承德应用技术职业学院校园网络与信息化管理办法 - 规章制度

承德应用技术职业学院

校园网络与信息化管理办法

第一章总则

第一条为深入贯彻习近平总书记网络强国战略思想，进一步加强校园网络信息安全的管理，规范学院各级网络信息平台建设，保证网络信息安全，把校园网建设成为宣传党和国家事业、学院发展和改革创新的窗口；成为广大师生进行交流的平台、教育和学习的阵地；成为联系学院党政部门和广大师生的桥梁，根据《中华人民共和国网络安全法》、《计算机信息网络国际联网安全保护管理办法》和《互联网新闻信息服务管理规定》等法律法规和相关文件精神，结合学院实际，制定本管理办法。

第二条学院的各个部门和个人在使用网络过程中必须遵守《中华人民共和国计算机信息网络国际互联网络管理办法》、《中华人民共和国保守国家秘密法》及国家有关法律法规和学院管理规定，严格执行信息安全保密制度，对所提供和发布的信息负责。

第二章管理机构

第三条学院网络安全和信息化工作领导小组（以下简称网信领导小组）是学院网络安全和信息化建设及管理的领导机构，负责学院网络信息安全工作的统筹、组织、协调和重大问题的决策。下设网络安全和信息化工作领导小组办公室和网络舆情工作办公室，其中网络安全和信息化领导小组办公室设在网络信息中心，是网络信息安全的审查和管理部门，负责校园网日常运行、管理和维护，同时为校园网络和信息安全提供技术支持和保障。网络舆情工作办公室挂靠党群工作处，负责搜集网络舆情，及时发现舆情，对舆情进行处置并反馈舆情处置情况。

第四条各单位、部门的党政主要负责同志是本单位、部门网络信息安全的第一责任人，各单位、部门要明确网络信息安全工作分管负责同志和信息管理员，负责本单位网站和信息系统的建设、管理、维护及数据安全等工作。按照“谁建设谁负责、谁主管谁监督”的原则对本单位、部门建设使用的应用系统、网站、APP、交互式栏目等进行管理和检查，并制定本单位、部门的网络信息安全管理措施，报送网络信息中心备案。

第五条未经批准，任何单位、部门或个人不得将校园网延伸至校外或将校外网络引入至校园内。未经批准，任何数据业务运营商或电信代理商不得擅自进入校园内进行工程施工，开展互联网业务。

第三章信息系统（含网站）管理

第六条各单位、部门应按照国家信息系统等级保护制度的相关法律法规、标准规范，加强对信息系统（含网站）的日常管理，学院各单位、部门开办信息系统（含网站），应使用学院互联网域名和互联网 IP地址，信息系统（含网站）一律不得开设交互式栏目（如论坛、贴吧等）。各单位、部门要准确掌握本单位、部门信息系统（含网站）建设情况，规范信息维护、信息管理、运行维护等方面的工作流程和机制，及时补充和更新管理系统的业务数据，确保数据的完整性、时效性和准确性，并做好用户授权等管理服务工作。

第七条学院对信息化项目实行统筹管理。信息化项目的建设按年度申报，急需的软件和项目经学院相关处室研讨后按流程采购。新建信息化项目由学院成立项目专家组进行论证，形成论证意见同意后进行立项建设

第八条网络信息中心负责对学院信息系统使用情况进行监督检查，对存在安全隐患的信息系统，网络信息中心将停止其对外服务。对安全事件的起因、性质、影响、责任、经验教训和恢复重建等问题进行调查评估；根据暴露的问题和调查评估结果，对信息安全事件应急预案进行相应的调整。

第四章网络建设管理

第九条校园网覆盖行政楼、实训楼、图书馆、教学楼及学生宿舍等室内建筑物，由网络信息中心统一进行技术服务与管理。

第十条任何部门和个人，未经网络信息中心同意、不得擅自安装、拆卸或改变网络设备，如需要改动线路及添加网络及相关设备必须经主管院领导及相关部门批准，网络信息中心研究可行性后方可进行，具体实施由网络信息中心人员实施或陪同安装，避免交叉施工造成学院网络故障。对于违反本规定的，网络信息中心有权终止相关设备运行，并报学院相关部门视情节轻重给予批评及处罚。

第十一条任何部门和个人不得以任何形式进行主机托管、虚拟主机、主页空间等对个人或外单位提供网络服务行为。

第十二条各部门按照网络信息中心的要求设置各自的实训室及相关设备接入校园网络，各系部负责各自的实训室的日常维护和管理，网络信息中心为系部实训室网络维修、维护提供技术指导。

第十三条为保证现有设备得到充分利用并保证整体性规划，学院信息化建设项目中的网络设备、服务器、存储设备等硬件设施须符合校园网络的接入标准，由网络信息中心经研究论证后统一申报采购。

第十四条学院新建、扩建和维修楼宇之间的综合布线时应由施工负责处室和网络信息中心统一规划、立项、采购、建设网络设备，后期对楼宇综合布线系统及楼宇汇聚设备的维护和维修由网络信息中心负责实施。

