第一章 总则

第一条 为全面提高我校师生网络与信息安全意识，建立健全校园网络与信息安全工作的体制机制，有效抵御、防范、控制信息安全风险，增强安全预警、应急处置和灾难恢复能力。根据《中华人民共和国网络安全法》《教育部 公安部关于全面推进教育行业信息安全等级保护工作的通知》(教技﹝2015﹞2号)等文件规定，结合我校实际情况，特制订本办法。

第二条 本办法所称信息技术安全工作，是指为使由学校建设、运行、维护或管理并支撑学校教学、科研和管理等各项工作的信息及信息系统的机密性、完整性、可用性等得到保持、不被破坏所开展的相关管理和技术工作。本办法所指学校各单位包括各机关部、处、学院以及直属单位。

第三条 我校网络与信息技术安全管理工作实行责任制和责任追究制，各部门按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则切实落实网络与信息安全责任。学校各单位、全体师生员工应依照本办法要求及学校相关标准规范履行信息技术安全的义务和责任。

第二章 组织机构与职责

第四条 按照分级管理、逐级负责的原则。学校信息化建设领导小组负责全校的网络和信息安全工作。各部门应设立部门级的信息化领导工作组，负责本部门的网络与信息安全工作，主要负责人要亲自抓，各学院和部门主管信息工作的领导为本单位的网络与信息安全责任人，有信息系统的部门需指定专人作为信息系统管理员，负责本单位网络与信息安全保护和管理工作，各部门信息化领导小组组成情况报学校信息化建设工作办公室登记备案。

第五条 现代教育技术中心是信息安全技术支撑保障单位，负责学校信息技术安全防护体系的建设、运行维护、技术指导和服务支持。

第三章 校园网络管理

第六条 校园网络是指由学校投资建设的，提供校园网络应用及服务的软、硬件集成系统，包括由学校相关部门负责维护和管理的校园网络主、辅节点设备，配套的网络线缆设施及网络服务器、工作站、网站、各管理信息系统等，以及学校各单位建设的校园网络、网站及应用系统等，如电子邮件、FTP、网络电台等。

第七条 校园网络规划由信息化建设领导小组制定。涉及光缆布线、网络机房、网络设备、网管系统、域名管理、安全防护、认证计费、网络接入与运维等方面，由现代教育技术中心负责建设、运行、维护和管理。学校所有基建、修缮工程应将工程范围内校园网络建设纳入工程设计、实施和竣工验收范畴。

第八条 校园网络与互联网及其他公共信息网络实行逻辑隔离，由现代教育技术中心统一出口、统一管理和统一防护。未经批准，学校各单位在校园内不得擅自通过其他渠道接入互联网及其他公共信息网络。

第九条 现代教育技术中心应采取访问控制、安全审计、完整性检查、入侵防范、恶意代码防范等措施加强校园网络边界防护。

第十条 师生员工接入校园网络，实行“实名注册、认证上网”制度，学校非涉密信息系统接入校园网络，实行接入审批和备案登记制度。网络接入实名管理制度由现代教育技术中心负责实施。涉密信息系统不得接入校园网络。

第十一条 校园网络接入单位负责提供本单位所需的网络设备间和电源保障，协助解决网络布线和设备安装所需空间，并协助保卫处负责安防和消防安全管理。

第十二条 严禁任何单位和个人利用校园网络及设施开展经营性活动。

第四章 数据中心管理

第十三条 数据中心主要包括支撑学校信息系统的物理环境（其中包含机房）、软硬件设备设施（其中包含虚拟服务器）、云计算平台、学校中心数据库（其中包含基础数据库）、数据共享交换平台、统一身份认证平台及统一信息门户等信息化基础设施和平台。现代教育技术中心负责数据中心的建设、运行、维护和管理。

第十四条 现代教育技术中心负责数据中心物理环境和软硬件设备设施的建设和安全管理；根据信息系统安全等级的不同，对数据中心进行分区、分域管理，采取必要的技术措施对不同等级分区进行防护、对不同安全域之间实施访问控制。

