大學(xué)網(wǎng)絡(luò)與信息安全管理辦法（試行）

XXXX大學(xué)網(wǎng)絡(luò)與信息安全管理辦法（試行）第一章總則第一條為保障校園網(wǎng)絡(luò)與信息安全，促進(jìn)校園信息化應(yīng)用，并推動(dòng)學(xué)校教育事業(yè)順利發(fā)展，依據(jù)《教育部關(guān)于加強(qiáng)教育行業(yè)網(wǎng)絡(luò)與信息安全工作的指導(dǎo)意見(jiàn)》（教技[20XX]4號(hào)）以及《中華人民共和國(guó)網(wǎng)絡(luò)安全法》等國(guó)家有關(guān)法律、法規(guī)對(duì)網(wǎng)絡(luò)與信息技術(shù)安全管理的要求，并結(jié)合我校實(shí)際情況制定本管理辦法。第二條在XXXX大學(xué)校園范圍內(nèi)建設(shè)、運(yùn)營(yíng)、維護(hù)和使用，網(wǎng)絡(luò)信息化基礎(chǔ)設(shè)施、網(wǎng)站及信息系統(tǒng)；在互聯(lián)網(wǎng)上以XXXX大學(xué)名義建設(shè)、運(yùn)營(yíng)、維護(hù)和使用網(wǎng)站及信息系統(tǒng)；和網(wǎng)絡(luò)信息安全的監(jiān)督管理，適用本辦法。第三條XXXX大學(xué)任何組織或個(gè)人，不得利用網(wǎng)絡(luò)及計(jì)算機(jī)信息系統(tǒng)從事危害國(guó)家利益、學(xué)校利益和師生合法利益的活動(dòng)，不得危害校園網(wǎng)絡(luò)及信息系統(tǒng)的安全。第二章管理機(jī)構(gòu)及職責(zé)第四條XXXX大學(xué)網(wǎng)絡(luò)安全與信息化工作領(lǐng)導(dǎo)小組，是負(fù)責(zé)統(tǒng)籌學(xué)校網(wǎng)絡(luò)安全與信息化工作的領(lǐng)導(dǎo)機(jī)構(gòu)，負(fù)責(zé)學(xué)校網(wǎng)絡(luò)安全與信息化建設(shè)的統(tǒng)籌規(guī)劃、協(xié)調(diào)部署、重大問(wèn)題的決策和監(jiān)督檢查。領(lǐng)導(dǎo)小組辦公室設(shè)在信息與網(wǎng)絡(luò)管理處，負(fù)責(zé)日常管理工作。第五條XXXX大學(xué)信息與網(wǎng)絡(luò)管理處是學(xué)校信息化建設(shè)的管理和執(zhí)行機(jī)構(gòu)，負(fù)責(zé)學(xué)校信息化建設(shè)總體規(guī)劃、年度計(jì)劃的制定和實(shí)施，負(fù)責(zé)組織學(xué)校信息化項(xiàng)目的立項(xiàng)審批和建設(shè)經(jīng)費(fèi)管理，負(fù)責(zé)全校信息化公共基礎(chǔ)設(shè)施、基礎(chǔ)平臺(tái)及公共資源的建設(shè)、管理與運(yùn)行維護(hù)，負(fù)責(zé)為學(xué)校各單位信息化建設(shè)提供技術(shù)支持。第六條XXXX大學(xué)網(wǎng)絡(luò)信息安全工作由信息技術(shù)安全和信息內(nèi)容安全兩部分組成。信息與網(wǎng)絡(luò)管理處牽頭負(fù)責(zé)信息技術(shù)安全工作。黨委宣傳部牽頭負(fù)責(zé)信息內(nèi)容安全工作。信息與網(wǎng)絡(luò)管理處牽頭負(fù)責(zé)信息技術(shù)安全工作，是信息技術(shù)安全工作的管理和技術(shù)支撐單位。聯(lián)系黨辦、校辦、保衛(wèi)處等相關(guān)部門，統(tǒng)籌信息系統(tǒng)（含網(wǎng)站）和信息技術(shù)安全事件的報(bào)告、處置與通報(bào)工作；組織開(kāi)展網(wǎng)絡(luò)安全檢查和培訓(xùn)；建立健全信息技術(shù)安全防護(hù)體系；負(fù)責(zé)統(tǒng)籌學(xué)校網(wǎng)絡(luò)信息基礎(chǔ)設(shè)施、公共信息服務(wù)平臺(tái)和應(yīng)用信息系統(tǒng)的建設(shè)、運(yùn)維與安全管理工作；管理XXXX大學(xué)電子郵件系統(tǒng)，規(guī)范用戶注冊(cè)和賬戶管理（詳見(jiàn)《XXXX大學(xué)郵件系統(tǒng)管理辦法》）；管理XXXX大學(xué)域名系統(tǒng)，規(guī)范域名注冊(cè)及管理（詳見(jiàn)《XXXX大學(xué)校園網(wǎng)站及域名管理辦法》）。