华中师范大学网络与信息安全管理办法

华中师范大学文件

关于印发《华中师范大学网络与信息安全管理办法》的通知

校内各单位：

为了保护华中师范大学网络与信息安全，规范学校各级业务系统和网站建设，保证校园网络的正常运行和网络用户的使用权益，促进我校信息化建设的健康发展，根据《中华人民共和国网络安全法》和其他相关法律、行政法规规定，结合学校实际情况，制定《华中师范大学网络与信息安全管理办法》并经2016年第18次校长办公会审议通过。现予以印发，请各单位遵照执行。

　

华中师范大学

2017年11月13日

华中师范大学网络与信息安全管理办法

第一章 总则

第一条　为了保障学校网络与信息安全，规范学校信息系统建设，保证校园网络的正常运行和用户的正当权益，促进信息化工作健康发展，根据《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例》以及全国人民代表大会常务委员会《关于加强网络信息保护的决定》、教育部《教育部关于加强教育行业网络安全工作的指导意见》、教育部办公厅《教育行业信息系统安全等级保护定级工作指南（试行）》和其他相关法律、行政法规的规定，根据我校实际情况，制定本办法。

第二条　网络与信息安全的内容包括：

（一）网络传输安全。即学校投资建设的，提供校园网络应用及服务的硬件集成系统，配套的通信基础设施和上网终端不受到损害，能够连续可靠和受控合法的提供网络传输服务。

（二）信息系统安全。即学校部署的，为学校开展各类活动提供服务的软件系统及其支持系统（包括：操作系统、数据库系统和中间件等）不被篡改或破坏，不被非法操作或误操作，能够连续可靠和受控合法的提供信息服务。

（三）数据安全。是指由学校各类信息系统中存储和流通的数据不受到偶然的或者恶意原因而遭到破坏、篡改和泄露。

（四）内容安全。即在校园网和互联网中发布信息的内容应当积极健康、坚持正确舆论导向、遵守国家法律法规和道德规范且能够维护学校、国家利益和公共利益。

第三条　本办法所指的信息系统，是指由学校部署的、为开展各类活动提供服务的软件系统，由计算机及其相关的配套网络通信软、硬件设施支撑的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统，包括学校各单位的网站、应用系统、操作系统、数据库系统和中间件等。

第四条　学校成立网络安全与信息化领导小组，是学校网络安全与信息化工作的领导机构，领导小组办公室设在信息化办公室。领导小组下设教育信息化工作小组和网络与信息安全工作小组。网络与信息安全工作小组负责研究制定学校网络与信息安全技术方案和管理规定，负责对校内各单位网络与信息安全工作进行监督、评价、指导及审批，指挥、协调、督促学校网络信息安全事件的处理。网络与信息安全工作小组由学校办公室（保密委员会办公室）、宣传部、信息化办公室、学生工作部、研究生院和保卫处等单位构成。

第二章 学校网络与信息安全管理制度

第五条　学校网络与信息安全实行分级管理、逐级负责制度，校内各单位按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则切实落实网络与信息安全责任：

（一）学校主要负责人担任网络安全与信息化领导小组组长，同时为学校网络与信息安全第一责任人；

（二）信息化办公室是网络与信息安全的归口管理部门，承担学校网络与信息安全的技术监管、保障和制度建设，承担公共信息服务平台（中心数据库、数据交换平台、虚拟机平台、内网门户等）和网络传输基础设施（无线、有线传输网络、服务器、存储等）的安全管理和技术保障工作；

（三）党委宣传部负责网络与信息的内容监管和舆情引导工作；

（四）学校办公室（保密委员会办公室）负责学校网络公开发布信息中涉密信息的监控和检查工作；

（五）校内各单位主要负责人是本单位网络与信息安全第一责任人，并签订安全责任书（见附件一）；

（六）校内各单位是本单位网络与信息安全的责任部门，按业务范围和职能划分，由本单位落实信息管理员或其他运营单位（被委托的运营单位应具有独立法人资格，并具备相应的运维能力），承担业务系统和业务系统相关支撑软件（业务系统软件、业务系统的操作系统、业务系统数据库、业务系统中间件等）的日常运行、技术维护和安全管理保障责任；

