第一章  总则

  第一条  保障校园网络及信息系统的安全稳定，促进学校信息化健康发展，根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国网络安全法》等国家相关法律法规并结合我校实际，特制定本办法。

  第二条  网络安全是指通过采取必要的措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。

  第三条  网络安全管理的基本原则是“谁主管、谁负责，谁运维、谁负责，谁使用、谁负责”；明确责任、突出重点、保障安全。

  第四条  网络安全管理的总体方针是以国家标准《信息系统安全等级保护基本要求》（GB/T  22239-2008）为指导，预防为主、综合防范。

  第五条  网络安全管理的目标是建立健全网络信息安全保障体系，提高安全防护能力，确保学校网络信息安全工作规范、有序开展，保障学校信息化建设可持续发展。

第二章  机构与职责

  第六条  学校成立网络安全工作领导小组。领导小组由学校党委书记和校长任组长，其他校领导任副组长。党政办公室、组织人事处、宣传统战办公室、纪检监察审计处、教务处、科研处、安保法制处、学生处、后勤基建处、计划财务校产处、招生就业处、督导室、继续教育部、工会、团委、教育信息技术中心和各系部主要负责人为成员。领导小组下设办公室，办公室设在党政办公室，党政办公室负责人担任办公室主任，安保法制处和教育信息技术中心负责人担任副主任。

  领导小组的主要职责是：

  1.贯彻落实国家、省有关部门关于网络安全的工作部署，组织研究制定学校网络安全发展规划及规章制度。

  2.统筹协调学校网络安全重大问题及校内外网络安全相关事务，组织实施学校网络安全工作。

  3.对学校网络安全工作进行指导、监督、考核和检查。

  第七条  党政办公室是学校网络安全工作牵头部门，负责协调学校网络安全工作，负责网络内容与意识形态工作。主要职责是：

  1.负责对学校网络发布的信息和有关意识形态、网络舆情等网络内容进行监督和处置。

  2.协同安保法制处、宣传统战办、教育信息技术中心、团委等部门对师生进行网络安全教育和相关法制教育。

  第八条  党政办公室牵头，负责协调处置重大敏感时期、重要活动、重要会议期间发生的信息安全事件，负责处理涉密级信息网络泄密类事件，指导校属各单位做好网络涉密工作。

  第九条  安保法制处负责协助相关部门做好网络安全稳定工作，协助政府有关部门查处利用校园网络进行的违纪违法行为。

  第十条  教育信息技术中心负责校园网的建设维护、技术支撑与数据安全管理工作。主要职责是：

  1.负责学校网络安全基础设施的管理与运行维护。

  2.负责落实安全保护技术措施，做好用户信息的管理，保障校园网的运行安全、信息安全、系统安全与数据安全。

  3.负责对各处室、系部的网络安全技术工作进行指导、培训、督促、检查、技术支持与服务。

  4.履行其他有关网络运行安全、信息安全、系统安全的职责。

  第十一条  学校各处室、系部（以下统称单位）主要负责人是本单位网络安全工作的第一责任人。各单位应明确一名负责人分管网络安全工作，负责本单位网站、新媒体的信息系统安全和意识形态、网络舆情的监管与处置；负责审核和管理本单位上传的各类网络信息。各单位须指定一名相对稳定的网络安全管理员，具体负责本单位网络安全工作，做好与党委宣传部、教育信息技术中心的联络工作；相关人员调整时应及时报备网络安全工作领导小组办公室；各单位的网络安全工作纳入学校年度综治维稳工作目标管理考核。

第三章  网络信息安全

  第十二条  学校实行网络安全等级保护制度。校园内各网络服务提供者与管理者均应按照安全等级保护制度的要求，履行以下安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

  1.制定内部安全管理制度和操作规程，明确网络安全负责人，落实网络安全保护责任。

  2.对本部门网站发布的信息和有关意识形态、网络舆情等网络内容进行监督和处置。

  3.负责本部门网站相关栏目的新闻、图片、资源的审核及上传工作。

  4.采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。

  5.采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关网络日志不少于6个月。

  6.采取数据分类、数据备份和加密等措施。

  7.法律、行政法规规定的其他义务。

  第十三条  各单位网站或信息系统原则上要求分别建在学校网站群和校园网服务器上。有特殊原因需使用独立服务器的须报教育信息技术中心审批、备案，要求取得原始代码，掌握最高管理权限，并实行有效控制。以学校或学校内设机构名义在校外创建的网站和新媒体平台，须报党政办公室审批、宣传统战办公室和教育信息技术中心备案，并接受常规检查和年审。

  第十四条  学校各网站在上线前，网站主办单位须开展安全自查工作，提供安全自查报告，并填写《网站及信息系统情况记录表》，经单位主要负责人签字确认后，提交宣传统战办公室和教育信息技术中心备案。各网站主办单位应加强对网站的建设与管理，并对网站的形式、内容、信息安全负责。

  第十五条  学校各单位网站原则上使用学校统一的域名。未经批准，任何单位不得在校园网上申请校外域名用于对外提供域名解析服务。已获批准的，需到工信部门进行备案。

  第十六条  各单位网站未经宣传统战办公室批准不得开设聊天室、论坛等栏目；需要开设留言板功能模块的必须设置审核功能。

  第十七条  教育信息技术中心采用专业技术手段对网站或信息系统进行安全检测。检测未通过的须进行安全整改，直至通过检测，网站或信息系统方可上线运行。

第四章  网络运行安全

  第十八条  各单位须定期对本单位的网站及信息系统开展安全巡检，并做好巡检记录，填写《网站及信息系统巡检记录表》。对校外开放的网站或信息系统，要求每周巡检一次，对校内开放的网站或信息系统，要求每月巡检一次。

