校園網(wǎng)信息資源安全管理辦法第一章總則第一條為規(guī)范校園網(wǎng)絡(luò)信息資源的建設(shè)、使用與管理，保障校園網(wǎng)絡(luò)信息系統(tǒng)的安全穩(wěn)定運(yùn)行，保護(hù)學(xué)校各類信息資源的完整性、保密性和可用性，維護(hù)學(xué)校和師生的合法權(quán)益，依據(jù)國家相關(guān)法律法規(guī)及行業(yè)標(biāo)準(zhǔn)，結(jié)合本校實(shí)際情況，特制定本辦法。第二條本辦法所稱校園網(wǎng)信息資源，是指通過校園網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行存儲(chǔ)、傳輸、處理和應(yīng)用的各類數(shù)據(jù)、信息、系統(tǒng)及服務(wù)，包括但不限于學(xué)校官方網(wǎng)站、教學(xué)科研平臺(tái)、管理信息系統(tǒng)、數(shù)字圖書館資源、師生個(gè)人在校園網(wǎng)環(huán)境下創(chuàng)建和存儲(chǔ)的各類電子數(shù)據(jù)等。第三條校園網(wǎng)信息資源安全管理堅(jiān)持“安全第一、預(yù)防為主、綜合治理、責(zé)任到人”的原則，實(shí)行統(tǒng)一領(lǐng)導(dǎo)、分級(jí)負(fù)責(zé)、規(guī)范管理、保障發(fā)展的工作機(jī)制。第四條本辦法適用于學(xué)校所有單位（部門）及全體師生員工（包括在本校學(xué)習(xí)、工作的各類人員），以及所有接入校園網(wǎng)絡(luò)、使用校園網(wǎng)信息資源的單位和個(gè)人。第二章組織與職責(zé)第五條學(xué)校網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組（以下簡(jiǎn)稱“領(lǐng)導(dǎo)小組”）是校園網(wǎng)信息資源安全管理的最高決策機(jī)構(gòu)，負(fù)責(zé)統(tǒng)籌規(guī)劃、協(xié)調(diào)解決校園網(wǎng)信息資源安全工作中的重大問題，審定相關(guān)政策和管理辦法。第六條網(wǎng)絡(luò)中心作為校園網(wǎng)絡(luò)與信息安全的日常管理和技術(shù)支撐部門，主要職責(zé)包括：（一）貫徹落實(shí)領(lǐng)導(dǎo)小組的決策部署，具體組織實(shí)施本辦法；（二）負(fù)責(zé)校園網(wǎng)絡(luò)基礎(chǔ)設(shè)施、核心應(yīng)用系統(tǒng)及關(guān)鍵信息資產(chǎn)的安全防護(hù)與技術(shù)保障；（三）監(jiān)測(cè)、預(yù)警和處置校園網(wǎng)信息安全事件；（四）開展校園網(wǎng)信息安全技術(shù)研究、咨詢和培訓(xùn)服務(wù)；（五）協(xié)助相關(guān)部門對(duì)校園網(wǎng)信息資源進(jìn)行安全檢查與評(píng)估。第七條學(xué)校各單位（部門）是本單位（部門）所管理和使用的信息系統(tǒng)及數(shù)據(jù)資源安全的責(zé)任主體，其主要負(fù)責(zé)人為本單位（部門）信息安全第一責(zé)任人，應(yīng)指定專人（或兼職信息安全員）負(fù)責(zé)本單位（部門）的信息安全日常工作，落實(shí)信息安全管理要求。第八條全體師生員工在使用校園網(wǎng)信息資源時(shí)，應(yīng)遵守國家法律法規(guī)和學(xué)校相關(guān)規(guī)定，增強(qiáng)信息安全意識(shí)，妥善保管個(gè)人賬號(hào)和密碼，自覺維護(hù)網(wǎng)絡(luò)信息安全。第三章信息資源分類與等級(jí)保護(hù)第九條校園網(wǎng)信息資源根據(jù)其重要程度、敏感程度及一旦泄露或損壞可能造成的影響，實(shí)行分類分級(jí)管理。具體分類分級(jí)標(biāo)準(zhǔn)由網(wǎng)絡(luò)中心會(huì)同相關(guān)業(yè)務(wù)主管部門另行制定。第十條對(duì)于不同級(jí)別和類別的信息資源，應(yīng)采取相應(yīng)強(qiáng)度的安全保護(hù)措施。