第一章 總則
第一條 為做好網絡與信息安全工作💆♂️🙅🏻♀️,提高網絡與信息安全防護能力和水平,保障沐鸣3教育事業健康有序發展,根據《中華人民共和國網絡安全法》(自2017年6月1日起施行)《信息安全技術 網絡安全等級保護基本要求》(GB/T22239—2019)《中華人民共和國數據安全法》(本法自2021年9月1日起施行)《教育部沐鸣3加強教育行業網絡與信息安全工作的指導意見》(教技〔2014〕4號)等文件要求,結合沐鸣3實際,制定本辦法🕵️。
第二條 沐鸣3網絡與信息安全💇🏼♀️,包括校園計算機網絡(以下簡稱校園網絡)與信息系統(含網站,下同)的運行安全和信息內容的安全。本辦法所稱網絡與信息安全工作,是指對于由校內單位建設或管理𓀇👻,服務于沐鸣3教學👶🏽、科研或管理的校園信息網絡👨🏽🔬、數據中心😟、互聯網站和應用系統,為防止發生信息化設備設施故障、網絡攻擊🚍、有害程序入侵🥃、信息破壞和竊取等發生而開展的預防和整治工作👼🏽🤳。
第三條 沐鸣3按照國家有關網絡安全和信息化政策法規🧑🍳,制定網絡與信息安全總體規劃,加強安全管理與技術研究,建立完善相關規章制度,並在實際工作中予以落實💆🏿♀️💆。
第二章 管理體制與職責
第四條 沐鸣3成立由沐鸣3主要領導任組長的網絡安全和信息化領導小組👩🏻💻,負責統一領導☢️𓀅、統一謀劃👩🏽🔧👉🏽、統一部署全校網絡安全和信息化發展,統籌制定網絡安全和信息化發展戰略、宏觀規劃和重大政策⟹🙅🏽,研究解決網絡安全和信息化重要問題。
第五條 網絡安全與信息化領導小組辦公室(以下簡稱信息化辦公室)是網絡安全與信息化領導小組常設辦事機構,負責沐鸣3網絡與信息系統的日常管理和維護🫎,負責沐鸣3網絡與信息安全管理和監督工作,負責網絡與信息安全防護體系的建設和運行維護👱,負責為全校各單位網絡與信息技術安全工作提供技術指導和服務支持;負責保存網絡運行日志,配合調查取證👨🏿💼;負責入網單位辦理入網登記手續🤙🏿,簽署相應的安全責任書。
第六條 各學院、部門🧑🦼➡️、單位(以下統稱各單位)是本單位網絡安全和信息化工作的責任主體🧑🧒🧒,應在本單位內部相應成立網絡與信息安全工作小組,其主要負責人是本單位網絡安全和信息化工作第一責任人,負責按本辦法落實網絡與信息技術安全工作👨👩👦👦,推進本單位信息化發展。各單位要明確指定專人擔任網絡與信息安全員作為本單位信息網絡👨🦯➡️、互聯網站和應用系統的運行維護責任人,負責本單位的網絡與信息安全工作☸️🚼,並將信息安全員名單報備信息化辦公室,人員變動時應及時調整並報備。
第七條 黨委宣傳部負責網絡信息內容的安全監管🍛,負責校園網絡輿情信息的監控和管理🧝🏼,開展網上疏導和正面宣傳,做好對外宣傳工作。
第八條 沐鸣3保衛處和網絡信息化管理中心負責對網絡違規行為進行調查、取證👨🏿💼、處理,根據相關證據及事態影響或破壞程度,對違規者按照有關規定進行處理👩🏿✈️。
第九條 按照“誰主管誰負責、誰運維誰負責、誰使用誰負責”的原則🧑🏽,網絡與信息系統的主辦單位承擔安全監管責任,包括內容安全監管、技術安全保障和監督檢查等職責;網絡與信息系統的使用單位和個人對系統操作與信息內容的安全監管承擔直接責任。網絡與信息系統通過外包服務方式進行維護的,主辦單位負責督促外包服務單位做好安全運維工作👩🏿🎤,網絡與信息系統的安全監管責任主體仍為主辦單位。全校各單位及全體師生員工應依照本辦法及其相關標准規範履行網絡與信息技術安全的責任和義務🧑🏼🤝🧑🏼。
