为加强校园网络信息安全管理,规范校园网络用户的接入与使用,保障校园网络的良性运行和健康发展,结合学校实际,特制定本规定。经2022年第24次榆林学院院长办公会议纪要审议通过《榆林学院网络信息安全管理规定(修订)》,现予以印发执行,请各(院系)部门认真学习,并遵照执行。
榆林学院网络信息安全管理规定
第一章总则
第一条为加强校园网络信息安全管理,规范校园网络用户的接入与使用,保障校园网络的良性运行和健康发展,根据《中华人民共和国网络安全法》、《中国互联网管理条例》、《关于加强教育行业网络与信息安全工作的指导意见》、《中华人民共和国数据安全法》,《中华人民共和国个人信息保护法》结合学校实际,特制定本规定。
第二条 榆林学院校园网是为学校教学、科研、管理、生活服务的信息基础设施,包括榆阳主校区、绥德师范校区以及学校管理的其它区域内,与榆林学院核心网络互联并接受榆林学院网络地址统一管理的网络。校园网的服务对象是学校教学、科研和管理机构,全校教职工和学生,以及其他经学校授权的部门及个人。
第三条 未经批准,任何部门或个人不得将校园网延伸至校外或将校外网络引入至校园内,任何运营商或代理商不得擅自进入榆林学院内开展互联网业务。
第二章管理与职责
第四条榆林学院网络安全和信息化工作领导小组是学校信息化建设的领导机构,负责全校信息化建设的统筹规划、组织、协调推进以及重大问题决策。网络安全和信息化工作领导小组办公室设在网络信息中心,负责日常工作。宣传部负责宣传平台信息内容的监督和监控,负责网络舆情引导及事件处置,网络信息中心负责提供技术支持和保障。
第五条 学校各院系、各部门负责人为本部门网络和信息安全工作的第一责任人,并在部门内设一名网络信息安全员。按照“谁建设谁负责、谁主管谁负责”的原则对本部门的应用系统、网站、网页、交互式栏目等进行管理,发现有害信息应及时予以删除。
第三章校园网管理
第六条校园网与互联网实行逻辑隔离,校园内所有区域的上网行为,必须由网络信息中心统一出口、统一管理、统一防护。
第七条师生员工接入校园网实行“实名注册、认证上网”制度。有下列行为之一者,学校可提出警告、停止其上网,情节严重者给予行政处分,涉及犯罪移交相关部门处理。
1.查阅、复制或传播网络安全法所规定的违法信息;
2.破坏、盗用网络信息资源或危害网络安全;
3.盗用他人帐号或私自转借、转让用户帐号造成危害;
4.故意制作、传播计算机病毒等破坏性程序;
5.破坏网络设施正常运行;
6.盗用IP地址、破解用户口令等危及网络安全的恶劣行径。
第八条未经学校同意,任何部门和个人,不得擅自安装、拆卸或改变网络设施;不得利用校园网开展赢利性活动;校园内从事施工、建设,不得破坏网络设施。
第九条出现网络线路中断、流量异常、系统故障等网络安全事故,网络信息中心可以通过技术手段加固校园网,保证校园网络安全运行。出现黑客恶意攻击致使校园网瘫痪等重大网络安全事件,应及时向学校网络安全和信息化工作领导小组及公安机关报告。
第四章信息系统管理
第十条 严格按照国家信息系统等级保护制度的相关法律法规、标准规范以及《教育行业信息系统安全等级保护定级工作指南》(教技厅函[2014]74号)要求,落实信息系统安全等级保护制度。
第十一条 各二级学院、部门应准确掌握本部门信息系统建设情况,建立信息系统名录,做到底数清、情况明;规范信息维护、信息管理、运行维护等方面的工作流程和机制,指定专人负责系统运行的日常工作,做好用户授权等管理服务工作。并及时向网络信息中心备案本部门建设的业务系统(见附件1)。
第十二条 各二级学院、部门要及时补充和更新本部门业务系统的数据,确保数据的完整性、时效性和准确性。要妥善保管好本部门和个人账号和密码,定期更新密码,防止密码和数据外泄。
第十三条 网络信息中心负责对全校信息系统使用情况进行监督、检查。对于存在安全隐患的信息系统,网络信息中心有权停止其对外服务。
第五章数据管理
第十四条 数据作为学校的无形资产和战略资源,应纳入学校统一管理范畴,实现信息系统数据的统一管控,提高数据质量和数据的利用效率,提供安全、完整、统一的数据服务,为学校教学、科研、管理提供信息服务和技术保障。
第十五条 网络信息中心是数据统筹管理的责任部门,负责学校统一数据平台建立及管理,根据全校应用系统的数据需求,规划数据库结构和内容,将各种异构数据源统一起来,对外提供统一的访问接口和数据服务。
第十六条 数据生产部门遵循学校《榆林学院信息化建设规范及信息编码标准》和附件2,并负责数据的收集、维护、备份和归档。
第十七条 部门使用数据须经批准后由网络信息中心提供数据交换接口给数据使用部门附件3。数据使用部门不得将获取数据传播给其他部门使用。
第六章公共信息管理
第十八条 校园网所有用户必须遵守国家有关法律法规和学校的有关管理规定,严格执行信息安全保密制度,并对所提供和发布的信息负责。
第十九条 宣传部为学校信息公开的权威部门,各部门要按照国家及学校有关规定,严格信息发布审核制度,未经审核的信息内容不得发布。
第二十条 宣传部负责对学校信息内容进行监督、检查。对于不良有害信息,应在第一时间联系相关部门进行处理。涉及违法犯罪行为的,应立即向公安机关报案。
第七章个人信息管理
