第一条  为了保障邵阳学院校园网络及信息系统的安全稳定，促进学校信息化健康发展，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国计算机信息系统安全保护条例》等国家相关法律法规并结合我校实际，特制定本办法。

第二条  网络与信息安全是指网络基础设施、网站、信息系统及数据内容等受到保护，保证网络、信息及内容的安全性、完整性、可用性、可控性。

第三条  网络与信息安全管理的基本原则是“谁主管、谁负责，谁运维、谁负责，谁使用，谁负责”，明确责任、突出重点、保障安全。学校各单位、全体师生应依照本办法及学校相关标准规范履行网络与信息安全的义务和责任。

第四条  网络与信息安全管理的总体方针是以国家标准《信息系统安全等级保护基本要求》（GB/T 22239-2008）为指导，预防为主、综合防范。

第五条  网络与信息安全管理的目标是建立健全网络信息安全保障体系，提高安全防护能力，确保学校网络信息安全工作规范、有序开展，保障学校信息化可持续发展。

 

第二章  机构与职责

第六条  学校成立网络与信息安全工作领导小组，组成成员如下：

组长：党委书记、校长

常务副组长：负责信息与网络安全的主管校领导

副组长：其他校领导

领导小组成员包括：党政办公室、宣传部、学生工作部、保卫工作部、人事处、团委、研究生工作部、信息与网络中心和各二级学院的主要负责人。领导小组下设办公室，办公室设在宣传部，宣传部部长担任办公室主任，保卫工作部处长和信息与网络中心主任担任副主任。

主要职责：

(一) 贯彻落实国家、省关于网络与信息安全的工作部署，组织研究制订学校网络与信息安全发展规划及规章制度；

(二) 统筹协调学校网络与信息安全重大问题及校内外网络与信息安全相关各项事务，组织实施学校网络与信息安全工作；

(三) 对学校网络与信息安全工作进行指导、监督、考核和检查。

第七条  宣传部是学校网络与信息安全工作职能部门，负责协调学校网络与信息安全工作，负责网络内容与意识形态工作。主要职责：

1.组织对学校网络发布的信息、意识形态、网络舆情等网络内容进行监督和处置；

2.负责学校主网站相关栏目的新闻、图片、资源的审核及上传工作；

3.协同信息与网络中心、保卫工作部、学生工作部、研究生与学科建设处、团委等部门对师生进行网络安全教育和相关法制教育。

第八条  党政办公室牵头组织重大敏感时期、重要活动、重要会议期间发生的信息安全事件的协调处置，负责涉密级信息网络泄密类事件的处理，指导各单位做好网络涉密工作。

第九条  保卫工作部负责协助相关部门做好网络与信息安全稳定工作，协助政府有关部门查处利用校园网络进行的违纪违法行为。

第十条  信息与网络中心负责校园网的建设维护、技术支撑与数据安全管理工作。主要职责：

（一）负责贯彻《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等法律法规和上级指示，对接上级主管单位的监督检查，协调处置各信息系统漏洞及安全隐患，做好网络安防演练及网络安全宣传教育工作，做好各信息系统等级保护工作；

（二）负责学校网络与信息安全基础设施、公共平台的建设管理与运行维护；

（三）负责对各部门、单位（以下统称单位）网络与信息安全技术工作进行指导、培训、督促、检查、考核、技术支持与服务；

（四）其他网络运行安全、网络信息安全、网络系统安全的有关职责。

第十一条  二级单位职能划分及考核

（一）学校各单位党政主要负责人是本单位网络与信息安全工作的第一责任人，各单位应明确一名负责人分管网络与信息安全工作，负责本单位网站、新媒体的信息系统安全和意识形态、网络舆情监管处置，负责审核和管理本单位上传的各类网络信息；

