第一章 总则
第一条 为了加强我校信息网络安全管理,保护信息系统安全,推进网络文明建设、进一步规范校园网信息应用和服务行为,保障教育教学和管理服务工作的顺利进行,根据《中华人民共和国计算机信息系统安全保护条例》(2011年1月8日修正版)、《中华人民共和国计算机信息网络国际互联网络管理暂行规定》(国务院令第195号)、《计算机信息网络国际联网安全保护管理办法》(公安部令第33号)、《中国教育与科研计算机网暂行管理办法》(教技[1996]55号)、《教育部关于对校园网有害信息专项清理整治工作的实施意见》以及国家有关法律、法规对互联网安全管理的要求,结合我校实际,制定本办法。
第二条 广东海洋大学校园网是指由国内电信网络企业运营的校园网络和学校接入中国教育与科研计算机网的内网两部分组成,为学校教学、科研、管理、生活服务的信息基础设施。校园网覆盖湖光校区、霞山校区和海滨校区。校园网的服务对象是学校教学、科研、管理与服务保障机构,全校教职工和学生,以及其他经学校授权的单位及个人。
第三条 严禁利用校园网从事违反国家法律法规、危害国家安全、泄露国家机密、干扰其它网络用户、侵犯知识产权的活动。
第四条 未经批准,任何单位和个人不得将校园网延伸至校外或将校外网络引入至校园内;任何数据业务运营商或代理商不得擅自进入广东海洋大学校园内进行工程施工,开展因特网业务。
第五条 信息系统安全管理基本要求:
1.网络信息安全人人有责。全体师生员工要提高认识,深入了解网络信息安全的重要性,掌握网络信息安全的基本常识和技能,有责任参与网络信息安全工作。
2.学校将逐步建立和完善网络信息安全保护体系,各单位应主动融入学校信息安全体系中,采取统一的技术手段,提高学校信息系统安全的整体防护能力。
3.校内信息系统及各类网站实行“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则。全校信息化公共服务平台和跨部门信息系统安全由校长办公室、宣传部、教育信息中心等部门负责,部门管理的信息系统安全由业务管理部门负责,各类网站由网站建设及使用单位负责。
4.遵守适度安全原则。适度安全是指与信息系统安全等级相适应的安全防护要求。任何信息系统都没有绝对的安全,要实事求是确定适当的安全措施,使安全等保工作切实可行。
第二章 管理机构及职责
第六条 网络安全和信息化领导小组及职责
为加强学校网络安全和信息化建设的领导,贯彻落实上级网络安全战略和教育信息化指示精神,成立由书记校长牵头,教育信息中心、宣传部、保卫处等有关部门负责人为成员组成的网络安全和信息化领导小组。
网络安全和信息化领导小组主要职责如下:
1.着眼学校网络安全和信息化长远发展,统筹协调涉及学校教学、科研、管理服务和生活各个方面的网络安全和信息化重大问题;
2.研究制定网络安全和信息化发展规划,开展信息安全等级保护,并对网络安全和信息化工作进行检查、评估和监督;
3.推动学校网络安全和信息化法治建设,制定信息化建设、运行管理及网络安全各项规章制度,不断增强信息和安全保障能力。
第七条 教育信息中心职责
教育信息中心作为学校网络信息安全和信息化领导小组办公室挂靠单位,对网络信息安全担负如下主要职责:
1.负责制定校园网及接入校园网的计算机信息系统安全管理办法实施细则及技术规范,并督促执行。
2.负责校园网的安全保护工作和相关设备的维护管理,严格遵守安全管理制度,积极采取必要的技术防范措施,预防网络安全事故的发生。
3.负责建立校园网建设日志。详尽如实地记录校园网建设情况,学校各类网站的建设、发布日期,以及校园网在日常教育教学应用中所做的各项工作。
4.负责建立网络安全日志。记录网络每天运行情况、出现的问题及处理结果。
