1 目的

为规范校内网络安全和信息化项目建设管理工作，确保校内网络与信息安全，根据《中华人民共和国网络安全法》等相关法律法规要求，结合学校实际，特制定本办法。

2 适用范围

本办法适用于学校网络安全管理工作，具体指为保障学校网络安全与信息化建设相关基础设施、信息系统及数据的完整性、可用性及保密性，而采取的网络安全检测、防护、处置等技术措施，以及相关标准规范、管理制度的制定、执行等。

本办法主要是技术方面的管理，学校网络安全工作中涉及的内容安全、涉密信息安全管理等不在本办法范畴内。

3 职责与分工

3．1 成立学校网络安全与信息化领导小组（以下简称领导小组），组长由校长、党委书记担任，副组长由分管网络安全的校领导、分管学生工作的校领导担任，成员由各职能部门及二级学院负责人组成。负责学校网络安全工作的战略决策、实施监督及重大网络安全事件处理的决策指导。

领导小组下设办公室，办公室设在网络与信息中心，负责制定学校网络安全的总体规划、网络安全工作检查及考评机制，协调重大网络安全事件的处理；负责学校网络安全的日常规划及建设工作、组织协调与管理监督信息化项目中的网络安全建设工作、校园网安全建设与管理、网络安全管理制度的起草与执行，以及其他与学校网络安全相关事务的处理。

3.2 各部门（含二级学院，下同）按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，分别负责本部门主管、运维、使用的各信息系统及内部网络的安全工作。

3.3 校内各部门信息主管作为本部门网络安全的责任人，负责规划、监督本部门的网络安全工作；信息专员负责组织、协调本部门的网络安全具体工作。

3.4 校内广大师生作为校园网的使用者、信息化建设的参与者，同样也是网络安全工作的参与者，有责任和义务遵守学校网络安全的相关规定，积极参与网络安全的建设和管理。

4 术语

    4.1 等级保护：是指对国家重要信息、信息系统和信息基础设施，按照其在国家安全、经济建设、社会生活中的重要程度，以及信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素，确定信息系统的安全保护等级，并采取相应的安全保护措施。

4.2 关键信息基础设施：在本办法中特指面向师生提供的网络与信息服务基础设施，包含重要的网络设施、信息系统等。这些基础设施一旦遭到破环、丧失功能或者数据泄露，可能严重危害学校、师生的核心利益。

5 内容

5.1 网络安全工作的支持与推进

5.1.1 网络安全工作是学校信息化建设的常规工作，校内各相关部门应通力合作，在人员、技术、设备等方面提供充足的支持与保障。学校切实保障网络安全等级保护测评、网络安全监测和检测评估、信息系统安全升级和防护加固、网络安全教育培训、网络安全事件处置和安全运维等网络安全常规工作。

5.1.2按照国家相关法律法规要求，学校应及时开展校内网络安全等级保护（以下简称等保）工作。网络与信息中心负责校内等保工作的组织协调，确保学校等保工作按照国家法律法规要求正常开展。

5.1.3 按照国家相关法律法规要求，学校应积极开展关键信息基础设施保护工作。网络与信息中心负责关键信息基础设施的认定、网络安全评估及网络安全建设工作。

5.1.4 积极提高校内相关人员的网络安全工作能力，增强校内广大师生的网络安全意识。网络与信息中心负责在校内开展网络安全相关的各类宣传、培训、演练等活动，校内部门信息主管和信息专员应积极认真参与，并做好在本部门的宣传推广工作。

5.2 校园网安全建设与管理

5.2.1 校园网及相关基础设施由网络与信息中心统一规划、建设、管理，并提供统一网络出口，校内各部门及个人不得擅自建设、更改、损毁、挪用校园网及相关基础设施，不得私接外网出口。

5.2.2 校园网主要服务于学校教学、科研及校务管理等，用户不得将校园网用于其他用途，严禁利用校园网开展各类未经许可的其它活动。

5.2.3 校园网入网实行实名制，用户必须通过学校网络实名认证接入校园网，严禁盗用混用他人校园网权益。

5.2.4 校园网用户应文明上网，规范网络行为，并做好个人网络安全维护及校园网个人资源相关网络安全管理维护。校园网用户的上网行为不得危害到学校网络安全和正常秩序，严禁利用校园网从事任何无授权的探测、破坏、信息窃取等网络攻击活动。

