第一章 总则
第一条为切实加强校园网络信息安全管理工作,提高网络与信息安全防护能力和水平,规范网络信息服务和个人上网行为,根据《教育部关于加强教育行业网络与信息安全工作的指导意见》(教技〔2014〕4号)、《教育部关于进一步加强直属高校直属单位信息技术安全工作的通知》(教技〔2015〕1号)、《教育部公安部关于全面推进教育行业信息安全等级保护工作的通知》(教技〔2015〕2号)、《中华人民共和国网络安全法》和《教育部办公厅关于〈教育行业网络安全综合治理行动方案〉的通知》(教技厅〔2017〕3号)等有关法律、法规和文件的规定和要求,结合我校实际,特制定本办法。
第二条学校网络与信息安全,包括校园计算机网络(以下简称校园网络)与信息系统(含网站,下同)的运行安全和信息内容的安全。
第三条本办法适用于学校所有二级单位(以下简称单位)。
第四条学校按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,建立健全网络与信息安全责任体系,学校各单位、全体师生员工应依照本办法要求及学校相关标准规范履行信息技术安全的义务和责任。
第二章 管理体制与职责
第五条学校网络安全和信息化领导小组领导学校网络与信息安全的全面工作,网络安全和信息化办公室负责统筹协调各单位按照本办法履行网络安全和信息化的责任与义务。
第六条党委宣传部负责对校园网络信息的监管,重要播发信息的政治审查,网络舆情的监控,二级网站及网络信息服务的审批;开展网上疏导和正面宣传,做好对外宣传工作。
第七条数字化校园建设办公室(网络信息中心)作为技术部门负责校园网的规划、设计、建设、日常管理和维护;进行校园网络和信息系统的整体安全技术防护,保障网络和信息系统安全运行;保存网络运行日志,配合公安部门调查取证;负责入网单位和个人登记入网,签署相应的安全责任书。
第八条党委保卫部负责对网络违规行为进行调查、取证、处理,根据相关证据及事态影响或破坏程度,对违规者按照有关规定进行处理。
第九条坚持“谁主管谁负责,谁主办谁负责,谁使用谁负责”原则。校园网络与信息系统的主办单位承担安全监管责任, 包括内容安全监管、技术安全保障和监督检查等职责;校园网络与信息系统的使用单位和个人对系统操作与信息内容的安全监管承担直接责任。校园网络与信息系统通过外包服务方式进行维护的,主办单位负责督促外包服务单位做好安全运维工作, 校园网络与信息系统的安全监管责任主体仍为主办单位。
第十条各单位必须明确一名处级干部(设书记的单位,由书记担任;未设书记的单位,由行政主要负责人担任)作为校园网络与信息安全第一责任人,分管本单位的网络与信息安全、信息化建设等工作,审定本单位发布的校园网络信息,并负相应的政治和法律责任。
第十一条各单位必须设置至少一名网络与信息安全管理员,负责本单位局域网管理、网站管理、业务系统管理维护、网络信息发布、数字化校园平台管理及自有网络相关设备维护等工作。
第十二条各单位网络与信息安全负责人、管理员采取备案制度,发生变动时,应及时向数字化校园建设办公室(网络信息中心)报送上述人员的备案信息。
第三章 网络安全制度
第十五条校园网络是指校园范围内连接各种信息系统及信息终端的计算机网络,包括校园有线网络、无线网络和各种虚拟专网。
第十六条校园网络与互联网及其他公共信息网络实行逻辑隔离,由数字化校园建设办公室(网络信息中心)统一出口、统一管理和统一防护。未经批准,学校各单位在校园内不得擅自通过其他渠道接入互联网及其他公共信息网络。
第十七条数字化校园建设办公室(网络信息中心)应采取访问控制、安全审计、完整性检查、入侵防范、恶意代码防范等措施加强校园网络边界防护。
第十八条所有接入校园网的单位必须签署《东北林业大学校园网络安全管理责任书》,并严格遵照执行。
第十九条师生员工接入校园网络,须按照《东北林业大学网络用户实名认证上网管理制度》实行实名认证上网,并对网络帐号安全使用负责。学校非涉密信息系统接入校园网络,实行接入审批和备案登记制度,涉密信息系统不得接入校园网络。
