攀枝花学院网络信息安全管理办法（试行）-攀枝花学院审计处

第一章总则

第一条以《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网络管理暂行规定》、《教育部关于对校园网有害信息专项清理整治工作的实施意见》、以及《网络安全法》为依据，按照《信息系统安全等级保护基本要求》（GB/T22239-2008）为指导,为加强学校对网络信息安全工作的组织管理，提高网络信息安全防护能力和水平，保障信息化建设管理有序发展，结合我校实际情况，特制定本管理办法。

第二条本办法所称网络信息安全，是指由学校建设、运行、维护或管理的校园网络基础设施、网站、信息系统及数据内容等受到保护，保证网络、信息及内容的安全性、完整性、可用性、可控性。

第三条本办法适用于使用校园网及使用学校信息系统的任何用户，本办法所指学校各单位包括各机关部、处、室，学院、直附属单位以及有关科研机构等。

第四条按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，建立健全网络信息安全责任体系，实行统一领导，归口管理，实施分层使用原则，学校各单位、全体师生员工应依照本办法要求及相关标准规范履行网络信息安全的义务和责任。

第五条网络信息安全管理的目标是建立健全网络信息安全保障体系，提高安全防护能力，确保学校网络信息安全工作规范、有序开展，保障学校信息化可持续发展。

第二章组织机构与职责

第六条学校计算机信息网络安全领导小组负责制定学校网络信息安全相关政策，研究处理重大网络信息安全事件，定期召开网络信息安全工作会议，统筹指导学校网络信息安全建设。学校主要负责人是学校网络信息安全的第一责任人，分管信息化工作的校领导协助主要负责人履行学校网络信息安全责任。

第七条网络与计算中心为学校网络安全与信息化工作领导小组的办公室单位，负责学校网络信息安全的日常工作。第八条网络与计算中心是学校网络信息安全归口管理、技术支撑单位，对于接入校园网用户全面负责学校所建设的网络信息安全工作。具体职责包括：（一）制定网络信息安全总体规划，并组织实施；

（二）拟定网络信息安全管理规章制度，组织开展网络安全等级保护工作；

（三）凡涉及网络、通信及信息建设均必须通过网络与计算中心审批，审批通过后方可进行建设和实施；未经网络与计算中心审批建设的网络项目均属于违规建设。

（四）负责学校网络信息安全防护系统的建设、运行维护、技术指导和服务支持；

（五）负责网络信息安全应急管理，协调处理与政府网络信息安全管理部门的关系；

（六）组织网络信息安全宣传和教育培训工作；

（七）负责网络信息安全监督检查工作，对于属于违规建设的网络项目应监督建设方予以关停、督促拆除等处理；

（八）学校网络信息安全的其他工作。

第九条各单位（部门）行政负责人为本单位网络使用信息安全第一责任人，各机关单位（部门）以及有关科研机构主要负责人为本单位使用网络信息安全第一责任人，负责落实本单位网络信息安全工作。各单位应设一名网络信息安全管理员，负责本单位网络信息安全保护措施的落实，对上网人员进行网络信息安全教育和培训，与网络与计算中心协同配合，共同做好本单位网络安全运行、管理和维护工作。

第三章校园网络安全

第十条校园网络是指连接学校各单位信息系统及信息终端的计算机网络，包括校园有线网络、无线网络和各种虚拟专网。

第十一条校园网络与互联网及其他公共信息网络实行逻辑隔离。未经批准，学校各单位在校园内不得擅自通过其他渠道接入互联网及其他公共信息网络。

第十二条校园各区域的网络设备，其管理、维护等均由网络与计算中心统一负责，未经网络与计算中心批准，不得以任何方式试图登录、修改、设置、破坏校园网内的交换机、路由器和服务器等。

第十三条网络与计算中心应采取访问控制、安全审计、完整性检查、入侵防范、恶意代码防范等措施加强校园网络边界防护。

第十四条师生员工接入校园网络，实行“实名注册、认证上网”制度；学校非涉密信息系统接入校园网络，实行接入审批和备案登记制度。涉密信息系统不得接入校园网络。任何单位和个人不得窃取或盗用他人的用户名、口令、IP 地址和 MAC 地址等，不得在网络上泄露师生员工的个人信息。

第十五条接入校园网的机房、电子阅览室等一律不准对社会开放，上网人员必须持有有效证件登记后，方可上网。机房必须安装管理软件，自动记录上网人员身份和上下网时间、机号、 IP 地址等，网络使用记录保持时间不得少于 6 个月。

第十六条校园网络接入单位负责提供本单位所需的网络设备间和电源保障，负责其安防和消防安全管理。

第十七条未经学校允许，网络运营商不得在校园内随意提供网络服务（有线及无线 WIFI），网络数据必须经学校统一出口、统一管理、统一认证、统一防护、统一上网行为审计、统一上网日志记录。

