第一章 总则

第一条 为加强我校信息网络安全工作，提高信息网络安全防护能力和水平，保障学校各项事业健康有序发展，根据《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例》、《国家网络安全事件应急预案》、《教育部关于加强教育行业网络与信息安全工作的指导意见》，结合学校实际，制定本办法。

第二条 学校所有的校园网络、信息系统以及互联网网站技术安全管理工作，适用本办法。

第三条 学校按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，建立健全信息网络安全责任体系，学校各单位依照本办法要求履行信息网络安全的义务和责任。

第二章 组织机构与职责

第四条 学校主要负责人是学校信息网络安全的第一责任人，分管信息化工作与安全稳定工作的校领导协助主要负责人履行学校信息网络安全责任。

学校各单位是本单位信息网络安全的责任主体，各单位主要负责人是本单位信息网络安全工作第一责任人，负责按本办法落实信息网络安全工作。

第五条 信息化建设办公室是学校信息网络安全归口管理部门，负责统筹学校信息网络安全工作。具体职责包括：

（一）制定信息网络安全总体规划，并组织实施；

（二）拟定信息网络安全管理规章制度，制定信息网络安全

标准规范；

（三）组织开展信息系统安全等级保护工作；

（四）负责信息安全应急管理，协调处理与政府信息网络安全管理部门的关系；

（五）负责信息网络安全监督检查工作；

（六）学校信息网络安全管理的其他工作。

第三章 校园网络安全管理

第六条 校园网络是指校园范围内连接各种信息系统及信息终端的计算机网络，包括校园有线网络、无线网络和各种虚拟专网。

第七条 信息化建设办公室负责校内所有互联网接入服务，包括光纤接入、带宽申请、IP申请等。校园网络与互联网及其他公共信息网络实行逻辑隔离，由信息化建设办公室统一出口、统一管理和统一防护。

第八条 未经批准，学校各单位在校园内不得擅自通过其他渠道接入互联网及其他公共信息网络。

第九条 信息化建设办公室制定校园网络建设规划并统筹管理校园建筑物内、地下管井及空中路由的光缆布施以及机房、网络管理系统、网络防护系统等软硬件设施的运维工作。

第十条 学校所有基建、修缮工程应当将工程范围内的网络建设内容按照信息化建设办公室关于校园网络规划的标准纳入工程设计、实施和竣工验收范畴。

第十一条 信息化建设办公室统一部署校园网络安全策略，采取访问控制、安全审计、完整性检查、入侵防范、恶意代码防范等措施加强校园网络边界防护。

第十二条 校园网络接入实行实名管理制度。

师生员工接入校园网络，实行“实名注册、认证上网”制度；学校非涉密信息系统接入校园网络，实行接入审批和备案登记制度。

第十三条 涉及国家秘密的信息系统不得接入校园网络。

第十四条 校园网络接入单位负责提供本单位所需的网络设备间和电源保障，协助解决网络布线和设备安装所需空间，负责安防和消防安全管理。

第十五条 任何单位和个人未经允许不得利用校园网络及设施开展经营性活动。

第四章 信息系统安全管理

第十六条 学校按照同步规划、同步建设、同步运行的原则，规划、建设、运行、管理信息系统安全设施，建立健全信息系统安全防护体系，全面实施信息系统安全等级保护制度。

第十七条 信息化建设办公室负责统筹学校信息系统安全等级保护工作，定期开展学校各单位信息系统等级评审、系统备案、等级测评与监督检查工作。

第十八条 信息系统建设单位是信息系统安全等级保护的责任主体，具体负责系统定级、建设整改、安全自查，协助系统备案、等级测评并接受有关部门监督检查。

第十九条 信息系统建设单位在信息系统建设的立项阶段应当确定安全保护等级，由信息化建设办公室对于建设方案进行安全论证和等级评审。对于安全等级第二级以上（含第二级）的信息系统，由信息化建设办公室统一办理系统备案。

第二十条 学校鼓励建设单位优先采购安全可靠、技术成熟和服务优质的成品软件用于信息系统建设。没有相应成品软件或者成品软件不适应实际需求的，应当按照学校采购与招标工作的相关管理办法，委托资质和信誉良好的软件开发商进行开发。

第二十一条 信息系统建设单位在信息系统建设阶段应当按照已经确定的安全保护等级，同步落实安全保护措施。信息系统在正式上线前，由信息化建设办公室对于系统的安全性进行等级测评，测评通过后方可投入试运行。

