第一章总则
第一条 为提高湘西自治州民族广播电视大学网络与信息安全防护能力和水平,加强学校校园网络的运行和管理,保证学校网络与信息安全工作顺利进行,保障学校各项事业健康有序发展,根据《计算机信息网络国际互联网安全保护管理办法》、《互联网安全保护技术措施规定》、《计算机信息网络国际联网安全保护管理办法》等国家法律、法规,结合我校实际,制定本管理制度。
第二条 本管理制度中所称的网络安全,是指与学校教育教学各项工作相关的、由教育信息技术中心负责维护和管理的校园网络主、辅节点设备、配套的网络线缆设施及服务器、工作站等信息化硬件设备,以及各类信息系统(含学校网站、管理平台、QQ群、微信群、论坛等)的运行安全和信息内容安全。
第三条 本管理制度的适用对象为学校全体教职员工及学员。
第二章 管理体制和职责
第四条 学校成立网络与信息安全领导小组,负责协调全校网络与信息安全保障体系建设。领导小组下设网络与信息安全办公室,办公室设教育信息技术中心。办公室成员为各处室负责人。
第五条 信息技术中心负责学校网络与信息系统的日常管理和维护,保障网络与信息系统的正常运行;保存网络运行日志,配合调查取证;负责设备入网和登记。
第六条 学校办公室负责网络信息内容的安全监管,负责校园网络舆情信息的监控和管理,开展网上疏导和正面宣传,做好对外宣传工作。
第七条 后勤保卫处负责对网络违规行为进行调查、 取证、处理,根据相关证据及事态影响或破坏程度,对违规者按照有关规定进行处理。
第八条 坚持“谁主管谁负责,谁主办谁负责,谁使用谁负责”原则。
第三章 安全秩序
第九条 校园网络和信息系统接入互联网必须采取必要的安全技术手段。校内互联网接入由教育信息技术中心统一管理,包括IP 地址、域名及网络帐号等。
第十条 任何处室和个人不得私自与校外单位联网, 不得私自向校外用户提供上网条件。
第十一 条 各处室原则上应依托学校网站开展信息系统建设。涉及学校基础数据、师生员工个人信息或敏感信息的信息,不得对外发布。
第十二条 在校园网络上严禁制作、查阅、复制或传播下列信息:
(一) 煽动抗拒、破坏宪法和国家法律、行政法规实施;
(二) 危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一;
(三) 损害国家荣誉和利益;
(四) 煽动民族仇恨、民族歧视,破坏民族团结,或者侵害民族风俗习惯;
(五) 宣扬恐怖主义、邪教、封建迷信,违反国家宗教政策;
(六) 捏造或者歪曲事实,散布谣言,扰乱社会秩序,破坏社会稳定;
(七) 侮辱他人或者捏造事实诽谤他人;
(八) 含有淫秽、色情、赌博、暴力、欺诈等内容;
(九) 含有法律、法规禁止的其他内容。
第十三条 在校园网络上严禁下列行为:
(一) 破坏、盗用、篡改计算机网络中的信息资源;
(二) 故意泄露、窃取、篡改个人电子信息,擅自利用网络收集、使用个人电子信息,出售或者非法向他人提供个人电子信息;
(三) 违背他人意愿、冒用他人名义发布信息;
(四) 攻击、入侵、破坏计算机网络、信息系统及设备设施;
(五) 故意阻塞、中断校园网络,恶意占用网络资源;
(六) 故意制作、传播、使用计算机病毒、木马、恶意软件等破坏性程序;
(七) 故意大量发送垃圾电子邮件、垃圾短信等,干扰正常网络秩序;
(八) 盗用他人帐号、盗用他人 IP 地址;
(九) 私自转借、转让用户帐号造成危害;
(十) 私自开设二级代理和路由接纳网络用户;
(十一) 上网信息审查不严, 造成严重后果;
(十二) 以端口扫描和私搭 DHCP 服务器等方式,破坏网络正常运行;