聯(lián)系發(fā)展規(guī)劃處，統(tǒng)籌和審核學(xué)校教育教學(xué)辦學(xué)綜合統(tǒng)計(jì)數(shù)據(jù)的采集、傳輸、存儲(chǔ)、發(fā)布和使用，建立數(shù)據(jù)中心數(shù)據(jù)災(zāi)備解決方案，確保數(shù)據(jù)安全。（詳見(jiàn)《XXXX大學(xué)數(shù)據(jù)共享及安全管理辦法》）黨委宣傳部牽頭負(fù)責(zé)信息內(nèi)容安全工作。負(fù)責(zé)學(xué)校門戶網(wǎng)站統(tǒng)籌管理，審核門戶網(wǎng)站的信息發(fā)布、轉(zhuǎn)載和鏈接內(nèi)容；負(fù)責(zé)學(xué)校新媒體內(nèi)容管理及學(xué)校網(wǎng)絡(luò)輿情監(jiān)控、引導(dǎo)。第七條學(xué)校各單位主要負(fù)責(zé)人為本單位網(wǎng)絡(luò)與信息安全工作的第一責(zé)任人，負(fù)責(zé)制定本單位信息化建設(shè)規(guī)劃，組織本單位信息化項(xiàng)目立項(xiàng)申報(bào)，監(jiān)督項(xiàng)目建設(shè)、使用、維護(hù)，負(fù)責(zé)本單位信息化項(xiàng)目的信息安全工作，按照“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)維誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則，落實(shí)本單位建設(shè)的信息系統(tǒng)（含網(wǎng)站）的安全責(zé)任。第八條各單位應(yīng)明確專門網(wǎng)絡(luò)信息安全管理人員，負(fù)責(zé)本單位信息化項(xiàng)目的建設(shè)、管理、培訓(xùn)和維護(hù)，負(fù)責(zé)本單位信息安全工作的具體實(shí)施，負(fù)責(zé)學(xué)校信息化應(yīng)用的宣傳、推廣，配合信網(wǎng)處及其他單位完成學(xué)校信息化建設(shè)中相關(guān)工作。第三章安全制度第九條安全等級(jí)登記備案。校屬各單位主辦的各類網(wǎng)站及信息系統(tǒng)，應(yīng)統(tǒng)一向信息與網(wǎng)絡(luò)管理處登記備案，并配合信息與網(wǎng)絡(luò)管理處完成向教育部及公安部門的信息安全等級(jí)保護(hù)定級(jí)備案。信息系統(tǒng)等級(jí)備案的信息包括但不限于信息系統(tǒng)名稱、主辦/主管單位、責(zé)任人、安全保護(hù)等級(jí)、技術(shù)管理員、服務(wù)器放置地、數(shù)據(jù)庫(kù)類型、開(kāi)發(fā)商、域名、IP地址、開(kāi)放端口、運(yùn)行有效期等。校內(nèi)網(wǎng)站和信息系統(tǒng)的備案信息發(fā)生變動(dòng)時(shí)，管理員應(yīng)主動(dòng)報(bào)告并修訂備案信息。第十條系統(tǒng)上線安全審查。校內(nèi)網(wǎng)站與信息系統(tǒng)在投入使用前應(yīng)向信息與網(wǎng)絡(luò)管理處提交備案材料，申請(qǐng)上線發(fā)布。信息與網(wǎng)絡(luò)管理處對(duì)申請(qǐng)上線的網(wǎng)站和信息系統(tǒng)進(jìn)行安全檢查，使用漏洞掃描設(shè)備對(duì)網(wǎng)站和信息系統(tǒng)進(jìn)行主機(jī)服務(wù)器和web應(yīng)用服務(wù)安全掃描。對(duì)于存在安全風(fēng)險(xiǎn)的系統(tǒng)不予上線，修改后重新申請(qǐng)。申請(qǐng)上線的系統(tǒng)應(yīng)標(biāo)明系統(tǒng)的使用期限，對(duì)于短期使用的網(wǎng)站和信息系統(tǒng)，在使用期限到期后將自動(dòng)關(guān)閉。第十一條安全監(jiān)測(cè)評(píng)估。信息與網(wǎng)絡(luò)管理處對(duì)校內(nèi)網(wǎng)站和信息系統(tǒng)進(jìn)行日常安全管理，根據(jù)網(wǎng)站和信息系統(tǒng)的安全防護(hù)級(jí)別，定期進(jìn)行安全掃描和風(fēng)險(xiǎn)評(píng)估，并將評(píng)估報(bào)告發(fā)送給管理員。對(duì)于存在高風(fēng)險(xiǎn)的網(wǎng)站和信息系統(tǒng)，將停止其互聯(lián)網(wǎng)訪問(wèn)，通告負(fù)責(zé)人和管理員，并責(zé)令在15個(gè)工作日內(nèi)修復(fù)，過(guò)期未修復(fù)的網(wǎng)站和信息系統(tǒng)將被關(guān)閉。