5.2.5 校园网用户未经许可不得对校园网以外提供互联网服务，如在科研业务上确有特殊需求，需要使用校园网地址对外开放服务（限非网站类的信息发布类服务），经网络与信息中心审查后方可开放，由申请人员承担相关全部网络安全责任。

5.2.6 对于违反上述规定的用户，经网络与信息中心查实，可对违规用户暂停一切网络与信息化服务，并可根据本办法进行追责处理。

5.3 信息化建设中的网络安全建设与管理

5.3.1 学校信息化建设实行网络安全一票否决制。对于不符合网络安全要求的各类信息化项目必须先进行整改，整改完成后方可继续进行建设或继续提供服务。

5.3.2 学校信息化项目建设应遵循校内网络安全相关制度、技术规范、标准流程开展，信息化项目全生命周期内各环节均需要完成相关网络安全建设工作。各信息化项目上线、验收前必须通过必要的网络安全检测，未通过检测擅自上线或验收的，所产生的网络安全责任由项目主管部门自行承担。

5.3.3 校内各类信息化应用原则上应依托于学校数据中心建设，使用学校 IP 地址及域名，并进行登记备案。

5.3.4 对于必须使用校外云服务建设的特殊信息化项目，在采购文件和合同中应明确要求由云服务提供商负责项目的网络安全建设，由校内项目主管部门及云服务提供商共同承担网络安全责任。未按上述要求建设的此类系统，不得使用校名、校徽、域名等学校标识，网络安全责任由系统校内相关部门（包括建设使用部门、宣传推广部门等）及相关参与人员承担。

5.3.5 为保证学校信息化建设项目网络安全建设工作及安全运维工作正常开展，应采用安全规范、质量和售后服务优良的软、硬件产品或服务厂商，不得由自然人承担信息化项目建设任务。

5.3.6 校内各信息系统面向在校师生的用户认证必须使用学校统一身份认证，不得单独建立用户认证系统。

5.3.7  校内各信息系统应按照学校信息化数据资源相关规定，采取必要的安全措施，确保数据安全。

5.3.8 信息化建设中所涉及到的个人信息，必须按照国家相关法律法规及学校个人信息保护相关规定进行严格保护，任何部门及个人不得违法违规采集、存储、使用和处理校内各类个人信息。

5.4 检测预警与网络安全事件的处置

5.4.1网络与信息中心作为校内网络安全技术管理部门，代表学校对校内各类信息系统、网络、其他相关设备开展网络安全检测工作。网络与信息中心可根据检测结果启动校内网络安全事件处置流程或发布安全预警。

5.4.2 网络与信息中心负责学校网络安全相关的各类安全情报搜集工作，并结合校内信息化建设实际情况对校内开展网络安全预警。针对不同受众，安全预警将通过邮件、短信等方式发送，相关部门及人员应根据预警信息，认真落实网络安全自查及问题修复，避免预警相关安全问题的发生。

5.4.3 校内网络安全事件的处理由网络与信息中心负责组织实施，按照学校网络安全事件处置预案进行分级、分类处理。安全事件相关部门及人员应积极配合，认真落实网络安全事件处置相关工作。为避免安全事件不良影响扩大，网络与信息中心有权直接对安全事件相关的网络及信息系统进行断网、停止服务等应急处理。

5.4.4 校内各部门应根据本部门信息化建设情况制定相应的监控与值守制度，发现网络安全问题应及时向网络与信息中心报告并进行必要的应急处置。

5.4.5 网络与信息中心负责组织校内网络安全事件处置应急演练，相关部门应积极参与，通过演练提高校内网络安全事件处置能力。

5 追责

6.1对于违反本办法及相关网络安全制度的网络安全事件及其他安全问题的责任认定，将提交领导小组讨论处理意见，进行处理。

6.2 对于违反法律、法规，造成国家、学校和个人损失的，学校将依法配合公安局、网信办等主管部门进行处理。

6 附则

7.1 本办法由网络与信息中心负责解释。

7.2 本办法自发布之日起施行，原《大连东软信息学院校园网络信息安全管理办法》（东软校发[2015]74号）同时废止。