上海城建职业学院校园网络与信息安全管理办法

（试行）

为了进一步加强校园网络信息的安全保护，规范网络信息发布内容，加大对网上信息的监管力度，制止和防范网上有害信息的传播，推进网络文明建设，创建良好的校园网络环境，根据依照《中华人民共和国计算机信息网络国际联网管理暂行规定》《中华人民共和国计算机信息网络国际联网安全保护管理办法》《中国教育和科研计算机网暂行管理办法》以及国家有关法律、法规对互联网安全管理的要求，和有关法律、法规的规定，结合学校实际，特制定本办法。

第一章  管理体制

第一条  学校的网络信息工作以校园网为依托，实行二级管理。校党委宣传部和图文信息中心在学校党委和行政领导下，代表学校行使管理和服务职能，直属学校管理处级建制单位为二级管理组织。

第二条  图文信息中心是学校网络信息工作的技术管理部门，负责学校网络信息工作的规划、建设、管理、组织协调、技术服务、技术培训和咨询、校园网运行维护以及教育、教学、办公管理平台的建立和维护等工作。校党委宣传部是学校网络信息安全的监督管理部门，负责网络信息的审核、监控，保证校园网络信息安全。

图文信息信息中心是学校网络信息安全归口管理、技术支撑单位，负责统筹学校网络信息安全工作。具体职责包括：

（一）制定网络信息安全总体规划，并组织实施；

（二）拟定网络信息安全管理规章制度，组织开展网络安全等级保护工作；

（三）负责学校网络信息安全防护系统的建设、运行维护、技术指导和服务支持；

（四）负责网络信息安全应急管理，协调处理与政府网络信息安全管理部门的关系；

（五）组织网络信息安全宣传和教育培训工作；

（六）负责网络信息安全监督检查工作；

（七）学校网络信息安全的其他工作。

第三条  校党委宣传部设专职校园网络管理员，对校园网络信息进行管理和审查。各二级管理组织要有领导班子主要成员分管网络信息安全，同时指定一名技术能力强、责任心强的兼职网络管理员（分管领导和网络管理员名单上报网络中心和宣传部备案），具体负责本单位计算机网络技术运行与信息的整理、送审、发布、管理、监控工作。人员有变动时，应及时增补人员，并将变更情况及时报送校党委宣传部与图文信息中心。

第二章 网络安全管理

第四条  所有连入校园网的用户单位必须与学校签署《上海城建职业学院校园网安全管理协议（试行）》（一式三分，校党委宣传部、图文信息中心、入网单位各保存一份）并严格遵照执行。各单位指定分管领导审定本单位的上网信息，并负相应的政治和法律责任。

第五条  凡要求在校园网络信息系统开设站点的单位应向校党委宣传部和图文信息中心提出申请，并由主管校领导批准，办理相关手续备案后，在图文信息中心指导下组织实施。

第六条  具备需下列条件的单位或团体，方可向学校申请开设网络信息主页：

（一）直属学校管理的处级建制单位；

（二）具有网络信息建设、维护、管理的技术人员；

（三）建立了健全的网络信息建设、使用、维护、管理的制度，具有行之有效的管理措施；

（四）在学校内有固定工作地点。

第七条  各用户单位的党政领导要加强对本单位网站信息的检查监督，把握网络信息正确的舆论导向，以高度的政治责任心做好信息工作，发现问题及时处理，指导好本单位主网页的建设与信息管理工作。

第八条  校园网络用户要按照《中华人民共和国计算机信息网络国际联网管理暂行规定》、《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》等有关规定，切实保证网上信息与数据安全、准确和健康。要积极配合学校图文信息中心与校党委宣传部开展学校网络信息建设、管理等各项工作。

第九条  加强专兼职网络管理员队伍建设。各单位要确定分管负责网络信息建设的领导和技术维护、管理人员、并在本单位建立相关的信息建设与管理制度及信息档案，切实保证本单位的信息数据、资源等连续性、完整性、及时性和有效性，认真完成学校交付的信息化建设任务。

第十条  各单位应建立健全网络信息安全保护管理制度，提高网络、数据和信息安全等防范意识，充分利用高技术方法手段。图文信息中心要经常检查网络安全保护管理以及技术措施的落实情况，对检查中发现的问题应提出改进意见，作出详细记录，存档备查。

第十一条 各单位要严格管理本单位设立的网络信息平台，在加强技术防范措施的同时，要对提供电子公告服务（BBS）、文件传输服务（FTP）等交互式内容实行监控，及时发现和删除有害信息。

