校園網(wǎng)絡信息安全責任追究制度一、目的及范圍

為明確網(wǎng)絡與信息安全事故責任主體(以下簡稱“責任主體”)，追究網(wǎng)絡與信息安全事故的責任，結(jié)合學校實際情況，制定本制度。責任主體的范圍包括各二級分院、處室、中心或個人等。負責追究責任主體事故責任的部門或個人統(tǒng)稱為責任追究主體，包括學校校委會、網(wǎng)絡信息系統(tǒng)安全工作領(lǐng)導小組、學校各部門負責人、上級行政單位等。二、原則及術(shù)語（一）管理原則網(wǎng)絡與信息安全事故責任認定實行“誰主管誰負責、誰使用誰負責”的原則。堅持“歸屬管理”原則，實行24小時網(wǎng)絡監(jiān)控制度，切實做到“看好自己的門，管好自己的人，做好自己的事”。堅持“誰主管，誰負責；誰主辦，誰負責”的原則，負責加強對本部門上網(wǎng)信息及內(nèi)容的審查，確保上網(wǎng)信息安全。責任追究應當堅持公平公正、有責必究、過罰相當、教育與懲戒相結(jié)合的原則。（二）術(shù)語解釋安全事件分為四級：由高到低劃分為Ⅰ級（特別重大級）、Ⅱ級（重大級）、Ⅲ級（較大級）、Ⅳ級（一般級）4個級別。1.Ⅰ級（特別重大級）符合下列情形之一的，為Ⅰ級安全事件：（1）信息系統(tǒng)中斷運行且影響校內(nèi)正常訪問。（2）信息系統(tǒng)中的數(shù)據(jù)丟失或被竊取、篡改、假冒，對我校的安全和社會穩(wěn)定構(gòu)成嚴重威脅。（3）向師生提供服務的網(wǎng)站出現(xiàn)非法言論，應用系統(tǒng)信息被篡改，特別是向師生提供服務的網(wǎng)站系統(tǒng)被篡改。2.Ⅱ級（重大級）符合下列情形之一且未達到Ⅰ級安全事件的，為Ⅱ級安全事件：（1）信息系統(tǒng)中的數(shù)據(jù)丟失或被竊取、篡改、假冒，對我校的安全和社會穩(wěn)定構(gòu)成威脅。（2）黑客攻擊導致無法正常瀏覽；向公眾提供服務的數(shù)據(jù)庫損壞；網(wǎng)絡系統(tǒng)癱瘓；硬件設備損壞；斷電導致無法使用。3.Ⅲ級（較大級）符合下列情形之一且未達到Ⅱ級安全事件的，為Ⅲ級安全事件：（1）信息系統(tǒng)中斷運行造成全校無法正常辦公或訪問。（2）信息系統(tǒng)中的數(shù)據(jù)丟失或被竊取、篡改、假冒，對學校部門造成威脅。4.Ⅳ級（一般級）除上述情形外，對我校造成較大影響，但未達到Ⅲ級安全事件標準的安全事件為Ⅳ級安全事件。三、職責（一）校委會網(wǎng)絡與信息安全事件（以下簡稱“安全事件”）等級為Ⅰ、Ⅱ級時，責任主體的責任認定由校委會共同決議。（二）網(wǎng)絡信息系統(tǒng)安全工作領(lǐng)導小組安全事件等級為Ⅲ級時，由網(wǎng)絡信息系統(tǒng)安全工作領(lǐng)導小組對責任主體進行責任認定。（三）網(wǎng)絡與信息安全應急小組1.協(xié)助事發(fā)單位核準事件原因、處置過程。審核調(diào)查報告，做好相應網(wǎng)絡與信息安全事件定級。2.安全事件等級為Ⅰ、Ⅱ、Ⅲ級時，由監(jiān)事會對責任認定的執(zhí)行和整改情況進行監(jiān)督。（四）上級行政單位1.安全事件等級為Ⅰ級或以上，且對校園安全、國家安全和社會穩(wěn)定構(gòu)成嚴重危害，將由上級行政單位對責任主體進行責任認定。2.安全事件等級為Ⅰ級或以上，且對校園安全、國家安全和社會穩(wěn)定構(gòu)成嚴重危害，由上級行政單位對責任認定的執(zhí)行和整改情況進行監(jiān)督。（五）事發(fā)單位1.成立調(diào)查小組，核準事件原因、處置過程，形成調(diào)查報告。2.安全事件等級為Ⅳ級時，由事發(fā)單位部門負責人及部門分管領(lǐng)導對責任主體進行責任認定。3.