第一章 总则
第一条 为规范和加强我校校园计算机局域网(以下简称校园网)管理,提高网络管理及网络安全防护能力和水平,保障校园网安全可靠运行,更好地为校园网用户提供高质量的网络服务,依照《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国密码法》《信息安全技术个人信息安全规范》(GB/T35273-2017)、教育部《高等学校数字校园建设规范(试行)》(教科信函〔2021〕14号)、中共中央办公厅和山东省教育系统《党委(党组)网络安全工作责任制实施办法》等相关法律法规要求,结合学校的实际情况,制定本办法。
第二条 校园网是指利用网络设备、通讯介质和适宜的组网技术与协议,以及各类系统管理软件和应用软件,将校园内的计算机和各种终端设备有机地集成在一起,服务于学校各项工作的计算机局域网络系统。在校园网范围内建设、运营、维护和使用的网络信息化基础设施、网站及信息系统,在互联网上以学校名义建设、运营、维护和使用网站及信息系统,以及网络安全的监督管理,适用本办法。
第三条 校园网是信息化建设的基础设施,为学校教学、科研、管理、服务等工作提供支撑,是学校重要的宣传阵地。学校内的办公教学区、学生宿舍区有线网络和校园无线网是校园网不可分割的组成部分,纳入校园网的统一管理。
第四条 教育系统网络安全事关师生切身利益和教育事业发展大局,按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,逐级落实网络与信息安全责任,形成统筹协调、分工协作、齐抓共管的工作机制,实现责任明确、重点突出、自主防护、保障安全的目标。
学校党委对本单位网络安全工作负主体责任,领导班子主要负责人是第一责任人,主管网络安全的领导班子成员是直接责任人。各部门、单位主要负责人是网络安全工作的第一责任人,分管网络安全的部门领导是网络安全工作的直接责任人。
第五条 校园网建设应本着“科学规划、分步实施、重点建设、突出特色、整合资源、强化应用”的原则,严格规范校园网接入及应用软件的开发标准,确保我校网络整体建设规划和信息化建设的落实。
第六条 任何单位及个人不得利用学校网络和信息系统泄露国家或学校秘密,损害国家利益,侵犯其他单位和个人的合法权益,不得从事违法犯罪活动。
第二章 组织机构和工作职责
第七条 网络安全与信息化工作领导小组是学校网络安全和信息化工作的领导机构,负责统一领导、统一谋划和统一部署全校网络安全与信息化工作,负责校园网安全管理制度的制定、监督和检查,并根据执行情况对相关责任人做出奖惩决定。
网络安全与信息化工作领导小组下设办公室(简称“网信办”)。由网络信息中心、党委宣传部、党委办公室(校长办公室)按照工作分工负责学校网络安全和信息化工作的管理和协调工作,纵向衔接、横向协调。
网络信息中心牵头负责信息技术安全工作,是信息技术安全工作的管理和技术支撑部门。统筹负责校园网的规划、建设、运行和管理,开展校园网安全管理和技术支持工作。负责统筹学校信息基础设施、公共信息服务平台和应用信息系统的建设、运维与安全管理工作;会同相关职能部门,统筹信息系统(含网站)和网络安全事件的报告、处置与通报工作;组织开展网络安全监测、检查和培训工作;建立健全信息技术安全防护体系;配备专门的网络安全管理人员和网络安全技术人员,统一组织实施信息安全等级保护测评工作;统筹和管理学校基础数据的采集、传输、存储、发布和使用,制定数据中心数据灾备解决方案,确保数据安全。
党委宣传部牵头负责信息内容审核、网络舆情和舆论引导等工作。负责网络媒体平台的安全管理与指导、网络信息的安全管理以及网络意识形态安全等方面的工作;对涉及校园网络舆情信息全天候监测,负责校园网络舆情分析、研判、预警和处置;负责学校门户网站统筹管理,审核门户网站的信息发布、转载和链接内容;负责学校新媒体内容管理。