(十三) 私自将外网串接到校园网络。
(十四) 其它违反法律法规或危害网络与信息安全的行为。
第四章 涉密管理
第十四条 本制度所称秘密,包括国家秘密和学校秘密。
国家秘密是指关系国家安全和利益,依照法定程序确定,在一定时间内限制知悉人员范围的信息。
学校秘密是指学校在日常工作中产生的,涉及学校发展、教学管理、利益和信誉等,根据管理需要,在一定时间内限制知悉人员范围的信息。
第十五条 学校保密工作实行统一领导、归口管理、各负其责的体制。遵循严格管理、严密防范、确保安全、方便工作的管理原则。
第十六条 学校所有教职员工都有保守秘密的义务,不得泄露所知悉的秘密。
第十七条 学校办公室负责指导、协调和监督学校各处室保密工作。
第十八条 学校实行保密事项报告制度,教职员工发现秘密已经泄露或可能泄露时,应立即采取补救措施并及时报告;各相关处室应立即处理并向学校领导或上级部门报告。
第十九条 涉密载体的制作、收发、传递、使用、复制、保存、维修、维护、更换和销毁应申报并经批准后按照有关规定执行。
第二十条 涉密载体未经批准不得转借、摘抄、复印、拷贝。传递涉密信息,要妥善保管好经手的各类涉密载体。
第二十一条 不得通过普通传真机、公共电子邮件、非加密电话、移动电话和平信、挂号信、快递等普通邮政传递涉密信息。
第二十二条 任何人不得擅自公开或通过互联网及其它公众渠道发布、传递涉密信息。
第二十三条 学校各类网站、平台、微信群、QQ群、论坛等,一律实行由信息发布部门负责人、学校办公室和学校领导分别审查的三审制度,未经保密审查,不得发布。
第五章 安全防护
第二十四条 各单位作为安全等级保护的责任主体, 应当按照国家信息安全等级保护的管理规范、 技术标准确定信息系统的安全保护等级,并报学校有关部门审核。学校按相关规定选择具有相关技术资质和安全资质的测评单位, 对二级及以上的信息系统进行等级测评。经测评,信息安全状况未达到安全保护等级要求的,信息系统的主办单位应制定整改方案并落实到位。
第二十五条 学校建立检查巡查机制, 定期或不定期组织开展信息系统安全演练,查找安全漏洞和隐患;对机房、网络设备、服务器等设施定期开展安全检查;更新和升级必要的服务器软件,及时安装补丁,包括操作系统、 web 服务器、数据库等,加强服务器应用的安全性。对上述检查中发现安全漏洞和隐患的,应及时记录并处理。
第二十六条 建立网络安全监测预警和信息通报制度。 教育信息技术中心负责信息收集、分析和通报工作,按照规定向全校统一发布网络安全监测预警信息。各处室应做好网络与信息安全事件的风险评估和隐患排查工作,及时采取有效措施,避免和减少网络与信息安全事件的发生及其危害。
第二十七条 建立健全学校网络与信息安全类突发公共事件应急工作机制,提高应对网络与信息安全类突发公共事件的能力,预防和减少由此造成的损失和危害,维护学校的安全和稳定。
第六章责任追究
第二十八条 对于私自占用网络资源,破坏网络和信息系统,违反网络用户行为规范的行为,由信息技术中心根据事件的涉及范围、严重程度与校内有关部门进行查处,并根据国家和学校相关规定作出处理决定。
第二十九条 各处室和个人应当履行安全职责。 如因未尽职责或管理不善而造成严重后果的, 将依法依规追究其相应责任。
包括:
(一)中断网络连接;
(二)关闭信息系统;
(三)警告并勒令改正;
(四)通报批评;
(五)情节严重的,给予相应处分;
(六) 触犯国家有关法律法规的, 移交公安、 司法部门处理。
第七章 附则
第三十条 本办法由学校网络与信息安全领导小组办公室负责解释。
第三十一条 本办法自发布之日起施行。