第一章 总则
第一条 为提高网络与信息安全防护能力和水平,保证学校网络与信息安全工作顺利进行,保障学校各项事业健康有序发展,根据国家信息安全相关政策和信息安全等级保护政策要求,结合学校实际,制定本办法。
第二条 本办法所称网络与信息安全,包括校园计算机网络与信息系统的运行安全和信息内容的安全。本办法所指学校各单位包括各学部(院),机关各部、处,及直(附)属单位,不包括独立法人单位。
第三条 学校按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,建立健全网络与信息安全责任体系,学校各单位、全体师生应依照本办法及学校相关标准规范履行网络与信息安全的义务和责任。
第二章 组织机构与职责
第四条 根据国家信息安全等级保护制度相关要求,学校设立网络安全和信息化领导小组,领导小组组成为:
组 长:党委书记、校长
副组长:分管信息化工作的校领导、分管保卫工作的校领导、分管宣传工作的校领导
成 员:党政办公室、宣传部、保卫部(处)、学生工作部(处)(武装部)、研究生院、科学研究处、人事处、国有资产管理处、后勤保障处、教务处、财务处、团委、信息化处等单位负责人
第五条 网络安全和信息化领导小组下设办公室,办公室设在信息化处。办公室主任由信息化处处长兼任。
第六条 网络安全和信息化领导小组主要职责:贯彻落实上级部门关于网络安全与信息化工作的决策部署,统筹决策学校网络安全与信息化重大问题,研究部署学校智慧校园建设和应用推进等工作。
第七条 网络安全和信息化领导小组办公室主要职责:贯彻执行网络安全和信息化领导小组形成的各项决议,督促检查各单位网络安全与信息化工作落实情况,对违反网络与信息安全规定的行为、事件,以及网络与信息安全事故的责任人和相关负责人提出责任追究和处理意见。
第八条 党委宣传部主要职责:负责网络信息内容的安全监管,负责校园网络舆情信息的监控和管理,推进学校网络文化建设,组织开展网络安全宣传教育等工作。
第九条 保卫部(处)主要职责:负责对网络违规行为进行调查、取证、处理,根据相关证据及事态影响或破坏程度,对违规者提出责任追究和处理意见,做好与公安机关的沟通、联络工作。
第十条 信息化处主要职责:负责统筹学校网络安全与信息化建设项目的审核申报;负责学校网络与信息系统的日常管理和维护,保障网络与信息系统的正常运行;保存网络运行日志,配合调查取证;负责入网单位和个人办理入网登记手续,签署相应的安全责任书,组织协调开展信息系统安全等级保护。
第十一条 学校各单位是本单位网络安全和信息化工作的责任主体,各单位主要负责人是本单位网络安全和信息化工作第一责任人,负责按本办法落实网络与信息安全相关工作。
第三章 安全管理
第十二条 校园网络实行信息系统报批备案制,各主办单位按信息系统名称的拼音或英文缩写简写设置域名并提出申请,经信息化处批准后使用。任何单位和个人均须落实实名登记网络账号信息,并对网络账号安全使用负责。
第十三条 论坛、聊天室、博客、微博等公众信息服务系统,以及在微信、QQ 等互联网社交平台上开办公众服务号,应经党委宣传部报备批准。未经许可,任何单位或个人不得以任何名义用“中国传媒大学”或“中传”等中外文字样开通信息发布、论坛、聊天室、博客、微博、微信等公众信息服务系统。
第十四条 经批准建立的信息服务系统应明确专门的管理员和制订相应管理制度,包括安全保护技术措施、信息发布审核登记制度、信息监视保存清除备份制度、不良信息报告和协助查处制度、管理人员岗位责任制。
第十五条 各单位应建立健全信息发布、信息审查、应急处置机制,指定人员负责审查上网信息和信息系统保密管理,负责涉及学校或本单位舆情的处置引导,以及监管本单位师生开设的博客、微博、微信等自媒体平台。第十六条 在校园网络上严禁制作、查阅、复制或传播下列信息:
(一)反对宪法所确定的基本原则的;
(二)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
(三)损害国家荣誉和利益的;
(四)煽动民族仇恨、民族歧视,破坏民族团结的;
(五)破坏国家宗教政策,宣扬邪教和封建迷信的;
(六)散布谣言,扰乱社会秩序,破坏社会稳定的;
