XXXX大學網絡與信息安全管理辦法（試行）第一章總則第一條為保障校園網絡與信息安全，促進校園信息化應用，并推動學校教育事業順利發展，依據《教育部關于加強教育行業網絡與信息安全工作的指導意見》（教技[20XX]4號）以及《中華人民共和國網絡安全法》等國家有關法律、法規對網絡與信息技術安全管理的要求，并結合我校實際情況制定本管理辦法。第二條在XXXX大學校園范圍內建設、運營、維護和使用，網絡信息化基礎設施、網站及信息系統；在互聯網上以XXXX大學名義建設、運營、維護和使用網站及信息系統；和網絡信息安全的監督管理，適用本辦法。第三條XXXX大學任何組織或個人，不得利用網絡及計算機信息系統從事危害國家利益、學校利益和師生合法利益的活動，不得危害校園網絡及信息系統的安全。第二章管理機構及職責第四條XXXX大學網絡安全與信息化工作領導小組，是負責統籌學校網絡安全與信息化工作的領導機構，負責學校網絡安全與信息化建設的統籌規劃、協調部署、重大問題的決策和監督檢查。領導小組辦公室設在信息與網絡管理處，負責日常管理工作。第五條XXXX大學信息與網絡管理處是學校信息化建設的管理和執行機構，負責學校信息化建設總體規劃、年度計劃的制定和實施，負責組織學校信息化項目的立項審批和建設經費管理，負責全校信息化公共基礎設施、基礎平臺及公共資源的建設、管理與運行維護，負責為學校各單位信息化建設提供技術支持。第六條XXXX大學網絡信息安全工作由信息技術安全和信息內容安全兩部分組成。信息與網絡管理處牽頭負責信息技術安全工作。黨委宣傳部牽頭負責信息內容安全工作。信息與網絡管理處牽頭負責信息技術安全工作，是信息技術安全工作的管理和技術支撐單位。聯系黨辦、校辦、保衛處等相關部門，統籌信息系統（含網站）和信息技術安全事件的報告、處置與通報工作；組織開展網絡安全檢查和培訓；建立健全信息技術安全防護體系；負責統籌學校網絡信息基礎設施、公共信息服務平臺和應用信息系統的建設、運維與安全管理工作；管理XXXX大學電子郵件系統，規范用戶注冊和賬戶管理（詳見《XXXX大學郵件系統管理辦法》）；管理XXXX大學域名系統，規范域名注冊及管理（詳見《XXXX大學校園網站及域名管理辦法》）。聯系發展規劃處，統籌和審核學校教育教學辦學綜合統計數據的采集、傳輸、存儲、發布和使用，建立數據中心數據災備解決方案，確保數據安全。（詳見《XXXX大學數據共享及安全管理辦法》）黨委宣傳部牽頭負責信息內容安全工作。負責學校門戶網站統籌管理，審核門戶網站的信息發布、轉載和鏈接內容；負責學校新媒體內容管理及學校網絡輿情監控、引導。第七條學校各單位主要負責人為本單位網絡與信息安全工作的第一責任人，負責制定本單位信息化建設規劃，組織本單位信息化項目立項申報，監督項目建設、使用、維護，負責本單位信息化項目的信息安全工作，按照“誰主管誰負責、誰運維誰負責、誰使用誰負責”的原則，落實本單位建設的信息系統（含網站）的安全責任。第八條各單位應明確專門網絡信息安全管理人員，負責本單位信息化項目的建設、管理、培訓和維護，負責本單位信息安全工作的具體實施，負責學校信息化應用的宣傳、推廣，配合信網處及其他單位完成學校信息化建設中相關工作。第三章安全制度第九條安全等級登記備案。校屬各單位主辦的各類網站及信息系統，應統一向信息與網絡管理處登記備案，并配合信息與網絡管理處完成向教育部及公安部門的信息安全等級保護定級備案。