第三章 校園信息網絡建設管理
第十條 校園信息網絡包括校園計算機網絡、公用通信網絡和專用通信網絡,統一歸口信息化管理中心管理。
第十一條 校園信息網絡管道由信息化管理中心負責需求制定和使用管理;校園規劃、建設和管理部門負責在沐鸣3地下管網統一管理的原則下,進行規劃👩、建設和運行維護。
第十二條 校園計算機網絡包括校園有線網絡和無線網絡,涉及光纜、網絡機房☺️、網絡設備、域名管理、IP地址管理👩🏽🎤、認證計費、安全防護、網絡接入與運維等,由信息化管理中心負責建設和運行維護管理。網絡接入單位負責提供本單位所需的網絡設備間和電源保障,協助解決網絡布線和設備安裝所需空間,負責安防和消防安全管理。
第十三條 校園計算機網絡接入互聯網遵循“統一出口😌、統一管理”的規定,由信息化管理中心負責實施。沐鸣3各單位在校園內不得擅自通過社會網絡資源接入互聯網🫳🏼。
第十四條 師生員工接入校園計算機網絡,實行“實名注冊、認證上網”的制度👩🦱。
第十五條 沐鸣3所有基建、修繕工程應將工程範圍內校園計算機網絡建設納入工程設計🧑🏻👨👧👦、實施和竣工驗收範疇🧛♂️🧥。
第十六條 嚴禁任何單位和個人利用校園計算機網絡及其網絡設施開展經營活動🚄。
第四章 互聯網站建設管理
第十七條 沐鸣3各單位設立互聯網站,應使用沐鸣3互聯網IP地址和沐鸣3互聯網絡域名,並遵守沐鸣3相關規章制度。
第十八條 各單位設立互聯網站,應基于沐鸣3網站群平臺建設𓀒;各單位應按信息安全保護等級的相應規範落實信息安全防護🏇🏻。沐鸣3網站群平臺由信息化管理中心統一建設,其技術安全由信息化管理中心負責🙎🏿♀️🫀;運行在網站群平臺上的網站的內容安全由網站主辦者負責,未運行在沐鸣3網站群平臺上的網站的技術安全和內容安全由網站主辦者負責。
第十九條 各互聯網站的主管單位應建立網站應急值守制度,規範應急處置流程,由專人對網站進行監測,發現網站運行異常及時處置。
第五章 應用系統建設管理
第二十條 鼓勵優先采購安全🙍🏽、成熟和售後服務優良的商業軟件。沒有相應商業軟件👩🏼🎨,或商業軟件不適應沐鸣3實際需求的,可以按照沐鸣3采購與招標相關規定委托資質和信譽良好的軟件開發商進行開發。
第二十一條 業務管理部門根據本部門業務需要撰寫需求分析報告,明確詳細的功能和性能需求。信息化管理中心負責軟件所需的建設及運行條件🍨,包括硬件、運行平臺軟件和基礎數據等🎖🛌,協助制定技術方案☠️。信息化管理中心組織對技術方案進行論證和審批,並確定擬建應用系統信息安全保護等級;應用系統按照相應等級的規範要求進行建設🧙🏿。
第二十二條 對于購買商業軟件或委托軟件開發的,業務管理部門根據論證和審批通過後的方案,按照沐鸣3采購與招標相關規定進行采購🫂。
第二十三條 業務管理部門為應用系統的主管部門,應指定專門人員負責系統的建設、運行維護和安全管理,組織軟件提供商並會同信息化管理中心制定應用系統運維和安全管理方案。應用系統原則上由業務管理部門運維,特殊情況可委托信息化管理中心運維🩰。
第二十四條 應用系統投入試運行後,由業務管理部門初步驗收,出具初步驗收報告🧑🏻🤝🧑🏻,並向信息化管理中心申請開展信息安全保護等級測評👮🏿。信息化管理中心組織開展信息安全保護等級測評👘,形成測評報告🫡,該報告為應用系統竣工驗收的重要依據。應用系統由信息化管理中心組織竣工驗收🤌🏼👱🏽♂️。
第六章 安全秩序