第十五条 单位或者个人申请的虚拟服务器，现代教育技术中心负责系统环境的安全和稳定运行，虚拟服务器上的业务数据由申请人或申请单位负责异地备份及其安全。

第十六条 现代教育技术中心负责学校中心数据库、数据共享交换平台的建设和安全管理，负责基础数据库与各单位业务数据库之间完成数据交换和共享。各单位负责建设、维护本单位业务应用系统所配套的业务数据库，并对本单位业务数据库、中心库及所申请的共享数据的安全负责。

第十七条 统一身份认证平台为学校信息系统提供统一的身份管理、安全的认证机制、审计及标准接口。学校各单位建设面向师生服务的应用系统时，应使用统一身份认证平台进行身份认证。现代教育技术中心负责统一身份认证平台的安全，学校各单位负责本单位应用系统的权限管理及安全。

第十八条 数据中心的使用单位应遵循数据中心相关管理制度和技术标准，按需申请、有序使用，不得利用数据中心资源从事任何与申请项目无关或危害信息技术安全的活动。

第五章 信息系统建设、运行和维护管理

第十九条 学校按照统一规划、统一建设、统一运行的原则，规划、设计、建设、运行、管理信息安全设施，建立健全信息技术安全防护体系，全面实施信息系统安全等级保护制度。

第二十条 学校按照一定的投资强度将信息化建设及运维管理经费常规化，由信息化建设领导小组统筹安排学校信息化建设的优先顺序和进度。学校每年度定期组织信息化建设项目申报工作，各职能部门及各级学院根据部门需要申报。现代教育技术中心负责项目技术方案审定，财务部门负责项目预算核定，采购管理中心负责项目招投标和设备采购，现代教育技术中心协助使用部门对项目实施建设和验收。实验室建设中的信息化项目也应纳入学校教育信息化建设中。

第二十一条 为确保项目质量，信息化建设领导小组在立项阶段组织需求、技术、预算等方面的专家论证。信息系统建设单位在立项阶段应确定安全保护等级，由现代教育技术中心对建设方案进行单独的安全论证和等级评审。

第二十二条 信息系统在建设阶段应按已确定安全保护等级，同步落实安全保护措施。信息系统投入试运行后， 由建设单位初步验收，出具初步验收报告。对于安全等级第二级以上（含第二级）的信息系统，由现代教育技术中心组织等级测评。信息系统通过初步验收和信息安全保护等级测评后，由信息化建设领导小组组织竣工验收。

第二十三条 信息系统开发环境、测试环境和运行环境应严格隔离，现代教育技术中心负责上述环境的建设、运行、维护和管理。

第二十四条 信息系统建设单位可自行或委托现代教育技术中心维护信息系统。亦可根据实际需要，委托外单位维护信息系统。涉及重要业务或大量师生员工信息的核心信息系统以及安全等级第二级以上（含第二级）的信息系统，原则上应由现代教育技术中心维护 。

第二十五条 信息系统建设单位应定期对终端计算机和承担网络与信息系统运行的关键设备（服务器、安全设备、 网络设备）进行安全审计，通过记录、检查系统和用户活动信息，及时发现系统漏洞，处置异常访问和操作。

第二十六条 信息系统建设单位应制定信息系统使用与维护的管理制度，规范信息系统使用者和维护者的操作行为。

第六章 信息系统数据安全管理

第二十七条 信息系统数据是指各类信息系统收集、存储、传输、处理和产生的各种电子数据，包括但不限于网站内容、业务数据、网络课程、图书资源、日志记录等。

第二十八条 信息系统数据的所有者是数据安全管理的责任主体，应当落实管理和技术措施，规范数据的收集、存储、传输和使用，确保数据安全和保密。

第二十九条 现代教育技术中心负责学校核心信息系统的备份与恢复管理，制订备份与恢复计划，根据业务实际需要对重要数据和信息系统进行备份，定期测试备份与恢复计划，并确保备份数据和备用资源的有效性。

