名义组织活动的;

(十一)其他违反宪法和法律、行政法规的。

第十八条  任何单位和个人,未经学校批准,不得以学校名义注册互联网域名、在校外服务器进行网络信息发布。

第十九条  建立信息发布审核和登记制度。学校主页通知公告、新闻等由学校党委宣传部审核同意;各单位的一般信息不在校级网站首页发布。校内各单位网站页面(业务系统页面)信息须经单位网络与信息安全负责人审核发布。未经批准,任何单位和个人不能擅自发布学校信息。

第二十条  建立信息监视、保存、清除和备份制度。校园网络的信息内容安全监控巡查及管理工作由各信息发布单位和相关职能部门负责。各信息发布单位应及时做好有关信息的保存、清除与备份工作,网络与信息化建设办公室在技术上进行指导协助。对互动栏目须实行网络实名,主办单位须保证帖子先审后发,并进行违法和不良信息关键字过滤,落实巡查制度。

第二十一条  建立不良信息报告和协助查处制度。任何单位和个人在发现校园网系统中的安全隐患和有害信息时,应及时将情况报告学校相关部门,并及时进行相应处理。

第五章  信息系统安全

第二十二条  学校各信息系统的主管及主办单位应按照国家信息安全等级保护管理的相关法律法规和标准规范,负责做好信息系统安全保护等级定级、测评、整改和备案工作,并接受有关部门监督检查。

第二十三条  新建的信息系统,应当在规划、设计阶段确定信息系统的安全保护等级,并同步建设符合该安全保护等级要求的信息安全设施。

第二十四条  学校对所有网站和网络媒体平台实行审批制度,其开设须通过党委宣传部、网络与信息化建设办公室审批,并在安全技术检测通过后,方可上线运行。

第二十五条  未经学校批准,任何单位和个人不得擅自向校内外其他组织或个人提供信息系统内部数据。

第二十六条  各单位在网络信息系统建设、运维以及信息数据的生产、应用过程中,应当履行下列安全保护职责:

(一)制定符合本单位实际情况的网络与信息安全制度,落实安全管理机构、人员、责任和监督机制、技术安全管理措施等。

(二)建立管理人员岗位责任制,确定信息系统具体联络管理人员。关键岗位的计算机使用和管理人员应签订信息安全与保密协议,明确信息安全与保密要求和责任。人员变动时应及时终止相关人员的所有访问权限。单位网络与信息安全负责人或管理员变动时要做好移交工作,并报送网络安全和教育信息化领导小组办公室备案。

(三)负责本单位网络信息系统建设、管理与维护各个环节的安全管理,规范工作流程和机制、明确操作规程及授权、严格账号密码管理。落实系统开发、试用、验收、测评、运维等各阶段上的安全措施。对于信息系统开发和运维的外包服务,各信息系统主管单位应与信息技术外包服务提供商签订服务合同和信息安全与保密协议,明确信息安全与保密责任。

(四)负责本单位网络信息系统运行安全及数据安全,做好重要数据库和网站数据备份工作;设有交互式栏目和文件传输的服务器必须记录用户名、IP源地址、信息访问及发布时间等详细信息。

(五)应准确掌握本单位所有信息系统及网站安全情况,建立信息系统名录。采取必要的安全措施,对信息系统运行状态进行有效监控,及时进行系统升级、信息更新等,严防入侵、篡改、泄露等事件发生。建立检查巡查和值守制度,定期或不定期组织开展信息系统安全演练,查找安全漏洞和隐患,做到安全问题早发现、早报告、早控制、早解决。

(六)对学校信息安全相关管理部门提供本单位有关网络与信息安全保护的资料和数据文件,协助有关部门查处利用校园网进行的各种违纪、违法及危害网络与信息安全的行为。

第六章 安全检查与监督

第二十七条  学校网络与信息安全相关管理部门对各类信息系统、网站的信息安全情况进行检查,每年对信息系统和网站运行情况进行统一核查。对未能落实安全管理、或未能按期有效完成信息安全隐患处理的网站信息系统,停止开放网络服务。

第二十八条  为提高处置网络与信息安全突发公共事件的能力,学校建立网络与信息安全应急预案,各单位应根据本单位网络与信息安全情况,落实应急程序和措施。发生信息安全突发事件时应迅速做出断网或关停服务处理,尽量减少损失和危害,同时通报学校各相关部门。

第二十九条 校园网用户须自觉配合国家和学校有关部门依法进行的监督、检查。学校对违反本办法的可根据情况作出警告、勒令改正、通报批评等批评教育,进行系统限制开放、中断网络等技术处理,直至进行相应处分。

第三十条 如有发生网络安全事件的(具体事件分级参见《国家网络安全事件应急预案》和《衢州学院网络与信息安全应急预案》),对直接责任单位取消当年度所有的评优评先资格;对主要责任人员,取消当年度所有的评优评先、职称评审和岗位晋级资格;对触犯国家有关法律、法规的,移交公安、司法部门处理。

第三十一条 学校根据情况通报校内信息安全形势,举行面向校内网站管理员和相关人员的信息安全培训,进行信息安全管理指导和技术训练。

第七章 附则

第三十二条 涉及国家秘密的信息系统及数据,执行国家保密工作的相关规定和标准,由学校保密办公室监督指导。

第三十三条 本办法由学校网络安全和教育信息化工作领导小组负责解释,自发布之日起生效。