安全事件等級為Ⅳ級時，由事發(fā)單位部門負責人及部門分管領(lǐng)導對責任認定的執(zhí)行和整改情況進行監(jiān)督。（六）責任主體1.安全事件發(fā)生時，及時做好事件預期處理，并進行上報，避免事態(tài)惡化。2.積極配合責任追究主體進行安全事件調(diào)查，并根據(jù)責任認定結(jié)果進行整改。3.對認定結(jié)果有異議，應及時提前申訴，并配合監(jiān)事會進行申述復核。（七）監(jiān)事會對網(wǎng)絡信息安全責任追究流程進行全程監(jiān)督，在追究過程中失職失責，造成損失的，進行調(diào)查核實后，上報校委會，視情況追究相關(guān)責任人經(jīng)濟處罰或行政處分。（八）組織人事處按照人事檔案管理相關(guān)規(guī)定把問責境況歸入人事檔案。（二）管理要求1.追究形式（1）批評教育由責任追究主體責令責任主體檢查、向上級主管領(lǐng)導做出書面檢查。（2）通報批評在責任追究主體管轄范圍內(nèi)對責任主體發(fā)文通報，責令整改。（3）誡勉談話由責任追究主體或監(jiān)事會對責任主體進行誡勉談話。（4）一般處理將事故納入責任主體的年度考核，取消當年年度考核評優(yōu)資格，按照學校崗位績效考核辦法降低或扣除責任主體的年度績效。（5）嚴肅處理發(fā)生嚴重網(wǎng)絡與信息安全事故的，對相關(guān)責任主體處以罰款、責令其賠償事故損失、全院通報批評、降職處理、直至開除。（6）報警處理嚴重損壞社會或國家利益的，上報上級行政單位部門處理。2.追究范圍（1）責任主體有下列行為之一者，應對其進行批評教育或通報批評：1）發(fā)生Ⅳ級或Ⅲ級安全事件，未按要求上報的。2）未按規(guī)定落實相關(guān)網(wǎng)絡與信息安全管理制度及技術(shù)規(guī)范，且未導致安全事件發(fā)生的。3）發(fā)生Ⅱ級安全事件后，對調(diào)查工作配合不力的。（2）責任主體有下列行為之一者，應當責令其做出通報批評或誡勉談話：1）發(fā)生Ⅱ級安全事件，未按要求上報的。2）未按規(guī)定落實相關(guān)網(wǎng)絡與信息安全管理制度技術(shù)規(guī)范，導致Ⅳ級或Ⅲ級安全事件發(fā)生的。3）發(fā)生Ⅱ級或Ⅰ級安全事件，且發(fā)生安全事件后處理及時，未對學校財產(chǎn)或聲譽造成影響的。4）經(jīng)過批評教育或責令做出書面檢查后，仍不按規(guī)定落實相關(guān)網(wǎng)絡與信息安全管理制度及技術(shù)規(guī)范的。5）發(fā)生Ⅰ級安全事件后，對調(diào)查工作配合不力的。（3）責任主體有下列行為之一者，應當予以誡勉談話或一般處理：1）發(fā)生Ⅰ級安全事件，未按要求上報的一般處理。2）發(fā)生Ⅱ級或Ⅰ級安全事件，且發(fā)生安全事件后處理不及時，給學校財產(chǎn)或聲譽帶來一定影響的。3）發(fā)生Ⅰ級安全事件后，對調(diào)查工作不配合的。（4）責任主體有下列行為之一者，應當予嚴肅處理，情況十分嚴重者應報警處理：1）發(fā)生Ⅱ級或Ⅰ級安全事件造成后果嚴重并刻意隱瞞或謊報，造成惡劣影響的。2）未按規(guī)定落實相關(guān)網(wǎng)絡與信息安全管理制度及技術(shù)規(guī)范導致發(fā)生Ⅱ級或Ⅰ級安全事件，且發(fā)生安全事件后處理不及時，給學校財產(chǎn)或聲譽帶來惡劣影響的。3）發(fā)生安全事件后銷毀證據(jù)、弄虛作假的。（5）有下列情形之一者，不追究或減輕責任主體的責任：1）因不可抗力導致發(fā)生的網(wǎng)絡與信息安全事故。2）有充分證據(jù)證明完全落實了相關(guān)安全要求，由未知原因?qū)е戮W(wǎng)絡與信息安全事故發(fā)生的。3）責任主體主動承認過錯并及時修補管理或技術(shù)漏洞，減少損失、挽回影響，態(tài)度非常好的，應當予以從