第一章 总 则
第一条 为加强我校网络的运行和管理,强化网络安全意识,提高网络安全防范能力和水平,促进校园网络的健康发展,根据《中华人民共和国网络安全法》、《网络安全等级保护条例》、《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护定级指南》、《 信息安全技术 网络安全等级保护安全设计技术要求》等法律和规定,特制定本管理制度。
第二条 本管理制度所称“校园网络”(以下简称“校园网”)指学校投资建设和管理的校园辖区范围内由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,主要包括基础信息网络、信息系统、移动互联、物联网、云计算平台、大数据应用/平台/资源等。
第三条 网络安全的总体方针为:构建以物理安全建设为基础,网络系统综合安全保护为核心,安全管理制度为保障的综合网络安全保护体系,推进网络安全等级保护工作。
第二章 组织、管理机构
第四条 网络管理实行统一领导、分级管理,网络安全与信息化建设领导小组(以下简称“领导小组”)负责校园基础网络的规划、建设,负责学校网络安全重大事项决策和协调工作。
第五条 网络安全管理实行专业管理、归口监督,图情信息中心负责学校校园网及网络安全的建设、保障和培训等工作。
第六条 领导小组主要职责
(一)建立健全学校网络管理组织机构。
(二)建立健全网络安全管理体系。
(三)贯彻落实国家网络安全等级保护制度。
(四)指导编制学校网络安全事故应急预案。
(五)组织指挥学校网络安全事件应急处置。
(六)对网络安全管理制度进行检查和审定,对存在不足或需要改进的安全管理制度及时进行修订。
第七条 党委宣传部主要职责
(一)宣传贯彻国家网络安全相关法律、法规、规章和有关政策。
(二)建立健全信息发布审核、登记、保存、清除与备份、信息安全操作管理、用户登记制度和信息群发管理等制度。
第八条 图情信息中心主要职责:
(一)综合协调学校相关部门完成网络安全建设、维护、保障工作,开展风险评估和安全检查工作。
(二)落实国家及主管部门有关网络安全法规、方针、政策、标准和规范,联系网络安全管理部门并落实网络安全相关工作。
(三)负责学校网络安全等级保护工作,落实网络安全保护技术措施,保障校园网络安全。
(四)负责学校网络安全事件的调查和处理,协助各部门信息系统网络安全事件的调查和处理。
(五)在学校应急体系框架内,负责学校网络安全事件应急管理相关工作。
(六)开展涉密计算机网络的系统立项、设计和建设,做好信息系统安全与保密检查。
(七)负责学校信息系统安全产品的测评和选型工作。
第九条 业务应用部门主要职责:
(一)配合开展部门信息系统安全等级定级工作。
(二)配合开展业务应用系统和部门系统安全测评、安全检查和风险评估等工作。
(三)负责或配合开展业务应用使用人员的有关信息系统安全和保密培训工作。
(四)协助开展业务应用人员办公计算机安全管理。
第三章 主干网与接入子网
第十条 图情信息中心负责主干网的运行建设与管理,保证主干网的畅通,子网接入单位应当服从图情信息中心的统筹管理。
第十一条 子网接入部门职责:
(一)在部门负责人指导下,负责按有关要求和规定对子网进行建设、运行和管理。
(二)指导计算机系统管理员和用户对各自负责的网络系统、计算机系统和上网资源进行管理。
(三)负责本级网络相应的网络安全工作。
(四)负责保存本级网络运行的有关记录。
第十二条 各子网网络管理员负责子网内相应的网络安全工作,保存网络运行的有关记录,指导计算机系统操作员和用户对各自负责的网络系统、计算机系统和上网资源进行管理。
第四章 IP地址、用户申请与子网扩充
第十三条 全校网络IP地址由图情信息中心负责统一管理。
第十四条 入网部门应统一向图情信息中心申请分配或增加IP地址,入网部门和个人应严格使用由图情信息中心及学校网络管理员分配的IP地址,严禁盗用他人IP地址或私自设IP地址,图情信息中心有权切断乱设IP地址的子网,以保证校园网络的正常运行。
第十五条 用户要求入网,应向图情信息中心提出申请,由网络管理员对入网计算机和用户进行逐个登记,分配IP地址,办理有关手续。
第十六条 需要建设子网的单位应向图情信息中心提交申请和子网规划,由图情信息中心审批,未经批准,任何部门和个人不得私自扩充子网和与校外单位连网。
第五章 上网信息、信息站点和服务器管理
第十七条 上网信息管理实行谁上网、谁负责原则,上网信息不得有违反国家法律、法规或侵犯他人知识产权的内容,不得泄漏他人个人信息。
第十八条 上网信息实行审核登记制度。
