2.20网络数据安全管理

2.20.1总则

为加强学校网络数据安全管理，提高网络与数据安全防护能力和水平，保障学校各项事业健康有序发展，根据《中华人民共和国网络安全法》和《教育部关于加强教育行业网络与信息安全工作的指导意见》（教技〔2014〕4 号）、《教育部关于进一步加强直属高校直属单位信息技术安全工作的通知》（教技〔2015〕1 号）、《教育部公安部关于全面推进教育行业信息安全等级保护工作的通知》（教技〔2015〕2 号）、《教育行业网络安全综合治理行动方案》（教技〔2017〕3 号）和《关于进一步加强高等学校网络建设和管理工作的意见》（教思政〔2013〕3 号）等相关法律法规和文件，结合各高校实际，制定本管理办法。

本办法所称网络数据安全工作，是指为使由学校建设、运行、维护或管理并支撑学校教学、科研和管理等各项事业的信息资产（信息及信息系统）的机密性、完整性、可用性等得到保持、不被破坏所开展的相关管理和技术工作。

本办法所指学校各单位包括各机关部、处、室，学院、直属系，直属单位以及有关科研机构。

学校按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则（教技〔2014〕4 号），建立健全网络数据安全责任体系。学校各单位、全体师生员工应依照本办法要求及学校相关标准规范履行网络数据安全的义务和责任。

学校各单位是本单位网络安全和信息化工作的责任主体，各单位主要负责人是本单位网络安全和信息化工作第一责任人（教技〔2015〕1 号），负责按本办法落实信息技术安全工作。

2.20.2组织与职责

高校网络数据安全领导小组由各校领导及各相关职能部门负责人组成，负责学校网络数据安全工作的规划、组织、审批、协调、监控和处置。

网络数据安全领导小组主要职责：

一是负责拟定学校网络安全策略，明确网络安全目标；

二是拟定全校网络安全工作规划，落实网络安全各项管理规章制度；

三是定期召集由相关部门和学院负责人参加的网络安全会议；

四是负责全校网络数据安全突发事件应急方案的制定和实施以及全校网络系统日常安全运行管理的组织协调工作；

五是提请校长办公会或党委常委会研究决定学校信息安全工作的重大事项。

网络数据安全领导小组下设办公室，其主要职责为：

一是在网络数据安全领导小组的领导下，针对网络信息管理和网络宣传教育工作中的具体问题，研究制定相关管理办法及措施，建立健全各种规章制度；

二是依照国家对互联网信息管理的政策法规及文件精神，对校园网内具有公开性、共享性的网络信息服务活动（如建立网站、开设BBS 等）进行审批和备案；

三是对全校的网络运行安全进行监控、管理，及时发现和处理各种网络安全事件，消除网络安全隐患；

四是及时处理由网络信息引起的突发事件，并逐步完善各类规范和应急预案流程。

网络数据安全领导小组办公室根据有关国家的法律和学校的规章制度行使以下职权：

一是受理校园网违法违纪行为；

二是协助网络管理的有关部门进行调查取证；

三是引证有关网络管理法律法规进行问题处理的界定；

四是根据国家法律法规和校规校纪提出处理建议，如涉及违法行为则应配合有关司法部门进一步处理；

五是按照学校既定的纪律处分权限，落实和督办有关部门的处理决定；

六是根据网络管理方面的新情况，提出必要的修改学校有关违纪处分规定的建议。

2.20.3计算机网络安全管理

大学校园计算机信息网络（以下简称“校园网”）为学校局域网提供网络基础平台服务和互联网接入服务，为规范大学校园网的信息服务，保障校园网的正常运行和健康发展，加强学校信息技术安全管理，推进学校信息系统（含互联网网站）安全等级保护工作，提高网络数据安全防护能力和水平，保障学校各项事业有序发展，根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国信息网络国际联网管理暂行规定》及其他有关法律法规结合各校实际，特制定本办法：

校园网的网络信息服务，包括所有通过校园网入网计算机或移动终端等设备，提供针对校内、校外非特定个人的信息检索、查询、获取、发布、传递、转发、交换、存储、代理、广播等的信息服务。

通过大学校园网提供的网络信息服务，应服务于学校教学、科研、管理等工作以及校园生活，不得用于营利目的，不得包含违法内容，不得影响校园网络的正常运行。

管理上按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则（教技〔2014〕4 号），建立健全网络安全责任体系。

学校各单位是网络安全和信息化工作的责任主体， 各单位主要负责人是本单位网络安全和信息化工作第一责任人（教技〔2015〕1 号），负责按本办法落实信息技术安全工作。

2.20.4信息系统与互联网网站安全管理

学校各单位建设信息系统或开办互联网网站，应使用学校互联网域名，并遵守学校相关规章制度。

学校各单位建设信息系统或开办互联网网站，其技术安全由系统或网站的开办单位负责。

信息系统建设单位应定期对终端计算机和承担网络与信息系统运行的关键设备（服务器、安全设备、网络设备）进行安全审计，通过记录、检查系统和用户活动信息，及时发现系统漏洞，处置异常访问和操作。

信息系统建设单位应制定信息系统使用与维护的管理制度，规范信息系统使用者和维护者的操作行为。

学校各单位开办互联网网站应在投入试运行前，应通过信息中心组织的安全检查方可正式上线。

互联网网站运行维护单位应建立网站值守度，制订应急处置流程，组织专人对网站进行监测，发现网站运行异常及时处置。

互联网网站的内容安全由网站开办单位负责。互联网网站开办单位应建立完善的网站信息发布与审核制度，确定负责内容编辑、内容审核、内容发布的人员名单，明确审核与发布程序，保存相关操作记录。

信息系统数据安全管理，按照“谁收集，谁负责”的原则（工信部令 24 号《电信和互联网用户个人信息保护规定》），收集个人信息的单位是个人信息保护的责任主体，应当对其收集的个人信息严格保密，并建立健全相关保护制度。各单位应制订备份与恢复计划，对重要数据和信息系统进行备份。

原则上，学校各单位不得提供电子公告服务。确有需要，经批准备案后方能提供电子公告服务。提供电子公告服务的互联网网站开办单位承担电子公告服务内容管理的主体责任，并按国家有关规定落实专项安全管理和技术措施。

对于使用频度不大、阶段性使用的网站，互联网网站开办单位可采取非工作时间或寒暑假、节假日关闭的方式运行。对于无人管理、无力维护、长期不更新的网站，互联网网站开办单位应关闭网站以降低安全风险。

各单位严格按照“谁提供谁负责、谁使用谁负责、谁公开谁负责”的原则，保护学生隐私安全。在通知或公示材料中必须发布学生信息时，坚持信息简洁、够用原则，不得将学生身份证件号码、家庭住址、电话号码、出生日期等个人敏感信息进行公示。超过发布期限的学生信息，必须及时从互联网平台删除。

学校各单位定期对本单位的互联网网站、微博、微信、QQ 群等进行自查，全面排查含有学生个人信息的通知、公示材料等，及时将超过通知或公示时限的学生信息从互联网平台全部撤下，并确保数据在服务器中删除。

2.20.5人员安全管理

学校各单位应建立健全本单位的岗位信息安全责任制度，明确岗位及人员的信息安全责任。关键岗位的计算机使用和管理人员应签订信息安全与保密协议，明确信息安全与保密要求和责任。

学校各单位应加强人员离岗、离职管理，严格规范人员离岗、离职过程，及时终止相关人员的所有访问权限，收回各种身份证件、钥匙、徽章以及学校提供的软硬件设备，并签署安全保密承诺书。

2.20.6信息安全应急管理

网络数据安全领导小组负责学校信息安全应急工作的统筹管理，信息中心负责信息安全应急工作的技术支撑和保障。

信息中心负责制定学校信息技术安全事件报告与处置流程和应急预案并负责完成相关报告；若学校信息技术安全应急预案不能满足特定单位或部门的需求，则相关单位可针对性地制订本单位信息技术安全应急预案。

学校各单位应按照学校信息技术安全事件报告规范与处置流程，做好事发紧急报告与处置、事中情况报告与处置和事后整改报告与处置工作。做到安全事件早发现、早报告、早控制、早解决。

学校各单位或师生员工均有义务及时向信息中心报告信息安全事件；不得尝试或利用所发现的安全漏洞或安全问题；不得在未获得授权情况下私自对外公布

2.20.7检查监督与责任追究

学校各单位应定期对本单位信息系统的安全状况、安全保护制度及措施的落实情况进行自查，并配合有关部门的信息安全检查、信息内容检查、保密检查与审批等工作。

信息中心对学校各单位的信息技术安全工作落实情况进行检查，对发现的问题下达限期整改通知书，责成相关单位制订整改方案并监督落实到位。

学校应建立并逐步完善信息安全责任追究机制。

对于有关单位在收到网络与信息安全限期整改通知书后，整改不力的，学校给予通报批评；对于玩忽职守、失职渎职造成严重后果的，依纪依法追究相关人员的责任。

师生员工违反本办法规定的，由信息中心责令改正，并通报批评；对于拒不改正或者导致危害信息技术安全等严重后果的，根据学校有关规定给予以纪律处分。触犯刑律的，移交司法机关处理。

对于涉及国家秘密的信息系统，应严格执行国家保密工作的相关规定和标准，并由学校保密办公室监督指导。

2.20.8网络舆情管理

校内各单位要按照“谁主管、谁负责”的原则，承担管辖范围内发生的舆情处置工作的主体责任。信息中心除负责本领域网络舆情处置外，还须负责校内舆情处置中相关技术支持工作。

学校党委宣传部统筹全校舆情处置、与媒体沟通等工作，牵头负责社会影响较大的重要舆情处置工作，指导校内各单位进行一般性的舆情处置工作。

各单位如有重大负面舆情不报或瞒报，在舆情处置过程中出现严重错误导致重大影响的，将视情节严重程度予以追责。

建立健全预警机制，学校各部门应尽可能通过报送、人工/智能搜索等办法，争取第一时间发现舆情。

各单位要建立健全网络舆情管理机制，落实工作责任，配备必要的设施设备，加强舆情工作人员的遴选和培养，着力建设一支思想素质过硬、责任心强、网络应用水平高的舆情管理队伍。