第四章信息系统及其数据安全。

第十八条信息系统数据是指信息系统收集、存储、传输、处理和产生的各种电子数据，包括但不限于网站内容、业务数据、网络课程、图书资源、日志记录等。

第十九条信息系统数据的所有者是数据安全管理的责任主体，应当落实管理和技术措施，规范数据的收集、存储、传输和使用，确保数据安全。

第二十条信息系统数据收集应遵循“最少够用”原则，不得收集与信息系统业务服务无关的个人信息。按照“谁收集，谁负责”的原则，收集个人信息的单位是个人信息保护的责任主体，应当对其收集的个人信息严格保密，并建立健全相关保护制度。

第二十一条网络与计算中心负责学校核心信息系统的备份与恢复管理，制订备份与恢复计划，根据业务实际需要对重要数据和信息系统进行备份，定期测试备份与恢复计划，并确保备份数据和备用资源的有效性。

第二十二条任何单位和个人，不得私自设立互联网服务器或自建联网的应用系统。根据教学和科研实际工作需求，确实需要建立应用系统的，经网络与计算中心批准后方可联网运行。

第二十三条需要开设联网信息服务的单位，须向网络与计算中心提出书面申请，由网络与计算中心进行技术评估、备案后方可对外提供服务；服务器必须具有保持日志记录功能，历史记录保持时间不得低于 6 个月。

第二十四条接入互联网的服务器及应用系统，应该采取必要的网络安全防护措施、安装防护软件，并将防护措施上报网络与计算中心备案。

第二十五条网络与计算中心有权对各单位服务器和应用系统进行必要的安全检查和评测，对达不到安全要求的，关闭对外服务，整改合格后系统方可上线运行。

第五章互联网网站安全。

第二十六条学校各单位开办互联网网站，应先到宣传部审批，同意后在网络与计算中心备案，并分配学校互联网域名和互联网 IP 地址。

第二十七条网络与计算中心统一建设学校网站集群平台并负责纳入该平台网站的技术安全。未纳入学校网站集群平台的网站，其技术安全由网站开办单位负责。

第二十八条学校各单位开办互联网网站应优先选择学校网站集群平台，集群平台不能满足需求时可委托其他供应商管理。网站投入试运行后，通过网络与计算中心组织的安全检查方可正式上线。

第二十九条互联网网站运行维护单位应建立网站值守制度，制订应急处置流程，组织专人对网站进行监测，发现网站运行异常及时处置。

第三十条互联网网站的内容安全由网站开办单位负责。互联网网站开办单位应建立完善的网站信息发布与审核制度，确定负责内容编辑、内容审核、内容发布的人员名单，明确审核与发布程序，保存相关操作记录。

第三十一条原则上，学校各单位不得提供电子公告服务。确有需要，经批准备案后方能提供电子公告服务。提供电子公告服务的互联网网站开办单位承担电子公告服务内容管理的主体责任，并按国家有关规定落实专项安全管理和技术措施。

第六章电子邮件安全

第三十二条网络与计算中心为学校各单位和师生员工提供电子邮箱服务，并负责学校电子邮件的安全管理。学校各单位和师生员工使用学校电子邮箱应遵守学校电子邮箱管理等相关规章制度。

第三十三条网络与计算中心应采取必要的技术和管理措施，加强电子邮件系统安全防护，减少垃圾邮件、病毒邮件侵袭。

第三十四条全校师生员工须对使用其电子邮件帐号开展的所有活动负责，应妥善保管本人使用的电子邮箱账号和密码，确保密码具有一定强度并定期更换。师生员工如发现他人未经许可使用其电子邮箱，应立即通知网络与计算中心处理。

第七章终端计算机安全

第三十五条终端计算机是指由学校师生员工使用并从事学校教学、科研、管理等活动的各类计算机及附属设备，包括台式电脑、笔记本电脑及其他移动终端。

第三十六条终端计算机使用人按照“谁使用，谁负责”的原则，对其终端负有保管和安全使用的责任。网络与计算中心对终端计算机的安全管理提供技术支持和指导。 -

第三十七条终端计算机设备上安装、运行的软件应为正版软件。在终端上使用盗版软件带来的安全和法律责任由终端使用人承担。第三十八条终端计算机应当设置系统登录账号和密码，登录密码应具有一定强度并定期更改。

第三十九条终端计算机使用人应做好数据日常管理和保护，定期进行数据备份。非涉密计算机不得存储和处理涉密信息。第四十条终端使用人应做好终端计算机的安全防范，如发现终端计算机出现可能由病毒或攻击导致的异常系统行为或其他安全问题，应立即断网后进行处置。

第八章存储介质安全

第四十一条存储介质是指存储数据的载体，主要包括硬盘、存储阵列、磁带库等不可移动存储介质，以及移动硬盘、U 盘等等可移动存储介质。

第四十二条原则上，存储阵列、磁带库等大容量介质应托管在学校数据中心，并由网络与计算中心统一运行、维护和管理。网络与计算中心应采取必要技术措施防范数据泄漏风险，确保存储数据安全。

第四十三条学校各单位应建立移动介质管理制度，记录介质领用、交回、维修、报废、损毁等情况。介质使用人按照“谁 - 10 - 使用，谁负责”的原则，对其移动介质负有保管和安全使用的责任。

