各单位、各部门：

        为强化学校网络与信息安全管理，保障学校网络与信息系统安全稳定运行，提升安全风险的防范能力和管理水平，保护学校和师生各类信息安全，根据国家有关规定，结合我校实际，特制订本办法。经学校研究通过，现予以印发，请认真学习，遵照执行。

山西工商学院

2023年5月5日

山西工商学院网络与信息安全管理办法

第一章  总 则

        第一条 为强化学校网络与信息安全管理，保障学校网络与信息系统安全稳定运行，提升安全风险的防范能力和管理水平，保护学校和师生各类信息安全，根据《中华人民共和国计算机信息网络国际联网安全保护管理制度》《中华人民共和国网络安全法》等有关法律法规，结合我校实际，特制定本办法。
        第二条 本办法所称的网络与信息安全，是指学校在信息化规划、建设、运行维护及废止等过程中保障信息化环境、网络设施、网络环境、信息系统及内容等安全的一系列管理与技术活动。包括但不限于物理环境、网络设备、主机系统、应用系统、数据信息和运行管理安全等建设与维护管理，以及通过校园网进行的任何形式的信息传播管理，如网站、电子邮件、论坛、留言板、网络视频/音频服务等。本办法适用学校所有单位、个人以及使用学校校园网或信息资源的其他单位的人员。

        第三条 网络与信息安全管理遵循“统筹规划、同步建设、集中管理、分级负责”的工作思路，实行“谁主管谁负责，谁主办谁负责，谁使用谁负责”的管理原则。

第二章  职责分工

        第四条 设备处/信息化建设中心是学校网络与信息安全的归口管理单位，在学校网络安全和信息化领导小组（以下简称“领导小组”）领导下开展管理工作，负责网络与信息安全总体技术保障和运维管理工作；负责编制信息安全规划和工作计划；组织制定安全管理制度和运行管理规范；负责建立信息安全技术防护体系；组织开展信息系统定级、备案、测评和整改工作；负责审核新建信息系统安全设计方案和组织系统上线安全评测；组织实施信息安全检测和协调处理信息安全事件；指导各部门信息安全工作等；负责全校的网络和信息系统安全，负责对校园网络、数据中心机房服务器和存储等基础设施进行安全维护管理和运行监测，进行系统安全升级和数据统一备份。
        第五条 党委宣传部负责学校门户网站重要固定内容的审核管理和各单位网上信息内容的指导和监管。
        第六条 党委宣传部负责学校新闻和论坛等动态信息内容的审核管理，以及互联网不良信息的监控，会同设备处/信息化建设中心、保卫处共同完成相关取证工作等。
        第七条 设备处/信息化建设中心负责涉密网络和信息系统等的具体管理。

        第八条 各部门负责本单位主管的业务管理信息系统、网站等的信息安全管理，建立信息系统的系统安全、应用安全、权限管理和数据信息安全建设管理和防范措施，做好数据维护、备份和归档工作。

第三章  建设规划

        第九条 学校信息系统必须符合国家信息安全等级保护和学校信息安全管理的相关要求。
        第十条 学校建设安全可靠信息化机房环境，配备符合标准的配电、防雷、灭火、照明、温度、湿度、门禁等设施与系统。
        第十一条 学校部署路由器、防火墙、网闸、入侵防御、安全审计、防病毒、网页防篡改等安全设备与系统；购置正版安全数据库、操作系统、应用软件等；完善数据与系统备份容灾体系建设，采取服务器管控、统一认证、数字签名、传输加密、终端防护等措施，建立安全运维管理平台等加强技术防护监管建设。
        第十二条 学校统一管理互联网出口和校园互联网运营。各单位通过统一出口接入互联网；确需另行开通互联网出口的单位，需经设备处/信息化建设中心审批后方可开通。在校园内提供访问互联网服务的校外单位经营的网络，其建设、改造、运营等方案须报设备处/信息化建设中心审核，通过学校审批和安全测评后方可投入使用。任何单位和用户不得私自提供网络接入和互联网服务。互联网接入涉及保密区域、单位和人员的同时报保密办公室审批。
        第十三条 新建、改建或扩建信息系统时，系统和安全建设同步规划、同步设计、同步实施，保证安全设计的完整实现，并通过学校组织的安全测评。