信息系統等級備案的信息包括但不限于信息系統名稱、主辦/主管單位、責任人、安全保護等級、技術管理員、服務器放置地、數據庫類型、開發商、域名、IP地址、開放端口、運行有效期等。校內網站和信息系統的備案信息發生變動時，管理員應主動報告并修訂備案信息。第十條系統上線安全審查。校內網站與信息系統在投入使用前應向信息與網絡管理處提交備案材料，申請上線發布。信息與網絡管理處對申請上線的網站和信息系統進行安全檢查，使用漏洞掃描設備對網站和信息系統進行主機服務器和web應用服務安全掃描。對于存在安全風險的系統不予上線，修改后重新申請。申請上線的系統應標明系統的使用期限，對于短期使用的網站和信息系統，在使用期限到期后將自動關閉。第十一條安全監測評估。信息與網絡管理處對校內網站和信息系統進行日常安全管理，根據網站和信息系統的安全防護級別，定期進行安全掃描和風險評估，并將評估報告發送給管理員。對于存在高風險的網站和信息系統，將停止其互聯網訪問，通告負責人和管理員，并責令在15個工作日內修復，過期未修復的網站和信息系統將被關閉。對于出現嚴重安全事件的網站和信息系統，將立刻關閉，并通知負責人和管理員，責令整改并需提交整改報告。對于出現問題的網站和信息系統，無法聯系到負責人和管理員時，將視為無人維護，進行關閉處理。第十二條年審。校內網站和信息系統實行年審制，每年定期對網站和信息系統備案情況進行核查修訂。年審期間管理員應檢查所管理網站和信息系統的各項備案信息是否有變更，重點確認負責人和管理員的聯系信息是否準確，并提交修改或確認。在年審過程中，超過規定期限沒有進行備案信息確認的網站和信息系統，將視為無人維護，進行關閉處理。第十三條安全事件處理。各單位發現網絡信息系統安全問題要及時報告、處理（參照《XXXX大學網絡與信息安全事件應急預案》），保障校園網信息安全，堵塞有害信息，及時解決信息安全漏洞問題。第四章安全措施第十四條信息化公共基礎服務、跨部門信息系統、業務部門管理信息系統等面向師生公開服務的信息系統原則上應使用信息化公共云平臺等學校統一的軟硬件平臺。因技術原因（如外置加密設備）確需存放在單位自建服務器上的，應把服務器托管到信息與網絡管理處，提高信息系統運行環境的安全防護能力。（具體請參照《XXXX大學業務信息系統建設管理辦法》、《XXXX大學數據中心網站空間與虛擬主機服務管理規定》、《XXXX大學數據中心機房安全管理辦法》）第十五條財務管理系統、校園一卡通管理系統等涉及校內資金管理流通的信息系統應搭建專用的軟硬件平臺和專用傳輸網絡，實現與校園網的物理隔離，確保系統運行環境安全。第十六條校內單位新建的宣傳類、門戶類的網站原則上應使用由信息與網絡管理處統一開發的網站群系統，減少網站安全漏洞，提升網站安全防護能力，確保網站風格統一。（具體請參照《XXXX大學校園網站及域名管理辦法》）第十七條網站與信息系統在規劃設計和建設時，應按照所處等級保護級別同步進行安全規劃設計和建設，校內網站與信息系統在委托第三方進行開發時，應注重對運維和安全修復方面條款的要求，確保使用中出現問題時能迅速解決。第十八條各單位應加強對系統維護人員和系統賬戶管理。規范人員上崗、培訓、離崗流程，嚴格管理好系統賬戶密碼及賬戶授權。因崗位或職責發生變更時，必須及時更改系統管理賬戶密碼，及相關賬戶授權。避免授權不當的風險，凡因密碼或數據泄露造成損失和不良后果的，要追究相關人員責任。第五章附則第十九條任何單位和個人不得私自利用校園網絡建立網站、論壇、信息系統等，不得利用