海南科技职业大学信息安全管理办法

第一章 总则

第一条 为加强学校网络与信息安全管理，提高网络与信息 安全防护能力和水平，保障学校各项事业健康有序发展，根据《中 华人民共和国网络安全法》《计算机信息网络国际联网安全保护 管理办法》《教育部关于加强教育行业网络与信息安全工作的指 导意见》《教育行业信息系统安全等级保护定级工作指南》等法 律法规，结合学校实际，制定本办法。

第二条 本办法所称网络与信息安全工作，是指由校内单位 建设或管理，服务于学校教学、科研和管理的校园信息网络、数 据中心、应用系统和互联网站，为防止发生网络攻击、信息破坏、 有害程序入侵、信息化设备设施故障等发生而开展的预防和防御 工作。

第三条 学校按照国家有关网络与信息安全政策法规，制定 网络与信息技术安全规范，加强安全管理与技术研究，建立完善 相关规章制度，并在实际工作中予以落实。

第二章 管理体制与责任

第四条 学校成立网络与信息安全工作领导小组， 校长任组长，分管学校信息化工作、宣传工作和党委办公室、校 长办公室工作的校领导任副组长，负责统一领导、统一谋划、统 一部署全校网络与信息安全工作。

第五条 学校网络与信息安全工作领导小组设网络与信息安 全工作领导小组办公室（以下简称“网安办”），负责学校网络与 信息安全管理工作。

第六条 学校二级单位和机关部处是本单位网络与信息安全 工作的责任主体，各单位主要负责人是本单位网络与信息安全工 作第一责任人，负责按本办法落实网络与信息安全工作。

各单位要明确指定本单位各应用系统和互联网站的运行维 护责任人，将责任人名单报备网安办，人员变动时应及时调整并 报备。

第七条 按照“谁主管谁负责、谁运维谁负责、谁使用谁负责” 的原则，全校各单位及全体师生员工要依照本办法及其相关标准 规范履行网络与信息安全的义务和责任。

第三章校园信息网络安全管理

第八条 校园信息网络包括校园计算机网络、公用通信网络 和专用通信网络，信息网络安全工作统一归口网安办管理。

第九条 校园信息网络线路，由网络与信息中心负责建设规 划和使用管理、由基建和后勤管理处负责施工建设和维护。

第十条 学校网络机房、网络设备、网址域名、安全防护等, 由网络与信息中心负责建设和运行维护。

第十一条 校园信息网络接入互联网遵循“统一出口、统一管 理”的规定，由网络与信息中心负责实施。任何单位和个人在校园 内不得擅自通过校外网络接入互联网。

第十二条 各单位局域网接入校园网，须自行提供布线空间、 网络设备间和电源保障，负责安防和消防管理。

第十三条 学校所有基建、修缮工程须将工程范围内校园网 建设纳入工程设计、实施和竣工验收范畴。

第十四条 师生员工登录校园网，实行实名注册、认证上网。 任何单位和个人不得利用校园网及网络设施开展经营活动。

 

第四章数据中心安全管理

第十五条 数据中心主要包括支撑各类应用系统运行的软硬 件基础设施、学校基础数据库、统一数据交换平台、统一身份认 证系统及统一信息门户。网络与信息中心负责数据中心的建设和 运行维护管理。

第十六条 网络与信息中心负责数据中心的物理安全、网络 安全和主机安全。数据中心的资源使用单位负责所使用的操作系 统、业务数据库系统、应用系统和数据的安全。

第十七条 网络与信息中心负责学校基础数据库和统一数据 交换平台的建设和安全管理，负责各单位业务数据库与基础数据 库之间完成数据交换和共享。

各单位负责建设、维护本单位业务应用系统所配套的业务数 据库；对本单位业务数据库的系统安全、数据安全及所申请的共 享数据的安全负责。

第十八条 网络与信息中心负责统一身份认证系统的建设运 行和安全管理，校内各单位负责本单位应用系统的权限管理及安 全，建设面向师生服务的应用系统时，要与统一身份认证系统进 行认证集成并向网安办备案。

第十九条 全校各单位应依托校内数据中心实施本单位信息 化建设（包括建设应用系统或互联网站），需要使用校外数据中 心的须报网安办审批；严禁使用设置在境外的数据中心。涉及学 校基础数据、师生个人信息或敏感信息的应用系统和互联网站， 禁止放置在校外数据中心（含云计算平台）。

第二十条 学校数据中心使用实行准入管理，网络与信息中心负责制定数据中心的技术规范和标准，对用户拟上线系统进行 安全检测，符合技术规范标准并检测通过的系统方可准许上线运 行。

第二十一条 数据中心使用单位须遵守数据中心使用管理规定，执行相关技术标准，按需申请、有序使用数据中心资源。利 用数据中心平台自建数据资源的，须制定并实施本单位数据资源 使用制度,不得利用数据中心资源从事任何危害数据安全的活动。

第五章信息系统安全管理

第二十二条 各单位要按照国家信息系统等级保护制度的相 关法律法规、标准规范和要求落实信息系统安全等级保护制度。

第二十三条 各业务主管部门为相应业务信息系统（含移动 客户端软件）的责任部门，应指定专门人员负责系统的建设、运 行维护和安全管理，组织软件提供商并会同网络与信息中心制定 信息系统运维和安全管理方案。信息系统原则上由业务管理部门 运维，特殊情况可委托网络与信息中心运维。