第八条 各教学院部(科研机构)、各职能部门、各教辅单位负责本部门网站及应用系统的安全建设、运维以及内容安全管理,并制定本部门、单位的网络安全管理规定,对本部门网络安全工作负主体责任,各部门、单位主要负责人是网络安全工作的第一责任人,各部门、单位需明确分管网络安全的领导作为网络安全工作的直接责任人,同时应设置网络安全管理员,负责本部门、单位的网络安全具体工作。人员发生变动时,需及时报送网络信息中心备案。
第三章 网络信息安全管理
第九条 网络安全的核心是信息安全。网络信息安全管理主要包括网络意识形态安全管理、网络信息服务和网络信息内容管理。
第十条 强化网络意识形态安全责任意识。各部门、单位要树立科学全面的网络安全观,把加强网络信息的意识形态内容管理作为网络安全工作的重要组成部分,坚持正确的政治方向和舆论导向,强化网络信息传播的纪律要求,对所属或管理的网络平台信息发布与传播,严格执行内容审阅和信息审核制度,强化运营人员的日常管理和教育培训。
党员干部要严守政治纪律和政治规矩,自觉带头在网络上宣传党的理论和路线方针政策,积极践行社会主义核心价值观,履行网络监督义务,发现网上违法信息及时向有关部门报告并协助处置。
第十一条 各部门、单位须规范网络信息服务管理。严格按照《互联网信息服务管理办法》(国务院令292号)相关规定开展网络信息服务,严格按照《互联网新闻信息服务管理规定》(新闻办令37号)相关规定开展网络新闻信息服务。不具备相关资质的运营主体,不得开展有关网络信息服务。
第十二条 任何单位、组织或个人未经允许不得在校内开设具有互动功能的信息服务网络平台,也不得在校外以学校或各二级单位名义开设具有互动功能的信息服务网络平台。确因工作需要开设的,须向党委宣传部报告申报,经审核通过并签订《山东财经大学网络信息系统安全责任书》后方可开设。开设其他符合规定的、公开性、共享性信息服务的网络平台须向党委宣传部履行备案手续。备案信息同时送网络信息中心。
第十三条 各部门、单位须建立健全信息保护机制。对所属或管理的网络平台加强个人信息和教学科研信息的保护,不得收集、使用与所提供服务无关的个人信息及非公开的教学科研信息,对所收集的各类信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。
第十四条 任何单位、组织和个人不得通过网络制作、发布、传播或者查阅下列信息。
(一)煽动抗拒、破坏宪法和法律、法规实施的;
(二)煽动颠覆国家政权,推翻社会主义制度的;
(三)煽动分裂国家、破坏国家统一的;
(四)损害国家荣誉和利益的,煽动民族仇恨、民族歧视,破坏民族团结的;
(五)破坏国家宗教政策,宣扬邪教和封建迷信的;
(六)捏造或者歪曲事实,散布谣言,扰乱学校和社会秩序的;
(七)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;
(八)公然侮辱他人或者捏造事实诽谤他人的;
(九)涉密或内部敏感资料的,损害学校利益和形象的;
(十)含有法律、法规禁止的其他内容的。
第十五条 各部门、单位要按照国家及学校有关规定,严格遵守《山东财经大学校园网信息发布规定》,未经审核通过的信息内容不得发布。严禁发布或上传违法及涉密信息。
第十六条 校园网用户必须自觉配合国家和学校有关部门依法进行的监督、检查。用户发现违法有害信息,有义务向学校有关部门报告。各部门、单位的网络平台管理人员应对上网信息进行严格审查和定期巡检,发现不良内容及时处置。
第四章 校园网运行管理
第十七条 校园网实行分级运行管理。校园主干网、园区无线网由网络信息中心负责运行管理和维护;有子网的单位(图书馆、实验教学中心、科研团队等)其子网(含室内综合布线、网络设备、终端设备)由接入单位负责运行管理和维护,承担网络安全管理的主体责任。网络信息中心负责提供校园网接入入口。
第十八条 各子网接入单位指定专人作为网络管理员,负责本单位子网的管理维护,网络信息中心对子网接入单位提供入网技术规范和指导。