第七章 互联网网站安全管理

第三十条 学校各单位开办互联网网站，应使用学校互联网域名和互联网 IP地址。

第三十一条 现代教育技术中心统一建设学校网站集群平台并负责纳入该平台网站的技术安全。未纳入学校网站集群平台的网站，其技术安全由网站开办单位负责。

第三十二条 互联网网站运行维护单位应建立网站值守制度，制订应急处置流程，组织专人对网站进行监测，发现网站运行异常及时处置。

第三十三条 互联网网站的内容安全由网站开办单位负责。互联网网站开办单位应建立完善的网站信息发布与审核制度，确定负责内容编辑、内容审核、内容发布的人员名单，明确审核与发布程序，保存相关操作记录。

第三十四条 对于使用频度不大、阶段性使用的网站，互联网网站开办单位可采取非工作时间或寒暑假、节假日关闭的方式运行。对于无人管理、无力维护、长期不更新的网站，互联网网站开办单位应关闭网站以降低安全风险。

第八章 电子邮件安全管理

第三十五条 现代教育技术中心为学校各单位和教职工提供电子邮箱，并负责学校电子邮件的安全管理。学校各单位和教职工使用学校电子邮箱应遵守学校电子邮箱管理规定。

第三十六条 现代教育技术中心应采取必要的技术和管理措施，加强电子邮件系统安全防护，减少垃圾邮件、病毒邮件侵袭。

第三十七条 邮箱账户仅限本人使用，禁止将本人帐户转借他人或借用他人账户。用户应当对以其用户帐号进行的所有活动和事件负责。如发现他人未经许可使用其电子邮箱，应立即通知现代教育技术中心处理。

第九章 终端计算机安全管理

第三十八条 终端计算机是指由学校师生员工使用并从事学校教学、科研、 管理等活动的各类计算机及附属设备，包括台式电脑、笔记本电脑及其他移动终端。

第三十九条 终端计算机使用人按照“谁使用，谁负责”的原则，对其终端计算机负有保管和安全使用的责任。现代教育技术中心对终端计算机的安全管理提供技术支持和指导。

第四十条 终端计算机应当设置系统登录账号和密码，禁止自动登录，登录密码应具有一定强度并定期更改。

第四十一条 终端计算机使用人应做好数据日常管理和保护，定期进行数据备份。非涉密计算机不得存储和处理涉密信息。

第四十二条 终端计算机使用人应做好终端计算机的安全防范，如发现终端计算机出现可能由病毒或攻击导致的异常系统行为或其他安全问题，应立即断网后进行处置。

第四十三条 终端计算机使用人应对终端机妥善保管。若发生损坏丢失，按学校仪器设备相关管理规定处理。

第十章 存储介质安全管理

第四十四条 存储介质主要是指用于记录、存储、拷贝高校重要秘密信息的移动硬盘、软盘、磁带、光盘、U盘和存储卡等磁、光及半导体介质载体。

第四十五条 原则上学校数据中心只能使用学校统一派发的移动存储设备，禁止外来移动存储设备在我校数据中心使用，确因工作需要须到指定专用计算机上使用。

第四十六条 学校各单位应建立移动介质管理制度，记录介质领用、交回、维修、报废、损毁等情况。介质使用人按照“谁使用，谁负责”的原则，对其移动介质负有保管和安全使用的责任。

第四十七条 学校移动存储设备严禁外借，严禁将涉密移动存储介质交与责任人以外的其他人员或者亲属使用。

第四十八条 职工离职离岗前，要将所保管得移动存储介质全部退回，备份其设备使用日志，并办理相关移交手续。

第四十九条 移动存储介质如发生硬件故障、损坏等情况需要外送维修时，必须由现代教育技术中心对介质中的敏感数据进行清除，清出处理后的数据必须不可恢复。

第五十条 移动介质的销毁必须经现代教育技术中心同意后当众销毁、任何人不得自行销毁学校的移动介质。

第十一章 人员安全管理

第五十一条 学校各单位应建立健全本单位的岗位信息安全责任制度，明确岗位及人员的信息安全责任。关键岗位的计算机使用和管理人员应签订信息安全与保密协议，明确信息安全与保密要求和责任。