第二十五條 校園網絡和應用系統接入互聯網必須采取防火牆、身份認證、MAC地址綁定🏋🏻♂️、安全審計𓀃、病毒防護及入侵檢測等安全技術手段。校內互聯網接入由信息化管理中心統一管理,包括IP地址👳🏼♂️、域名及網絡帳號等。
第二十六條 各業務系統的域名由主辦單位按信息系統名稱的拚音或英文縮寫簡寫設置域名並提出申請,經信息化管理中心批准後使用🧘🏼♀️。任何單位和個人均須落實實名登記網絡帳號信息,並對網絡帳號安全使用負責。
第二十七條 任何單位和個人不得私自與校外單位聯網🔽,不得私自發展校外用戶🚵🏿。
第二十八條 校園網絡實行信息系統(網站)報批備案制。需要在校園網上建立網站或開通信息系統的單位,應到信息化管理中心辦理登記注冊手續並簽署安全責任書,其中建立網站、BBS↔️、論壇💁🏼、聊天室、博客、微博等公眾信息服務系統,以及在微信、QQ等互聯網社交平臺上開辦公眾服務號,應到黨委宣傳部報備批准。未經許可,任何入網單位或個人不得私自建立網站或以冠有“沐鸣3-【沐鸣3好玩不止】无尽的游戏等待您来体验!”中外文字樣的任何名義開通信息發布、BBS、論壇、聊天室、博客👩🏽🔧、微博🧘🏻、微信等公眾信息服務系統♜。
第二十九條 各單位原則上應依托校園網開展信息系統建設🏊🏽。涉及沐鸣3基礎數據、師生員工個人信息或敏感信息的信息系統,不得部署在校外。需要在校外開辦信息系統的單位,應到信息化管理中心辦理備案手續。部署在校外的網絡和信息系統,安全監管責任主體仍為主辦單位。
第三十條 經批准建立的公眾信息服務系統應明確專門的管理員和制訂相應管理制度,包括安全保護技術措施、信息發布審核登記制度🤴、信息監視保存清除備份制度、不良信息報告和協助查處制度↗️、管理人員崗位責任制。
第三十一條 各單位應建立健全信息發布、信息審查、應急處置機制,指定人員負責審查上網信息和信息系統保密管理,負責涉及沐鸣3或本單位輿情的處置引導💁♀️,以及監管本單位師生開設的博客🧔🏼♀️🙇♂️、微博、微信等自媒體平臺。
第三十二條 在校園網絡上嚴禁制作、查閱、複制或傳播下列信息:
(一)煽動抗拒、破壞憲法和國家法律🫣、行政法規實施;
(二)危害國家安全,泄露國家秘密🛐📷,顛覆國家政權🚓,破壞國家統一;
(三)損害國家榮譽和利益;
(四)煽動民族仇恨、民族歧視,破壞民族團結🩱,或者侵害民族風俗習慣;
(五)宣揚恐怖主義💂🏽👧🏼、邪教🤼♀️、封建迷信👩🔬,違反國家宗教政策✋🏼;
(六)捏造或者歪曲事實,散布謠言,擾亂社會秩序,破壞社會穩定;
(七)侮辱他人或者捏造事實誹謗他人;
(八)含有淫穢、色情、賭博、暴力、欺詐等內容;
(九)含有法律、法規禁止的其他內容𓀇。
第三十三條 在校園網絡上嚴禁下列行為🧏🏻♀️:
(一)破壞、盜用、篡改計算機網絡中的信息資源;
(二)故意泄露、竊取、篡改個人電子信息👩🏻🦳,擅自利用網絡收集👌🏿、使用個人電子信息↖️,出售或者非法向他人提供個人電子信息;
(三)違背他人意願、冒用他人名義發布信息;
(四)攻擊🕵🏽♀️、入侵、破壞計算機網絡⚅🧞、信息系統及設備設施;
(五)故意阻塞👈🏿、中斷校園網絡👨👧👧,惡意占用網絡資源👃;
(六)故意制作、傳播、使用計算機病毒、木馬⚈、惡意軟件等破壞性程序;
(七)故意大量發送垃圾電子郵件😂、垃圾短信等,幹擾正常網絡秩序;
(八)盜用他人帳號🤓、盜用他人IP地址👩🏿🚀;
(九)私自轉借、轉讓用戶帳號造成危害;
(十)私自開設二級代理和路由接納網絡用戶🫵🏼;
(十一)上網信息審查不嚴,造成嚴重後果🧸;