核心業(yè)務(wù)系統(tǒng)、涉及敏感數(shù)據(jù)的信息資源應(yīng)參照國家信息安全等級(jí)保護(hù)相關(guān)要求，落實(shí)必要的技術(shù)防護(hù)和管理措施。第十一條各單位（部門）應(yīng)定期對(duì)本單位（部門）管理的信息資源進(jìn)行梳理、分類和標(biāo)識(shí)，并報(bào)網(wǎng)絡(luò)中心備案。對(duì)于新增或變更的重要信息資源，應(yīng)及時(shí)更新備案信息。第四章安全管理要求第十二條物理安全：（一）存放服務(wù)器、網(wǎng)絡(luò)設(shè)備等關(guān)鍵信息基礎(chǔ)設(shè)施的機(jī)房應(yīng)具備良好的物理環(huán)境，采取防火、防盜、防潮、防雷、防靜電、溫濕度控制等安全措施。（二）重要設(shè)備應(yīng)放置在受控區(qū)域，限制非授權(quán)人員接觸。第十三條網(wǎng)絡(luò)安全：（一）校園網(wǎng)絡(luò)應(yīng)合理劃分網(wǎng)絡(luò)區(qū)域，實(shí)施嚴(yán)格的訪問控制策略，關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)應(yīng)部署必要的安全防護(hù)設(shè)備。（二）定期對(duì)網(wǎng)絡(luò)設(shè)備配置進(jìn)行備份和安全審計(jì)，及時(shí)發(fā)現(xiàn)并處置網(wǎng)絡(luò)異常行為。（三）禁止私自更改網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、IP地址、MAC地址等網(wǎng)絡(luò)配置信息；禁止私拉亂接網(wǎng)絡(luò)線路。（四）接入校園網(wǎng)的計(jì)算機(jī)及其他終端設(shè)備，必須安裝必要的防病毒軟件，并保持病毒庫更新。第十四條系統(tǒng)安全：（一）操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)及中間件等應(yīng)及時(shí)安裝安全補(bǔ)丁，關(guān)閉不必要的服務(wù)和端口。（二）采用安全的身份認(rèn)證機(jī)制，重要系統(tǒng)應(yīng)啟用多因素認(rèn)證。（三）嚴(yán)格管理系統(tǒng)管理員賬號(hào)，密碼應(yīng)符合復(fù)雜度要求并定期更換。（四）定期對(duì)系統(tǒng)進(jìn)行漏洞掃描和安全評(píng)估，及時(shí)修復(fù)安全隱患。第十五條數(shù)據(jù)安全：（一）重要數(shù)據(jù)應(yīng)采取加密、備份等措施，確保數(shù)據(jù)的完整性和可用性。數(shù)據(jù)備份應(yīng)定期進(jìn)行，并進(jìn)行恢復(fù)測(cè)試。（二）嚴(yán)格控制數(shù)據(jù)訪問權(quán)限，數(shù)據(jù)的采集、存儲(chǔ)、傳輸、使用和銷毀應(yīng)符合相關(guān)規(guī)定，防止數(shù)據(jù)泄露、丟失和篡改。（三）涉及個(gè)人隱私的數(shù)據(jù)，其收集、使用和管理必須遵守國家個(gè)人信息保護(hù)相關(guān)法律法規(guī)。第十六條應(yīng)用安全：（一）校內(nèi)自行開發(fā)或引進(jìn)的應(yīng)用系統(tǒng)，在開發(fā)、測(cè)試、部署和運(yùn)維全過程應(yīng)考慮安全因素，遵循安全開發(fā)生命周期規(guī)范。（二）應(yīng)用系統(tǒng)上線前應(yīng)進(jìn)行必要的安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估。（三）加強(qiáng)對(duì)應(yīng)用系統(tǒng)用戶的管理，嚴(yán)格賬號(hào)申請(qǐng)、注銷流程，定期清理無效賬號(hào)。第五章用戶與權(quán)限管理第十七條校園網(wǎng)用戶賬號(hào)實(shí)行實(shí)名注冊(cè)制度。用戶應(yīng)妥善保管自己的賬號(hào)和密碼，不得轉(zhuǎn)借、轉(zhuǎn)讓或泄露給他人使用。密碼應(yīng)定期更換，并符合復(fù)雜度要求。