第一条 为保障学校所属校园网络安全稳定运行,维护学校师生信息安全,根据《中华人民共和国网络安全法》(中华人民共和国主席令第六十一号)《中华人民共和国数据安全法》(中华人民共和国主席令第八十四号)《中华人民共和国个人信息保护法》(中华人民共和国主席令第九十一号)等政策法规,结合学校实际,特制定本办法。全校所有组织及人员应严格执行国家网络安全各类政策法规。
第二条 学校按照“谁主管谁负责,谁运维谁负责,谁使用谁负责”分层分级负责原则,建立健全网络安全责任体系,学校各二级单位、全体师生应依照国家政策法规、本管理办法及学校其他相关制度履行网络安全义务。
第三条 学校应当确保网络安全基础设施具有支持业务稳定、持续运行的性能,并保证网络安全技术措施同步规划、同步建设、同步使用。
第二章 组织机构及职责
第四条 学校成立网络安全和信息化领导小组(以下简称“领导小组”),由学校校长及党委书记担任组长。领导小组主要网络安全职责有:
(一)负责贯彻落实政府部门关于网络安全战略部署;
(二)组织领导学校网络安全工作;
(三)研究决定学校有关网络安全发展规划、重大问题解决方案和重大政策;
(四)部署重要时期网络安全保障工作,协调解决重大问题。
第五条 领导小组下设网络安全和信息化工作办公室(以下简称“办公室”),办公室主要网络安全职责有:
(一)负责贯彻落实领导小组审定的有关网络安全发展规划,研究拟定相应实施方案;
(二)统筹推动学校网络安全工作;
(三)牵头协调重大任务落实工作;
(四)完成领导小组交办的其他事项。
第六条 学校校长、书记是学校网络安全的第一责任人,分管网络安全和信息化工作的校领导协助校长履行学校信息安全管理职责。
第七条 党委宣传部负责互联网上与学校相关的舆情监测和处置,负责学校官方中英文网站的意识形态安全,对学校官方中英文网站的整体内容导向和规定范围内的文稿进行政治审核与政策把关。
第八条 财务处负责落实网络安全经费预算保障工作。
第九条 人事干部处核对并提供教师用户实名信息。
第十条 保卫处协助师生网络安全培训、处理网络安全事件。
第十一条 学生处负责学校学生网络安全教育工作。
第十二条 总务处负责落实校园LED屏、商户宣传广告屏等电子宣传栏安全管理工作。
第十三条 实验室与设备管理处负责学校教学软件平台(含配套硬件)、实验室内部的网络安全统筹与管理工作。
第十四条 学校信息科技服务中心负责学校网络安全建设规划、网络安全软硬件设备及策略管理、网络安全应急演练、信息化应用及数据安全管理、协助开通教师校园网上网账号、提供全校网络安全技术咨询、配合上级部门做好网络安全检查、统筹网络安全培训等工作,负责组织各二级单位网络安全责任书签订。
第十五条 校园网服务单位负责学生、其他用户上网实名认证和网络账号开通服务,提供师生满意的网络服务。
第十六条 学校各二级单位负责本单位网络安全管理工作,单位第一负责人就是本单位网络安全工作第一责任人,负责按照国家政策法规、本管理办法及学校其他相关制度落实本单位网络安全管理工作,认真落实网络安全责任书规定的各项任务。各二级单位使用的数智系统(包括APP、软件、小程序)应向网络与信息技术中心备案。
第三章 网络接入及使用管理
第十七条 师生接入校园网络,按网络安全法要求实行“实名注册、认证上网”制度,教师用户实名信息由人事干部处于入职时向信息科技服务中心提供,由信息科技服务中心协助开通校园上网账号。学生及其他用户实名信息由校园网服务单位现场收集认证并开通校园上网账号。
第十八条 任何单位和个人使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。
第十九条 任何单位和个人不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。
第二十条 信息科技服务中心、校园网服务单位按政策法规要求配备监测、记录网络运行状态、网络安全事件的硬件设备和技术措施,并按照规定留存不少于六个月的网络日志。
第四章 网络安全等级保护管理
第二十一条 学校信息系统联网前按政策法规要求先进行等级定级及信息安全等级保护测评,定级为二级及以上的信息系统需根据网络安全等级保护条例要求进行现场测评、系统整改和复检测评,获取等级保护测评通过证书后上线,确保网络的安全性和稳定性。