第十九条 网络信息中心负责数字与名字资源的统一管理,包括IP地址、域名等的分配和管理。各子网接入单位负责对本子网分配的IP地址段等进行管理,详细登记并报网络信息中心备案。
第二十条 网络信息中心负责校内服务器的访问控制,各单位所属服务器须报网络信息中心备案审核后方能正常访问。
第二十一条 网络信息中心负责学校中心机房的网络运行维护,未经批准各单位原则上不得单独建设机房、存储资源、计算资源等基础设施;各单位已建的独立数据中心机房应迁移至学校数据中心机房托管,并由各主管单位负责运维管理;经批准未迁移的自建机房由各主管单位负责管理、运行和维护,承担网络安全管理的主体责任。
可以纳入学校统一管理的存储资源、计算资源应统一建设、管理和运维。各学院、部门和单位原则上不再分散建设通用计算和存储资源,按需申请、有序弹性扩展。
第二十二条 校园网络接入互联网遵循“统一出口、统一管理”的规定,由网络信息中心负责实施。师生员工登录校园网,实行“实名注册、认证上网”制度。任何单位和个人不得使用未经合法申请的IP地址,不得使用未经许可的网络端口,不得私自采用搭接线缆和设置任何网络设备(交换机、路由器等)等方式对校园网进行扩展。任何单位和个人在校园内不得擅自通过校外网络接入互联网。
第二十三条 各主管单位应定期对管辖的服务器、信息系统、网站、移动应用等进行安全维护和检查,优化身份认证、访问控制等安全策略;严格管理系统账号和管理账号,及时消除弱口令隐患;及时关闭远程访问权限,关闭不必要的端口和服务;废弃系统应及时关停,并报网络信息中心注销备案;按照数据安全管理相关规定保障数据安全。
第二十四条 校园网用户和管理员应对所使用或管辖的计算机和服务器定期执行补丁更新、病毒查杀等防范措施;对网络信息中心通报或自行发现的漏洞和安全问题应及时修复,避免造成安全事故。
第二十五条 为使网络资源得到有效合理的利用,校园网在一定范围和程度上实行有偿使用制度。
第二十六条 学校保密委员会负责指导学校涉密网络的规划、设计、建设和运行维护,审查和批准学校涉密网络各类规章制度、安全保密策略、工作规程,组织开展网络保密检查、教育、培训等工作。
第五章 校园网信息基础设施安全管理
第二十七条 校园网信息基础设施统一归口网络信息中心管理,包括:各校区之间的光纤通信线路、各校区内各楼宇之间的室外通讯光缆、无线信道、各楼宇内的计算机网络综合布线系统、室内信息插座、室内无线信道、各楼宇机房、配线间内的网络机柜、配线架、跳线和网络设备等。
第二十八条 校园网络管道由网络信息中心负责建设规划和使用管理;总务处和基建处负责施工建设和维护。
第二十九条 对于新建楼宇或旧楼改造等工程,凡涉及到信息基础设施,主管单位应事先书面告知网络信息中心,技术方案应由网络信息中心参与、审核。项目建设完成,相关竣工图纸、节点测试报告等文档资料须交至网络信息中心留查,由主管单位会同网络信息中心组织验收,未经网络信息中心审核或验收不合格的不予接入校园网。
第三十条 对道路施工、管道施工等,凡涉及到信息基础设施的,主管单位应提前书面通知网络信息中心,施工过程中应采取必要的措施保护信息基础设施,不得危害校园网络系统的畅通和安全,因施工对信息基础设施造成损坏或影响的,项目主管单位负主要责任,须责令施工方按照网络信息中心要求限期修复,并赔偿因此带来的损失。
第三十一条 校园无线网由网络信息中心统一规划、建设和实施。在校园范围内,任何单位未经网络信息中心批准不得私自架设无线网络设备。未经网络信息中心审核备案投入使用的,主管单位承担主要责任,并负责拆除违规设备。
第三十二条 各运营商线缆及相关运营业务进驻校园,需提交详细的施工、环境测评和运营方案(合同),经网络信息中心审核后备案。未经审核进驻校园的,合同视为无效并按照要求限期停网整顿。
第三十三条 任何单位或个人都有义务保护校园网信息基础设施,不得损坏或擅自改动。对校园网信息基础设施造成破坏的单位或个人,将按国家和学校有关法律法规进行处理。
第六章 数据中心安全管理