(七)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;
(八)侮辱或者诽谤他人,侵害他人合法权益的;
(九)利用校园网从事商业活动及商业广告宣传的;
(十)含有法律、行政法规和学校相关规定禁止的其他内容的。
第十七条 在校园网络上严禁下列行为:
(一)未经允许,进入计算机信息网络或者使用计算机信息网络资源的;
(二)未经允许,对计算机信息网络功能进行删除、修改或者增加的; (三)未经允许,对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;
(四)故意制作、传播计算机病毒等破坏性程序的;
(五)其他危害计算机信息网络安全的。
第十八条 用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定,利用校园网侵犯用户的通信自由和通信秘密。
第四章 安全防护
第十九条 校园网络和信息系统接入互联网必须采取防火墙、身份认证、MAC 地址绑定、安全审计、病毒防护及入侵检测等安全技术手段。校内互联网接入由信息化处统一管理,包括IP 地址、域名及网络账号等。
第二十条 各单位原则上应依托校园网开展信息系统建设。涉及学校基础数据、师生员工个人信息或敏感信息的信息系统,不得部署在校外。需要在校外开办信息系统的单位,应到信息化处办理备案手续。部署在校外的网络和信息系统,安全监管责任主体为主办单位。
第二十一条 各单位作为安全等级保护的责任主体,应当按照国家信息安全等级保护的管理规范、技术标准确定信息系统的安全保护等级,并报学校有关部门审核。学校按相关规定选择具有相关技术资质和安全资质的测评单位,对二级及以上的信息系统进行等级测评。经测评,信息安全状况未达到安全保护等级要求的,信息系统的主办单位应制定整改方案并落实到位。第二十二条 各单位对于新建、改建、扩建的信息系统,应当在规划、设计阶段同步建设网络信息安全保障措施。新开发的信息系统必须经过第三方安全检测机构出具检测报告、签订安全责任书后方可上线运行。
第二十三条 各单位应建立检查巡查机制,定期或不定期组织开展信息系统安全演练,查找安全漏洞和隐患;对机房、网络设备、服务器等设施定期开展安全检查;更新和升级必要的服务器软件,及时安装补丁,包括操作系统、web 服务器、应用中间件、数据库等,加强服务器应用的安全性。对检查中发现安全漏
洞和隐患的,检查单位应及时下达限期整改通知书,责成相关单位制订整改方案并落实到位。
第二十四条 各单位应建立网络安全监测预警和信息通报制度。信息化处负责信息收集、分析和通报工作,按照规定向全校统一发布网络安全监测预警信息。各单位应做好网络与信息安全事件的风险评估和隐患排查工作,制订完善相关应急预案,及时采取有效措施,避免和减少网络与信息安全事件的发生及其危害。
第二十五条 各单位应建立健全网络与信息安全类突发公共事件应急工作机制,提高应对网络与信息安全类突发公共事件的能力,预防和减少由此造成的损失和危害,维护学校的安全和稳定。第二十六条 学校组建信息安全应急技术支援队伍,完善 24小时应急值守制度,提高信息安全事件的预防、预警和应对能力,预防和减轻信息安全事件造成的损失和危害。
第二十七条 学校定期组织信息技术安全应急演练,评估并适时组织信息技术安全应急预案修订。各单位应组织开展信息技术安全应急预案的宣传、教育和培训,确保相关人员熟悉应急预案。
第五章 监督与处罚
第二十八条 任何单位或个人利用网络从事危害国家安全、泄露国家秘密等活动,违反国家刑事法律的,依法交由相关国家机关,依照有关法律法规予以处罚。
第二十九条 对于私自占用网络资源,破坏网络和信息系统,违反网络用户行为规范的行为,由相关部门根据事件的涉及范围、严重程度进行查处,并根据国家和学校相关规定作出处理决定。
第三十条 对所开办网站监管不力造成有害信息传播或秘密信息泄露的单位,给予通报批评,情节特别严重的追究部门负责人的领导责任。
第三十一条 对于其它违反本管理办法的行为,由学校网络安全与信息化领导小组按相关管理办法进行处罚。
第六章 附则
第三十二条 本管理办法由网络安全和信息化领导小组办公室负责解释。
第三十三条 本规定自公布之日起执行。原有管理规定如与本规定不符,以本规定为准。