第十二条  校园网络信息发布的内容必须经过学校相关部门的严格审批和登记。所有上网信息，必须送校党委宣传部审核后方可发布。各单位要建立相应的信息管理制度，网络信息发布要严格执行报批制度，保证信息的准确性、真实性和安全性。

第十三条 各单位主页要严格管理连接境外的新闻网站，不得随意登载境外新闻媒体和互联网站发布的信息。

第十四条  校党委宣传部、图文信息中心、各单位专兼职网络管理员负责查处通过计算机信息网络发生的违规违法行为和事件。发现违规行为，要及时进行技术处理，以保证信息系统正常工作，同时上报有关管理部门和学校进行处理。

第十五条  各单位要积极协助校党委宣传部、图文信息中心等部门处理违反学校有关网络信息管理办法的当事人员。

第十六条  学校的信息化工作关系每个师生利益，各单位要在师生中广泛开展网络信息安全教育活动，提倡文明上网，开展健康文明的网络文化活动，提高全校师生员工关心、爱护信息化工作的意识，以有利于校园网信息化建设和管理工作顺利进行并健康发展。

第三章 数据安全管理

第十七条  网络数据资源是学校信息化工作的重要宝贵资源，网络信息系统上的数据处理和数据管理归口部门，要积极采取切实有效的方法和技术手段，保证校园网信息系统数据的安全，防止数据丢失、篡改和失窃，做到定期进行备份处理和转储。数据要由专人管理和保存。

第十八条  各单位要提高网络信息安全方法意识，加强信息安全保护措施。对网络信息系统上负担重要数据处理和管理的服务器、计算机要做到专人管理或按用户专管专用，并建立完整使用登记及技术档案。管理前台重要的工作主机要切实做到人离机停。

第十九条  涉及业务管理的（如组织、人事、财务、纪检等）网络服务器，必须使用可靠的防范技术，保证业务数据系统的安全可靠。

第二十条  业务管理、档案信息等重要数据的输入、输出、存储、安全技术保管工作由主管单位负责。

第四章  网络信息发布管理

第二十一条  学校信息网站是依托于校园网内向校内外用户发布信息，提供信息查询、下载、上传等服务的窗口。未经校党委宣传部批准，任何单位或个人不得在校园网上随意发布和擅自更改网络信息。

第二十二条  凡属可以公开的各类行政宣传信息、教学信息、科研信息、学校新闻以及各类通知、公告、招聘等信息均可上网。凡不宜公开发表的信息和国家有关法规禁止传播的各类信息（内部通知、密电、人事档案、通报、汇报材料、保密的文件、资料、数据、信息等）一律不得上网。严禁在网上发布任何不良、不实、虚假和易造成负面影响、危害学校安全稳定的信息。

 任何单位和个人不得利用校园网制作、复制、传播和查阅下列信息：

（一）煽动抗拒、破坏宪法和法律、法规实施的；

（二）煽动颠覆国家政权，推翻社会主义制度的；

（三）煽动分裂国家、破坏国家统一的；

（四）煽动民族仇恨、民族歧视，破坏民族团结的；

（五）煽动非法集会、结社、游行、示威、聚众扰乱社会秩序的；

（六）捏造或者歪曲事实，散布谣言，扰乱社会秩序的；

（七）宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的；

（八）公然侮辱他人或者捏造事实诽谤他人的；

（九）损害国家荣誉和利益的；

（十）以非法民间组织名义组织活动的；

（十一）其他违反宪法和法律、行政法规的。

第五条  任何单位和个人不得从事下列危害校园网信息安全的活动：

（一）未经允许，接入校园网或者使用校园网资源的；

（二）未经允许，擅自安装、拆卸或改变网络设备的；

（三）未经允许，对校园网功能进行删除、修改或者增加的；

（四）未经允许，对校园网中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的；

（五）故意制作、传播、使用计算机病毒、恶意软件等破坏性程序，或者制作、发布、复制、传播含破坏性程序或其机理、源程序的信息的；

（六）利用系统漏洞做出有可能危害系统安全或干扰系统正常运行行为的；

（七）其他危害校园网信息安全的。

第二十三条  凡通过校园网发布的新闻类信息内容，必须以纸质档案书面形式由单位主要负责人或分管信息网络工作的负责人签署送审意见，并由各单位网络管理员送交校党委宣传部审核，经审核批准后方可发布。

第二十四条  各单位网络管理员送审网络信息时需认真填写《网络信息审查登记表》，经审核批准的信息上传时不得擅自更改，审批文档要分类存档一年以备上级查阅。

第二十五条  校园各级专兼职网络管理员要按照国家法律及学校有关规定，采用相应的技术手段，对计算机网络与信息安全进行实时检测与监控，发现问题应及时与图文信息中心联系进行技术处理，并向校党委宣传部、校武装保卫处报告，采取处理措施。

