海南热带海洋学院网络与信息安全管理办法

 第一章 总 则

    第一条 为加强学校网络与信息安全管理，提高网络与信息安全防护能力和水平，保障学校各项事业健康有序发展，根据《中华人民共和国网络安全法》《计算机信息网络国际联网安全保护管理办法》《教育部关于加强教育行业网络与信息安全工作的指导意见》《教育行业信息系统安全等级保护定级工作指南》等法律法规，结合学校实际，特制定本管理办法。

第二条 本管理办法所称“网络与信息安全”工作，是指由校内各单位（部门）建设或管理，服务于学校教学管理、科研管理和其它管理的校园信息网络、数据中心、应用系统和互联网站，为防止发生网络攻击、信息破坏、有害程序入侵、信息化基础设备和设施故障等发生而开展的预防和防御工作。

第三条 学校按照国家有关网络与信息安全政策法规，制定网络与信息技术安全规范，加强安全管理与技术防范工作，建立完善相关规章制度，并在实际工作中予以落实。

第二章 管理体制与责任

第四条 学校成立网络安全与信息化领导小组，党委书记、校长任组长，分管校领导任副组长，负责统一领导、统一谋划、统一部署全校网络安全与信息化工作。学校网络安全与信息化领导小组下设办公室，学校网络安全与信息化领导小组办公室（以下简称“网信办”）负责学校网络安全与信息化管理工作。

第五条 学校各单位（部门）是本单位（部门）网络安全与信息化工作的责任主体，各单位（部门）主要负责人是本单位网络安全与信息化工作第一责任人，负责按本办法落实网络安全与信息化工作。

第六条 各单位（部门）要明确本单位（部门）各应用系统和互联网站的运行维护责任人并报网信办备案，如有人员变动应及时向网信办报备。

第七条 按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，全校各单位（部门）及全体师生员工要依照本办法及其相关标准规范履行网络安全与信息化的义务和责任。

第三章 校园信息网络安全管理

第八条 校园信息网络包括校园计算机网络、公用通信网络和专用通信网络，信息网络安全工作统一归口网信办管理。

第九条 校园信息网络线路，由学校网络与教育技术中心负责建设规划和使用管理、由学校基建与后勤管理处负责施工建设和基础维护。

第十条 学校网络核心机房、网络设备、网址域名、安全防护等，由网络与教育技术中心负责建设和运行维护。

第十一条 校园信息网络接入互联网遵循“统一出口、统一管理”的规定，由网络与教育技术中心负责实施。任何单位（部门）和个人在校园内不得擅自通过校外网络接入互联网。

第十二条 各单位（部门）局域网接入校园网，须自行提供布线空间、网络设备间和电源保障，负责安防和消防管理。

第十三条 学校所有基础建设、修缮工程须将工程范围内校园网建设纳入工程设计、实施和竣工验收范畴。

第十四条 师生员工登录校园网，实行实名注册、认证上网。学生宿舍区域学生上网由三大运营商负责具体工作，教师村区域由教师村物业负责用户入网实名工作，其它区域由网络与教育技术中心负责。任何单位（部门）和个人不得利用校园网及网络设施开展经营活动。

第四章 数据中心安全管理

第十五条 数据中心主要包括支撑各类应用系统运行的软硬件基础设施、学校基础数据库、统一数据交换平台、统一身份认证系统及统一信息门户。网络与教育技术中心负责数据中心的建设和运行维护管理。

第十六条 网络与教育技术中心负责数据中心的物理安全、网络安全和主机安全。数据中心的资源使用单位（部门）负责所使用的操作系统、业务数据库系统、应用系统和数据的安全。

第十七条 网络与教育技术中心负责学校基础数据库和统一数据交换平台的建设和安全管理，负责各单位（部门）业务数据库与基础数据库之间完成数据交换和共享。

各单位（部门）负责建设、维护本单位（部门）业务应用系统所配套的业务数据库；对本单位（部门）业务数据库的系统安全、数据安全及所申请的共享数据的安全负责。

第十八条 网络与教育技术中心负责统一身份认证系统的建设运行和安全管理，校内各单位（部门）负责本单位（部门）应用系统的权限管理及安全，建设面向师生服务的应用系统时，要与统一身份认证系统进行认证集成并向网信办备案。

第十九条 全校各单位（部门）应依托校内数据中心实施本单位（部门）信息化建设（包括建设应用系统或互联网站），需要使用校外数据中心的须报网信办审批；严禁使用设置在境外的数据中心。涉及学校基础数据、师生个人信息或敏感信息的应用系统和互联网站，禁止放置在校外数据中心（含云计算平台）。如发现违反规定的，网络与教育技术中心将责令其限期整改；其中触犯法律的，由相关国家机关依法追究法律责任。

第二十条 学校数据中心使用实行准入管理，网络与教育技术中心负责制定数据中心的技术规范和标准，对用户拟上线系统进行安全检测，符合技术规范标准并检测通过的系统方可准许上线运行。

第二十一条 数据中心使用单位（部门）须遵守数据中心使用管理规定，执行相关技术标准，按需申请、有序使用数据中心资源。利用数据中心平台自建数据资源的，须制定并实施本单位（部门）数据资源使用制度，不得利用数据中心资源从事任何危害数据安全的活动。如发现违反规定的，网络与教育技术中心将责令其限期整改；其中触犯法律的，由相关国家机关依法追究法律责任。