第二十二条 信息科技服务中心负责按政策法规中等保要求编制预算并上报,根据学校审批等保预算及网络安全等级保护条例要求,制定学校数据中心的准入技术规范和标准,做好信息系统上线前的合规性检查工作,组织等保测评工作。
第五章 数据安全管理
第二十三条 学校实行数据分类分级管理,各信息系统使用单位(管理单位)应根据信息系统数据内容制定内部数据管理规范、数据访问权限规范、数据使用申请规范等,各二级单位负有数据管理职责的工作人员必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供相关数据,各二级单位须建立健全用户信息保护制度和操作规范。
第二十四条 学校数据中心主要包括支撑信息系统的运行环境(含制冷、动力等)、硬件设施(含网络设备、网络安全设备、服务器)、管理平台(含云管理平台、虚拟化软件)、数据库(含各类业务数据库)等,信息科技服务中心负责制定规则并进行日常维护和管理。信息科技服务中心根据信息系统安全等级的不同,采取网络安全管控措施对信息系统不同安全区域之间的业务访问实施网络安全管理策略防护。
第二十五条 学校各二级单位应依托学校数智化建设规划及数据标准开展信息系统建设,涉及学校基础数据、师生个人信息或敏感信息的信息系统,不得部署在校外数据中心(服务器);各二级单位开展信息系统建设未经领导小组批准,严禁使用境外数据中心(服务器)。
第六章 个人信息保护
第二十六条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
第二十七条 学校各二级单位处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
第二十八条 学校各二级单位、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。
第七章 移动互联网应用程序管理
第二十九条 移动互联网应用程序是指通过预装、下载等方式获取并运行在移动智能终端上、向师生提供教学或管理信息服务的应用软件。
第三十条 国家对移动互联网移动应用程序实行提供者备案制度,未经国家备案的移动互联网移动应用程序不得在校园内使用。校内各二级单位因教学活动或管理服务需要使用已完成提供者备案的互联网移动应用程序时,须报领导小组审批,审批通过后才能上线使用。
第三十一条 学校各二级单位和师生使用移动互联网应用程序的安全管理责任,按照“谁使用谁负责,谁主管谁负责”的原则实行归口管理,使用移动互联网应用程序所在单位负责人为第一责任人。
第八章 互联网网站管理
第三十二条 本办法中所述互联网网站特指学校及各二级单位用于信息公告、业务指引、活动宣传的网站站点。
第三十三条 学校建立互联网网站群管理平台,各二级单位建设互联网网站须通过一站式办事大厅公文请示流程,经学校办公室会签意见后向分管网络安全和信息化工作的校领导请示,通过审批并签订网站安全责任书后,由信息科技服务中心协助用户单位按互联网网站群技术规范,在学校互联网网站群管理平台开设站点。原则上各二级单位只允许建立一个站点并对外提供服务,如有特殊情况,另专题报告报批。
第三十四条 各二级单位互联网网站均需部署于互联网网站群管理平台内,不得提供交互栏目及论坛服务,确有需要的,由用户单位通过一站式办事大厅公文请示流程向领导小组进行专项申报,经领导小组批准同意的,交信息科技服务中心备案后提供相关服务。
第三十五条 各二级单位开设互联网网站,须使用学校互联网备案域名和互联IP地址。
第三十六条 各二级单位应当对其使用网络的行为负责,不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组,不得利用网络发布涉及实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。
第三十七条 各二级单位应建立信息发布审核制度,确定负责内容编辑、内容审核、内容发布的人员名单及其工作职责,明确审核与发布程序,保存相关操作记录。
第九章 网络生态内容管理
第三十八条 学校各二级单位建设的网络信息内容服务平台应当履行信息内容管理主体责任,加强本平台网络信息内容生态治理,培育积极健康、向上向善的网络文化。
第三十九条 学校各二级单位建设的信息内容服务平台应当建立网络信息内容生态治理机制,制定本平台网络信息内容生态治理细则,健全用户注册、账号管理、信息发布审核、跟帖评论审核、版面页面生态管理、实时巡查、应急处置和网络谣言、黑色产业链信息处置等制度。