（二）各单位须设置相对稳定的网络信息安全管理员，负责本单位网络与信息安全具体工作，做好与宣传部、信息与网络中心的联络工作；

（三）相关人员调整时应及时到网络与信息安全工作领导小组办公室办理变更手续；

（四）各单位的网络与信息安全工作纳入年度维稳综治安全工作目标管理责任书进行考核。

 

第三章  网络信息安全

第十二条  学校实行网络安全等级保护制度。校园内各网络服务提供者与管理者均应按照安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

1.制订内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

2.采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

3.采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关网络日志不少于6个月；

4.采取数据分类、数据备份和加密等措施；

5.法律、行政法规规定的其他义务。

第十三条  各单位网站或信息系统原则上要求建在校园网服务器上。有特殊原因需要使用独立服务器的须报信息与网络中心审批、备案，要求取得原始代码，掌握最高管理权限，并实行有效控制。以学校或学校内设机构的名义在校外创建的网站和新媒体平台，须报宣传部和信息与网络中心审批、备案，并接受常规检查和年审。

第十四条  学校各网站在上线前，网站主办单位须开展安全自查工作，提供安全自查报告，并填写《网站及信息系统情况记录表》（附件1），由单位主要负责人签字确认后，提交信息与网络中心备案。各网站主办单位应加强对网站的建设与管理，并对网站的形式、内容、运行安全与信息安全负责。

第十五条  学校各单位网站原则上使用学校统一的域名。未经批准，任何单位不得在校园网上申请校外域名用于对外提供域名解析服务。已获批准的，需到工信部门进行备案。

第十六条  各单位网站未经宣传部批准不得开设聊天室、论坛等栏目；需要开设留言板功能模块的必须设置审核功能。

第十七条  信息与网络中心采用专业技术手段对网站或信息系统进行安全检测。检测未通过的须进行安全整改，直至通过检测，网站或信息系统方可上线运行。

 

第四章  网络运行安全

第十八条  各单位须定期对本单位的网站及信息系统开展安全巡检，并做好巡检记录，填写《网站及信息系统巡检记录表》（附件2）。对校外开放的网站或信息系统，要求每月巡检一次，对校内开放的网站或信息系统，要求每季度巡检一次。信息与网络中心每月定期巡检与不定期巡检相结合，并及时发布相关漏洞报告，督促相关单位进行及时修复。

第十九条  各单位须定期对网站及信息系统进行漏洞修补，包括主机系统漏洞、WEB应用漏洞、中间件漏洞、数据库漏洞等。

第二十条  学校将定期对全校的网站及信息系统开展安全检查，检查不合格的网站或信息系统，视其漏洞级别暂停其外网访问，同时通知责任单位限期整改，要求提供整改报告并提交信息与网络中心。经安全复查合格后，方可恢复该网站或信息系统的正常访问。

第二十一条  特殊时期，各单位须加强网站及信息系统的安全监管工作，安排专人值守，加强安全巡检，做好安全整改。

第二十二条  校园网上网采用实名制。用户在办理网络接入、域名注册等手续时应当按要求提供真实身份信息。对于不提供真实身份信息的用户，不得为其提供相关服务。信息与网络中心定期对上网账号信息进行审核。

第二十三条  校外人员如因工作需要须接入学校网络，由相关单位向信息与网络中心提出网络接入申请，并对其承担监督责任。

第二十四条  计算机设备及系统在接入学校网络前须接受信息与网络中心的检查，检查通过后方可接入；接入互联网的计算机必须与各单位的涉密计算机系统实行物理隔离。涉密信息不得在上网设备上操作或存储。

第二十五条  所有接入网络的用户必须自觉遵守国家的法律法规，不得危害网络安全，不得利用网络从事危害国家安全、荣誉和利益，煽动颠覆国家政权、推翻社会主义制度，煽动分裂国家、破坏国家统一，宣扬恐怖主义、极端主义，宣扬民族仇恨、民族歧视，传播暴力、淫秽色情信息，编造、传播虚假信息扰乱经济秩序，以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。