第二十条校园网络接入单位负责提供本单位所需的网络设备间和电源保障,协助解决网络布线和设备安装所需空间,负责安防和消防安全管理。
第二十一条电信运营商进入校园搭建的各类通讯设备、运行线路须报学校网络与信息化领导小组审批决议。
第二十二条校园网络的IP地址由数字化校园建设办公室(网络信息中心)统一规划、统一管理。对IP地址使用有特殊需求的单位或个人可向数字化校园建设办公室(网络信息中心)提出申请,办理相关手续后使用。
第二十三条接入校园网络的单位和个人不得进行二次运营,不得发展本单位以外的任何用户,不得以任何形式为未经授权人员提供上网条件。未经许可不得擅自关闭、挪用网络设备、更改网络设施位置。
第二十四条在校园网络上严禁制作、查阅、复制或传播下列信息:
(一)煽动抗拒、破坏宪法和国家法律、行政法规实施;
(二)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一;
(三)损害国家荣誉和利益;
(四)煽动民族仇恨、民族歧视,破坏民族团结,或者侵害民族风俗习惯;
(五)宣扬恐怖主义、邪教、封建迷信,违反国家宗教政策;
(六)捏造或者歪曲事实,散布谣言,扰乱社会秩序,破坏社会稳定。
第二十五条在校园网络上严禁下列行为:
(一)破坏、盗用、篡改计算机网络中的信息资源;
(二)故意泄露、窃取、篡改个人电子信息,擅自利用网络收集、使用个人电子信息,出售或者非法向他人提供个人电子信息;
(三)违背他人意愿、冒用他人名义发布信息;
(四)攻击、入侵、破坏计算机网络、信息系统及设备设施;
(五)故意阻塞、中断校园网络,恶意占用网络资源;
(六)故意制作、传播、使用计算机病毒、木马、恶意软件等破坏性程序;
(七)故意大量发送垃圾电子邮件、垃圾短信等,干扰正常网络秩序;
(八)盗用他人帐号、盗用他人IP地址;
(九)私自转借、转让用户帐号;
(十)私自开设二级代理和路由接纳网络用户;
(十一)以端口扫描和私搭DHCP服务器等方式,破坏网络正常运行;
(十二)私自将外网串接到校园网络;
(十三)其它违反法律法规或危害网络与信息安全的行为。
第二十六条校园网络用户有义务向本单位网络与信息安全管理员和有关部门报告违法犯罪行为和有害、不健康的信息,共同维护校园网络安全秩序。
第四章 信息发布制度
第二十七条各单位在校园网络播发信息必须坚持归口管理和“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,按照下列规定和程序办理:
(一)关于信息播发类型的规定。一类信息:需要在学校门户网站发布的新闻类信息;二类信息:需要在学校门户网站发布的通知公告类信息;三类信息:需要在数字东林信息门户和各单位网站发布的各类信息。
(二)一类信息管理办法:各单位在信息播发前,必须由本单位的网络与信息安全负责人对所发信息进行审核,审查合格后签署同意意见,将信息报送党委宣传部,由党委宣传部信息安全负责人签署同意意见后发布信息并存档备案。
二类信息管理办法:各单位在信息播发前,必须由本单位的网络与信息安全负责人对所发信息进行审核,审查合格后签署同意意见,将信息报送数字化校园建设办公室(网络信息中心),由数字化校园建设办公室(网络信息中心)信息安全负责人签署同意意见后发布信息并存档备案。
三类信息管理办法:先由本单位网络与信息安全管理员通过数字东林信息门户或各单位网站预发布信息(包括通知公告、活动、投票、问卷调查、规章制度等类型信息),然后须由本单位的网络与信息安全负责人对所发信息进行审核,审查合格后完成审核操作,信息正式发布到数字东林信息门户平台或各单位网站。
(三)各单位凡涉及安全稳定或学校名誉、形象和知名度的有关重大事件以及尺度把握不准的信息,播发前必须由本单位的网络与信息安全负责人签署意见后报送党委宣传部进行政治审查。审查合格后,党委宣传部网络与信息安全负责人签署同意意见并存档备案,完成后续播发工作。
第五章 信息系统安全制度
第二十八条学校域名为*.nefu.edu.cn,各主办单位按信息系统名称的拼音或英文缩写简写设置域名并提出申请, 经数字化校园建设办公室(网络信息中心)批准后使用。
第二十九条未经学校网络和信息化领导小组许可,任何入网单位或个人不得以冠有“东北林业大学”或“东北林大”中外文字样开通信息发布、电子公告栏(BBS)、聊天室、博客、微博、微信等公众信息服务系统。
第三十条学校各信息系统上线实行信息系统上线报批备案制。各单位在校园网上开办信息系统,须经党委宣传部审批,对于新建、改建、扩建的信息系统,应当在规划、设计阶段同步建设网络信息安全保障措施。新开发的信息系统必须经过第三方安全检测机构出具检测报告、签订《东北林业大学信息系统(网站)安全责任书》后方可上线运行。
第三十一条信息系统提供托管主机、虚拟空间、FTP、个人主页、电子公告栏(BBS)、微博、博客、留言板、新闻组、电子邮箱、短信息、网络新媒体、电子商务、聊天室以及在微信、QQ等互联网社交平台上开办公众服务号的单位、组织和个人,必须向党委宣传部提出书面申请,说明服务器主管单位、主要负责人、设立时间、地点、用途等,经党委宣传部审批,并报数字化校园建设办公室(网络信息中心)、党委保卫部备案。获得批准后应设置相应的管理员和管理制度,包括:
(一)安全保护技术措施;
(二)信息发布审核登记制度;
(三)信息监视、保存、清除和备份制度;
(四)不良信息报告和协助查处制度;
(五)管理人员岗位责任制。
第三十二条校园网络播发的信息、电子公告服务、新媒体信息不得含有下列内容:
(一)违反宪法所确定的基本原则;
(二)危害国家安全,泄露国家秘密,煽动颠覆国家政权,破坏国家统一;
(三)损害国家的荣誉和利益;
(四)煽动民族仇恨、民族歧视,破坏民族团结;
(五)破坏国家宗教政策,宣扬邪教,宣扬封建迷信;
(六)散布谣言,编造和传播虚假新闻,扰乱社会秩序,破坏社会稳定;
(七)散布淫秽、色情、赌博、暴力、恐怖或者教唆犯罪;
(八)侮辱或者诽谤他人,侵害他人合法权益;
(九)法律、法规禁止的其他内容。
第三十三条以电子公告栏(BBS)、网络聊天室、留言板、跟帖等交互形式为上网用户提供信息交流功能的信息系统上发布的信息,须由该信息系统主办单位及其主管部门进行审核和监控。必须实名发表内容,对校外人员不提供发言功能,仅提供浏览。党委宣传部和数字化校园建设办公室(网络信息中心)随时进行监督。
第三十四条电子公告服务提供者及其主管部门要加强对电子公告服务的规范和管理,严格实行用户实名注册制度。遵守相关法律、法规,并对所发布的信息负责,及时发现和删除各类有害信息。对有害信息防范不力的要限期整改,对有害信息蔓延、管理失控的要予以关闭。
第三十五条各单位原则上应依托校园网络开展信息系统建设。涉及学校基础数据、师生员工个人信息或敏感信息的信息系统,不得部署在校外。需要在校外开办信息系统的单位,须将服务器网址、提供服务栏目及主要负责人等信息报送党委宣传部、数字化校园建设办公室(网络信息中心)、党委保卫部备案。部署在校外的网络和信息系统,安全监管责任主体仍为主办单位。
第三十六条校园网站链接境外新闻网站,播发境外新闻媒体和互联网站发布的新闻,必须经党委宣传部批准。
第三十七条对于使用频度不大、阶段性使用的网站,开办单位可采取非工作时间或寒暑假、节假日关闭的方式运行。对于无人管理、无力维护、长期不更新的网站,开办单位应申请关闭网站以降低安全风险。
第三十八条在校园网内拥有自主负责的部门网站(包括网站内含有的电子公告服务、链接等项目)的单位,必须依据本办法制订相应的网络与信息安全管理规定,确定专门的网站负责人,并将网站管理机构人员名单和管理办法报送党委宣传部审查备案。各单位网站负责人及主管领导要认真履行岗位职责,确保网络信息安全、准确、真实、可靠。
第三十九条各单位必须按照国家和学校的相关规定对本单位的网络和信息系统进行定期巡检、漏洞修复和信息报送工作。
第四十条数字化校园建设办公室(网络信息中心)不定期对各单位信息系统做安全漏洞巡检,对于巡检出现安全漏洞的信息系统,将第一时间通知其所属单位信息安全员,所属单位在收到安全漏洞通告后必须在规定时间内完成安全修复及整改,并将修复整改情况书面报送数字化校园建设办公室(网络信息中心)留存备案。如未能在规定时间内修复漏洞,数字化校园建设办公室(网络信息中心)有权将其存在安全漏洞的信息系统作下线处理,因未及时修复漏洞而造成安全事件的相关责任由该信息系统所属单位承担。
第四十一条各单位作为安全等级保护的责任主体,须按照国家网络安全等级保护的管理规范和技术标准进行备案、确定信息系统的安全保护等级,并报数字化校园建设办公室(网络信息中心)审核。学校按相关规定选择具有相关技术资质和安全资质的测评单位,对二级及以上的信息系统进行等级测评。经测评,信息安全状况未达到安全保护等级要求的,信息系统的主办单位应制定整改方案并落实到位。
第四十二条各单位对于主办的信息系统,须采取必要的安全措施,严防入侵、篡改、泄露等事件发生。信息系统的主办单位和运维单位要各司其职,各负其责。
第六章 应急处置
第四十三条各单位须建立本单位的网络和信息系统安全值守制度,严密监控本单位信息系统运行状况及信息内容,做到安全事件早知道、早报告、早控制、早解决。
第四十四条各单位须根据《教育系统网络安全事件应急预案》、《东北林业大学网络与信息安全突发事件应急预案》等要求对发生的网络和信息安全事件第一时间上报数字化校园建设办公室(网络信息中心),启动应急预案,做好应急响应、监测预警和通报,须把网络安全应急工作责任落实到具体岗位和个人,建立健全应急工作机制,提高应对网络与信息安全类突发公共事件的能力,预防和减少由此造成的损失和危害,维护学校的安全和稳定。
第七章 保密安全制度
第四十五条各单位根据国家有关规定,须对本单位用户及所使用计算机进行涉密检查,凡涉密计算机严禁上网。
第四十六条各单位结合保密工作要求,须制订信息安全保密管理的具体措施,坚持“谁使用、谁主管、谁负责”“上网不涉密、涉密不上网”的原则,对上网信息进行审查,严禁涉密信息上网。
第八章 宣传教育
第四十七条学校和各单位要开展经常性的互联网信息安全和文明上网的宣传,加强对广大师生员工的教育和引导,增强师生员工使用网络的法制意识、责任意识、政治意识、自律意识和安全意识,形成共同抵制有害信息的良好氛围。
第九章 监督检查制度
第四十八条校园网工作人员、各入网单位和用户必须接受并配合国家有关部门依法进行的监督检查。
第四十九条校园网工作人员、各入网单位和用户必须接受学校有关部门依法进行的监督检查,并对学校采取的必要措施给予配合。
第十章 支持保障
第五十条网络与信息安全人员配置、人才引进和梯队建设的相关工作由人事与专家工作处统筹管理。
第五十一条网络与信息安全软硬件系统配备由实验室与设备管理处统筹规划。
第五十二条网络与信息安全工作的资金由计划财务处统筹规划,合理使用。
第五十三条校园规划管理部门和建设部门负责在学校地下管网统一管理的原则下,进行规划、建设和运行维护。学校所有基建、修缮工程应将工程范围内校园网络建设纳入工程设计、实施和竣工验收范畴。
第十一章 责任追究
第五十四条违反本办法的单位或个人,学校将予以警告、禁止播发信息、停止网络连接、责令限期改正;情节严重的,追究主管领导及相关责任人的责任,由学校有关部门依照校纪、校规及相关法律、法规进行处理。
第五十五条违反本办法的单位或个人,如触犯国家有关法律、法规,构成犯罪的,依法追究其刑事责任;尚不构成犯罪的,由公安机关或者国家安全机关依照有关法律、行政法规的规定给予行政处罚。
第五十六条违反本办法规定,给国家、集体或者他人财产造成损失的应当依法承担民事责任。
第十二章 附则
第五十七条本办法如与国家有关政策法规相悖,按照国家有关政策法规执行。
第五十八条本办法由学校网络安全和信息化办公室负责解释。
第五十九条本办法自2019年4月1日起施行,原2016年3月印发的《东北林业大学校园网络信息安全管理办法(试行)》即行废止。