（七）各单位信息管理员须培训上岗。

第六条　学校网络与信息安全实行安全等级保护制度：

（一）信息化办公室为学校信息系统等级保护工作的管理部门，负责组织信息系统的负责单位开展信息系统定级、备案、测评和整改工作。信息系统的负责单位应协助信息化办公室完成等级保护工作中的定级、备案、测评和整改工作；

（二）学校各信息系统的负责单位作为安全等级保护的责任主体，应按照国家有关管理规范、技术标准确定网络与信息系统的安全保护等级。对新建、改建、扩建的网络与信息系统，建设单位应当在规划、设计阶段确定信息系统的安全保护等级，并同步建设符合该安全保护等级要求的信息安全设施；

（三）校内各单位须按照国家信息安全等级保护办公室和教育部相关标准规范对本单位负责的信息系统定期开展等级测评，并根据测评结果进行安全加固和整改，达到相应的安全等级。不在规定时间内完成整改的信息系统，学校采取限制其上线范围或关停等处理。

第七条　学校网络与信息安全实行审批上线制度：

（一）学校信息系统上线前须向信息化办公室进行登记审批：

1．登记的信息须包括但不限于信息系统名称、主办/主管单位、责任人、技术管理员、服务器放置地、数据库类型、开发商、域名、IP地址、开放端口、运行有效期等；

2．原则上不允许申请校外域名，如有特殊情况需使用校外域名，须通过信息化办公室审批；

3．校内各单位的信息系统原则上须部署在校内；

4．校内各单位网站原则上须部署在网站群系统；

5．任何信息系统未经审批不得上线运行。

（二）学校新建信息系统上线前须通过信息安全检测：

1．面向全校师生服务的信息系统（包括信息化基础服务平台、公共服务平台、办公平台和业务系统）必须通过第三方安全评测机构的安全检测；

2．面向各单位内部人员使用的信息系统原则上须通过信息化办公室安全检测；

3．未通过信息安全检测的信息系统不得上线运行。

第八条　学校网络与信息安全实行安全运维制度：

（一）信息化办公室须对学校公共信息服务平台和IT基础设施进行相关安全防护，部署防病毒、防攻击、防篡改、加密和审计等相关软件或硬件设施，建立网络与信息安全管理、运维和操作制度；

（二）校内各单位信息系统运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意；

（三）学校信息系统应确保其存储的数据安全，防止信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告；

（四）校内各单位须制定内部安全管理制度和操作流程，建立其信息系统的账号管理和权限管理制度；

（五）学校信息系统须采取监测、记录运行状态的技术措施，并留存相关网络系统日志不少于六个月；

（六）校内各单位须制定应急处置方案，发现重大安全风险和事件应立即控制事态，同时向信息化办公室报告，并在学校教育信息化领导小组的指导下及时妥善处理；

（七）学校信息系统的信息发布须建立审核、登记和备份制度；

（八）学校信息系统中的重要数据须采取备份和加密措施；

（九）学校对未实施安全运维制度相关责任单位、责任人和信息管理员进行问责或通报处理。

第九条　学校网络与信息安全实行日常巡检制度：

（一）信息化办公室将定期对校内各单位负责的信息系统进行安全检查，对于安全状况未达到国家和学校有关安全技术要求的网络与信息系统，责令责任单位限期整改，并根据整改结果进行限制其上线范围、关停或恢复运行等处理；

（二）各单位信息系统相应的责任人和管理人员应当按照国家和学校有关管理规范和技术标准，定期对信息系统和上网终端的安全状况、安全保护制度及措施的落实情况进行自查，并出具相应的自查报告。

第十条　学校网络与信息安全在重要时期实行应急保障制度：

（一）信息化办公室负责重要时期的信息系统的安全保障工作的部署，包括信息系统安全检测、组织实施、工作协调，发布应急指令、事件级别，并组织协调校内各单位执行应急响应预案；