第十五条校园网络设施和相关设备施工完成后，建设单位应向网络信息中心提交施工图和测试报告，验收合格后方可投入使用。

第十六条网络信息中心将对校园内软硬件系统建设的质量和进度进行全程监控、管理和协调，主要包括需求分析、技术方案制定、系统开发或购置、安装及测试四个阶段。

第五章数据中心管理

第十七条数据中心主要包括支撑学院信息系统的物理环境（其中包含机房）、软硬件设备设施、云计算平台、学院中心数据库（其中包含基础数据库）、数据共享交换平台、统一身份认证平台及统一信息门户等信息化基础设施和平台。网络信息中心负责数据中心的建设、运行、维护和管理。

第十八条网络信息中心负责数据中心物理环境、软硬件设备设施和云计算平台的建设和安全管理。

第十九条网络信息中心负责学院中心数据库、数据共享交换平台的建设和安全管理，负责基础数据库与各单位业务数据库之间完成数据交换和共享。各单位、部门负责建设、维护本单位、部门业务应用系统所配套的业务数据库，并对本单位、部门业务数据库及所申请的共享数据的安全负责。

第二十条统一身份认证平台为学院信息系统提供统一的身份管理、安全的认证机制、审计及标准接口。各单位新增或调整专业软件平台和信息化建设项目，须纳入学院智慧校园平台统一管理，保证数据的一致性和完整性。各单位、部门建设面向师生服务的应用系统时，应使用统一身份认证平台进行身份认证。网络信息中心负责统一身份认证平台的安全，各单位、部门负责本单位应用系统的权限管理及安全。

第二十一条原则上，各单位、部门应依托学院数据中心开展信息系统（含网站）建设。需使用校外数据中心的，须报网络信息中心审批。涉及学院基础数据、师生员工个人信息或敏感信息的信息系统（含网站），不得部署在校外数据中心。未经批准，严禁使用境外数据中心。

第二十二条网络信息中心对学院数据中心的使用实施准入管理，负责制定使用数据中心的技术规范和标准，在系统上线前进行安全检测。符合技术规范标准并检测通过的系统方可上线运行。

第二十三条数据中心的使用单位应遵循数据中心相关管理制度和技术标准，按需申请、有序使用，不得利用数据中心资源从事任何与申请项目无关或危害信息技术安全的活动。

第六章电子邮件管理

第二十四条电子邮箱开户实行实名制，在校教职工均可申请邮箱帐户。一个用户只能开设一个电子邮箱帐户。帐户不再使用时，须通知网络信息中心进行注销。

第二十五条电子邮箱用户须自觉配合上级有关部门和学院的监督、检查，并认真履行电子邮件操作的安全规定：

（一）用户须对帐户和密码的安全负责，对以其帐户进行的所有活动负责，应定期修改密码，加强密码强度，不得将账户和密码借与他人使用；

（二）用户若发现任何非法使用其帐户或存在安全漏洞的情况，应立即报告网络信息中心；

（三）用户不要阅读和传播来历不明的电子邮件及其附件，提高对电子邮件病毒的防范意识，避免传播电子邮件病毒；

（四）用户传送日常办公文件时，应采取压缩加密等有效安全保护措施，并以附件的形式传送；

（五）用户应避免使用邮箱及密码注册第三方网站、论坛或在线服务等平台，如因此导致邮箱帐户和密码的泄露风险由用户承担。

第二十六条网络信息中心负责对校园网电子邮件系统使用情况进行监督、检查。有发送垃圾广告邮件、存在安全漏洞情况的帐户，或连续两年没有登录电子邮件系统的账户，网络信息中心将停止该帐户使用。

第七章终端计算机安全管理

第二十七条终端计算机是指由学院师生员工使用并从事学院教学、科研、管理等活动的各类计算机及附属设备，包括云桌面电脑、台式电脑、笔记本电脑及其他移动终端。

第二十八条终端计算机使用人按照“谁登记，谁负责”的原则，对其终端计算机负有保管和安全使用的责任。

第二十九条终端计算机设备上安装、运行的软件须为正版软件。在终端计算机上使用盗版软件带来的安全和法律责任由终端计算机使用人承担。

第三十条终端计算机应当设置系统登录账号和密码，禁止自动登录，登录密码应具有一定强度并定期更改。

第三十一条终端计算机使用人应做好数据日常管理和保护，定期进行数据备份。非涉密计算机不得存储和处理涉密信息。

第三十二条终端计算机使用人应做好终端计算机的安全防范，如发现终端计算机出现可能由病毒或攻击导致的异常系统行为或其他安全问题，应立即断网后进行处置。

第三十三条终端计算机使用人应对终端计算机妥善保管。若发生损坏丢失，按学院固定资产相关管理规定处理。

第八章存储介质安全管理

第三十四条存储介质是指存储数据的载体，主要包括硬盘、存储阵列、防灾备份等不可移动存储介质，以及移动硬盘、U 盘等可移动存储介质。

第三十五条原则上，存储阵列、防灾备份等大容量介质应托管在学院数据中心。

第三十六条各单位、部门应记录移动介质领用、交回、维修、报废、损毁等情况。介质使用人按照“谁使用，谁负责”的原则，对其移动介质负有保管和安全使用的责任。

第三十七条非涉密移动存储介质不得用于存储涉密信息，不得在涉密计算机上使用。

第三十八条移动存储介质在接入终端计算机和信息系统前，应当查杀病毒、木马等恶意代码。

第三十九条介质使用人应注意移动存储介质的内容管理，对送出维修或销毁的介质应事先清除敏感信息。

第九章人员安全管理

第四十条各单位、部门应建立健全本单位的岗位信息安全责任制度，明确岗位及人员的信息安全责任。关键岗位的计算机使用和管理人员应签订信息安全与保密协议，明确信息安全与保密要求和责任。