第八条 学校党委宣传部作为意识形态和宣传舆论主管部门,负责指导、组织协调各单位抓好网络意识形态安全工作,对校园网站发布的各类信息进行监管和舆论引导,对各类有害信息及时处理,保卫处负责网络事件处置,学生工作部、研究生处、校团委、各学院等负责学生网络队伍建设和网络舆情引导。
第九条 学校各二级单位党政一把手为本单位网络和信息安全工作的第一责任人,应在单位内指定一名网络信息安全员,负责本单位的网络信息安全工作,对本单位所建设的应用系统、网站、网页、交互式栏目等进行监管,若发现有害信息应及时予以删除。各单位应制订本单位网络信息安全管理措施,并报送宣传部和教育信息中心备案。
第三章 信息系统管理
第十条 各二级单位应按照国家信息系统等级保护制度的相关法律法规、标准规范以及《教育行业信息系统安全等级保护定级工作指南》(教技厅函[2014]74号)要求,落实信息系统安全等级保护制度。
第十一条 各二级单位部门必须认真执行信息系统发布审核登记制度,杜绝违犯《计算机信息网络国际联网安全保护管理办法》的情形出现。
第十二条 各二级单位应准确掌握本单位信息系统建设情况,建立信息系统名录;严格执行本单位信息安全管理措施,切实落实责任,规范建设、运维、使用等各个环节。
第十三条 各二级单位要规范信息维护、信息管理、运行维护等方面的工作流程和机制,网络信息安全员要切实负起信息系统运行的日常工作,做好用户授权管理。
第十四条 各二级单位网络信息安全员和个人要妥善保管好账号和密码,定期更新密码,防止密码外泄。
第十五条 各二级单位网络信息安全员和个人严禁利用网络信息系统从事商业活动。
第十六条 各二级单位网络信息安全员必须记录并保留至少60天系统维护日志。
第十七条 宣传部要加强对校园网BBS和学校官方微博微信等网络媒体的管理,严格执行审批登记制度。
第十八条 教育信息中心负责汇同宣传部等职能部门对学校信息系统使用情况进行监督、检查。对于存在安全隐患的信息系统,教育信息中心有权停止其对外服务。
第四章 数据管理
第十九条 学校信息系统数据作为学校的无形资产和战略资源,纳入学校统一管理范畴,实现信息系统数据的统一管控,提高数据质量和数据利用效率,提供安全、完整、统一的数据服务,为学校教学、科研、管理和服务提供信息保障。
第二十条 本章所指的数据是指各类信息系统所拥有的相关数据,包括但不限于:管理信息系统、教学信息系统、用户服务支持系统以及各类网站产生的数据。
第二十一条 学校数据管理架构包括数据统筹管理部门、数据产生部门、数据使用部门三部分。
第二十二条 教育信息中心是学校学数据统筹管理的责任部门,负责学校统一数据平台建立及管理,根据全校应用系统的数据需求,规划数据库结构和内容,将各种异构数据源统一起来,对外提供统一的访问接口和数据服务。
第二十三条 数据产生部门是指数据来源部门,也是各应用系统的所属单位,负责数据的收集、维护、备份和归档。数据产生部门应遵循统一的数据编码。数据产生部门应向教育信息中心提供数据字典、数据接口以及数据库访问权限。
第二十四条 教育信息中心为学校各二级单位提供统一的数据交换接口。数据使用部门需根据自己的需求向教育信息中心提出数据使用申请,获得数据产生部门批准后由教育信息中心向数据使用部门提供数据交换接口。
第二十五条 学校数据信息主要用于教学、科研、管理、生活服务等,申请数据获取的单位有义务保护数据的隐私和安全,不得将数据信息用于申请用途外的活动。
第二十六条 未经批准,任何单位和个人不得擅自提供信息系统的内部数据。对于违反规定、非法披露、提供数据的单位和个人,应依照相关规定予以处罚。
第二十七条 各二级单位要及时补充和更新管理系统的业务数据,确保数据的完整性、时效性和准确性,并对自己所管理的数据负责,保证数据安全,防止数据泄漏。
第二十八条 各二级单位网络信息安全员需定期维护信息系统软件和数据,重要数据作定期检查和备份。