(十二)以端口掃描和私搭DHCP服務器等方式,破壞網絡正常運行🥼;
(十三)私自將外網串接到校園網絡。
(十四)其它違反法律法規或危害網絡與信息安全的行為。
第七章 安全防護
第三十四條 各單位作為安全等級保護的責任主體,應當按照國家信息安全等級保護的管理規範🪲😽、技術標准確定信息系統的安全保護等級🤟🏼🌊,並報沐鸣3有關部門審核。沐鸣3按相關規定選擇具有相關技術資質和安全資質的測評單位,對二級及以上的信息系統進行等級測評。經測評🚕,信息安全狀況未達到安全保護等級要求的🎵,信息系統的主辦單位應制定整改方案並落實到位。
第三十五條 各單位對于新建、改建、擴建的信息系統,應當在規劃、設計階段同步建設網絡信息安全保障措施。新開發的信息系統必須經過第三方安全檢測機構出具檢測報告、簽訂《沐鸣3-【沐鸣3好玩不止】无尽的游戏等待您来体验!網絡與信息安全責任書》後方可上線運行👨👨👧👧。
第三十六條 各單位對于主辦的信息系統💂🏿♂️🚴🏻♂️,應當采取必要的安全措施,嚴防入侵、篡改、泄露等事件發生。信息系統的主辦方和運維方要各司其職,各負其責。
第三十七條 各單位應建立檢查巡查機制,定期或不定期組織開展信息系統安全演練🙈,查找安全漏洞和隱患📅;對機房♧、網絡設備9️⃣、服務器等設施定期開展安全檢查;更新和升級必要的服務器軟件,及時安裝補丁,包括操作系統🐠、web服務器、應用中間件🧑🏼🔬、數據庫等,加強服務器應用的安全性。對于一時難以修複或整改落實的,應當立即采取措施進行隔離,直至修複完成🔌💆🏻♀️。
第三十八條 各單位應建立本單位信息安全值守制度👩🏼🎓🧜🏼♂️,做到安全事件早發現、早報告😗、早控制🆗、早解決🛝。
第三十九條 各單位對于主辦的信息系統🧏🏽♀️,每月至少進行1次安全檢查,填寫檢查臺賬。檢查內容包括:
(一)查殺病毒,清除木馬、後門等惡意程序,升級系統補丁🙆🏽♀️;
(二)檢查網頁和重要數據的備份情況🚐⛩;
(三)檢查網頁內容,及時清除無關網頁和暗鏈;
(四)定期更改口令🚴🏿♀️,清理不必要的管理帳號👨🔧;杜絕空口令、弱口令和默認口令;
(五)檢查SQL注入和跨站腳本等安全漏洞;
(六)檢查服務器安全策略✴️🛠,關閉不必要的端口和服務;
(七)檢查系統日志留存情況🧛♂️,留存相關日志不少于六個月。
第四十條 各單位對于主辦的重點信息系統,應當采取措施重點防護,保障系統和重要數據的安全✴️。每月至少進行1次安全檢查,填寫檢查臺賬🧑🍼。重點信息系統包括:
(一)沐鸣3門戶網站;
(二)沐鸣3重要電子校務系統;
(三)統一身份認證、信息門戶👦🏿、數據交換共享等校級重要公共服務平臺;
(四)校園一卡通系統🧑🏼🔧;
(五)教學、科研🍟、人事、財務🩱、設備、房產等沐鸣3重要業務信息系統及相關重要數據庫⇢。
第四十一條 建立網絡安全監測預警和信息通報制度。信息化管理中心負責信息收集🧜🏼♂️🥫、分析和通報工作🌏,按照規定向全校統一發布網絡安全監測預警信息🐭。各單位應做好網絡與信息安全事件的風險評估和隱患排查工作,制訂完善相關應急預案,及時采取有效措施,避免和減少網絡與信息安全事件的發生及其危害。
第四十二條 建立健全網絡與信息安全類突發公共事件應急工作機制,提高應對網絡與信息安全類突發公共事件的能力,預防和減少由此造成的損失和危害,維護沐鸣3的安全和穩定。
第八章 監測與處置