第二十六条  信息与网络中心负责学校关键信息基础设施安全规划，指导和监督关键信息基础设施运行安全保护工作，应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设和同步使用。

第二十七条  信息与网络中心应当定期对关键信息基础设施运营的工作人员进行网络安全教育、技术培训和技能考核，对重要系统和数据库进行容灾备份。

第二十八条  对于学校关键信息基础设施，信息与网络中心应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关部门。

 

第五章  信息系统安全

第二十九条  各单位负责本单位信息系统的运行维护、信息审核和信息安全管理。

第三十条  各信息系统原则上应使用学校二级域名和IP地址。未经学校批准，任何单位和个人不得以学校名义注册互联网域名及通过校外服务器发布信息系统。

第三十一条  信息与网络中心不定期对各单位信息系统进行监督检查，不符合网络与信息安全要求的，视其情况限期整改或终止网络接入。

第三十二条  学校根据教育部颁发的《教育信息系统安全等级保护定级指南》等文件要求，对学校所有信息系统进行等级评定和安全保护。信息与网络中心负责信息系统安全等级保护工作的技术指导，各单位负责做好本单位信息安全等级保护工作。

第三十三条  各单位信息系统必须严格执行国家安全和保密法规，杜绝发布涉密信息。涉密信息系统应严格执行有关涉密计算机及信息系统保密管理规定。各单位信息系统的管理账号和密码要严格保密，发现任何非法使用或存在其他风险，应立即上报信息与网络中心并及时处理解决。

第三十四条  各单位信息系统涉及的程序编码应符合安全规范，并按照网络与信息安全要求部署安全防范措施。发现漏洞、病毒、木马程序的，应及时处理解决并报告信息与网络中心。

第三十五条  各单位信息系统必须建立数据备份制度、信息安全突发事件应急预案和有效的监控与防范机制，定期对数据进行备份，遭遇突发情况应及时恢复服务。

 

第六章  监测预警与应急响应

第三十六条  学校建立网络安全监测预警和信息通报制度，各单位须制定本单位的网站及信息系统安全风险评估与应急预案，并定期进行安全应急演练。宣传部、信息与网络中心统筹协调各单位加强网络安全信息收集、分析和通报工作，按照规定统一发布网络与信息安全监测预警信息。

第三十七条  网络与信息安全事件应急预案应当按照事件发生后的危害程度、影响范围等因素对网络与信息安全事件进行分级，并规定相应的应急处置措施。

第三十八条  当网络与信息安全事件发生的风险增大时，应当按照规定的权限和程序并根据网络与信息安全风险的特点和可能造成的危害，学校网络与信息安全工作领导小组办公室将采取下列措施：

(一) 要求有关单位和人员及时收集、报告有关信息，加强对网络与信息安全风险的监测；

(二) 组织有关单位和专业人员，对网络与信息安全风险信息进行分析评估，预测事件发生的可能性、影响范围和危害程度；

(三) 报告和发布网络与信息安全风险预警，发布避免、减轻危害的措施。

第三十九条  发生网络安全事件时，涉事单位应立即向党政办、宣传部、信息与网络中心、保卫工作部报告，并根据学校统一安排启动网络与信息安全应急预案，采取相应的技术措施与方法，消除安全隐患，防止危害扩大。

第四十条  学校有关单位在履行网络安全监督管理职能时，发现网络或信息系统存在较大安全风险或者发生安全事件的，可以按照规定的权限和程序对有关部门提出要求，相关单位应当采取措施进行整改和消除隐患。

第四十一条  因违规违法或管理不力导致的网络与信息安全事件，给学校造成严重损害或产生严重后果的，学校将按照有关规定追究直接责任人和相关领导责任。

 

第七章  附 则

第四十二条  本管理办法由宣传部会同信息与网络中心负责解释。

第四十三条  本管理办法自颁布之日起施行。原邵院党字〔2017〕28号即时废止。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

邵阳学院办公室              2023年11月6日印发