第二十九条 教育信息中心负责学校重要应用系统数据的安全保护,建立同城容灾系统,确保数据安全。
第五章 用户管理
第三十条 用户即学校内各计算机使用者,其必须严格遵守国家有关计算机安全的法律、法规和本办法的规定以及学校其它有关规章制度。
第三十一条 不得损坏、拆卸、移动、侵占校园网设备、设施和线路,安置在各单位内的校园网设备、设施和线路,确因工作原因需要移动的,必须报告教育信息中心,根据技术要求和实际情况进行移动。
第三十二条 校园网各入网计算机必须按指定的地点安装,确因工作原因需要变更的,必须事先通知教育信息中心,擅自更改计算机安装地点所引起的后果由用户承担。
第三十三条 网络用户的账号、密码以及入网用软件和硬件,不得外传、外借,非法用户使用合法用户的账号进入校园网的,追究该账号拥有者的安全责任。
第三十四条 所有用户计算机必须保留60天的上网记录,以备审核。
第三十五条 未经允许,用户不能对公共计算机信息网络功能进行删除、修改或者增加;不能对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加。
第六章 机房管理
第三十六条 机房管理员必须持证上岗,熟悉机房内各类设备的性能、使用方法和基本的维护方法。
第三十七条 机房管理员要严格遵守操作规程,严禁违章作业。因违章作业所造成的事故损失,当事人应承担责任,情节严重的,报司法机关追究刑事责任。
第三十八条 机房管理员必须严格遵守机房的安全、防火制度,严禁烟火,不准在机房内吸烟,严禁将易燃、易爆物品带入机房。
第三十九条 外来人员因工作需要进入机房时,必须经机房安全责任人批准,一般人员无故不得在机房逗留。
第四十条 节假日要有专人检查网络运行情况,如发现问题应及时解决,并做好处理记录,解决不了的应及时报告部门主管领导,视问题大小再行上报校领导。
第四十一条 机房内所有设备物品要妥善保管,分类统一集中管理,并归类造册,设立专柜存放设备文件和网络软件,并有专人负责管理,不得外借。
第四十二条 从机房向外转移或带走设备及物品,需有主管领导的批示。管理人员要做好机器设备的维护工作,如发现异常现象,应立即向主管领导报告。
第四十三条 自觉保持机房卫生整洁,不准将食品带入机房,平时要保持机房肃静,严禁在机房内进行非业务活动。
第七章 上网行为管理
第四十四条 校园网所有用户必须遵守《中华人民共和国计算机信息网络国际互联网络管理暂行规定》、国家有关法律法规和学校的有关管理规定,严格执行信息安全保密制度,并对所提供和发布的信息负责。
第四十五条 任何单位和个人不得利用校园网制作、复制、传播和查阅下列信息:
1.煽动抗拒、破坏宪法和法律、法规实施的;
2.煽动颠覆国家政权,推翻社会主义制度的;
3.煽动分裂国家、破坏国家统一的;
4.煽动民族仇恨、民族歧视,破坏民族团结的;
5.煽动非法集会、结社、游行、示威、聚众扰乱社会秩序的;
6.捏造或者歪曲事实,散布谣言,扰乱社会秩序的;
7.宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;
8.公然侮辱他人或者捏造事实诽谤他人的;
9.损害国家荣誉和利益的;
10.以非法民间组织名义组织活动的;
11.其他违反宪法和法律、行政法规的。
如发现有上述行为,保留有关原始记录,并填写好《安全日志》,在24小时内向教育信息中心报告。
第四十六条 校长办公室是负责学校信息公开的职能部门,学校信息公开工作要严格按照《广东海洋大学信息公开实施细则》和相关的校务公开制度执行,未经批准,任何单位和个人不能擅自发布学校信息。
第四十七条 各二级单位要按照国家及学校有关规定,严格信息发布审核制度,未经审核的信息内容不得发布。凡涉及国家机密的信息严禁上网。