第四十条 各二级单位建设的网络信息内容服务平台应当设立网络信息内容生态治理负责人,配备与业务范围和服务规模相适应的专业人员,加强培训考核,提升从业人员素质。
第四十一条 学校各二级单位建设的信息内容服务平台不得利用深度学习、虚拟现实等新技术新应用从事法律、行政法规禁止的活动,不得通过人工方式或者技术手段实施流量造假、流量劫持以及虚假注册账号、非法交易账号、操纵用户账号等行为,破坏网络生态秩序。
第四十二条 学校各二级单位建设的信息内容服务平台不得利用党旗、党徽、国旗、国徽、国歌等代表党和国家形象的标识及内容,或者借国家重大活动、重大纪念日和国家机关及其工作人员名义等,违法违规开展网络商业营销活动。
第十章 电子邮件管理
第四十三条 学校统筹建设邮件管理系统,信息科技服务中心为各二级单位和师生提供电子邮箱账号开通服务。
第四十四条 信息科技服务中心负责学校电子邮件系统的技术安全保障工作,采取必要的技术和管理措施,加强电子邮件系统安全防护,减少垃圾邮件、病毒邮件侵袭。
第四十五条 各二级单位和师生使用学校电子邮件系统应遵守国家政策法规相关规定,须对使用电子邮件系统的行为负责,应妥善保管本人使用的邮箱账号和密码,确保密码具有一定强度并定期更换。
第十一章 网络安全及信息技术人员管理
第四十六条 学校各二级单位应建立健全本单位的网络安全及岗位信息安全责任制度,明确岗位及人员的信息安全责任,关键岗位的计算机使用和管理人员应签订信息安全与保密协议,明确信息安全与保密要求和责任。
第四十七条 学校各二级单位须明确单位网络安全第一责任人及网络安全管理员。学校网络安全管理员及信息技术人员需要参加由信息科技服务中心组织岗位培训,考试合格者方可上岗。学校信息科技服务中心每年度对网络安全及信息技术人员进行业务工作考核,并将考核结果通报各二级单位及学校人事部门,对于不合格人员,提出调整意见。
第四十八条 学校信息科技服务中心组织在岗培训工作,保证网络安全与信息技术人员及时掌握最新知识与技能。同时,要求网络安全与信息技术人员不断学习和提升自己的技能和知识,应自觉参加培训和教育活动,以便掌握新的技术和知识,提高综合素质和工作能力。
第四十九条 学校各二级单位应加强信息技术人员离岗和离职管理,规范其单位信息技术人员离岗和离职过程,及时终止相关人员的账号访问权限、工作设备管理权限等。
第十二章 信息技术外包服务管理
第五十条 本办法所述信息技术外包服务特指信息系统软件开发、网络安全、运维服务的外包。
第五十一条 有外包服务需求的各二级单位应与信息技术外包服务提供商(以下简称“服务商”)签订服务合同和信息安全与保密协议,明确信息安全与保密责任,要求服务商不得将服务转包,不得泄露、扩散、转让服务过程中获知的数据信息,不得占有服务过程中产生的任何信息资产。
第五十二条 信息技术外包服务过程中,采购外包服务的各二级单位应安排专人管理,并记录外包服务的核心过程。
第十三章 网络安全经费保障
第五十三条 学校应设立年度网络安全专项经费,用于保障网络安全工作。
第五十四条 学校年度网络经费预算金额应不小于当年度信息化建设预算的10%。
第五十五条 学校信息科技服务中心负责组织年度网络安全预算编制工作,并按审批经费预算执行。
第十四章 网络安全应急管理
第五十六条 信息科技服务中心定期组织网络安全应急演练,评估学校网络安全状况及网络应急预案是否存在不足,根据网络安全应急演练情况进一步修订完善网络安全应急预案。
第五十七条 信息科技服务中心负责组建学校网络安全应急技术队伍,落实重要时期24小时应急值守工作,提高网络安全事件的预防、预警和应对能力,配合及协助上级主管部门或公安机关维护网络安全。
第五十八条 学校各二级单位应组织本单位网络安全管理人员开展网络安全应急预案的学习、宣传工作,确保相关人员熟悉应急预案操作流程。
第十五章 附则
第五十九条 若违反学校网络安全管理制度,对学校网络安全造成危害,学校有权采取措施消除影响,可提出警告乃至停止其使用校园网络,并要求其赔偿损失、承担相应责任。
第六十条 若违反国家政策法规,按政策法规相关条款执行。
第六十一条 本办法自颁布之日起实施,由学校信息科技服务中心负责解释。原《广州南方学院网络安全管理办法》(南方学院图书馆〔2023〕4号)同时废止。学校其他有关文件规定与本办法不一致的,以本办法为准。