第四十四条非涉密移动存储介质不得用于存储涉密信息，不得在涉密计算机上使用。

第四十五条移动存储介质在接入终端计算机和信息系统前，应当查杀病毒、木马等恶意代码。

第四十六条介质使用人应注意移动存储介质的内容管理，对送出维修或销毁的介质应事先清除敏感信息。

第四十七条网络与计算中心应配备必要的电子信息消除和销毁设备。存储介质履行必要的审批程序后，可由网络与计算中心集中销毁。

第九章人员安全管理

第四十八条学校各单位应建立健全本单位的岗位信息安全责任制度，明确岗位及人员的信息安全责任。关键岗位的计算机使用和管理人员应签订信息安全与保密协议，明确信息安全与保密要求和责任。

第四十九条学校各单位应加强人员离岗、离职管理，严格规范人员离岗、离职过程，及时终止相关人员的所有访问权限，收回学校提供的软硬件设备，并签署安全保密承诺书。

第五十条学校各单位应定期对网络信息安全岗位的人员进行安全知识和技能的考核，并对考核结果进行记录和保存。

第五十一条学校各单位应建立外部人员访问机房等重要区域的审批制度，外部人员须经审批后方可进入，并安排工作人员现场陪同，对访问活动进行记录和保存。

第五十二条学校各外包服务需求单位应与网络信息系统开发和运维服务提供商签订网络信息安全与保密协议，明确网络信息安全与保密责任，要求服务提供商不得服务转包，不得泄露、扩散、转让服务过程中获知的敏感信息和各类电子数据，不得占有服务过程中产生的任何信息资产，不得以服务为由强制要求委托方购买、使用指定产品。各单位签署外包服务合同时，应将网络信息安全与保密协议作为合同附件。

第十章网络信息安全应急管理

第五十三条网络与计算中心负责学校网络信息安全应急工作的统筹管理，制定学校网络信息安全事件报告与处置流程，以及安全应急工作的技术支撑和保障。

第五十四条网络与计算中心定期组织网络信息安全应急演练，评估并适时组织网络信息安全应急预案修订。学校各单位应组织开展网络信息安全应急预案的宣传、教育和培训，确保相关人员熟悉应急预案。

第五十五条网络与计算中心负责组建学校信息安全应急队伍，完善 24 小时应急值守制度，提高信息安全事件的预防、预警和应对能力，预防和减轻信息安全事件造成的损失和危害。

第五十六条学校各单位应按照学校网络信息安全事件报告与处置流程，做好事发紧急报告与处置、事中情况报告与处置和事后整改报告与处置工作。做到安全事件早发现、早报告、早控制、早解决。

第五十七条学校各单位及师生员工均有义务及时向网络与计算中心报告信息安全事件，不得在未授权情况下对外公布、尝试或利用所发现的安全漏洞或安全问题。

第十一章网络信息安全教育培训。

第五十八条网络与计算中心负责组织学校网络信息安全宣传和教育培训工作，建立健全相关制度。

第五十九条网络与计算中心定期组织开展针对师生员工的网络信息安全教育，提高师生员工的安全和防范意识。

第六十条网络与计算中心定期开展针对网络信息安全管理人员和技术人员的专业技能培训，提高网络信息安全工作能力和水平。

第十二章网络信息安全检查监督。

第六十一条学校各单位定期对本单位信息系统的安全状况、安全保护制度及措施的落实情况进行自查，并配合有关部门的网络信息安全检查、信息内容检查、保密检查与审批等工作。

第六十二条网络与计算中心对学校各单位的网络信息安全工作落实情况进行检查，对发现的问题下达限期整改通知书，责成相关单位整改并落实。对监督违规建设网络设施进行关停、拆除等处理。

第六十三条网络与计算中心对年度安全检查情况进行全面总结，按照要求完成检查报告并报学校网络安全工作委员会。

第十三章网络信息安全责任追究

第六十四条学校建立网络信息安全责任追究和倒查机制。

第六十五条有关单位在收到网络信息安全限期整改通知书后，整改不力的，学校给予通报批评；玩忽职守、失职渎职造成严重后果的，依纪依法追究相关人员的责任。

第六十六条学校各单位应按照网络信息安全事件报告与处置流程及时、如实报告和妥善处置网络信息安全事件。如有瞒报、缓报、处置和整改不力等情况，学校将对相关单位责任人进行约谈或通报。

第六十七条师生员工违反本办法规定的，由网络与计算中心责令改正，并通报批评；拒不改正或者导致危害网络信息安全等严重后果的，根据学校有关规定给予以纪律处分。触犯法律的，移交司法机关处理。

第十四章其它

第六十八条涉及国家秘密的信息系统，执行国家保密工作的相关规定和标准，由保密委员会办公室监督指导。

第六十九条本办法在实施中若与国家有关法律、法规有不一致的，以国家法律、法规为准。第七十条本办法经校长办公会审议通过，自下发之日起实施，由网络与计算中心负责解释。学校原有相关规定与本办法不一致的，按本办法执行。

第七十一条本办法通过实施后，对于网络服务商原有的网络服务必须补办相关手续，否则网络建设设施属于违规建设，应予以关停或拆除。

第七十二条本办法不适用于康养学院及与学校合作的其他科研单位的网络信息安全管理。