學(xué)校網(wǎng)絡(luò)安全責(zé)任追究制度第一章總則1.1為落實(shí)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《未成年人保護(hù)法》以及教育部《教育系統(tǒng)網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》等上位法要求，本校以“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)”為基本原則，建立覆蓋“決策—執(zhí)行—監(jiān)督—改進(jìn)”全周期的網(wǎng)絡(luò)安全責(zé)任追究制度，確保教學(xué)、科研、管理、服務(wù)四大場(chǎng)景下的網(wǎng)絡(luò)與數(shù)據(jù)安全。1.2本制度所稱“網(wǎng)絡(luò)安全責(zé)任”包括網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全、信息系統(tǒng)安全、數(shù)據(jù)安全、內(nèi)容安全、終端安全、供應(yīng)鏈安全、賬號(hào)權(quán)限安全、應(yīng)急演練與事件處置安全等八個(gè)維度；所稱“責(zé)任追究”是指對(duì)未履行或未正確履行上述責(zé)任，造成不良影響或潛在風(fēng)險(xiǎn)的個(gè)人、科室、二級(jí)學(xué)院、項(xiàng)目組、外包服務(wù)商等主體，依據(jù)本制度進(jìn)行行政、經(jīng)濟(jì)、技術(shù)、信用四位一體的問(wèn)責(zé)。1.3責(zé)任追究堅(jiān)持“事實(shí)清楚、證據(jù)確鑿、程序合規(guī)、量責(zé)適當(dāng)、教育與懲戒并重”的方針，實(shí)行“分級(jí)分類、節(jié)點(diǎn)管控、過(guò)程留痕、閉環(huán)銷號(hào)”的管理方式，任何單位和個(gè)人不得干擾、拖延或拒絕調(diào)查，不得打擊報(bào)復(fù)舉報(bào)人。第二章責(zé)任主體與職責(zé)清單2.1學(xué)校網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組（以下簡(jiǎn)稱“校網(wǎng)信領(lǐng)導(dǎo)小組”）a)統(tǒng)籌制定學(xué)校網(wǎng)絡(luò)安全戰(zhàn)略、年度工作要點(diǎn)、預(yù)算投入和考核指標(biāo)；b)對(duì)重大網(wǎng)絡(luò)安全事件負(fù)最終決策責(zé)任，授權(quán)網(wǎng)絡(luò)與信息安全工作辦公室（以下簡(jiǎn)稱“校網(wǎng)信辦”）開(kāi)展調(diào)查與問(wèn)責(zé)；c)每學(xué)期至少聽(tīng)取一次網(wǎng)絡(luò)安全責(zé)任履行情況專項(xiàng)匯報(bào)，對(duì)連續(xù)兩次考核不合格的部門啟動(dòng)約談或重組程序。2.2校網(wǎng)信辦a)負(fù)責(zé)制度解釋、日常監(jiān)督、技術(shù)監(jiān)測(cè)、事件取證、責(zé)任認(rèn)定、整改復(fù)查、信用檔案管理；b)建立“網(wǎng)絡(luò)安全責(zé)任地圖”，將全校IP地址、域名、信息系統(tǒng)、數(shù)據(jù)庫(kù)、物聯(lián)網(wǎng)終端、云資源、外包合同等資產(chǎn)與責(zé)任人一一綁定，做到“一資產(chǎn)一責(zé)任人一問(wèn)責(zé)條款”；c)每月發(fā)布《網(wǎng)絡(luò)安全風(fēng)險(xiǎn)月報(bào)》，對(duì)漏洞整改逾期率、釣魚郵件點(diǎn)擊率、弱口令率、數(shù)據(jù)外發(fā)量等核心指標(biāo)進(jìn)行排名，連續(xù)兩次排名末位的部門自動(dòng)觸發(fā)專項(xiàng)審計(jì)。