2015年12月30日 西安电子科技大学网络与信息安全管理办法 （试行）

第一章 总 则

第一条 为强化学校网络与信息安全管理，保障学校网络与信息系统安全稳定运行，提升防范安全风险的能力和管理水平，保护学校和师生各类信息安全，根据国家有关规定，结合我校实际，特制定本办法。

第二条 本办法所称网络与信息安全，是指在学校信息化规划建设、运行维护及废止等过程中保障信息化环境、网络设施、信息系统及内容等安全的一系列管理与技术活动。包括但不限于物理环境、网络设备、主机系统、应用系统、数据信息和运行管理安全等建设与维护管理，以及通过校园网进行的任何形式信息传播管理，如网站、电子邮件、论坛、留言板、网络视频/音频服务等。本办法适用学校所有单位、个人以及使用学校校园网或信息资源的其他单位的人员。

第三条 网络与信息安全管理遵循“统筹规划、同步建设、集中管理、分级负责”的工作思路，实行“谁主管谁负责，谁主办谁负责，谁使用谁负责”的管理原则。

第二章 职责分工

第四条 信息化建设处是学校网络与信息安全的归口管理单位，负责网络与信息安全总体技术保障和运维管理工作。负责编制信息安全规划和工作计划；组织制定安全管理制度和运行管理规范；负责建立信息安全技术防护体系；组织开展信息系统定级、备案、测评和整改工作；负责审核新建信息系统安全设计方案和组织系统上线安全评测；组织实施信息安全检测和协调处理信息安全事件；指导各部门信息安全工作等。主要负责全校性的网络和信息系统安全，负责对校园网络、数据中心机房服务器和存储等基础设施进行安全维护管理和运行监测，进行系统安全升级和数据统一备份。

第五条 党政办公室负责学校门户网站重要固定内容的审核管理和各单位网上信息内容的指导和监管。

第六条 宣传部负责学校新闻和论坛等动态信息内容的审核管理，以及互联网不良信息的监控，会同信息化建设处、保卫处共同完成相关取证工作等。

第七条 保密办公室负责涉密网络和信息系统等的管理，负责科研相关信息的发布审核。

第八条 各单位负责本单位主管的业务管理信息系统、网站等的信息安全管理，建立信息系统的系统安全、应用安全、权限管理和数据信息安全建设管理和防范措施，做好数据维护、备份和归档工作。

第三章 规划建设

第九条 学校信息系统必须符合国家信息安全等级保护和学校信息安全管理的相关要求。

第十条 学校建设安全可靠信息化机房环境，配备符合标准的配电、防雷、灭火、照明、温度、湿度、门禁等设施与系统。

第十一条 学校部署路由器、防火墙、网闸、入侵防御、安全审计、防病毒、网页防篡改等安全设备与系统；购置正版安全数据库、操作系统、应用软件等；完善数据与系统备份容灾体系建设，采取服务器管控、统一认证、数字签名、传输加密、终端防护等措施，建立安全运维管理平台等加强技术防护监管建设。

第十二条 学校统一管理互联网出口和校园互联网运营。各单位通过统一出口接入互联网；确需另行开通互联网出口的单位，需经信息化建设处审批后方可开通。在校园内提供访问互联网服务的校外单位经营的网络，其建设、改造、运营等方案须报信息化建设处审核，通过学校审批和安全测评后方可投入使用。任何单位和用户不得私自提供网络接入和互联网服务。互联网接入涉及保密区域、单位和人员的同时报保密办公室审批。

第十三条 新建、改建或扩建信息系统时，系统和安全建设同步规划、同步设计、同步实施，保证安全设计的完整实现，并通过学校组织的安全测评。

第十四条 信息系统相关操作系统、数据库、应用程序等安装调试完毕后，必须提交完整的系统安装配置等文档，并须经过项目安全测评方可上线运行。项目验收前，所有文档全部从建设单位收回，由业务管理单位专人管理，并在信息化建设处留存备案。

 第四章 运维管理

第十五条 建立健全机房安全管理，完善供配电、通信、空调、消防、监控等配套环境设施和巡查制度，加强门禁建设和人员进出管理。

第十六条 严格资产管理，建立完备的设备和系统管理制度，明确计算机设备使用者或管理者及其安全责任，根据重要程度采取不同的安全保护措施。

第十七条 规范配置调整过程管理，网络设备、主机系统、数据库系统和应用系统等进行配置和修改，须视情况由业务主管部门或会同信息化建设处进行评估和审批，调整后及时准确作好记录。

