淮阴工学院网络与信息安全管理办法

为进一步加强我校校园网络与信息安全的管理工作，确保我校校园网络和信息系统的安全稳定，促进学校信息化建设事业健康发展，根据国家相关法律法规并结合我校实际情况，制定本办法。

第一章 总则

第一条 网络与信息安全是指由学校建设、运行、维护或管理的网络与信息化基础设施、网站、信息系统及数据内容等受到保护，保证网络、信息及内容的安全性、完整性、可用性、可控性。包括对外发布建立的各类网站、信息系统，以学校和各级单位名义对外发布的电子邮件，各类电子文档、图片、视频、语音、软件等。

第二条 按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，建立健全网络与信息安全责任体系。学校各部门单位、全体师生员工应依照本办法要求及相关标准规范履行网络与信息安全的义务和责任。

第二章 组织机构

第三条 网络安全与信息化领导小组是学校网络与信息安全工作的领导机构，负责贯彻落实上级关于网络安全与信息化的方针、政策和决策部署，统一领导、统一规划、统一部署全校工作，统筹制定信息化建设和网络与信息技术安全发展战略、宏观规划和重大政策，研究解决信息化建设和网络与信息技术安全方面的重要问题。网络安全与信息化领导小组下设办公室，挂靠信息化建设与管理处。

第四条 党委宣传部负责网站和信息系统的信息内容安全工作。负责学校门户网站统筹管理，审核门户网站的信息发布、转载和链接内容；负责学校网络信息媒体内容管理及学校网络舆情监控、引导。

第五条 信息化建设与管理处主要承担领导小组办公室的日常工作，是学校网络与信息安全归口管理和技术支撑单位。具体负责网络与信息安全总体规划的制定与实施；网络与信息安全管理规章制度的拟定；组织开展网络安全等级保护工作；协调、指导、督促各部门、单位加强网络与信息技术安全的教育和管理；协调督促信息化建设各项工作的具体实施及推进等。

第六条 学校各部门单位负责本部门单位网站及应用系统的建设、管理和安全运维，以及本部门单位师生员工的网络信息安全教育和管理。各部门单位主要负责人是本部门单位网络与信息安全工作的第一责任人，分管负责人是本部门单位网络与信息安全工作的直接责任人，班子其他成员要按照“一岗双责”要求履行好网络与信息安全工作职责，同时还应指定一名网络信息安全员具体负责本部门单位网络信息安全运行、维护和管理工作。

第三章 网络信息安全管理

第七条 安全等级登记备案。各部门单位主办的各类网站及信息系统，应统一向信息化建设与管理处登记备案，并配合信息化建设与管理处完成向上级教育主管部门及公安部门的信息安全等级保护定级备案工作。信息系统等级备案信息应包括但不限于信息系统名称、主办/主管单位、责任人、安全保护等级、技术管理员、服务器放置地、数据库类型、开发商、域名、IP地址、开放端口、运行有效期等。校内网站和信息系统的备案信息发生变动时，系统管理员应主动报告并修订备案信息。

第八条 系统上线安全审查。校内网站与信息系统在投入使用前应向信息化建设与管理处提交备案材料和申请表，申请上线发布。信息化建设与管理处对申请上线的网站和信息系统进行安全检查，使用漏洞扫描设备对网站和信息系统进行主机服务器和web应用服务安全扫描。对于存在安全风险的系统不予上线，须在修改后重新申请。申请上线的系统应标明系统的使用期限，对于短期使用的网站和信息系统，在使用期限到期后将自动关闭。

第九条 信息审核。校内网站和信息系统实行年审制，每年定期对网站和信息系统备案情况进行核查修订。年审期间管理员应检查所管理网站和信息系统的各项备案信息是否有变更，重点确认负责人和管理员的联系信息是否准确，并提交修改或确认。在年审过程中，超过规定期限没有进行备案信息确认的网站和信息系统，将视为无人维护，进行关闭处理。

第十条 安全监测评估。信息化建设与管理处对校内网站和信息系统进行日常安全管理，根据网站和信息系统的安全防护级别，定期进行安全扫描和风险评估，并将评估报告发送给信息安全分管负责人和安全员。对于存在高风险的网站和信息系统，将停止其互联网访问，并责令在规定时间内修复，未修复的网站和信息系统将被关闭。对于出现严重安全事件的网站和信息系统，将立刻关闭，并通知部门单位主要负责人、分管负责人和安全员，责令整改并需提交整改报告。修复或处理后的网站或信息系统，经信息化建设与管理处安全复查合格后才能予以恢复访问。