（二）校内各单位要建立24小时值班制，应安排专人对本单位负责的信息系统进行全天候监测，报送和接受安全技术的相关情况。若无法落实值守制度，须采取临时全天或非工作时间关闭的信息系统的方式；

（三）校内各单位要指定专人负责信息系统安全通报工作，确保24小时联络通畅，报送和接收网络安全情况。实施“零”事件报告制度，即有情况报情况，无情况报平安；

（四）信息系统发生信息安全突发事件后，负责单位应立即判定事件危害程度，采取应急响应措施，并将情况向信息化办公室通报。在处置过程中，应服从信息化办公室和网络与信息安全工作小组的管理，收集事件相关信息、鉴别事件性质、确定事件来源、弄清事件范围和评估事件带来的影响和损害，及时向信息化办公室汇报工作进展情况，直至处置工作结束。

第十一条　任何单位或者个人不得从事下列危害网络与信息安全的行为：

（一）擅自进入、使用他人计算机信息网络；

（二）擅自增加、修改、删除、复制、利用他人计算机信息网络的数据；

（三）擅自增加、修改、删除、干扰、利用他人计算机信息网络的功能；

（四）破坏计算机信息网络运行环境、设备设施；

（五）窃取、盗用、篡改、破坏他人网络资源；

（六）故意制作、传播、使用计算机病毒、恶意软件等破坏性程序，或者制作、发布、复制、传播含破坏性程序或其机理、源程序的信息；

（七）故意阻塞、阻碍、中断计算机信息网络的信息传输，恶意占用网络资源；

（八）利用网络大量或者多次发送电子邮件、短信息等，干扰他人正常生活秩序或者网络秩序；

（九）利用网络违背他人意愿、冒用他人名义发布信息；

（十）明知本单位或本人的网络地址、主机空间等资源已被他人利用，从事可能危害网络信息安全的活动而不予制止；

（十一）利用网络收集、使用、提供、买卖学校公共数据和他人专有信息；

（十二）其他危害网络与信息系统安全的行为。

第十二条　学校网络与信息安全的内容发布严格实行先审后发制度：

（一）校内各单位信息系统发布的所有内容均应经过本单位信息管理员、信息化分管领导和主要负责人三审通过后方可发布；

（二）信息系统不得制作、复制、发布、传播含有下列内容的信息：

1．违反宪法所确定的基本原则的；

2．危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的；

3．损害国家荣誉和利益的；

4．煽动民族仇恨、民族歧视，破坏民族团结的；

5．破坏国家宗教政策，宣扬邪教和封建迷信的；

6．散布谣言，扰乱社会秩序，破坏社会稳定的；

7．散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的；

8．侮辱或者诽谤他人，侵害他人合法权益的；

9．含有法律、行政法规禁止的其他内容的。

（三）任何单位发现其信息系统上存在明显属于上条所列之一的内容，应第一时间报告学校党委宣传部，同时上报信息化办公室，并保存有关记录，无条件配合主管单位采取相关处置措施。必要时由学校办公室、党委宣传部或信息化办公室向国家有关机关报告。触犯法律法规的，由信息发布者承担责任。

第十三条　校内各单位应当加强互联网接入终端的网络与信息安全和保密管理：

（一）用户必须通过我校实名认证系统进行实名认证后才能连接到我校校园网；

（二）接入终端应安装学校提供的正版操作系统、正版办公软件和正版杀毒软件，并定期更新补丁程序，定期进行病毒库升级；

（三）接入终端原则上不得安装非办公软件，如根据工作需要确需安装，须报本单位审批；

（四）接入终端在接收来自互联网或校园网中软件或资料时，应首先进行防病毒处理；

（五）严禁在没有采用安全保护机制的接入终端上存储重要数据，在存储重要数据的终端至少应该有开机口令、登录口令、数据库口令、屏幕保护等防护措施；

（六）严禁将涉密终端接入互联网及其他公共信息网络，互联网接入终端应当粘贴禁止处理涉密信息的提醒标识。禁止使用非涉密网络、内部信息系统、电子邮箱、即时通信工具、网盘、云盘等存储、处理、传输国家秘密。禁止在网站、论坛、博客、社交媒体等发布国家秘密；