第二十六条  学校网站主页版面整体更新及主页中重要数据信息的更新，需报党政主要领导审批，经审核后在校党委宣传部备案，方可上网发布。

第二十七条  各单位主页要及时更新内容，主页至少每两个月更新一次，信息内容严重滞后以及长期存在技术问题，经通知整改后仍不能改正的，将对主页进行关闭，并追究相关负责人的责任。

第二十八条  校内站点网络信息所发布信息实行“谁发布，谁负责”的原则，各单位主要负责人及网络管理员要切实做好信息监控工作，配合校党委宣传部和信息中心的监督检查和管理工作。

第五章 信息保密管理

第二十九条  网络信息系统实行联网的保密管理，要实行技术管理和行政管理相结合，严格归口管理，控制源头。信息上网的安全管理坚持“谁上网谁负责”的原则。仅限于在校园网内公开的信息网页，不得直接或间接与国际互联网或其他公共信息网络相联接。

第三十条  各单位分管领导和专兼职网络管理员负责本单位上网信息的质量和安全保密管理，要妥善管理后台控制账户，定期更改管理账号和密码，严防账号和密码泄漏。

第三十一条  凡在校园网上开设电子公告系统、网络新闻组的用户单位，须经校党委宣传部、信息中心审批，并明确保密要求和责任。学校各网络信息提供单位要认真履行保密义务，未经批准，任何单位和个人不得在电子公告系统、网络新闻组上发布、谈论和传播国家、政府和学校秘密信息。

第三十二条  用户使用电子函件进行网上信息交流，要遵守国家和学校的有关保密规定，不得利用电子函件传递、转发或抄送秘密信息。

第三十三条  学校保密部门要加强计算机信息系统国际联网的保密检查，查处各种泄密行为。

第六章  电子邮件安全

第三十四条  图文信息中心为学校各单位和师生员工提供电子邮箱服务，并负责学校电子邮件的安全管理。学校各单位和师生员工使用学校电子邮箱应遵守学校电子邮箱管理等相关规章制度。

第三十五条  图文信息中心应采取必要的技术和管理措施，加强电子邮件系统安全防护，减少垃圾邮件、病毒邮件侵袭。

第三十六条  全校师生员工须对使用其电子邮件帐号开展的所有活动负责，应妥善保管本人使用的电子邮箱账号和密码，确保密码具有一定强度并定期更换。师生员工如发现他人未经许可使用其电子邮箱，应立即通知图文信息中心处理。

第七章  终端计算机安全

第三十七条  终端计算机是指由学校师生员工使用并从事学校教学、科研、管理等活动的各类计算机及附属设备，包括台式电脑、笔记本电脑及其他移动终端。

第三十八条  终端计算机使用人按照“谁使用，谁负责”的原则，对其终端负有保管和安全使用的责任。图文信息中心对终端计算机的安全管理提供技术支持和指导。

第三十九条  终端计算机设备上安装、运行的软件应为正版软件。在终端上使用盗版软件带来的安全和法律责任由终端使用人承担。

第四十条  终端计算机应当设置系统登录账号和密码，登录密码应具有一定强度并定期更改。

第四十一条  终端计算机使用人应做好数据日常管理和保护，定期进行数据备份。非涉密计算机不得存储和处理涉密信息。

第四十二条  终端使用人应做好终端计算机的安全防范，如发现终端计算机出现可能由病毒或攻击导致的异常系统行为或其他安全问题，应立即断网后进行处置。

第八章  存储介质安全

第四十三条  存储介质是指存储数据的载体，主要包括硬盘、存储阵列、磁带库等不可移动存储介质，以及移动硬盘、U盘等等可移动存储介质。

第四十四条  原则上，存储阵列、磁带库等大容量介质应托管在学校数据中心，并由图文信息中心统一运行、维护和管理。图文信息中心应采取必要技术措施防范数据泄漏风险，确保存储数据安全。

第四十五条  学校各单位应建立移动介质管理制度，记录介质领用、交回、维修、报废、损毁等情况。介质使用人按照“谁使用，谁负责”的原则，对其移动介质负有保管和安全使用的责任。

第四十六条  非涉密移动存储介质不得用于存储涉密信息，不得在涉密计算机上使用。

第四十七条  移动存储介质在接入终端计算机和信息系统前，应当查杀病毒、木马等恶意代码。

第四十八条  介质使用人应注意移动存储介质的内容管理，对送出维修或销毁的介质应事先清除敏感信息。

第四十九条  图文信息中心应配备必要的电子信息消除和销毁设备。存储介质履行必要的审批程序后，可由图文信息中心集中销毁。

第九章  人员安全管理

第五十条  学校各单位应建立健全本单位的岗位信息安全责任制度，明确岗位及人员的信息安全责任。关键岗位的计算机使用和管理人员应签订信息安全与保密协议，明确信息安全与保密要求和责任。

第五十一条  学校各单位应加强人员离岗、离职管理，严格规范人员离岗、离职过程，及时终止相关人员的所有访问权限，收回学校提供的软硬件设备，并签署安全保密承诺书。

第五十二条  学校各单位应定期对网络信息安全岗位的人员进行安全知识和技能的考核，并对考核结果进行记录和保存。

第五十三条  学校各单位应建立外部人员访问机房等重要区域的审批制度，外部人员须经审批后方可进入，并安排工作人员现场陪同，对访问活动进行记录和保存。

第五十四条  学校各外包服务需求单位应与网络信息系统开发和运维服务提供商签订网络信息安全与保密协议，明确网络信息安全与保密责任，要求服务提供商不得将服务转包，不得泄露、扩散、转让服务过程中获知的敏感信息和各类电子数据，不得占有服务过程中产生的任何信息资产，不得以服务为由强制要求委托方购买、使用指定产品。各单位签署外包服务合同时，应将学校统一制定的网络信息安全与保密协议作为合同附件。

第十章  网络信息安全应急管理

第五十五条  图文信息中心负责学校网络信息安全应急工作的统筹管理，制定学校网络信息安全事件报告与处置流程，以及安全应急工作的技术支撑和保障。

第五十六条  图文信息中心定期组织网络信息安全应急演练，评估并适时组织网络信息安全应急预案修订。学校各单位应组织开展网络信息安全应急预案的宣传、教育和培训，确保相关人员熟悉应急预案。

第五十七条  图文信息中心负责组建学校信息安全应急队伍，完善24小时应急值守制度，提高信息安全事件的预防、预警和应对能力，预防和减轻信息安全事件造成的损失和危害。

第五十八条  学校各单位应按照学校网络信息安全事件报告与处置流程，做好事发紧急报告与处置、事中情况报告与处置和事后整改报告与处置工作。做到安全事件早发现、早报告、早控制、早解决。

第五十九条  学校各单位及师生员工均有义务及时向图文信息中心报告信息安全事件，不得在未授权情况下对外公布、尝试或利用所发现的安全漏洞或安全问题。

第十一章  网络信息安全教育培训

第六十条  党委宣传部、图文信息中心负责组织学校网络信息安全宣传和教育培训工作，建立健全相关制度；

第六十一条  图文信息中心定期组织开展针对师生员工的网络信息安全教育，提高师生员工的安全和防范意识。

第六十二条  图文信息中心定期开展针对网络信息安全管理人员和技术人员的专业技能培训，提高网络信息安全工作能力和水平。

第十二章  网络信息安全检查监督

第六十三条  学校各单位定期对本单位信息系统的安全状况、安全保护制度及措施的落实情况进行自查，并配合有关部门的网络信息安全检查、信息内容检查、保密检查与审批等工作。

第六十四条 图文信息中心对学校各单位的网络信息安全工作落实情况进行检查，对发现的问题下达限期整改通知书，责成相关单位制订整改方案并落实到位。

第六十五条  图文信息中心对年度安全检查情况进行全面总结，按照要求完成检查报告并报学校网络安全工作委员会。

第十三章  网络信息安全责任追究

第六十六条  学校建立网络信息安全责任追究和倒查机制。

第六十七条  有关单位在收到网络信息安全限期整改通知书后，整改不力的，学校给予通报批评；玩忽职守、失职渎职造成严重后果的，依纪依法追究相关人员的责任。

第六十八条  学校各单位应按照网络信息安全事件报告与处置流程及时、如实报告和妥善处置网络信息安全事件。如有瞒报、缓报、处置和整改不力等情况，学校将对相关单位责任人进行约谈或通报。

第六十九条  师生员工违反本办法规定的，由学校网络安全工作委员会责令改正，并通报批评；拒不改正或者导致危害网络信息安全等严重后果的，根据学校有关规定给予以纪律处分。触犯法律的，移交司法机关处理。

第十四章  其  它

第七十条  涉及国家秘密的信息系统，执行国家保密工作的相关规定和标准，由校党委保密委员会办公室监督指导。

第七十一条  本办法在实施中若与国家有关法律、法规有不一致的，以国家法律、法规为准。

第七十二条  本办法经上海城建职业学院党委会议研究通过，自下发之日起实施，由图文信息中心负责解释。学校原有相关规定与本办法不一致的，按本办法执行。