广东技术师范大学网络信息安全管理办法  

广师大〔2019〕496号  

第一章  总则  

第一条  为了保障本校校园网络及信息系统的安全稳定、确保学校网络信息安全工作规范有序开展、促进学校信息化建设健康可持续发展，根据《中华人民共和国网络安全法》等国家相关法律法规并结合我校实际情况，特制定本管理办法。  

第二条  网络信息安全是指我校各单位在校园网内或经学校备案在公有云上构建的网络基础设施、网站、信息系统及数据内容等受到保护，保证网络、系统及内容的安全性、完整性、可用性、可控性。  

第三条  依据“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，逐级落实网络与信息安全责任，实现明确责任、突出重点、自主防护、保障安全的目标。  

第四条  任何单位及个人不得利用学校网络和信息系统泄露国家或学校秘密、危害国家或学校安全，不得侵犯国家、集体和个人的合法权益，不得从事违法犯罪活动。  

第二章  组织架构  

第五条  网络安全和信息化工作领导小组是学校网络安全和信息化工作的领导机构，负责制定学校网络信息安全相关政策，统筹指导学校网络信息安全建设，定期召开网络信息安全工作会议，研究处理重大网络信息安全事件。网络安全和信息化工作领导小组下设办公室，挂靠网络信息中心。  

第六条  网络信息中心负责学校网络信息安全工作的统筹规划、建设、管理，以及技术支持、保障与培训等日常工作；负责统筹学校信息系统安全等级保护工作，组织学校各单位开展信息系统定级、系统备案、等级测评、建设整改，具体负责信息系统等级评审、系统备案、监督检查工作。  

第七条  学校各单位负责本单位（含本单位的组织及个人）网站及应用系统的安全建设、运维以及内容的安全管理，并制定本单位的网络信息安全管理规定。各单位主要负责人为本单位网络信息安全工作的第一责任人，同时，各单位需明确分管网络信息安全的领导，设置网络信息安全管理员，负责本单位网络信息安全具体工作，负责与网络信息中心对接。分管网络信息安全的领导和网络信息安全管理员发生变动时，须及时报送网络信息中心备案。  

第三章  系统安全  

第八条  各单位在建设网站或信息系统时，须同步建立网络信息安全体系，在技术方案、经费预算及运行维护等方面予以落实，以确保安全。各单位新建网站或信息系统建设方案须由网络信息中心对其技术方案进行审查并签署意见后方可建设。原则上各单位的网站应建立在学校网站群中，由网络信息中心实施统一管理和统一防护。  

第九条  各单位需明确本单位的网站或信息系统是否需要对外网开放，如需要对外网开放，则需按照《网络安全等级保护基本要求》（GB/T 22239-2019）规定的二级（或以上）安全等级要求进行建设及管理。  

第十条  各单位新开发的网站或信息系统必须经过第三方安全检测机构出具《信息安全风险评估》检测报告、签订《广东技术师范大学网络信息安全责任书》后方可上线运行。第三方安全检测机构需取得相关权威机构的安全服务资质，并填写《网站及信息系统情况记录表》（附件1），由本单位网络信息安全分管领导签字确认后，提交网络信息中心备案。  

第十一条  按照“自主定级、自主保护”的原则，信息系统建设单位是信息系统安全等级保护的责任主体，具体负责系统定级、建设整改、安全自查，协助系统备案、等级测评并接受有关部门监督检查。  

第十二条  对于安全等级第二级以上（ 含第二级） 的信息系统，网络信息中心将根据国家和教育行业有关标准规范，定期组织开展等级测评，查找、发现并及时整改安全问题、漏洞和隐患。  

第十三条  各单位因教学、科研、管理和社交需要开设网站论坛或在线评论等交互式栏目的，必须向网络信息中心提出申请，经批准后方能建设。凡经批准开设论坛的网站，必须采用后台实名制进行身份认证、关闭匿名发帖功能，并妥善保留相关的系统日志。  

第十四条  各单位应定期对本单位托管在学校数据中心机房或自行管理的网络服务器、网站和信息系统开展安全巡检、漏洞修补。对校外开放的网站或信息系统，每月至少巡检一次；对校内开放的网站或信息系统，每季度至少巡检一次。检查内容包括：  