第二十二条 信息系统建设单位应当严格按照网络安全等级保护制度要求，履行下列安全保护义务：

（一）制定信息系统使用与维护的管理制度，规范信息系统使用者和维护者的操作行为；

（二）定期对于终端计算机和承担网络与信息系统运行的关键设备（服务器、安全设备、网络设备）进行安全审计，通过记录、检查系统和用户活动信息，及时发现系统漏洞，处置异常访问和操作；

（三）定期对重要数据和信息系统进行备份，定期测试备份与恢复计划，确保备份数据和备用资源的有效性。

第二十三条 信息系统通过互联网提供的服务应当向信息化建设办公室提出申请，严格按照学校相关的网络安全管理制度执行。

第五章 互联网网站安全管理

第二十四条 学校各单位建设的互联网网站必须使用学校IP地址，在学校现有的网站群平台下搭建。

第二十五条 信息化建设办公室负责学校网站群平台的技术安全管理工作。

第二十六条 学校各互联网网站系统开放互联网运维服务功能，应当向信息化建设办公室提出申请，严格按照学校相关的网络安全管理制度执行。

第二十七条 互联网网站运行维护单位应当建立网站值守制度，制订应急处置流程，组织专人对网站进行监测。

互联网网站运行维护单位发现网站运行异常的，应当及时处置，同时将相关情况及时报送信息化建设办公室备案。

第二十八条 对于使用频度不大、阶段性使用的互联网网站，网站运行维护单位应当采取非工作时间或寒暑假、节假日关闭的方式运行。

第二十九条 对于无人管理、无力维护、长期不更新的网站，网站运行维护单位应当关闭网站以降低安全风险。

网站运行维护单位关闭互联网网站的，应当通知信息化建设办公室，由信息化建设办公室做删除处理，回收资源。

第六章 信息网络安全应急管理

第三十条 信息化建设办公室负责学校信息系统安全应急工作的统筹管理，制定学校信息网络安全事件报告与处置流程，制订学校信息网络安全应急预案。

第三十一条 学校信息系统建设单位应当制订本单位的信息网络安全应急预案，组织开展信息网络安全应急预案的宣传、教育和培训，确保相关人员熟悉应急预案。

第三十二条 信息化建设办公室定期组织信息网络安全应急演练，评估并适时组织学校各单位的信息网络安全应急预案的修订。

学校各单位的信息网络安全应急预案出现修订等变化情况的，应当及时报信息化建设办公室备案。

第三十三条 信息化建设办公室负责组建学校信息网络安全应急技术支援队伍，完善24小时应急值守制度，提高信息网络安全事件的预防、预警和应对能力，预防和减轻信息网络安全事件造成的损失和危害。

第三十四条 学校各单位应当按照信息网络安全事件“早发现、早报告、早控制、早解决”的原则，根据学校信息网络安全事件报告与处置流程，做好事发紧急报告与处置、事中情况报告与处置、事后整改报告与处置工作。

第三十五条 学校各单位和师生员工均有义务及时向信息化建设办公室报告信息网络安全事件。

学校各单位和师生员工不得在未经批准或者授权情况下对外公布所发现的安全漏洞或安全问题，禁止利用所发现的安全漏洞或安全问题。

第七章 信息网络安全检查监督

第三十六条 学校各单位应当定期对于本单位信息系统、互联网网站的安全状况、安全保护制度与措施的落实情况进行自查，配合有关部门的信息网络安全检查、保密检查与审批等工作。

第三十七条 信息化建设办公室对学校各单位的信息网络安全工作落实情况进行检查，对于发现的问题下达限期整改通知书，责成相关单位制订整改方案并落实到位。

信息化建设办公室定期对全校的信息系统、互联网网站进行漏洞扫描，发现存在漏洞时，应当关停互联网服务，通知建设单位及时进行整改。

第三十八条 有关单位在收到信息化建设办公室限期整改通知书后，整改不力的，学校给予通报批评；玩忽职守、失职渎职造成严重后果的，依纪依法追究相关人员的责任。

第三十九条 学校各单位应当按照信息网络安全事件报告与处置流程，及时、如实地报告和妥善处置信息网络安全事件。

瞒报、缓报信息网络安全事件，或者对于信息网络安全事件处置和整改不力的，对于相关单位责任人进行约谈或通报。

第八章 附则

第四十条 学校各单位建设的互联网网站的内容安全由网站开办单位负责。互联网网站开办单位应当建立完善的网站信息发布与审核制度，并接受党委宣传部监督指导。

第四十一条 本办法自公布之日起实施，由信息化建设办公室负责解释。学校原有相关规定与本办法不一致的，按本办法执行。