第二十一条 在学校信息化建设中,校内师生有义务提供电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种相关个人信息。
第二十二条 个人信息保护应遵循如下原则:
1.合法原则:不得违反相关法律、法规的规定;
2.最小原则:最小范围内采集、存储、使用个人信息,对于个人信息的处理采用最小操作权限划分,不得超范围处置个人信息;
3.安全原则:保障个人信息的完整性、保密性及安全性,避免个人信息泄露、损毁和丢失;
4.知情原则:学校对在科研、教学及校务管理中使用到的个人信息,应明确告知相关个人,并由个人自愿同意后,方可使用。
第二十三条校内师生作为个人信息的所有者,有义务及时更新信息化建设中使用到的个人信息,保证信息的准确性和完整性,并在信息化应用过程中妥善保管个人信息。由于师生个人原因造成的个人信息泄露、损坏、丢失,由本人承担相应责任。
第二十四条对于个人信息造成重大损失的违规行为,由学校网络安全和信息化工作领导小组进行责任认定,确定相关责任人、责任部门,按照相关管理制度进行追责。对于违反国家法律法规的行为,学校将配合公安、网信等主管部门进行处理。
第八章网站管理
第二十五条 网站是指榆林学院中文主页和以“榆林学院”冠名的部门、部门自建的网站。http://*.yulinu.edu.cn域名已由学校备案。 根据相关法律、法规的规定,各类网站均需审批备案,未备案的网站,学校将停止对其网络运行环境的支持。
第二十六条 网站实行分级管理的办法。一级网站的信息管理及内容审核由党委宣传部负责。二级网站的信息管理及内容审核由各部门负责。技术支持和保障由网络信息中心负责。
第二十七条 各级网站的信息安全管理实行领导责任制。各部门要及时完善网站管理和信息安全管理制度,完善信息发布审批流程,要指定专人做网站管理员,负责网站的建设和日常维护,加强安全和监控,防止网站被攻击、篡改;部门网站主管领导或管理员因故变动时要做好移交工作,并报送宣传部、网络信息中心备案(见附件4)。
第二十八条 各部门网站信息发布严格实行信息发布审核登记制度,发现有害信息,应当在保留有关原始记录后,及时予以删除,并在第一时间向学校宣传部报告。宣传部负责对学校网站内容进行监督、检查。网络信息中心对于存在安全隐患的网站,有权停止其服务。
第九章 电子邮件管理
第二十九条 *@yulinu.edu.cn邮箱开户实行实名制,教职工和学生可以在线申请邮箱帐户,办公邮箱申请开户需在网络信息中心办理有关手续。一个用户只能开设一个邮件账号。用户停止账号使用时,必须通知网络信息中心注销其账号。
第三十条 电子邮件用户必须自觉配合国家和学校有关部门依法进行的监督、检查。用户必须对用户名和密码的安全负责,并对以其用户名进行的所有活动负责。用户若发现任何非法使用其用户账号或存在安全漏洞情况,应立即报告网络信息中心。
第三十一条 网络信息中心负责对校园网电子邮件系统使用情况进行监督、检查。对于非法使用其用户账号、发送垃圾广告邮件、存在安全漏洞情况的账户,网络信息中心有权停止其服务账号。
第十章交互式栏目管理
第三十二条 需要在校园网开设交互式栏目(如论坛、贴吧等)的网站必须向宣传部和网络信息中心审批备案,并由建设部门自行报政府有关部门备案。
第三十三条 在校园网上开设交互式栏目,应加强自律,自觉接受有关部门依法实施的监督检查。有违法情况者按照国家相关法律法规,网站负责人承担一切连带责任。
第十一章 网络安全事件处置流程
第三十四条 网络安全事件是指有害程序事件、网络攻击事件、信息破坏事件、设备设施故障、灾害事件和其他安全事件。
第三十五条 按照“谁主管谁负责,谁运维谁负责,谁使用谁负责”的原则,由各部门网络安全管理员负责对本部门信息系统及网站开展日常跟踪监测,监测方式包括:
1.定期检查信息系统和网站有无异常情况;
2.加强账号、密码管理,严格杜绝弱密码,重要业务系统要定期更换管理账号的密码;
3.定期对重要数据进行备份;
第三十六条网络安全事件处置流程。
1.网络信息中心定期对学校所有网站及信息系统的核心应用服务器进行安全漏扫,跟踪上级主管部门公布的涉及我校的安全漏洞及安全问题,在发现问题或收到上级部门通报后,将在第一时间关闭网站及信息系统的外网访问端口,通知相关部门网络安全管理员进行整改并发送通报整改信息(附件5)。
2.各部门要认真做好网络信息中心通报的漏洞整改工作,于五个工作日内完成整改,并将整改报告反馈至网络信息中心(附件6);
3.网络信息中心收到整改报告后,对其整改后的网站及信息系统重新进行安全漏扫,漏扫没有安全隐患的,将开放其外网访问端口,保留整改报告备案;属于上级主管部门通报的安全问题,网络信息中心将协助整改部门将整改报告同时报送上级主管部门。
4.逾期未完成整改的部门,将关停其网站及信息系统的网络服务,并上报上级主管部门。
第三十七条各部门的信息安全工作主管领导、主管部门负责人、网络安全管理员、联系方式发生变更的,应及时将变更情况报网络信息中心。
第三十八条各部门应按照流程及时、如实地报告和妥善处置安全事件。如有瞒报、缓报、处置和整改不力等情况,将对相关部门予以通报并追究相关人员的责任。
第十二章 其他
第三十九条 本规定由宣传部和网络信息中心负责解释。
第四十条 本规定自公布之日起生效。