（七）接入终端在做资产转移或清退时，应删除终端内部的敏感和重要数据；

（八）为保障数据安全和降低数据丢失的风险，各单位配置的接入终端需逐步向云桌面+瘦客户机方式转变。

第十四条　校内各单位应当建立健全信息发布保密审查制度，指定专人对拟在互联网发布的信息进行保密审查，并妥善保存审查记录，确保发布的信息不涉及国家秘密。学校保密委员会将定期对审查记录进行检查，对各网站发布的信息进行监控周期性的保密检查。

第三章 附则

第十五条　对违反本办法中所列职责的，任何单位或者个人作以下处理：

（一）对有严重信息安全隐患和漏洞的网络或信息系统，信息化办公室采取关闭或者隔离处理；

（二）校内各单位不履行本办法第五条、第六条、第七条、第八条、第九条、第十条、第十四条规定的网络信息安全制度的，由学校责令改正，给予警告；拒不改正或者导致危害网络信息安全等后果的，对安全相关责任人进行行政处罚，造成财产损失的需依法赔偿；

（三）对违反本办法第十一条、第十二条和第十三条中，不构成违反法律、法规的行为，教职工根据相关学校教职工管理规定进行处置，本科生、研究生和留学生根据相关学校学生规定进行处置，造成财产损失的需依法赔偿；

（四）对于危害公共安全、国家安全、泄露国家秘密以及其它违反法律、法规的行为，由司法、公安部门依法处理，构成犯罪的，报有关司法部门依法追究刑事责任。

第十六条　校内各单位有如下情形之一的，学校应追究其当事人，网络与信息安全负责人的责任。如协调监管不力的，还应当追究其监管和协调部门相关人员的责任。相关责任应按照个人责任和集体责任进行追究。

（一）学校重要信息系统（网站）遭到攻击和篡改，造成社会政治影响面极大的，且没有及时报告和处理的。

（二）各单位网络安全事件隐瞒不报或不及时配合整改，且造成严重后果的。

（三）学校的教职工和学生的个人信息造成大面积泄露的。

第十七条　网络与信息安全工作将纳入到我校各部门年度目标考核、领导干部和工作人员的个人履职考核中，作为负面清单之一，情节严重的不得参与优秀奖的评选。

第十八条　 本办法解释权归华中师范大学网络安全与信息化领导小组。

第十九条　本办法自发布之日起施行。

 

附件：华中师范大学网络与信息安全承诺书

　　　

附件

华中师范大学网络与信息安全承诺书

           为本单位网络与信息安全第一责任人,本人代表本单位郑重承诺遵守本承诺书的有关条款，如有违反本承诺书有关条款的行为，本单位和相关人员承担由此带来的一切民事、行政和刑事责任。

一、本单位承诺遵守国家有关法律、法规和行政规章制度、文件规定和《华中师范大学网络与信息安全管理办法》。

二、本单位保证不利用网络危害国家安全、泄露国家秘密，不侵犯国家的、社会的、集体的利益和第三方的合法权益，不从事违法犯罪活动。

三、本单位承诺严格按照国家相关法律法规做好本单位网站的信息安全管理工作，按要求设立信息安全责任人和信息安全管理员，信息安全责任人和信息安全审查员应在通过安全技术培训后，持证上岗。

四、本单位承诺健全各项网络安全管理制度和落实各项安全保护技术措施。

五、本单位承诺接受学校信息化和网络安全领导小组的监督和检查,如实主动提供有关安全保护的信息、资料及数据文件。

六、本单位确保所有提交的信息系统（网站）的信息真实有效，如若信息系统（网站）信息发生变更，须立即到信息化办公室办理变更手续。对未如实填报，发生漏报、误报和瞒报等情形，造成网络安全责任事故的，学校将视情节轻重对单位主要负责人、相关具体工作人员进行责任追究。

七、若违反本承诺书有关条款和国家相关法律法规的，本单位直接承担相应法律责任，造成财产损失的，由本单位直接赔偿。

八、本承诺书自签署之日起生效并遵行。

责任人签字：

单位盖章：

日       期：