        第十四条 信息系统相关操作系统、数据库、应用程序等安装调试完毕后，必须提交完整的系统安装配置等文档，并须经过项目安全测评方可上线运行。项目验收前，所有文档全部从建设单位收回，由业务管理单位专人管理，并在设备处/信息化建设中心留存备案。

第四章  运维管理

        第十五条 建立健全机房安全管理制度，完善供配电、通信、空调、消防、监控等配套环境设施和巡查制度，加强门禁建设和人员进出管理。
        第十六条 严格资产管理，建立完备的设备和系统管理制度，明确计算机设备使用者或管理者及其安全责任，根据重要程度采取不同的安全保护措施。
        第十七条 规范配置调整过程管理，网络设备、主机系统、数据库系统和应用系统等进行配置和修改，须视情况由业务主管部门或会同设备处/信息化建设中心进行评估和审批，调整后及时准确做好记录。
        第十八条 加强网络设备与信息系统授权管理，按照“最小权限和分级控制”原则设置权限。各部门重要信息系统必须设置分级控制权限，重要密码必须分段设置并由主管业务的主要负责人和系统管理员分别妥善保管。各信息系统管理员在合法用户调离学校或身份变更时及时注销和调整权限。所有设备和系统须设置符合安全规定的严密复杂登录账号和密码，并定期更换。
        第十九条 加强数据和资料管理，各单位安排专人负责对学校内部数据、个人信息、技术文档、资料和程序代码进行保管和保护，规范使用，防止泄露。涉密信息禁止通过校园网传输。
        第二十条 学校收集、存储用户个人信息（如上网日志、身份数据）需限于网络安全管理必要范围，保存期限不超过6个月（法律法规另有规定除外）；禁止向第三方泄露，因安全管理需要共享的，需匿名化处理。
        第二十一条 加强网络信息发布管理，各单位指定负责人及专人负责网上信息发布和审核。
        第二十二条 加强邮件安全管理，职工须使用校内邮件系统处理工作业务，并定期清理工作邮件。
        第二十三条 规范信息化建设和运维人员管理，重点岗位人员签订保密协议，建立离岗调岗管理制度。
        第二十四条 加强网络与信息安全外包服务的选择与管理，明确网络安全和保密责任，重要信息系统建设须与外包服务提供商和人员签署安全保密协议。外包服务人员操作生产设备、数据库和信息系统等须经批准并有专门人员陪同，并记录服务内容和过程；远程服务须采取访问控制、在线监测和日志审计等安全防护措施。

        第二十五条 学校定期或不定期组织对网络和信息系统进行安全检查、技术检测、渗透测试和风险评估，组织协调做好漏洞检查、病毒防护和系统更新升级工作，并做好书面记录工作。

