大学网络与信息安全管理办法.docx

大学网络与信息安全管理办法第一章总则第一条为落实网络安全法，进一步加强学校网络与信息安全工作，预防和减少网络信息安全事件的发生，切实保障校园网络与信息安全，特制定本管理办法。第二条学校网络与信息安全工作分为网络安全、信息系统安全（包括网站）和信息内容安全三个方面。网络安全是指校园网信息基础设施的安全，信息基础设施包括：光纤通信线路、弱电设施设备、网络设备等；信息系统安全是指承载校内各种应用系统的服务器软硬件的安全；内容安全是指应用系统上发布和存储的具体信息和数据的安全。第三条大学网络安全和信息化领导小组是学校网络与信息安全的领导机构，负责研究制定网络与信息安全规范与制度，检查监督相关规范与制度的落实情况，决策处置重大网络与信息安全事件。第四条网络与教育技术中心是学校信息化建设和管理的职能部门，也是日常管理和技术支撑部门。负责网络与信息安全工作的管理和落实，网络与信息安全防护体系的建设、运行维护和管理，统筹规划校园网信息系统向外网开放的范围，同时为全校各单位的网络与信息安全工作提供技术支持和服务。第五条学校各单位应按照“谁主管谁负责，谁运维谁负责，谁使用谁负责”的原则，做好本单位的网络与信息安全工作。第二章细则第六条学校各单位是本单位网络与信息安全工作的责任主体，单位主要负责人是本单位网络与信息安全工作第一责任人，安排一名负责人作为网络与信息安全管理人，至少配备一名在职教职工为单位信息安全员，具体负责本单位的网络信息安全工作。第七条学校各单位的二级网站全部纳入学校网站群系统进行统一管理，网络与教育技术中心负责系统安全。信息发布单位负责各自网站内容安全，网络与信息安全管理人对内容进行严格审核，确保信息内容的合法和安全。第八条学校各单位新建信息系统前必须向网络与教育技术中心提交书面申请，经研究通过后方可建设部署。系统部署完毕后必须经过网络与教育技术中心的安全性检测,检测达标后（以安全检测报告为准）准许上线。第九条学校定期对上线运行的信息系统进行安全性检测，检测不达标的限时整改，整改达标后方可重新上线。特殊情况下，将直接对存在严重安全隐患的信息系统强制下线。第十条为加强对重要信息的保护，特别是涉及师生个人信息的系统原则上应部署在学校数据中心内部，由网络与教育技术中心根据实际需要进行隔离防护。第十一条未部署到学校数据中心的信息系统，使用单位对系统的网络信息安全负责，使用单位必须配备硬件防火墙等安全设备进行防护，否则不予联网。第十二条网络与教育技术中心承担学校各信息系统的日常安全监管工作，定期对各单位的信息系统进行安全扫描和检测，及时将发现的安全隐患，通知各信息系统的管理人，各系统的管理人收到通知后应及时采取相应措施进行处置，并上报处置结果。第十三条学校各单位在签订信息系统的采购合同中必须明确服务提供商的安全责任、服务内容、服务方式、服务级别和保密协议等内容，并将以上信息向网络与教育技术中心进行报备，以便对服务提供商的服务行为进行安全监管和安全审计。第十四条按网络与信息安全管理的相关要求，学校重要信息系统必须进行定级和备案，定期进行安全等级测评、整改。新建、改建、扩建的信息系统应在设计阶段确定安全保护等级并同步建设安全防护措施。第十五条建立健全网络与信息安全应急处置和通报机制。各单位参照大学网络与信息安全突发事件应急预案制定本单位的应急处置预案。第十六条党委宣传部、学生处、保卫处等相关部门负责定期组织开展形式多样、针对性强的全员网络与信息安全宣传教育活动，提高全校师生员工的信息安全和防范意识,加强网络与信息安全教育，提高识别有害信息的能力，树立科学健康的用网习惯，培养规范、合法的网络行为。第十七条网络与教育技术中心定期对各单位的信息安全员进行技术培训，提高信息安全管理水平。第十八条本办法自发布之日起实施，由大学网络安全和信息化领导小组负责解释。