第十一条 安全巡检和漏洞修补。各部门单位须定期对本部门单位的网站及信息系统开展安全巡检，并做好巡检记录。对校外开放的网站或信息系统，每周至少巡检一次；对校内开放的网站或信息系统，每月至少巡检一次。定期对网站及信息系统进行漏洞修补，包括主机系统漏洞、WEB应用漏洞、中间件漏洞、数据库漏洞等。

第十二条 年度考评。建立网络与安全工作年度考评机制。各部门单位须对每年的网络与信息安全工作进行年终总结，并对下一年的网络与信息安全工作进行规划。学校对各部门单位的网络与信息安全工作进行专项考评，考评结果将作为学校对各部门单位年度考核的重要参考。

第四章 网络信息安全保密管理

第十三条 校园网络所有工作人员和用户必须遵守国家有关法律、法规和本校相关规定，严格执行信息安全保密制度，并对所提供的信息负责。

第十四条 学校各部门单位必须加强对本部门单位上网人员的保密教育和管理，制定相关工作制度与流程，凡上网的信息，上网前必须进行审查和登记。

第十五条 严禁任何用户擅自接入校园网，入网用户必须办理入网登记手续，并签署相应的网络信息安全协议，自觉遵守相关规定。任何个人不得利用网络从事危害国家安全、泄露国家秘密的活动。

第五章 网络信息安全事件分级与处置

第十六条 网络与信息安全事件依据可控性、严重程度和影响范围的不同，分为以下四级。

I 级（特别重大）：发生全校性大规模网络瘫痪和全校重要业务系统停机，对学校正常工作造成特别严重损害，或发生严重信息内容安全事件等事态发展超出学校控制能力的安全事件。

II 级（重大）：发生全校性较大规模网络瘫痪和全校重要业务系统停机，对学校正常工作造成严重损害，或发生信息内容安全事件等事态发展信息化技术中心无法直接控制，需要学校各部门协同处置的安全事件。

III 级（较大）：学校部分区域的网络与信息系统瘫痪，发生局部性网络攻击或小范围信息内容安全事件，对学校正常工作造成一定损害，学校信息化技术中心可自行处置的安全事件。

IV 级（一般）：较小范围网络或信息系统受到一定程度损坏，对学校工作产生一定影响，但不影响学校整体工作的安全事件。

第十七条 信息化建设与管理处要制定学校网络与信息安全事件应急预案等制度规定，定期组织网络信息安全应急培训和演练，提高网络安全事件的预防、预警和应对能力，预防和减轻网络安全事件造成的损失和危害。信息化技术中心要积极为安全应急工作提供技术支撑和保障，协助相关部门单位确定事件类型和进行技术鉴定。

第十八条 学校各部门单位应制定本部门单位的网络与信息安全应急预案，按照学校网络信息安全事件报告与处置流程，做好事发报告与处置、事中情况报告与处置以及事后整改报告与处置工作，努力做到安全事件早发现、早报告、早控制、早解决。

第十九条 学校各部门单位及师生员工均有义务及时向信息化建设与管理处报告网络信息安全事件，但不得在未授权的情况下对外公布、尝试或利用所发现的安全漏洞或安全问题。

第六章 网络信息安全责任追究

第二十条 学校建立网络信息安全责任追究和倒查机制。

第二十一条 对于在收到网络信息安全整改通知书后整改不力，或发生网络信息安全事件后瞒报、缓报和处置不力，或玩忽职守、失职渎职造成严重后果的部门单位，学校将依法依规追究相关人员的责任。

第二十二条 师生员工违反本办法规定的，由所在部门单位会同学校宣传、信息化、人事等部门按照相关制度规定进行处理。对于拒不改正或者导致网络信息安全等产生严重后果的，要给予纪律处分；对于情节重大涉嫌犯罪的，移交司法机关追究其刑事责任。

第七章 附则

第二十三条 本办法在实施中若有与国家有关法律、法规不一致的，以国家法律、法规为准。

第二十四条 本办法由信息化建设与管理处负责解释。学校原有相关规定与本办法不一致的，按本办法执行。