第四十一条各单位、部门应加强人员离岗、离职管理，严格规范人员离岗、离职过程，及时终止相关人员的所有访问权限，收回各种身份证件、钥匙、徽章以及学院提供的软硬件设备，并签署安全保密承诺书。

第四十二条各单位、部门应定期对信息技术安全岗位的人员进行安全知识和技能的考核，并对考核结果进行记录和保存。

第四十三条各单位、部门应建立外部人员访问机房等重要区域的审批制度，外部人员须经审批后方可进入，并安排工作人员现场陪同，对访问活动进行记录和保存。

第十章外包服务安全管理

第四十四条信息技术外包服务是指信息系统的开发和运维的外包。

第四十五条外包服务需求各单位、部门应与信息技术外包服务提供商签订服务合同和信息安全与保密协议，明确信息安全与保密责任，不得泄露、扩散、转让服务过程中获知的敏感信息，不得占有服务过程中产生的任何信息资产，不得以服务为由强制要求委托方购买、使用指定产品。

第四十六条信息技术现场服务过程中，外包服务需求单位应安排专人陪同，并详细记录服务过程。

第四十七条外包开发的系统、软件上线应用前，外包服务需求单位应组织安全检查，要求开发方及时提供系统、软件的升级、漏洞等信息和相应服务。

第四十八条网络信息中心负责远程在线运维管理设备的统一购置、运维和管理。信息系统运维如需采用远程方式进行，必须通过远程在线运维管理设备统一进行管理。

第十一章信息安全应急管理

第四十九条网络信息中心负责制订学院信息技术安全应急预案，若学院信息技术安全应急预案不能满足需求,相关单位、部门可制订本单位、部门信息技术安全应急预案。信息技术安全应急预案制修订后应及时报网络信息中心备案。

第五十条网络信息中心定期组织信息技术安全应急演练，评估并适时组织信息技术安全应急预案修订。各单位、部门应组织开展信息技术安全应急预案的宣传、教育和培训，确保相关人员熟悉应急预案。

第五十一条各单位、部门应按照学院信息技术安全事件报告与处置流程，做好事发紧急报告与处置、事中情况报告与处置和事后整改报告与处置工作。做到安全事件早发现、早报告、早控制、早解决。

第五十二条各单位、部门和师生员工均有义务及时向网络信息中心报告信息安全事件，不得在未授权情况下对外公布、尝试或利用所发现的安全漏洞或安全问题。

第十二章信息安全教育培训

第五十三条网络信息中心负责组织学院信息安全宣传和教育培训工作，建立健全相关制度。

第五十四条网络信息中心定期组织开展针对师生员工的信息安全教育，提高师生员工的安全和防范意识。

第五十五条网络信息中心定期开展针对信息安全管理人员和技术人员的专业技能培训，提高信息安全工作能力和水平。

第十三章信息安全检查监督

第五十六条各单位、部门定期对本单位、部门信息系统的安全状况、安全保护制度及措施的落实情况进行自查，并配合有关部门的信息安全检查、信息内容检查、保密检查与审批等工作。

第五十七条网络信息中心对各单位、部门的信息技术安全工作落实情况进行检查，对发现的问题下达限期整改通知书，责成相关单位、部门制订整改方案并落实到位。

第五十八条网信领导小组对年度安全检查情况进行全面总结，按照要求完成检查报告并报有关信息安全主管部门。

第十四章信息安全责任追究

第五十九条学院建立信息安全责任追究和倒查机制。

第六十条有关单位、部门在收到网络信息安全限期整改通知书后，整改不力的，学院给予通报批评；玩忽职守、失职渎职造成严重后果的，依纪依法追究相关人员的责任。

第六十一条各单位、部门应按照信息技术安全事件报告与处置流程及时、如实地报告和妥善处置信息技术安全事件。如有瞒报、缓报、处置和整改不力等情况，学院将对相关单位责任人进行约谈或通报。

第六十二条本校师生员工在交互式栏目（如论坛、贴吧等）中制作、复制、发布不良信息，造成严重后果者，学院将依据相关规定给予责任人相应的纪律处分，违反法律的承担相应的法律责任。

第六十三条对违反本管理办法的，学院将予以警告、限期整改、封帐户（端口）直至安全问题排除；拒不改正或者导致危害信息技术安全等严重后果的，将追究相关单位、部门人员的责任；对违反有关法律、法规的，将依法追究法律责任。

第十五章附则

第六十四条本办法由网络信息中心负责解释。

第六十五条本办法自发布之日起实施。