第一章 总 则

第一条为增强学校网络信息安全防护能力，保障校园信息化健康有序运行，依据《中华人民共和国网络安全法》《中华人民共和国计算机信息系统安全保护条例》《信息安全等级保护管理办法》等有关法律法规制定本办法。

第二条信息系统是指学校各级单位建设的网络、网站、信息管理系统、联网计算机等能够提供网络接入、数据交换、信息服务的各类系统。

第三条安全管理按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则落实管理责任。主管是指对信息系统有业务管理职责，对信息系统的建设、运行、使用具有行政管理权；运维是指对信息系统中操作系统、数据库、软件系统具有管理操作的权限，有能力更改系统运行数据或流程；使用是指对信息系统有能力操作，有权限更改局部数据或局部流程的用户。

第二章 管理职责

第四条网络安全和信息化领导小组为学校网络信息安全工作的领导机构，统一协调网络信息安全事务。

网络安全和信息化办公室负责制定详细的管理细则，对各级各类信息系统的申报、审批、运维、信息安全等进行监督检查，处理网络信息安全日常事务。

第五条信息系统主管单位对信息安全负主体管理责任，是信息安全的第一责任单位；运维单位对信息安全负直接责任，使用单位和个人对本单位和本人的使用行为负责。

第六条对信息系统具有相关职责的单位应严格遵照学校相关规定和要求，党政主要负责人主抓，健全信息安全管理措施和操作规程，责任到人，落实信息安全责任制。

第七条校内各单位应做好人员的信息安全宣传教育，共同遵守法律法规和学校制度，提高信息安全防护意识。

第三章 网络信息系统运行安全

第八条校内信息系统实行网络安全等级保护及备案制度，所有信息系统都需要按照国家法律法规及上级主管部门的要求做好信息系统网络安全等级保护。信息系统主管单位确定保护等级并提交定级报告，经网络安全和信息化办公室组织论证后提交上级主管部门备案。

第九条信息系统应按照《信息系统安全等级保护基本要求》等技术标准采取对应的安全防护措施，在规划、建设、验收、运行中同步落实，根据形势变化补充最新防护手段。

第十条信息系统应当采用符合国家标准的网络产品和服务；信息系统应根据用途设定最小的允许访问范围，具有数据容灾备份和恢复机制，全校性数据或重要数据使用异机、异地备份，具有日志功能，保留6个月的各类操作记录。

第十一条信息系统需要落实用户实名制，保护用户隐私，收集用户个人信息应当取得用户同意，并采取个人信息保护措施，不得将系统内的个人信息泄露、公开、扩散或用于其他用途。

第十二条每个信息系统需明确指定至少一名运维人员，负责信息系统日常管理、数据备份和信息安全管理。运维人员要具有较高的职业道德素养和相应的信息技术能力，熟悉网络安全事件应急处置流程。运维人员不是学校职工时，必须与学校签订运维服务协议。

第十三条信息系统漏洞和安全事件采用通知反馈制度。网络安全和信息化办公室将发现的网络安全漏洞及时通知到信息系统主管单位，主管单位需立刻采取修补漏洞、限制访问等应急措施，在规定时间内将处理结果以规范的形式反馈。

第十四条各类信息系统的用户应了解自己的权限，熟悉操作流程，保障自己账户的安全，对自己的行为负责，严禁利用系统从事窃取信息、侵入他人网络、干扰系统使用等危害网络安全的活动。

第四章 应急处置

第十五条各信息系统主管单位应做好信息安全应急预案，传达应急处置流程，保证随时能通知到信息系统运维人员，第一时间处理安全事件。

第十六条发生信息安全事件时，信息系统运维人员应采取限制访问、断开网络等有效措施，在第一时间制止攻击与破坏，消除影响，保留系统内现场痕迹。安全事件发现后应立即通知网络安全和信息化办公室，协同开展攻击来源追踪、确定安全事件等级、评估损失等工作。网络安全和信息化办公室收集相关材料，形成调查报告。

第五章 责任追究与处理

第十七条按照《信息安全事件分类分级指南》（GB/T 20986-2007）的分级标准，将信息安全事件分级处理。

发生一般信息安全事故或存在安全漏洞，未整改或整改不到位的单位，予以校内通报，并对出现安全问题的信息系统限制访问。

发生较大、重大或特别重大级别安全事件，根据调查结果判定责任，年终考核时计入各责任单位和责任人的考核项，已造成损失或不良社会影响的给予责任人相应处分，已达到法律规定的制裁范围的，送交司法机关处理。

对信息系统进行攻击、干扰、窃取、破坏等活动的个人按照破坏公共设施行为、窃取行为依照国家和学校相关规定执行。

第十八条因外部攻击导致信息系统数据破坏或大量数据泄露，给学校造成损失时，应根据情况向公安机关做报案处理。

第六章 附 则

第十九条涉密信息系统安全管理遵照涉密相关专项制度和细则执行。

第二十条本办法由网络安全和信息化办公室负责解释。

第二十一条本办法自发布之日起施行。