第三十四条 数据中心主要包括支撑各类应用系统运行的软硬件基础设施、学校基础数据库、统一数据交换平台、统一身份认证系统及统一信息门户。
第三十五条 网络信息中心负责数据中心的建设和运行维护管理,负责数据中心的物理安全、网络安全和主机安全。负责学校基础数据库和统一数据交换平台的建设和安全管理,负责各部门、单位业务数据库与基础数据库之间完成数据交换和共享。
第三十六条 各部门、单位负责建设、维护本部门、单位业务应用系统所配套的业务数据库,对本部门、单位业务数据库的系统安全、数据安全及所申请使用的共享数据的安全负责。
第三十七条 网络信息中心负责统一身份认证系统的建设运行和安全管理。统一身份认证系统为校内信息系统提供统一的身份管理、安全的认证机制、审计及标准接口。校内各部门、单位负责本部门、单位应用系统的权限管理及安全,建设面向师生服务的应用系统时,要与统一身份认证系统进行认证集成并向网络信息中心备案。
第三十八条 全校各部门、单位应依托校内数据中心实施本部门、单位信息化建设(包括建设应用系统或互联网站),需要使用校外数据中心的须报网络信息中心审批;严禁使用设置在境外的数据中心。涉及学校基础数据、师生个人信息或敏感信息的应用系统和互联网站,禁止放置在校外数据中心(含云计算平台)。
第三十九条 学校数据中心使用实行准入管理,网络信息中心负责制定数据中心的技术规范和标准,对用户拟上线系统进行安全检测,符合技术规范标准并检测通过的系统方可准许上线运行。
第四十条 各部门、单位须遵守相关管理规定,执行相关技术标准,按需申请、有序使用数据中心资源。利用数据中心平台自建数据资源的,须制定并实施本部门、单位数据资源使用制度,不得利用数据中心资源从事任何危害数据安全的活动。
第七章 信息系统安全管理
第四十一条 信息系统在立项、建设、上线、运行等阶段应根据学校网络安全管理规定同步落实网络安全要求。
第四十二条 各部门、单位要按照国家信息系统等级保护制度的相关法律法规、标准规范和要求落实信息系统安全等级保护制度。在信息系统规划阶段应报网络信息中心审核,网络信息中心将依据网络安全等级保护定级指南等规范标准,确定信息系统的安全保护等级并协助开展等级保护测评工作。对二级及以上的信息系统,建设内容应包含网络安全等级保护测评服务,经具有相关资质的测评单位测评后达到网络安全等级保护要求的,由网络信息中心审核后方可上线运行。各业务信息系统经试运行后,由业务主管部门组织初步验收,出具初步验收报告,并向网络信息中心申请信息安全保护等级测评。网络信息中心开展信息安全保护等级测评,形成测评报告;未进行信息安全保护等级测评或测评不合格的业务信息系统不得进行竣工验收。
第四十三条 各业务主管部门、单位为相应业务信息系统(含移动客户端软件)的责任部门,应指定专门人员负责系统的建设、运行维护和安全管理,组织软件提供商并会同网络信息中心制定信息系统运维和安全管理方案。信息系统原则上由业务管理部门、单位运维,特殊情况可委托网络信息中心运维。
第四十四条 各部门、单位要保留不少于6个月的系统维护日志。各部门、单位管理员和个人要妥善保管好账号和密码,定期更新密码,防止密码外泄。
第八章 互联网站安全管理
第四十五条 各部门、单位设立互联网站,须使用学校互联网络域名或学校互联网IP地址,并遵守《山东财经大学互联网络域名管理办法》及相关规章制度。
第四十六条 各部门、单位设立互联网站,可基于学校网站群平台建设,也可委托软件开发商建设。各部门、单位设立互联网站须按信息安全保护等级的相应规范落实信息安全防护措施。学校网站群平台由网络信息中心统一建设,平台技术安全由网络信息中心负责;网站内容维护与内容安全由网站所属部门、单位负责。未运行在网站群平台上的网站安全由网站主办者负责。
第四十七条 各部门、单位对主管的互联网站实施网络安全管理,应明确责任人和指定专门的管理人员,并向网络信息中心备案;备案信息发生变化时,应及时报送网络信息中心变更备案;互联网站停用后应及时关闭,并报送网络信息中心注销备案信息。