（一） 查杀病毒，清除木马、后门等恶意程序，升级系统补丁；  

（二） 检查网页和重要数据的备份情况；  

（三） 检查网页内容，及时清除无关网页和暗链；  

（四） 定期更改口令，清理不必要的管理帐号，杜绝空口令、弱口令和默认口令；  

（五） 检查 SQL 注入和跨站脚本等安全漏洞；  

（六） 检查服务器安全策略，关闭不必要的端口和服务；  

（七） 检查系统日志留存情况，留存相关日志不少于180天。  

第十五条  网络信息中心定期对全校的网站及信息系统开展安全检查，检查不合格的网站或信息系统，视其漏洞级别作出相应处理，责成相关责任单位限期整改并提交《网站及信息系统安全整改报告》（附件2）。整改完成并经复查合格后，方可恢复正常访问。  

第十六条  切实加强网站及信息系统的安全管理工作。网络信息中心加强整体安全监管，做好整体技术防范；各单位加强本单位网站及信息系统的安全巡检工作，做好系统防护、安全整改等工作。  

第四章 信息系统数据安全管理  

第十七条 信息系统数据是指信息系统收集、存储、传输、处理和产生的各种电子数据，包括但不限于网站内容、业务数据、网络课程、图书资源、日志记录等。  

第十八条 信息系统数据的所有者是数据安全管理的责任主体，应当落实管理和技术措施，规范数据的收集、存储、传输和使用，确保数据安全。  

第十九条 信息系统数据收集应遵循“最少够用”原则，不得收集与信息系统业务服务无关的个人信息。按照“谁收集，谁负责”的原则，收集个人信息的单位是个人信息保护的责任主体，应当对其收集的个人信息严格保密，并建立健全相关保护制度。  

第二十条 网络信息中心负责学校核心信息系统的备份与恢复管理，制订备份与恢复计划，根据业务实际需要对重要数据和信息系统进行备份，定期测试备份与恢复计划，并确保备份数据和备用资源的有效性。  

第二十一条 网络信息中心应采取必要技术措施防范信息系统数据泄漏风险，确保存储数据安全。  

第五章 安全秩序  

第二十二条 校园网络和信息系统接入互联网必须采取防火墙、身份认证、MAC地址绑定、安全审计、病毒防护及入侵检测等安全技术手段。校内互联网接入由网络信息中心统一管理，包括IP 地址、域名及网络帐号等。  

第二十三条 任何单位和个人均须落实实名登记网络帐号信息， 并对网络帐号安全使用负责。  

第二十四条 按照校园网络“统一出口，统一管理”的要求，学校校园范围内的网络由网络信息中心统一规划和安装，校内任何单位、学生宿舍（不包括教职工个人住宅）不得私自安装除校园网以外的网络出口，因特殊工作需要需连接其他互联网的单位，必须向网络信息中心提出书面申请并报经学校研究同意后方可安装。  

第二十五条 未经许可，任何入网单位或个人不得以冠有“广东技术师范大学”或“广师大”中外文字样的任何名义开通信息发布、BBS、论坛、聊天室、博客、微博、微信等公众信息服务系统。  

第二十六条 各单位原则上应依托校园网开展信息系统建设。涉及学校基础数据、师生员工个人信息或敏感信息的信息系统，不得部署在校外。需要在校外开办信息系统的单位，应到网络信息中心办理备案手续。部署在校外的网络和信息系统，安全监管责任主体仍为主办单位。  

第二十七条  原则上，各单位购置的网络服务器、存储阵列、云计算平台等网络型设备应该托管在学校数据中心，建设的各类信息系统、网络型实验（实训）系统、网站等应该部署到网络信息中心建设的云平台上，由网络信息中心实施统一的安全防护。  

第二十八条 经批准建立的公众信息服务系统应明确专门的管理员和制订相应管理制度，包括安全保护技术措施、信息发布审核登记制度、信息监视保存清除备份制度、不良信息报告和协助查处制度、管理人员岗位责任制。  

第二十九条 各单位应建立健全信息发布、信息审查、应急处置机制，指定人员负责审查上网信息和信息系统保密管理，负责涉及学校或本单位舆情的处置引导，以及监管本单位师生开设的博客、微博、微信等自媒体平台。  

第三十条 在校园网络上严禁制作、查阅、复制或传播下列信息:  