第五章 信息系统安全管理

第二十二条 各单位（部门）要按照国家信息系统等级保护制度的相关法律法规、标准规范和要求落实信息系统安全等级保护制度。

第二十三条 各业务主管部门为相应业务信息系统（含移动客户端软件）的责任部门，应指定专门人员负责系统的建设、运行维护和安全管理，组织软件提供商并会同网络与教育技术中心制定信息系统运维和安全管理方案。

第二十四条 各业务信息系统经上线试运行后，由网信办和国有资产和设备处组织初步验收，出具初步验收报告，并向网信办申请进行信息安全保护等级测评。网信办组织开展信息安全保护等级测评，形成测评报告；未进行信息安全保护等级测评或测评不合格的业务信息系统不得进行竣工验收。

第二十五条 各单位（部门）要保留不少于6个月的系统维护日志。各单位（部门）管理员和个人要妥善保管好账号和密码，定期更新密码，防止密码外泄。

第六章 互联网站安全管理

第二十六条 各单位（部门）设立互联网站，须使用学校互联网络域名或学校互联网站地址，并遵守《海南热带海洋学院网站管理办法》及相关规章制度。

第二十七条 各单位（部门）设立互联网站，可基于学校网站群平台建设，也可委托软件开发商建设。各单位（部门）设立互联网站须按信息安全保护等级的相应规范落实信息安全防护措施。

学校网站群平台由网络与教育技术中心统一建设，平台技术安全由网络与教育技术中心负责；运行在网站群平台上的网站的内容安全由网站主办单位（部门）负责。

未运行在学校网站群平台的网站，网站主办单位（部门）对网站技术安全和内容安全负责。

第二十八条 各互联网站的主管单位（部门）须建立网站应急值守制度，规范应急处置流程，由专人对网站进行监测，及时处置网站运行异常情况。

对于使用频度不大或阶段性使用的网站，可采取非工作时间或寒暑假、节假日关闭的方式加强安全管理。

第七章 信息安全管理

第二十九条 校园网所有用户必须遵守国家有关法律法规和学校的有关管理规定，严格执行信息安全保密制度，对所提供和发布的信息承担相应责任。

第三十条 任何单位（部门）和个人不得利用校园网制作、复制、传播和查阅下列信息:

 （一）煽动抗拒、破坏宪法和法律、行政法规实施的；

 （二）煽动颠覆国家政权、推翻社会主义制度的；

 （三）煽动分裂国家，破坏国家统一的；

 （四）煽动民族仇恨、民族歧视，破坏民族团结的；

 （五）捏造或者歪曲事实、散布谣言、扰乱社会秩序的；

 （六）宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的；

 （七）公然侮辱他人或者捏造事实诽谤他人的；

 （八）损害国家机关信誉的；

 （九）其他违反宪法和法律、行政法规的。

第三十一条 各单位（部门）要按照国家及学校有关规定，严格遵守海南热带海洋学院校园网信息发布审核制度，未经审核通过的信息内容不得发布。

第三十二条 校园网用户必须自觉配合国家和学校有关部门依法进行的监督、检查。用户发现违法有害信息，有义务向学校有关部门报告。

第八章 监测预警与应急处置

第三十三条 学校各应用系统和互联网站，由学校网信办按照国家信息安全等级保护制度要求标准确定安全保护等级，由网络与教育技术中心按相关规定对信息安全等级状况开展等级测评。

第三十四条 网信办组织对各单位（部门）应用系统、互联网站安全状况、安全保护制度及措施的落实情况进行检查，并配合上级有关部门开展信息安全检查、信息内容检查、保密检查与审批等工作。

第三十五条 各单位（部门）要按照学校信息安全事件报告与处置流程，做好应急事件处置工作。

第三十六条 各单位（部门）要按照安全事件早发现、早报告、早控制、早解决的要求建立本单位（部门）信息安全值守制度，制定安全事件应急预案和处置方案，组织应急演练。

第三十七条 网信办联合相关单位对全校各单位（部门）网络安全与信息技术安全工作落实情况进行检查，对安全隐患做出预警，对发现的问题下达限期整改通知书，对网络与信息技术安全事件进行调查处理。

第九章 保障措施

第三十八条 学校保障网络与信息安全及信息化发展所需的人员编制和经费投入，建设高水平网络与信息安全技术支撑队伍。

第三十九条 网信办负责制定网络与信息安全教育培训规划，开展面向全校的培训和宣传教育，提高师生员工的安全和防范意识，培养良好的媒介素养和规范、文明的用网行为。

第四十条 网络与教育技术中心负责组织开展网络与信息安全管理和技术人员专业培训。

第十章 责任追究

第四十一条 有关单位（部门）按照网络与信息安全限期整改通知书进行整改，整改不力的，给予通报批评；玩忽职守、失职、渎职造成严重后果的，依纪依法追究相关人员的责任。

第四十二条 各单位（部门）要按照网络信息安全事件报告与处置流程及时、如实地报告和妥善处置网络信息安全事件。如有瞒报、缓报、处置和整改不力等情况，由网信办联合纪检监察部门进行约谈或通报。

第四十三条 师生员工违反网络与信息安全相关管理规定，造成不良后果的，视情节轻重，分别由人事管理部门或学生管理部门按相关规定给予批评教育或纪律处分；其中触犯法律的，由相关国家机关依法追究法律责任。

第十一章 附则

第四十四条 对于涉及国家秘密的信息系统，按照国家保密工作管理规定进行管理。

第四十五条 如遇紧急情况，经学校网络安全与信息化工作领导小组批准，网络与教育技术中心可以采取特别技术措施以维护学校网络与信息安全。

第四十六条 本办法由网信办负责解释，自发布之日起施行。