第十八條信息系統(tǒng)權(quán)限分配應(yīng)遵循最小權(quán)限原則和職責(zé)分離原則。管理員應(yīng)根據(jù)用戶的工作需要合理分配權(quán)限，并定期對(duì)權(quán)限進(jìn)行審查和清理。第十九條用戶在使用校園網(wǎng)信息資源時(shí)，不得從事任何危害網(wǎng)絡(luò)安全、侵犯他人合法權(quán)益或違反法律法規(guī)的活動(dòng)，包括但不限于：（一）制作、復(fù)制、查閱和傳播違反國家法律法規(guī)及學(xué)校規(guī)定的信息；（二）未經(jīng)授權(quán)訪問、侵入他人計(jì)算機(jī)系統(tǒng)或信息系統(tǒng)，竊取、篡改、破壞數(shù)據(jù)；（三）制造、傳播計(jì)算機(jī)病毒、木馬等惡意程序；（四）進(jìn)行網(wǎng)絡(luò)攻擊、掃描、嗅探等危害網(wǎng)絡(luò)安全的行為；第六章安全事件應(yīng)急響應(yīng)與處置第二十條學(xué)校建立校園網(wǎng)信息安全事件應(yīng)急響應(yīng)機(jī)制。網(wǎng)絡(luò)中心負(fù)責(zé)牽頭制定應(yīng)急預(yù)案，并組織應(yīng)急演練。第二十一條各單位（部門）或個(gè)人發(fā)現(xiàn)校園網(wǎng)信息安全事件或可疑情況時(shí)，應(yīng)立即采取應(yīng)急措施防止事態(tài)擴(kuò)大，并第一時(shí)間向網(wǎng)絡(luò)中心報(bào)告。報(bào)告內(nèi)容應(yīng)包括事件發(fā)生時(shí)間、地點(diǎn)、現(xiàn)象、影響范圍等。第二十二條網(wǎng)絡(luò)中心接到安全事件報(bào)告后，應(yīng)立即啟動(dòng)相應(yīng)應(yīng)急預(yù)案，組織技術(shù)力量進(jìn)行研判、處置和調(diào)查，并根據(jù)事件嚴(yán)重程度按規(guī)定向領(lǐng)導(dǎo)小組及上級(jí)主管部門報(bào)告。第二十三條發(fā)生重大信息安全事件后，相關(guān)單位（部門）應(yīng)積極配合調(diào)查處理，提供必要的信息和資料。事件處置完畢后，應(yīng)及時(shí)總結(jié)經(jīng)驗(yàn)教訓(xùn)，完善防范措施。第七章安全檢查、審計(jì)與評(píng)估第二十四條網(wǎng)絡(luò)中心會(huì)同學(xué)校相關(guān)職能部門，定期或不定期對(duì)校園網(wǎng)信息資源安全狀況進(jìn)行檢查。各單位（部門）應(yīng)積極配合，并對(duì)檢查中發(fā)現(xiàn)的問題及時(shí)整改。第二十五條校園網(wǎng)關(guān)鍵設(shè)備、核心系統(tǒng)應(yīng)開啟審計(jì)功能，對(duì)用戶操作、系統(tǒng)運(yùn)行、網(wǎng)絡(luò)流量等進(jìn)行記錄和日志留存，日志保存時(shí)間應(yīng)符合相關(guān)規(guī)定。第二十六條學(xué)校定期組織對(duì)重要信息系統(tǒng)和信息資源進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，評(píng)估結(jié)果作為改進(jìn)安全措施、提升安全能力的重要依據(jù)。第八章責(zé)任與獎(jiǎng)懲第二十七條對(duì)在校園網(wǎng)信息資源安全管理工作中做出突出貢獻(xiàn)的單位和個(gè)人，學(xué)校將予以表彰和獎(jiǎng)勵(lì)。第二十八條對(duì)違反本辦法規(guī)定，造成校園網(wǎng)信息安全事件或不良后果的，學(xué)校將根據(jù)事件性質(zhì)、情節(jié)輕重和造成的影響，對(duì)相關(guān)責(zé)任人進(jìn)行批評(píng)教育、通報(bào)批評(píng)、行政處分直至紀(jì)律處分；構(gòu)成違法犯罪的，移交司法機(jī)關(guān)處理。第二十九條因未履行信息安全管理職責(zé)或落實(shí)安全防護(hù)措施不到位，導(dǎo)致本單位（部門）發(fā)生重大信息安全事件的，將追究相關(guān)單位（部門