第四十八条 校园网用户必须自觉配合学校保卫处和公安机关的安全监督、检查和指导。如实向公安机关提供有关安全保护的信息、资料及数据文件,协助公安机关查处网络信息违法犯罪行为。
第四十九条 各单位在校园网上发现不良有害信息或有悖社会主义核心价值观的不良信息,应在第一时间作出反应,进行处理,并向宣传部保卫处汇报。涉及违法犯罪行为的,应立即向公安机关报案。
第五十条 发现新的计算机病毒应第一时间向教育信息中心报告,发现危害国家安全、违反国家有关法律、法规等计算机安全案情的,应在第一时间向教育信息中心和学校保卫处报告。
第五十一条 各二级单位部门网络信息安全员每天要不定期浏览本单位页面,主管领导还应经常巡视计算机操作者,如发现有违反上述规定者应立即制止并报告学校相关职能部门。
第五十二条 设有交互式栏目的服务器必须进行日志备份,日志至少保存60天,以备公安部门和学校有关部门需要时查询。
第八章 网站与邮箱管理
第五十三条 广东海洋大学网站是指广东海洋大学中英文主页,也包括以“广东海洋大学”冠名的二级单位网站以及在广东海洋大学校园网上以各类机构、组织名义建设的网站。
第五十四条 根据中华人民共和国信息产业部令第33号《非经营性互联网信息服务备案管理办法》及其它相关法律、行政法规的规定,广东海洋大学各类网站均需办理审批备案手续。
http://*.gdou.edu.cn域名已由学校委托教育信息中心向上级主管部门备案,非以上格式域名的网站,由建设单位自行报政府有关部门备案,同时抄送教育信息中心。
第五十五条 校园网上的各类网站实行网站审批备案制度,按规定应在党委宣传部和教育信息中心备案,未备案的网站,教育信息中心将停止对其网络运行环境的支持。
第五十六条 学校网站实行分级管理的办法。广东海洋大学中英文一级主页的信息管理及内容审核维护由党委宣传部、校长办公室和相关部处分工负责;二级单位部门的网站管理责任人为各单位党政一把手;学生组织自建网站的信息安全由学生工作部(处)、研究生处、校团委负责人共同承担;课题组自建网站的信息安全由课题组组长负责。技术支持和保障由教育信息中心负责。
第五十七条 邮箱开户实行实名制,教职工、学生和单位部门办公邮箱可向教育信息中心提出申请,按程序办理。一个用户只能开设一个邮箱账号。用户账号停止使用时,必须通知网络信息中心注销其账号。
第五十八条 电子邮件用户必须自觉配合国家和学校有关部门依法进行的监督、检查。用户必须对用户名和密码的安全负责,并对以其用户名进行的所有活动负责。用户若发现任何非法使用其用户账号或存在安全漏洞情况,应立即报告教育信息中心。
第五十九条 教育信息中心负责对校园网电子邮件系统使用情况进行监督、检查。对于非法使用其用户账号、发送垃圾广告邮件、存在安全漏洞情况的账户,教育信息中心有权停止和取消其服务账号。
第九章 安全教育
第六十条 学校要组织教职工认真学习《计算机信息网络国际互联网安全保护管理办法》,提高教师的维护网络安全的警惕性和自觉性。
第六十一条 学校要不定期对本校教职工进行网络信息安全教育和培训,使他们掌握基本的网络安全知识,自觉遵守和维护网络安全。
第十章 监督和处罚
第六十二条 教育信息中心网络管理员有责任监测网络运行情况,对不正当使用网络资源的现象进行追查和制止。
第六十三条 教育信息中心、党委宣传部、保卫处等有关部门应对计算机网络系统及信息安全加强监督,定期进行检查,发现有计算机网络安全隐患和问题的,应及时责成使用人进行整改。
第六十四条 对计算机信息系统安全隐患严重,又不采取整改措施的,将作断网处理。
第六十五条 对网络攻击及利用网络发布违法、不良信息的,一经查实,必将视情节由相关职能部门予以严厉处分或移交公安机关处理。
第十一章 附 则
第六十六条 本办法自发布之日起实行,由学校教育信息化领导小组办公室负责解释,学校原《计算机网络信息安全管理制度》同时废止。
2016年3月10日印发