第四十八条 各互联网站的主管部门、单位应建立网站应急值守制度,规范应急处置流程,由专人对网站进行监测,及时处置网站运行异常情况。对于使用频度不大或阶段性使用的网站和信息系统,可采取非工作时间或寒暑假、节假日关闭的方式加强安全管理。
第九章 校园网用户管理
第四十九条 使用校园网的所有单位和个人统称校园网用户,包括校内用户(在校师生)、校外用户(短期访问、物业、商户等非在校师生用户)。
第五十条 校园网用户必须遵守国家、地方和学校的有关法规、规定、条例及管理办法等。用户必须随时接受并配合网络信息中心以及学校和政府有关部门依法进行的监督检查。
第五十一条 校园网实行实名身份认证和上网行为管理,任何单位和个人不得私自将计算机接入校园网,不得使用他人账号或将账号转借他人。网络信息中心负责留存用户注册信息和上网记录,子网接入单位负责留存内部运行记录,并保留六个月以上,以备相关部门检查。
第五十二条 校园网用户在发生变动时须到网络信息中心办理账户变更或销除手续。校外用户的账户信息变动由隶属单位负责备案,并向网络信息中心报备。
第十章 监测预警与应急处置
第五十三条 网络信息中心负责组织对各部门、单位的信息系统、网站的安全状况、安全保护制度及措施的落实情况进行检查,对安全隐患做出预警,对发现的问题下达限期整改通知书,对网络与信息安全事件进行调查处理,并配合上级有关部门开展相关工作。
第五十四条 网络信息中心按照相关规定或上级部门要求发布的网络安全监测预警信息,相关单位及人员应积极配合,根据安全预警信息,认真查找网络安全隐患和漏洞,及时做好相应排查处置工作。为避免安全事件不良影响扩大,网络信息中心有权直接对安全事件相关的网络及信息系统进行断网、停止服务等应急处理。
第五十五条 为应对各类突发网络安全事件,各主管单位要制定详细可行的应急响应预案,保证第一时间对安全事件做出响应,迅速有效处理突发事件,最大限度降低影响和损失。
第十一章 保障措施
第五十六条 学校要保障网络安全及信息化发展所需的人员编制及人员配备,积极建设高水平网络信息技术支撑队伍。
第五十七条 学校须切实保障网络安全经费。依据上级有关规定,建立稳定的网络与信息安全经费投入机制,重点用于学校信息基础设施建设及运维、信息安全等级保护、安全防护能力建设、信息安全服务、师生网络安全教育培训等工作预算。
第五十八条 网信办负责制定网络信息教育培训规划,开展面向全校的培训和宣传教育,提高师生员工的安全和防范意识,培养良好的媒介素养和规范、文明的用网行为。网络信息中心负责组织开展网络信息管理和技术人员专业培训。
第十二章 责任追究
第五十九条 学校将信息化工作纳入学校发展考核指标体系,建立完善网络安全工作检查考核、责任追究和倒查制度,将网络安全责任落实情况列为各部门、单位领导班子和领导干部目标管理、业绩评定、年度考核、奖励惩处和干部选拔任用的重要内容和依据。
第六十条 各部门要按照网络安全事件报告与处置流程,及时、如实报告和妥善处置网络安全事件;按要求限期整改的,如整改不力,给予通报批评并责令改正;瞒报、缓报网络安全事件的,对相关部门责任人由网信办会同相关部门进行约谈并通报批评;玩忽职守、失职渎职造成严重后果的,依法依纪严肃追究相关人员的责任。
第六十一条 师生员工违反网络安全相关管理规定,造成不良后果的,视情节轻重,分别由组织人事管理部门或学生管理部门按相关规定给予批评教育或纪律处分;其中触犯法律的,由相关国家机关依法追究法律责任。
第十三章 附则
第六十二条 对于涉及国家秘密的网络和信息系统,按照国家保密工作管理规定进行管理。
第六十三条 本办法未尽事宜,依照法律法规和上级文件要求确立的原则处理。
第六十四条 本办法由网络安全与信息化工作领导小组负责解释,自发布之日起施行。学校原有相关规定与本办法不一致的,按本办法执行。
原《山东财经大学校园网管理办法》(政发[2012]5号)同时废止。
附件:
