安徽交通职业技术学院

网络与信息安全管理办法（试行）

第一章 总则

第一条 为贯彻落实国家关于网络与信息安全工作的重要精神和决策部署，保障学院网络与信息化工作的健康发展，保护师生的合法权益，按照《中华人民共和国网络安全法》、《教育部关于加强教育行业网络与信息安全工作的指导意见》等有关法律法规和文件精神，结合学院实际，制定本办法。

第二条 本办法所称网络与信息安全，是指学院校园网与基于校园网面向终端使用者提供信息和交流服务的各类信息系统（含网站、应用系统等）的运行安全、内容安全、数据安全。

第三条 按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则开展网络与信息安全管理工作。

第二章 机构与职责

第四条 学院网络安全与信息化领导小组统筹管理全院网络与信息安全工作，负责贯彻落实上级有关部门关于网络与信息安全工作的决策部署，统筹协调学院网络与信息安全重大问题，研究制定学院网络与信息安全工作发展规划、工作计划和工作标准。

第五条 信息管理中心负责学院网络与信息安全的日常统筹管理工作，保障学院网络与信息系统的正常运行。

第六条 网络与信息系统的主管部门承担安全监管责任，包括内容安全监管、技术安全保障和监督检查等职责；网络与信息系统的使用部门和个人对操作系统与信息内容的安全监管承担直接责任。网络与信息系统通过外包服务方式进行维护的，主管部门负责督促外包服务单位做好安全运维工作，网络与信息系统的安全监管责任主体仍为主管部门。

第三章  校园网安全管理

第七条 接入校园网的所有用户必须实名登记认证，必须自觉遵守中华人民共和国、教育部的有关计算机互联网络的规定、制度和管理办法。

第八条 任何单位和个人不得损坏、拆卸、移动和侵占校园网的设备、设施和线路。校园网设备、设施和线路，确因工作原因需要移动的，由信息管理中心根据技术要求和实际情况移动。

第九条 严禁在校园网上制作、查阅、复制或传播下列信息:

（一）煽动抗拒、破坏宪法和国家法律、行政法规实施;

（二）危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一；

（三）损害国家荣誉和利益；

（四）煽动民族仇恨、民族歧视，破坏民族团结，或者侵害民族风俗习惯；

（五）宣扬恐怖主义、邪教、封建迷信，违反国家宗教政策；

（六）捏造或者歪曲事实，散布谣言，扰乱社会秩序，破坏社会稳定；

（七）侮辱他人或者捏造事实诽谤他人;

（八）含有淫秽、色情、赌博、暴力、欺诈等内容；

（九）含有法律、法规禁止的其他内容。

第四章  数据中心安全管理

第十条 数据中心主要包括支撑各类应用系统运行的软硬件基础设施、学院基础数据库、统一数据交换平台、云平台、统一身份认证系统及统一信息门户。信息管理中心负责数据中心的建设和运行维护。

第十一条 信息管理中心负责数据中心的物理安全、网络安全和主机安全。数据中心的资源使用部门负责所使用的操作系统、业务数据库系统、应用系统和数据的安全。

第十二条 信息管理中心负责学院基础数据库和统一数据交换平台的建设和安全管理，负责各部门业务数据库与基础数据库之间完成数据交换和共享。各部门负责建设、维护本部门业务系统所配套的业务数据库，对本部门业务数据库的系统安全、数据安全及所申请的共享数据的安全负责。

第十三条 信息管理中心负责统一身份认证系统的建设运行和安全管理，各部门负责本部门应用系统的权限管理及安全，建设面向师生服务的应用系统时，要与统一身份认证系统进行认证集成并向信息管理中心备案。

   第五章 信息系统安全管理

第十四条 信息系统建设合同中必须明确与承建方和运维方订立数据的保密条款或签订单独的保密协议。

第十五条 各部门要按照国家信息系统等级保护制度的相关法律法规、标准规范和要求落实信息系统安全等级保护制度。

第十六条 各业务主管部门为相应业务信息系统（含移动客户端软件）的责任部门，应指定专门人员负责系统的建设、运行维护和安全管理，组织系统提供商并会同信息管理中心制定信息系统运维和安全管理方案。信息系统原则上由业务主管部门运维，特殊情况可委托信息管理中心运维。

第十七条 各部门要保留不少于6个月的系统维护日志。各部门管理员应定期对信息系统的账号及口令密码进行安全自查，及时清理僵尸账号，规范口令设置，严禁使用弱口令密码。各部门各类信息系统中开设的账户和密码为个人用户所有，应妥善保管，不得向任何单位和个人提供，以免造成个人信息泄露，因管理不善导致密码泄露对网络与信息安全造成严重危害的，应追究当事人责任。     

第十八条 各部门要规范和加强信息发布管理。严格保密审查工作，严防泄密事件发生。各部门对信息系统建立并严格执行先审核后发布工作制度，不得链接企业网站，不得发布商业广告。

第十九条 各部门在信息系统中收集、使用各类数据，应当遵循合法、正当、必要的原则。信息必须严格授权、合法使用，不得泄露、篡改、毁损、出售或者非法向他人提供。其它有关部门和个人提取师生个人电子信息应当严格履行审批手续。

第六章 应急处置

第二十条 在学院突发公共事件应急预案基础上，各部门应当制定网络与信息安全应急预案，明确应急处置流程和权限，并定期组织演练，提高网络与信息安全应急处置能力。

第二十一条 发生网络与信息安全事件后须立即启动应急预案，采取有效措施降低损害程度，防止事件扩大，第一时间向分管院领导报告，并配合相关部门妥善处理。

第二十二条 各部门对上级有关部门依法实施的监督检查以及学院开展的网络与信息安全监督应当予以配合，对反馈的问题要及时处理并上报。

第七章 其他

第二十三条 涉及国家秘密信息的网络与信息系统的运行安全保护，除应当遵守本办法外，还应遵守保密法律、行政法规及相关管理办法的规定。

第二十四条 故意破坏学院网络与信息安全，造成严重事故的，除赔偿经济损失外，涉嫌构成犯罪的，报送司法部门处理。  

第八章 附则

第二十五条 本办法由学院网络安全与信息化领导小组负责解释。

第二十六条 本办法自印发之日起实施。