  第十九条  各单位须定期对网站及信息系统进行漏洞修补，包括主机系统漏洞、WEB应用漏洞、中间件漏洞、数据库漏洞等。

  第二十条  学校将定期对全校的网站及信息系统开展安全检查，检查不合格的网站或信息系统，视其漏洞级别暂停其访问，同时通知责任单位限期整改，要求提供整改报告并提交宣传统战办公室、安保法制处和教育信息技术中心。经安全复查合格后，方可恢复该网站或信息系统的正常访问。

  第二十一条  特殊时期，各单位须加强网站及信息系统的安全监管工作，安排专人值守，加强安全巡检，做好安全整改。

  第二十二条  校园网上网采用实名制。用户在办理网络接入、域名注册等手续时应当按要求提供真实身份信息。对于不提供真实身份信息的用户，不得为其提供相关服务。教育信息技术中心定期对上网账号信息进行审核。

  第二十三条  校外人员如因工作需要须接入学校网络，由相关单位向党政办公室提出网络接入申请，获得批准后报、安保法制处和教育信息技术中心备案，并对其承担监督责任。

  第二十四条  计算机设备及系统在接入学校网络前须接受教育信息技术中心的检查，检查通过后方可接入；接入互联网的计算机必须与各单位的涉密计算机系统实行物理隔离。涉密信息不得在上网设备上操作或存储。

  第二十五条  所有接入网络的用户必须自觉遵守国家的法律法规，不得危害网络安全，不得利用网络从事危害国家安全、荣誉和利益，煽动颠覆国家政权、推翻社会主义制度，煽动分裂国家、破坏国家统一，宣扬恐怖主义、极端主义，宣扬民族仇恨、民族歧视，传播暴力、淫秽色情信息，编造、传播虚假信息扰乱经济秩序，以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。

  第二十六条  教育信息技术中心负责学校关键信息基础设施安全规划，指导和监督关键信息基础设施运行安全保护工作，应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设和同步使用。

  第二十七条  教育信息技术中心应当定期对关键信息基础设施运营的工作人员进行网络安全教育、技术培训和技能考核，对重要系统和数据库进行容灾备份。

  第二十八条  对于学校关键信息基础设施，教育信息技术中心应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关部门。

第五章  信息系统安全

  第二十九条  各单位负责本单位信息系统的运行维护、信息审核和信息安全管理。

  第三十条  各信息系统原则上应使用学校二级域名。未经学校批准，任何单位和个人不得以学校名义注册互联网域名及通过校外服务器发布信息系统。

  第三十一条  教育信息技术中心不定期对各单位信息系统进行监督检查，不符合网络与信息安全要求的，视其情况限期整改或终止网络接入。

  第三十二条  学校根据教育部颁发的《教育信息系统安全等级保护定级指南》等文件要求，对学校所有信息系统进行等级评定和安全保护。教育信息技术中心负责信息系统安全等级保护工作的技术指导，各单位负责做好本单位信息安全等级保护工作。

  第三十三条  各单位信息系统必须严格执行国家安全和保密法规，杜绝发布涉密信息。涉密信息系统应严格执行有关涉密计算机及信息系统保密管理规定。各单位信息系统的管理账号和密码要严格保密，发现任何非法使用或存在其他风险，应立即上报安保法制处和教育信息技术中心并及时处理解决。

  第三十四条  各单位信息系统涉及的程序编码应符合安全规范，并按照网络与信息安全要求部署安全防范措施。发现漏洞、病毒、木马程序的，应及时处理解决并报告教育信息技术中心。

  第三十五条  各单位信息系统必须建立数据备份制度、信息安全突发事件应急预案和有效的监控与防范机制，定期对数据进行备份，遭遇突发情况应及时恢复服务。

第六章  监测预警与应急响应

  第三十六条  学校建立网络安全监测预警和信息通报制度，各单位须制定本单位的网站及信息系统安全风险评估与应急预案，并定期进行安全应急演练。党委宣传部、教育信息技术中心统筹协调各单位加强网络安全信息收集、分析和通报工作，按照规定统一发布网络与信息安全监测预警信息。

  第三十七条  网络安全事件应急预案应当按照事件发生后的危害程度、影响范围等因素对网络与信息安全事件进行分级，并规定相应的应急处置措施。

  第三十八条  当网络安全事件发生的风险增大时，应当按照规定的权限和程序并根据信息与网络安全风险的特点和可能造成的危害，学校网络安全工作领导小组办公室可采取以下措施：

  1.要求有关单位和人员及时收集、报告有关信息，加强对网络与信息安全风险的监测。

  2.组织有关单位和专业人员，对网络安全风险进行分析评估，预测事件发生的可能性、影响范围和危害程度。

  3.报告和发布网络安全风险预警，发布避免、减轻危害的措施。

  第三十九条  发生网络安全事件时，涉事单位应立即向领导小组办公室报告，并根据学校统一安排启动网络安全应急预案，采取相应的技术措施，消除安全隐患，防止危害扩大。

  第四十条  学校有关单位在履行网络安全监督管理职能时，发现网络或信息系统存在较大安全风险或者发生安全事件的，可以按照规定的权限和程序对有关部门提出要求，相关单位应当采取措施进行整改和消除隐患。

  第四十一条  因违规违法或管理不力导致的网络与信息安全事件，给学校造成严重损害或产生严重后果的，学校将按照有关规定追究直接责任人和相关领导责任。

第七章  附  则

  第四十二条  本管理办法由党政办公室和教育信息技术中心负责解释。

  第四十三条  本管理办法自颁布之日起施行。