2.3二級(jí)學(xué)院（部、處、中心）a)黨政主要負(fù)責(zé)人為本單位網(wǎng)絡(luò)安全第一責(zé)任人，對(duì)所屬資產(chǎn)負(fù)全面領(lǐng)導(dǎo)責(zé)任；b)指定一名班子成員擔(dān)任“網(wǎng)絡(luò)安全直接責(zé)任人”，負(fù)責(zé)日常管理、教育培訓(xùn)、隱患整改、應(yīng)急演練；c)各教研室、實(shí)驗(yàn)室、科研團(tuán)隊(duì)負(fù)責(zé)人為“業(yè)務(wù)直接責(zé)任人”，對(duì)所用系統(tǒng)、數(shù)據(jù)、終端負(fù)具體管理責(zé)任；d)每季度向校網(wǎng)信辦提交《網(wǎng)絡(luò)安全自查與整改報(bào)告》，逾期不交視為拒絕履行責(zé)任，直接啟動(dòng)通報(bào)批評(píng)程序。2.4教職工與在校學(xué)生a)教職工對(duì)本人賬號(hào)、終端、科研數(shù)據(jù)、教學(xué)資源負(fù)直接責(zé)任，須簽署《個(gè)人網(wǎng)絡(luò)安全承諾書》；b)在校學(xué)生對(duì)本人校園網(wǎng)賬號(hào)、VPN、郵箱、一卡通、畢業(yè)設(shè)計(jì)數(shù)據(jù)負(fù)使用責(zé)任，須完成年度“網(wǎng)絡(luò)安全素養(yǎng)”在線測(cè)試，未通過(guò)者限制高帶寬權(quán)限；c)發(fā)現(xiàn)漏洞或事件時(shí)，有義務(wù)通過(guò)“一鍵報(bào)障”平臺(tái)第一時(shí)間報(bào)告，故意隱瞞或私自利用漏洞的，不論是否造成損失，均視為“故意違規(guī)”。2.5外包服務(wù)商與供應(yīng)鏈企業(yè)a)入校前須簽署《網(wǎng)絡(luò)安全與保密協(xié)議》，繳納不低于合同金額10%的安全保證金；b)發(fā)生因外包人員違規(guī)導(dǎo)致的事件，除扣除保證金外，三年內(nèi)禁止參與學(xué)校任何項(xiàng)目招標(biāo)；c)外包運(yùn)維人員操作須通過(guò)堡壘機(jī)進(jìn)行雙人授權(quán)+錄屏審計(jì)，違規(guī)外聯(lián)、私自提權(quán)、擅自變更配置即視為“嚴(yán)重違約”。第三章風(fēng)險(xiǎn)分級(jí)與問(wèn)責(zé)啟動(dòng)標(biāo)準(zhǔn)3.1風(fēng)險(xiǎn)分級(jí)a)特別重大（Ⅰ級(jí)）：國(guó)家秘密數(shù)據(jù)、重要科研成果、10萬(wàn)人以上個(gè)人信息泄露，或造成1000萬(wàn)元以上直接經(jīng)濟(jì)損失，或引發(fā)重大輿情；b)重大（Ⅱ級(jí)）：學(xué)校核心系統(tǒng)中斷8小時(shí)以上，或5萬(wàn)至10萬(wàn)條個(gè)人信息泄露，或100萬(wàn)至1000萬(wàn)元損失；c)較大（Ⅲ級(jí)）：部門級(jí)系統(tǒng)中斷4小時(shí)以上，或1萬(wàn)至5萬(wàn)條個(gè)人信息泄露，或10萬(wàn)至100萬(wàn)元損失；d)一般（Ⅳ級(jí)）：終端感染病毒、弱口令、釣魚郵件、網(wǎng)頁(yè)被篡改但未造成數(shù)據(jù)泄露，損失10萬(wàn)元以下。3.2問(wèn)責(zé)啟動(dòng)閾值a)Ⅰ級(jí)事件：由教育部或省級(jí)教育行政部門督辦，校網(wǎng)信領(lǐng)導(dǎo)小組須在30分鐘內(nèi)啟動(dòng)“紅色問(wèn)責(zé)”；b)Ⅱ級(jí)事件：由校黨委書記、校長(zhǎng)聯(lián)合簽發(fā)“橙色問(wèn)責(zé)”，24小時(shí)內(nèi)成立調(diào)查組；c)Ⅲ級(jí)事件：由分管校領(lǐng)導(dǎo)簽發(fā)“黃色問(wèn)責(zé)”，3個(gè)工作日內(nèi)完成調(diào)查；d)Ⅳ級(jí)事件：由校網(wǎng)信辦簽發(fā)“藍(lán)色問(wèn)責(zé)”，7個(gè)工作日內(nèi)完成整改復(fù)核；e)同一部門一年內(nèi)累計(jì)發(fā)生2次Ⅲ級(jí)或3次Ⅳ級(jí)事件，自動(dòng)上調(diào)一級(jí)處理。