對(duì)于出現(xiàn)嚴(yán)重安全事件的網(wǎng)站和信息系統(tǒng)，將立刻關(guān)閉，并通知負(fù)責(zé)人和管理員，責(zé)令整改并需提交整改報(bào)告。對(duì)于出現(xiàn)問(wèn)題的網(wǎng)站和信息系統(tǒng)，無(wú)法聯(lián)系到負(fù)責(zé)人和管理員時(shí)，將視為無(wú)人維護(hù)，進(jìn)行關(guān)閉處理。第十二條年審。校內(nèi)網(wǎng)站和信息系統(tǒng)實(shí)行年審制，每年定期對(duì)網(wǎng)站和信息系統(tǒng)備案情況進(jìn)行核查修訂。年審期間管理員應(yīng)檢查所管理網(wǎng)站和信息系統(tǒng)的各項(xiàng)備案信息是否有變更，重點(diǎn)確認(rèn)負(fù)責(zé)人和管理員的聯(lián)系信息是否準(zhǔn)確，并提交修改或確認(rèn)。在年審過(guò)程中，超過(guò)規(guī)定期限沒(méi)有進(jìn)行備案信息確認(rèn)的網(wǎng)站和信息系統(tǒng)，將視為無(wú)人維護(hù)，進(jìn)行關(guān)閉處理。第十三條安全事件處理。各單位發(fā)現(xiàn)網(wǎng)絡(luò)信息系統(tǒng)安全問(wèn)題要及時(shí)報(bào)告、處理（參照《XXXX大學(xué)網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案》），保障校園網(wǎng)信息安全，堵塞有害信息，及時(shí)解決信息安全漏洞問(wèn)題。第四章安全措施第十四條信息化公共基礎(chǔ)服務(wù)、跨部門信息系統(tǒng)、業(yè)務(wù)部門管理信息系統(tǒng)等面向師生公開(kāi)服務(wù)的信息系統(tǒng)原則上應(yīng)使用信息化公共云平臺(tái)等學(xué)校統(tǒng)一的軟硬件平臺(tái)。因技術(shù)原因（如外置加密設(shè)備）確需存放在單位自建服務(wù)器上的，應(yīng)把服務(wù)器托管到信息與網(wǎng)絡(luò)管理處，提高信息系統(tǒng)運(yùn)行環(huán)境的安全防護(hù)能力。（具體請(qǐng)參照《XXXX大學(xué)業(yè)務(wù)信息系統(tǒng)建設(shè)管理辦法》、《XXXX大學(xué)數(shù)據(jù)中心網(wǎng)站空間與虛擬主機(jī)服務(wù)管理規(guī)定》、《XXXX大學(xué)數(shù)據(jù)中心機(jī)房安全管理辦法》）第十五條財(cái)務(wù)管理系統(tǒng)、校園一卡通管理系統(tǒng)等涉及校內(nèi)資金管理流通的信息系統(tǒng)應(yīng)搭建專用的軟硬件平臺(tái)和專用傳輸網(wǎng)絡(luò)，實(shí)現(xiàn)與校園網(wǎng)的物理隔離，確保系統(tǒng)運(yùn)行環(huán)境安全。第十六條校內(nèi)單位新建的宣傳類、門戶類的網(wǎng)站原則上應(yīng)使用由信息與網(wǎng)絡(luò)管理處統(tǒng)一開(kāi)發(fā)的網(wǎng)站群系統(tǒng)，減少網(wǎng)站安全漏洞，提升網(wǎng)站安全防護(hù)能力，確保網(wǎng)站風(fēng)格統(tǒng)一。（具體請(qǐng)參照《XXXX大學(xué)校園網(wǎng)站及域名管理辦法》）第十七條網(wǎng)站與信息系統(tǒng)在規(guī)劃設(shè)計(jì)和建設(shè)時(shí)，應(yīng)按照所處等級(jí)保護(hù)級(jí)別同步進(jìn)行安全規(guī)劃設(shè)計(jì)和建設(shè)，校內(nèi)網(wǎng)站與信息系統(tǒng)在委托第三方進(jìn)行開(kāi)發(fā)時(shí)，應(yīng)注重對(duì)運(yùn)維和安全修復(fù)方面條款的要求，確保使用中出現(xiàn)問(wèn)題時(shí)能迅速解決。第十八條各單位應(yīng)加強(qiáng)對(duì)系統(tǒng)維護(hù)人員和系統(tǒng)賬戶管理。規(guī)范人員上崗、培訓(xùn)、離崗流程，嚴(yán)格管理好系統(tǒng)賬戶密碼及賬戶授權(quán)。因崗位或職責(zé)發(fā)生變更時(shí)，必須及時(shí)更改系統(tǒng)管理賬戶密碼，及相關(guān)賬戶授權(quán)。避免授權(quán)不當(dāng)?shù)娘L(fēng)險(xiǎn)，凡因密碼或數(shù)據(jù)泄露造成損失和不良后果的，要追究相關(guān)人員責(zé)任。第五章附則第十九條任何單位和個(gè)人不得私自利用校園網(wǎng)絡(luò)建立網(wǎng)站、論壇、信息系統(tǒng)等，不得利用