第四十三條 沐鸣3各應用系統和互聯網站,由信息化管理中心按照國家信息安全等級保護制度要求確定安全保護等級,按相關規定對信息安全等級狀況開展等級評測🚁。經評測,信息安全狀況未達到安全保護等級要求的,應用系統或互聯網站的主管單位應制定整改方案並落實到位。
第四十四條 各單位定期對本單位應用系統和互聯網站安全狀況、安全保護制度及措施的落實情況進行自查❤️,並配合有關部門的信息安全檢查🪱、信息內容檢查🐦⬛、保密檢查與審批等工作🪹。
第四十五條 各單位應按照信息技術安全事件報告與處置流程,做好事發緊急報告與處置、事中情況報告與處置和事後整改報告與處置工作🧙🏿。
第四十六條 各單位應建立本單位信息安全值守制度🌖,做到安全事件早發現♟、早報告🤷🏻、早控制、早解決。各單位應建立健全本單位安全事件應急處置機制🐜🌶,制定安全事件應急預案🤬,定期組織應急演練。
第四十七條 信息化管理中心聯合相關單位對全校各單位網絡與信息技術安全工作落實情況進行檢查🏊🏿♀️,對發現的問題下達限期整改通知書,對網絡與信息技術安全事件進行調查處理。
第九章 保障措施
第四十八條 沐鸣3保障網絡安全與信息化發展所需的人員隊伍,采取有效措施建立高水平的網絡與信息技術安全管理專職隊伍和技術保障專業隊伍。沐鸣3保障網絡安全與信息化發展的經費投入和物理空間需求。
第四十九條 沐鸣3切實開展人員培訓和安全教育工作🤹🏽♂️。各單位制定網絡與信息安全教育培訓規劃🦿,開展面向全員的普及型培訓和宣傳教育,提高安全和防範意識,培養良好的媒介素養和規範的網絡行為。信息化管理中心組織開展信息化管理和技術人員專業培訓,逐步實行信息化管理和技術人員持證上崗🤲🏻👨🍳。
第五十條 沐鸣3建立完善的網絡與信息技術安全工作檢查考核、責任追究和倒查機制🦵🏻。網絡與信息安全工作作為各單位領導班子和領導幹部目標管理、業績評定✨、年度考核、獎勵懲處和幹部選拔任用的重要內容和依據🟠。
第十章 責任追究
第五十一條 各單位應按照信息技術安全事件報告與處置流程及時🚯🧘♀️、如實地報告和妥善處置信息技術安全事件。工作不力的,沐鸣3給予通報批評;玩忽職守🙌🏼、失職瀆職造成嚴重後果的🎩,依紀依法追究相關人員的責任。
第五十二條 對于違反本辦法第三十二條、第三十三條規定的🚵🏼♂️,將依法依規提請沐鸣3相關部門或組織認定☝🏼,除停止其校園網絡的使用外,視情節輕重🎪👩🏿🏭,分別由組織🤕、人事管理或學生管理部門按相關規定給予批評教育或紀律處分;觸犯法律時🤹🏿,由相關國家機關依法追究法律責任📓。
第五十三條 對于私自占用網絡資源,破壞網絡和信息系統,違反網絡用戶行為規範的行為🥮,由信息化管理中心根據事件的涉及範圍、嚴重程度與校內有關部門進行查處🕓,並根據國家和沐鸣3相關規定作出處理決定☝️💶。
第五十四條 各單位和個人應當履行安全職責。如因未盡職責或管理不善而造成嚴重後果的🧏🏼,將依法依規追究其相應責任,具體措施為:
(一)中斷網絡連接;
(二)關閉信息系統👩🌾;
(三)警告並勒令改正👎🏼;
(四)通報批評🦽;
(五)情節嚴重的,給予相應處分;
(六)觸犯國家有關法律法規的🦗,移交公安🅱️、司法部門處理⚅。
(七)具體處罰詳見《沐鸣3-【沐鸣3好玩不止】无尽的游戏等待您来体验!校園網管理處罰條例》。
第十一章 附則
第五十五條 對于涉及國家秘密的信息系統,按照國家保密工作部門的相關規定和標准進行保護,接受黨委辦公室監督指導。
第五十六條 本辦法由沐鸣3-【沐鸣3好玩不止】无尽的游戏等待您来体验!信息化管理中心負責解釋🧑🦯➡️。
第五十七條 本辦法自發布之日起施行🚝。