第五十二条 学校各单位应加强人员离岗、离职管理，严格规范人员离岗、离职过程，及时终止相关人员的所有访问权限，收回各种身份证件、钥匙、徽章以及学校提供的软硬件设备，并签署安全保密承诺书。

第五十三条 学校各单位应建立外部人员访问机房等重要区域的审批制度，外部人员须经审批后方可进入，并安排工作人员现场陪同，对访问活动进行记录和保存。

第十二章 外包服务管理

第五十四条 信息技术外包服务是指学校以签订合同的方式，委托承担信息技术服务且非本校所属的专业机构提供的信息技术服务，主要包括信息技术咨询服务、运行维护服务、技术培训及其它相关信息化建设服务等。

第五十五条 建立信息建设安全保密制度，与外包服务方签订安全保密协议或合同，明确符合安全管理及其它相关制度的要求。并对服务人员进行安全保密教育。

第五十六条 现代教育技术中心配备专人负责安全保密工作，负责日常信息安全监督、检查、指导工作。对服务方提供的服务进行安全性监督与评估，采取安全措施对访问实施控制，出现问题应遵照合同规定及时处理和报告，确保其提供的服务符合学校的内部控制要求。

第五十七条 对外包服务的业务应用系统运行的安全状况应定期进行评估，当出现重大安全问题或隐患时应进行重新评估，提出改进意见，直至停止外包服务。

第五十八条 使用外包服务方设备的各单位，须对其进行必要的安全检查。在重要安全区域，对外部服务方的每次访问进行风险控制，必要时应外部服务方的访问进行限制。

第十三章 信息安全应急管理

第五十九条 信息化建设领导小组负责学校信息安全应急工作的统筹管理，现代教育技术中心负责信息安全应急工作的技术支撑和保障。

第六十条 信息化建设领导小组负责制定学校信息技术安全事件报告与处置流程，现代教育技术中心负责制订学校信息技术安全应急预案。

第六十一条 加强安全教育，增强安全意识，树立网络与信息安全人人有责的观念。安全意识淡薄是造成网络安全事件的主要原因，各单位要加强对教师、学生的网络安全教育，增强网络安全意识，将网络安全意识与政治意识、责任意识、保密意识联系起来。特别要指导学生提高他们识别有害信息的能力，引导他们正健康用网。

第六十二条 现代教育技术中心负责组建学校信息安全应急技术支援队伍，完善 24 小时应急值守制度，提高信息安全事件的预防、预警和应对能力，预防和减轻信息安全事件造成的损失和危害。

第六十三条 信息安全事件发生以后，事发单位责任人和相关工作机构要按照应急预案和报告制度，立即组织处置，同时反馈到学校信息化建设领导小组。

第十四章 信息安全检查监督

第六十四条 学校各单位定期对本单位信息系统的安全状况、安全保护制度及措施的落实情况进行自查，并配合有关部门的信息安全检查、信息内容检查、保密检查与审批等工作。

第六十五条 信息化建设领导小组对学校各单位的信息技术安全工作落实情况进行检查，对发现的问题下达限期整改通知书，责成相关单位制订整改方案并落实到位。

第十五章 信息安全责任追究

第六十六条 学校严格实行信息安全责任追究制度。

第六十七条 因管理不善致使本单位发生重、特大信息安全事故或严重违法违纪的，按有关规定对单位和有关责任人进行处理，情节特别严重的依法追究相关责任人的法律责任。

第六十八条 学校各单位应按照信息技术安全事件报告与处置流程及时、如实地报告和妥善处置信息技术安全事件。如有瞒报、缓报、处置和整改不力等情况，学校将对相关单位责任人进行约谈或通报。

第十六章 附则

第六十九条 涉及国家秘密的信息系统，执行国家保密工作的相关规定和标准，由学校保密办公室监督指导。

第七十条 本办法自印发之日起实施，由现代教育技术中心负责解释。学校原有的相关规定与本办法不一致的，按本办法执行。