（一） 煽动抗拒、破坏宪法和国家法律、行政法规实施；  

（二） 危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一；  

（三） 损害国家荣誉和利益；  

（四） 煽动民族仇恨、民族歧视，破坏民族团结，或者侵害民族风俗习惯；  

（五） 宣扬恐怖主义、邪教、封建迷信，违反国家宗教政策；  

（六） 捏造或者歪曲事实，散布谣言，扰乱社会秩序，破坏社会稳定；  

（七） 侮辱他人或者捏造事实诽谤他人;  

（八） 含有淫秽、色情、赌博、暴力、欺诈等内容；  

（九） 含有法律、法规禁止的其他内容。  

第三十一条 在校园网络上严禁下列行为：  

（一） 破坏、盗用、篡改计算机网络中的信息资源；  

（二） 故意泄露、窃取、篡改个人电子信息，擅自利用网络收集、使用个人电子信息，出售或者非法向他人提供个人电子信息；  

（三） 违背他人意愿、冒用他人名义发布信息；  

（四） 攻击、入侵、破坏计算机网络、信息系统及设备设施；  

（五） 故意阻塞、中断校园网络，恶意占用网络资源；  

（六） 故意制作、传播、使用计算机病毒、木马、恶意软件等破坏性程序；  

（七） 故意大量发送垃圾电子邮件、垃圾短信等，干扰正常网络秩序；  

（八） 盗用他人帐号、盗用他人 IP 地址；  

（九） 私自转借、转让用户帐号造成危害；  

（十） 私自开设二级代理和路由接纳网络用户；  

（十一） 上网信息审查不严, 造成严重后果；  

（十二） 以端口扫描和私搭 DHCP 服务器等方式，破坏网络正常运行；  

（十三） 私自将外网串接到校园网络。  

（十四） 其它违反法律法规或危害网络与信息安全的行为。  

第六章  应急响应  

第三十二条  网络信息安全事件分为紧急事件和普通事件。  

第三十三条  紧急事件是指：  

1.可由校外访问的页面发生篡改或被替换成非法信息的事件，尤其是发生在主页、新闻网站、招生信息网等访问量高的系统或网站的事件。  

2.影响学校系统正常运转的攻击事件，如与信息门户、教务系统、财务系统、办公自动化系统等相关的攻击事件。  

3.可能造成师生隐私信息被窃取、丢失、损坏的漏洞。  

4.其它可能对社会公共安全或学校造成危害或不良影响的事件或漏洞。  

第三十四条  普通事件是指：  

1.对校内开放系统或网站的页面发生无害篡改或有隐藏漏洞。  

2.影响不大的攻击事件或可能造成中低隐患的漏洞。  

3.其他不构成公共危害或社会不良影响的安全事件或漏洞。  

第三十五条  网络信息安全事件应急响应如下：  

1.网络信息中心接到安全事件的通报后，通过沟通协调，结合技术手段，获取事件截图等相关证据。  

2.网络信息中心核实事件类别，发起处理流程。  

3.若事件为紧急事件，网络信息中心第一时间向分管信息化工作的校领导汇报，同时通报责任单位相关情况及事件证据，并关闭相关网站或信息系统的访问权限，以降低不良影响。若事件为普通事件，则此环节略过。  

4.网络信息中心指导分析事件原因，并提供整改建议。  

5.责任单位对网站或信息系统进行安全修复，并提交《网站及信息系统安全整改报告》（附件2）。  

6.网络信息中心对修复后的网站或信息系统进行安全复查，复查通过后恢复其访问权限。  

第三十六条  网络信息中心负责制定学校网络信息安全应急预案，各单位负责制定本单位的网站及信息系统安全应急预案，并定期进行安全应急演练。  

第七章  附则  

第三十七条  对违反校园网络信息安全管理办法造成信息安全事故的直接责任人和有关单位的第一责任人，将根据相关规定进行责任追究。对情节严重、触犯国家法律的移交司法机关处理。  

第三十八条  网络信息失泄密事件按照国家和学校相关法律法规和规章制度处理。  

第三十九条  本办法由学校网络和信息安全领导小组办公室负责解释。  

第四十条  本办法自发布之日起施行，原《广东技术师范学院网络信息安全管理办法》（广师院〔2017〕125号）同时废止。