第十九条 需要设立Web服务器、登录服务器、FTP服务器等公开站点的部门,必须向图情信息中心提出申请,由图情信息中心同意后方可设立,同时应指定专人(教师)负责管理,上述站点须接受图情信息中心的监督。
第二十条 除经批准的电子商务站点外,其余站点不得从事带有商业性质的服务。
第二十一条 除学校研究同意的外,校内部门和个人都不得在校园网上设立电子公告服务的非经营性信息服务站点(以下简称BBS站)或与BBS类似的公开信息站点,一经发现,即从网上隔离,并要追究相关人员的责任。
第六章 网络与信息安全管理
第二十二条 各子网接入部门和用户必须与学校签定《安全责任书》并自觉遵守相关管理规定。
第二十三条 各用户必须自觉遵守国家有关保密法规:
(一)不得通过用互联网泄露国家秘密。
(二)涉密文件、资料、数据严禁上网流传、处理、储存。
(三)与涉密文件、资料、数据和涉密科研课题相关的计算机严禁联网运行。
(四)不得盗用学校名义进行任何网上的非法操作。
第二十四条 任何用户不得利用互联网制作、复制、查阅和传播下列信息:
(一)煽动抗拒、破坏宪法和法律、行政法规实施的。
(二)煽动颠覆国家政权,推翻社会主义制度的。
(三)煽动分裂国家、破坏国家统一的。
(四)煽动民族仇恨、民族歧视,破坏民族团结的。
(五)捏造或者歪曲事实,散布谣言,扰乱社会秩序的。
(六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、邪教,教唆犯罪的。
(七)公然侮辱他人或者捏造事实诽谤他人的。
(八)损害国家机关信誉的。
(九)其他违反宪法和法律、行政法规的。
第二十五条 任何用户不得从事下列危害计算机信息网络安全的活动:
(一)未经允许,进入计算机信息网络或者使用计算机信息网络资源。
(二)未经允许,对计算机信息网络功能进行删除、修改或者增加。
(三)未经允许,对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加。
(四)故意制作、传播计算机病毒等破坏性程序。
(五)其他危害计算机信息网络安全的。
第二十六条 用户的通信自由和通信秘密受法律保护,任何部门和个人不得违反法律规定,利用互联网侵犯用户的通讯自由和通讯秘密。
第七章 安全措施
第二十七条 设立系统(主机)管理员、信息系统管理员、网络管理员、网络安全管理员、数据库管理员等岗位,明确各岗位职责。
第二十八条 加强管理人员之间、信息职能部门和业务部门之间的合作与沟通,共同协作处理网络安全问题。
第二十九条 加强人员安全管理和教育
(一)切实加强师生网络安全宣传,提高师生网络安全意识。强化信息系统安全人员专业技能培训,要对关键岗位人员进行全面、严格的安全审查和技能考核。
(二)加强信息系统关键岗位人员录用管理,聘用员工时进行充分筛选、审查和考核,并与其签订网络安全责任书。
(三)及时终止离岗员工的所有访问权限,严格外部人员访问程序,对允许访问人员实行专人全程陪同或监督,并登记备案。
第三十条 加强信息系统建设与运维安全管理
(一)按照国家有关部门要求,开展本部门网络与信息系统定级、审批、备案工作,针对确定的网络与信息系统安全等级,要根据等级保护有关要求,落实必要的管理和技术措施,严格执行等级保护制度。
(二)新建信息系统要明确安全需求,确定安全等级,结合学校安全防护总体策略,进行安全防护设置,要根据国家有关规定和坚持鼓励使用国产化产品原则,开展安全产品采购,必要时开展产品预先选型测试,加强软件开发管理,确保开发环境与实际运行环境安全隔离,委托有资质的第三方测评单位对系统进行安全性测评,并出具安全性测试报告,对测试不符合要求的要进行整改。
(三)严格遵守“涉密不上网、上网不涉密”纪律,严禁将涉密计算机与互联网和其他公共信息网络连接,严禁在非涉密计算机和互联网上存储、处理涉密内容,严禁涉密移动存储介质在涉密计算机和非涉密计算机及互联网上交叉使用。
(四)根据上级部门和学校要求,定期开展信息系统安全检查工作,做好特殊时期安全检查和安全保障工作。
(五)不断完善应急预案,加强培训和演练,确保人力、设备等应急保障资源可用。
(六)切实加强网络安全体系建设工作,做好信息系统统一身份认证以及重要信息的加密和签名工作。
第三十一条 要配合上级部门和学校依法进行的监督检查。
第八章 奖 惩
第三十二条 将网络安全纳入学校年度安全稳定工作中进行评定,依照学校相关办法给予精神和物质奖励。
第三十三条 对违反本制度中网络安全条款的进行处罚,处罚分为警告、停止用户、停止单机上网、停止子网入网并报学校有关部门处理,触犯国家有关法律者,要报公安机关依法追究责任。
第十章 附 则
第三十四条 本制度由图情信息中心负责解释,自发布之日起执行。