第十八条 加强网络设备与信息系统授权管理，按照“最小权限和分级控制”原则设置权限。各部门重要信息系统必须设置分级控制权限，重要密码必须分段设置并由主管业务的主要负责人和系统管理员分别妥善保管。各信息系统管理员在合法用户调离学校或身份变更时及时注销和调整权限。所有设备和系统须设置符合安全规定的严密复杂登录账号和密码，并定期更换。

第十九条 加强数据和资料管理，各单位安排专人负责对学校内部数据、个人信息、技术文档、资料和程序代码进行保管和保护，规范使用，防止泄露。涉密信息禁止通过校园网传 输。

第二十条 加强网络信息发布管理，各单位指定负责人及专人负责网上信息发布和审核。

第二十一条 加强邮件安全管理，职工须使用校内邮件系统处理工作业务，并定期清理工作邮件。

第二十二条 规范信息化建设和运维人员管理，重点岗位人员签订保密协议，建立离岗离职管理措施。

第二十三条 加强网络与信息安全外包服务的选择与管理，明确网络安全和保密责任，重要信息系统建设须与外包服务提供商和人员签署安全保密协议。外包服务人员操作生产设备、数据库和信息系统等须经批准并有专门人员陪同，并记录服务内容和过程；远程服务须采取访问控制、在线监测和日志审计等安全防护措施。

第二十四条 学校定期或不定期组织对网络和信息系统进 行安全检查、技术检测、渗透测试和风险评估，组织协调做好漏洞检查、病毒防护和系统更新升级工作，并做好书面记录工 作。

第五章 网络接入和用户管理

第二十五条 各单位提供公共上网服务的机房、实验室、电子阅览室等公共网络使用场所，须有专人对每台上网计算机进行管理，建立严格的实名上网登记制度，并保存至少3个月的上网记录。

第二十六条 校园网所有用户账号均以单位或个人实名开设，用户必须提供真实的资料。校园网账户仅供本单位或本人使用，禁止提供给他人使用。以单位名义开通的账户由使用单位安排专人负责管理。

第二十七条 校园网用户对个人各类账号负有管理责任，要加强个人的统一身份认证账号、上网账号、邮箱账号及密码管理，防止他人盗用后在网上进行违规和非法活动。

第二十八条 校园网用户必须遵守国家有关法律法规，不得在网上进行违规和非法活动，不得制作、复制、发布和传播 包括但不限于以下内容的信息：

1.违反国家宪法所规定的信息；

2.危害国家安全、泄露国家秘密、颠覆国家政权、破坏国家统一的信息；

3.损害国家荣誉和利益的信息，煽动民族仇恨、民族歧视，破坏民族团结的信息;

4.散布淫秽、色情、赌博、暴力、凶杀、恐怖或教唆犯罪的信息，欺辱或诽谤他人、侵害他人合法权益的信息；

5.含有法律、行政法规禁止的其他内容的信息。校园网用户有维护校园网信息安全的责任和义务，一旦在校园网上发现不良信息，应及时向所在部门及学校举报，如涉及违法犯罪行为，应依法移交公安司法机关处理。第六章应急处置

第二十九条 学校制定网络与信息安全事件应急预案，定期组织应急预案的演练，并根据人员、信息资源等变动情况以及演练情况适时予以更新和完善，确保应急预案的有效性。

第三十条 学校组织协调应急备用资源，建立应急队伍，配备必要备机、备件等应急物资。

第三十一条 建立安全事件通报制度。发生安全事件后，根据事件性质和程度，及时向学校或上级单位汇报，并按照应急预案开展处置工作，学校统一发布应急事件公告。

第七章 安全培训

第三十二条 学校制定网络与信息安全培训计划，并根据需要组织定期和不定期的分类培训。

第三十三条 学校开展普及性培训，进行网络安全形势、警示教育和基本技能培训，提高防御意识，合法合规使用资源。

第三十四条 学校开展网络安全管理和技术人员的专业技能培训，提高防范水平和应急处置能力。

第八章 附 则

第三十五条 本规定自发布之日起施行。

第三十六条 本规定由信息化建设处负责解释，并享有最终解释权。

西安电子科技大学党政办公室

 2016年1月5日印发