第二十四条 各业务信息系统经试运行后，由业务主管部门 组织初步验收，出具初步验收报告，并向网安办申请进行信息安 全保护等级测评。网安办组织开展信息安全保护等级测评，形成 测评报告；未进行信息安全保护等级测评或测评不合格的业务信 息系统不得进行竣工验收。

第二十五条 各单位要保留不少于6个月的系统维护日志。 各单位管理员和个人要妥善保管好账号和密码，定期更新密码， 防止密码外泄。

第六章互联网站安全管理

第二十六条 各单位设立互联网站，须使用学校互联网络域 名或学校互联网IP地址，并遵守《海南科技职业大学互联网站管理办 法》及相关规章制度。

第二十七条 各单位设立互联网站，可基于学校网站群平台 建设，也可委托软件开发商建设。各单位设立互联网站须按信息 安全保护等级的相应规范落实信息安全防护措施。

学校网站群平台由网络与信息中心统一建设，平台技术安全 由网络与信息中心负责；运行在网站群平台上的网站的内容安全 由网站主办者负责。

未运行在学校网站群平台的网站，网站主办者对网站技术安 全和内容安全负责。

第二十八条 各互联网站的主管单位须建立网站应急值守制 度，规范应急处置流程，由专人对网站进行监测，及时处置网站 运行异常情况。

对于使用频度不大或阶段性使用的网站，可采取非工作时间 或寒署假、节假日关闭的方式加强安全管理。

第七章信息安全管理

第二十九条 校园网所有用户必须遵守国家有关法律法规和 学校的有关管理规定，严格执行信息安全保密制度，对所提供和 发布的信息承担相应责任。

第三十条 任何单位和个人不得利用校园网制作、复制、传 播和查阅下列信息：

 （一）  煽动抗拒、破坏宪法和法律、行政法规实施的；

 （二）  煽动颠覆国家政权、推翻社会主义制度的；

 （三）  煽动分裂国家，破坏国家统一的；

 （四）  煽动民族仇恨、民族歧视，破坏民族团结的；

 （五）  捏造或者歪曲事实、散布谣言、扰乱社会秩序的；

 （六）  宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐 怖，教唆犯罪的；

 （七）  公然侮辱他人或者捏造事实诽谤他人的；

 （八）  损害国家机关信誉的；

 （九）  其他违反宪法和法律、行政法规的。

第三十一条 各单位要按照国家及学校有关规定，严格遵守 海南科技职业大学校园网信息发布审核制度，未经审核通过的信息内 容不得发布。

第三十二条 校园网用户必须自觉配合国家和学校有关部门 依法进行的监督、检查。用户发现违法有害信息，有义务向学校 有关部门报告。

第八章监测预警与应急处置

第三十三条 学校各应用系统和互联网站，由网安办按照国 家信息安全等级保护制度要求标准确定安全保护等级，由网络与 信息中心按相关规定对信息安全等级状况开展等级测评。

第三十四 条网安办组织对各单位应用系统、互联网站安全 状况、安全保护制度及措施的落实情况进行检查，并配合上级有 关部门开展信息安全检查、信息内容检查、保密检查与审批等工 作。

第三十五 条各单位要按照学校信息安全事件报告与处置流 程，做好应急事件处置工作。

第三十六条 各单位要按照安全事件早发现、早报告、早控 制、早解决的要求建立本单位信息安全值守制度，制定安全事件 应急预案和处置方案，组织应急演练。

第三十七条 网安办联合相关单位对全校各单位网络与信息 技术安全工作落实情况进行检查，对安全隐患做出预警，对发现 的问题下达限期整改通知书，对网络与信息技术安全事件进行调 查处理。

第九章保障措施

第三十八条 学校保障网络与信息安全及信息化发展所需的 人员编制和经费投入，建设高水平网络与信息安全技术支撑队伍。

第三十九条 网安办负责制定网络与信息安全教育培训规 划，开展面向全校的培训和宣传教育，提高师生员工的安全和防 范意识，培养良好的媒介素养和规范、文明的用网行为。

第四十条 网络与信息中心负责组织开展网络与信息安全管 理和技术人员专业培训。

第四十一条 学校建立完善网络与信息安全工作检查考核、 责任追究和倒查制度，将网络与信息安全工作列为各单位领导班 子和领导干部目标管理、业绩评定、年度考核、奖励惩处和干部 选拔任用的重要内容和依据。

第十章责任追究

第四十二条 有关单位在收到网络与信息安全限期整改通知 书后，整改不力的，学校给予通报批评；玩忽职守、失职、渎职 造成严重后果的，依纪依法追究相关人员的责任。

第四十三条 各单位要按照网络信息安全事件报告与处置流 程及时、如实地报告和妥善处置网络信息安全事件。如有瞒报、 缓报、处置和整改不力等情况，由网安办联合相关单位进行约谈 或通报。

第四十四条 师生员工违反网络与信息安全相关管理规定， 造成不良后果的，视情节轻重，分别由人事管理部门或学生管理 部门按相关规定给予批评教育或纪律处分；其中触犯法律的，由 相关国家机关依法追究法律责任。

第十一章附则

第四十五条 对于涉及国家秘密的信息系统，按照国家保密 工作管理规定进行管理。

第四十六条 紧急情况下，经学校网络与信息安全工作领导 小组批准，网络与信息中心可以采取特别技术措施以维护学校网 络与信息安全。

第四十七条 本办法由网安办负责解释，自发布之日起施行。