第四章責(zé)任調(diào)查與取證流程4.1事件接報(bào)a)任何人員可通過(guò)電話、郵件、微信小程序、釘釘“網(wǎng)絡(luò)安全一鍵報(bào)障”入口報(bào)告；b)校網(wǎng)信辦7×24小時(shí)值班，接報(bào)后10分鐘內(nèi)進(jìn)行初步研判，對(duì)可能達(dá)到Ⅲ級(jí)以上的事件立即封存相關(guān)日志、鏡像、賬號(hào)權(quán)限。4.2成立調(diào)查組a)成員由校網(wǎng)信辦、紀(jì)檢監(jiān)察室、人事處、財(cái)務(wù)處、工會(huì)、法律顧問(wèn)、外部專家組成，人數(shù)不少于5人，獨(dú)立開(kāi)展調(diào)查；b)調(diào)查組擁有調(diào)閱監(jiān)控、門禁、財(cái)務(wù)、合同、人事檔案的權(quán)限，任何個(gè)人不得拒絕或拖延；c)調(diào)查全程使用“可信時(shí)間戳+區(qū)塊鏈存證”系統(tǒng)，確保證據(jù)不可篡改。4.3事實(shí)認(rèn)定a)采用“因果五步法”：違規(guī)事實(shí)→技術(shù)成因→管理缺失→損失評(píng)估→責(zé)任主體；b)出具《網(wǎng)絡(luò)安全責(zé)任調(diào)查報(bào)告》，包括事件經(jīng)過(guò)、證據(jù)清單、責(zé)任比例、整改建議、問(wèn)責(zé)建議；c)被調(diào)查人可在3個(gè)工作日內(nèi)提交書面申辯，調(diào)查組須在5個(gè)工作日內(nèi)完成復(fù)核。第五章責(zé)任劃分與量責(zé)規(guī)則5.1責(zé)任類型a)全面領(lǐng)導(dǎo)責(zé)任：黨政主要負(fù)責(zé)人對(duì)所屬單位整體安全負(fù)總責(zé)；b)直接主管責(zé)任：分管副職或項(xiàng)目組長(zhǎng)對(duì)分管領(lǐng)域負(fù)直接管理責(zé)任；c)直接操作責(zé)任：具體賬號(hào)使用者、外包人員、學(xué)生等對(duì)本人行為負(fù)責(zé)；d)監(jiān)督責(zé)任：審計(jì)、紀(jì)檢、網(wǎng)信辦對(duì)監(jiān)管缺位承擔(dān)連帶責(zé)任；e)協(xié)同責(zé)任：財(cái)務(wù)、招標(biāo)、國(guó)資、后勤等對(duì)供應(yīng)鏈審核不嚴(yán)承擔(dān)相應(yīng)比例責(zé)任。5.2量責(zé)矩陣a)故意違規(guī)：如私自開(kāi)設(shè)“測(cè)試”數(shù)據(jù)庫(kù)卻接入生產(chǎn)環(huán)境、私自導(dǎo)出學(xué)生身份證信息出售，按“損失金額×3倍”進(jìn)行經(jīng)濟(jì)追償，并給予記過(guò)直至開(kāi)除處分；b)重大過(guò)失：如已收到漏洞整改通知卻逾期7天不處理，導(dǎo)致Ⅱ級(jí)事件，扣發(fā)全年績(jī)效30%，兩年內(nèi)不得晉升職稱；c)一般過(guò)失：如未按時(shí)更新補(bǔ)丁導(dǎo)致Ⅳ級(jí)事件，扣發(fā)季度績(jī)效10%，責(zé)令書面檢查；d)管理缺位：如部門全年未開(kāi)展應(yīng)急演練、未組織教育培訓(xùn)，發(fā)生事件后按“領(lǐng)導(dǎo)責(zé)任”上限處理，年度考核直接定為“不合格”；e)不可抗力：如國(guó)家級(jí)骨干網(wǎng)絡(luò)光纜被施工挖斷，經(jīng)第三方評(píng)估確屬不可抗力，可免除個(gè)人責(zé)任，但仍須復(fù)盤改進(jìn)。第六章懲戒措施與執(zhí)行程序6.1行政懲戒a)通報(bào)批評(píng)：校內(nèi)OA、LED大屏、微信公眾號(hào)同步發(fā)布，保留90天；b)誡勉談話：由紀(jì)委書記、組織部長(zhǎng)聯(lián)合執(zhí)行，形成紀(jì)要存入人事檔案；c)組織調(diào)整：對(duì)連續(xù)兩年考核不合格的部門，可采取“拆分、合并、降格”處理；d)黨紀(jì)政紀(jì)處分：按照《中國(guó)共產(chǎn)黨紀(jì)律處分條例》《事業(yè)單位工作人員處分暫行規(guī)定》執(zhí)行。6.2經(jīng)濟(jì)懲戒a)績(jī)效扣減：從事件發(fā)生次月起執(zhí)行，最多可追索24個(gè)月；b)安全賠償金：對(duì)造成經(jīng)濟(jì)損失的，按責(zé)任比例承擔(dān)，最高不超過(guò)責(zé)任人上一年度全部收入；c)違約金：外包服務(wù)商按合同10%—50%扣除，并納入“黑名單”。