第五章  用户接入管理

        第二十六条 按照 “谁使用，谁负责”的原则，对校园网实名认证账号进行规范管理，执行一人一账号，账号持有人须对账号身份信息的真实性、安全性负责。
        第二十七条 设备处/信息化建设中心负责对校园网用户上网账号进行统一管理，具体职责是：  
        （一）负责上网账号的记录、审批、分配、备案； 
        （二）负责对账号使用者上网情况的监管和检查； 
        （三）负责上网账号的申请、注销、密码更改的审批； 
        （四）开启防代理措施，制定并组织实施账号管理的有关制度及技术规范。 
        第二十八条 公共上网服务的机房、实验室、电子阅览室等公共网络使用场所，须有专人对上网计算机进行管理，建立严格的班级实名登记制度。
        第二十九条 校园网所有用户账号均以单位或个人实名开设，用户必须提供真实的资料。校园网账户仅供本单位或本人使用，禁止提供给他人使用。以单位名义开通的账户由使用单位安排专人负责管理。
        第三十条 校园网用户对个人各类账号负有管理责任，要加强个人的统一身份认证账号、上网账号、邮箱账号及密码管理，防止他人盗用后在网上进行违规和非法活动。
        第三十一条 校园网用户必须遵守国家有关法律法规和学校规定，不得在网上进行违规和非法活动，不得制作、复制、发布和传播包括但不限于以下内容的信息：
        （一）对校园网络进行非法侵入、嗅探或盗用他人账号； 
        （二）私自转借、转让、出租上网账号； 
        （三）阻挠学校有关部门就可疑事件或网络运行状况进行调查、检查； 
        （四）未经批准，利用校园网内各级接入设备进行各类网络技术实验； 
        （五）其他扰乱校园网正常网络秩序。 
        （六）违反国家宪法所规定的信息；
        （七）危害国家安全、泄露国家秘密、颠覆国家政权、破坏国家统一的信息；
        （八）损害国家荣誉和利益的信息，煽动民族仇恨、民族歧视，破坏民族团结的信息；
        （九）散布淫秽、色情、赌博、暴力、凶杀、恐怖或教唆犯罪的信息，欺辱或诽谤他人、侵害他人合法权益的信息；
        （十）含有法律、行政法规禁止的其他内容的信息。

        第三十二条 校园网用户有维护校园网信息安全的责任和义务，一旦在校园网上发现不良信息，应及时向所在部门及学校举报，如涉及违法犯罪行为，应依法移交公安司法机关处理。

第六章  应急处置

        第三十三条 发生网络安全事件，学校制定网络与信息安全事件应急预案，定期组织应急预案的演练，并根据人员、信息资源等变动情况以及演练情况适时予以更新和完善，确保应急预案的有效性。
        第三十四条 学校组织协调应急备用资源，建立应急队伍，配备必要备机、备件等应急物资。

        第三十五条 建立安全事件通报制度。发生网络安全事件，除向学校汇报外，涉及危害国家安全、公共利益或可能影响社会稳定的，设备处应在 2 小时内报属地网信部门、公安机关，并配合调查处置。

第七章  安全培训

        第三十六条 学校制定网络与信息安全培训计划，并根据需要组织定期和不定期地分类培训。
        第三十七条 学校开展普及性培训，进行网络安全形势、警示教育和基本技能培训，增强防御意识，合法合规使用资源。

        第三十八条 学校开展网络安全管理和技术人员的专业技能培训，提高防范水平和应急处置能力。

第八章  安全责任追究

        第三十九条 责任主体的范围包括单位和个人。领导小组负责追究责任主体的事故责任。 
        第四十条 网络与信息安全事故的责任认定实行“谁主管谁负责、谁使用谁负责”的原则。 
        第四十一条 发生网络与信息安全事故后，应根据安全事件造成的影响及相关责任主体的纠正态度，作出如下处理： 
        （一）批评教育：包括责令责任主体检查、诫勉谈话等。 
        （二）通报批评：在事发部门、单位范围内对责任主体发文通报，责令整改，并由责任主体向学校主管领导作出书面检查。 
        （三）问责追责：将事故纳入责任主体的年度考核，依照发生网络与信息安全事故的严重程度，经领导小组上报校务会讨论，对责任主体和相关责任人处以罚款、赔偿事故损失、降职，情节严重的根据《劳动合同法》予以解聘。 
        （四）报警处理：损害社会或国家利益的，上报当地公安部门处理。 

        第四十二条 责任追究应当坚持公平公正、有责必究、过罚相当、教育与惩戒相结合的原则。

第九章  附 则

        第四十三条 本办法由设备处/信息化建设中心负责解释。
        第四十四条 本办法自印发之日起执行。