6.3技術(shù)懲戒a)權(quán)限降級(jí)：教職工取消數(shù)據(jù)庫(kù)管理權(quán)限，學(xué)生限制高帶寬和外網(wǎng)訪問(wèn)；b)賬號(hào)封禁：對(duì)多次弱口令或釣魚郵件點(diǎn)擊者，封禁30—90天；c)強(qiáng)制培訓(xùn)：安排不少于16學(xué)時(shí)的“網(wǎng)絡(luò)安全封閉訓(xùn)練營(yíng)”，費(fèi)用自理。6.4信用懲戒a)建立“網(wǎng)絡(luò)安全信用分”，初始100分，扣分達(dá)到60分即列入“灰名單”，限制評(píng)優(yōu)評(píng)先、職稱申報(bào)、項(xiàng)目申報(bào)；b)扣分達(dá)到30分即強(qiáng)制參加“網(wǎng)絡(luò)安全義工”服務(wù)，協(xié)助網(wǎng)信辦完成資產(chǎn)核查、應(yīng)急演練；c)外包服務(wù)商扣分達(dá)到40分即列入“限制投標(biāo)名單”，禁止參與新項(xiàng)目。第七章申訴與復(fù)查7.1被問(wèn)責(zé)人可在處理決定送達(dá)之日起5個(gè)工作日內(nèi)向“學(xué)校網(wǎng)絡(luò)安全申訴委員會(huì)”提出書面申訴，申訴委員會(huì)由教代會(huì)、工會(huì)、法律事務(wù)室、校外律師組成，7個(gè)工作日內(nèi)作出維持、變更或撤銷決定。7.2申訴期間不停止執(zhí)行，但涉及開(kāi)除、解除勞動(dòng)合同的，可暫緩執(zhí)行，待結(jié)論作出后多退少補(bǔ)。7.3對(duì)復(fù)查仍不服的，可向上級(jí)教育行政部門或勞動(dòng)仲裁機(jī)構(gòu)提起行政復(fù)議或訴訟，學(xué)校無(wú)條件提供原始證據(jù)。第八章整改驗(yàn)收與閉環(huán)銷號(hào)8.1被問(wèn)責(zé)部門須在處理決定下發(fā)之日起3個(gè)工作日內(nèi)編制《網(wǎng)絡(luò)安全整改方案》，明確“措施、資金、責(zé)任人、完成時(shí)間、驗(yàn)收標(biāo)準(zhǔn)”；8.2校網(wǎng)信辦在整改期滿后5個(gè)工作日內(nèi)組織“回頭看”，采用“滲透測(cè)試+基線核查+紅藍(lán)對(duì)抗”三種手段驗(yàn)證；8.3驗(yàn)收不合格的，啟動(dòng)“二次問(wèn)責(zé)”，在原有處分基礎(chǔ)上上調(diào)一個(gè)等級(jí)；8.4驗(yàn)收合格的，由校網(wǎng)信辦出具《網(wǎng)絡(luò)安全整改驗(yàn)收?qǐng)?bào)告》，在“責(zé)任地圖”中銷號(hào)，并公開(kāi)通報(bào)，接受師生監(jiān)督。第九章教育培訓(xùn)與風(fēng)險(xiǎn)前移9.1新入職教職工、研究生導(dǎo)師、科研項(xiàng)目負(fù)責(zé)人必須完成“網(wǎng)絡(luò)安全崗前培訓(xùn)”并考試合格，未通過(guò)者暫緩發(fā)放工號(hào)、暫緩開(kāi)通財(cái)務(wù)系統(tǒng)權(quán)限；9.2各學(xué)院每學(xué)期至少組織一次“沉浸式釣魚演練”，點(diǎn)擊率高于15%的班級(jí)須重新培訓(xùn)；9.3對(duì)采購(gòu)金額50萬(wàn)元以上的信息化項(xiàng)目，招標(biāo)前須由網(wǎng)信辦出具《網(wǎng)絡(luò)安全前置審查意見(jiàn)》，否則財(cái)務(wù)處不得付款；9.4建立“學(xué)生網(wǎng)絡(luò)安全助理”制度，每班設(shè)1名“網(wǎng)絡(luò)安全委員”，納入學(xué)生干部序列，享受綜測(cè)加分，發(fā)現(xiàn)重大隱患的給予專項(xiàng)獎(jiǎng)學(xué)金。第十章績(jī)效聯(lián)動(dòng)與持續(xù)改進(jìn)10.1將網(wǎng)絡(luò)安全考核結(jié)果納入學(xué)?！半p一流”建設(shè)、學(xué)科