烟 台 理 工 学 院
烟理工校字〔2024〕77 号
烟台理工学院网络安全管理办法
第一章 总则
第一条 为加强学校网络安全管理,提高网络安全防护能力 和水平,营造安全、健康、文明的网络环境,保障学校教育事业 健康有序发展,根据《中华人民共和国网络安全法》等相关法律 法规,结合学校实际,制定本办法。
第二条 在校内建设、运营、维护和使用的网络及信息系统, 以及网络安全的监督管理,适用本办法。本办法所指各单位包括 学校党政部门、直属单位、各学院及研究机构等。
第三条 网络安全管理坚持信息化建设与网络安全并重,遵 循科学发展、依法管理、确保安全的方针,推进网络基础设施、 网络平台、网络信息等安全管理协调发展,建立健全网络安全工作体系。
第二章 管理体制与责任
第四条 网络安全和信息化工作领导小组是学校网络安全 的领导机构,全面领导学校网络安全工作。
第五条 信息技术与网络管理中心负责学校网络安全日常 管理工作。主要职责是:
(一)拟定网络安全管理规章制度,并组织实施;
(二)负责校园骨干网络和中心机房软硬件系统的安全运维 工作;
(三)组织开展学校网络安全等级保护工作;
(四)负责网络安全监督检查等相关工作。
第六条 网络安全和信息化工作领导小组办公室主要负责 重大网络安全事件协调处置、网络政务安全管理、网络安全法律 咨询等方面的工作。
第七条 党委宣传部主要负责网络媒体平台信息发布内容 的管理和指导,以及网络意识形态安全等方面的工作。
第八条 保卫处主要负责受理网络不良信息举报,协助公安 机关对网络违法违规行为线下处置工作。
第九条 按照“谁主管谁负责、谁运维谁负责、谁使用谁负 责”的原则,学校各单位是本单位网络和信息安全工作的责任主 体,各单位主要负责人是本单位网络和信息安全工作第一责任人,负责按本办法落实网络安全工作。各单位应明确指定本单位信息 网络、互联网站和应用系统的运行维护责任人,责任人名单报备 网络安全和信息化工作领导小组办公室,人员变动时应及时调整 并报备。全校师生员工应依照本办法要求及学校相关标准规范履 行网络安全的义务和责任。
第三章 网络运维安全管理
第十条 校园网络与互联网及其他公共信息网络实行逻辑 隔离,由信息技术与网络管理中心统一出口、统一管理和统一防 护。未经批准,学校各单位在校园内不得擅自通过其他渠道接入 互联网及其他公共信息网络。
第十一条 学校按照网络安全等级保护制度的要求,履行安 全保护义务,开展网络安全等级保护工作,保障校园网络免受干 扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、 篡改。
第十二条 信息技术与网络管理中心应采取访问控制、安全 审计、完整性检查、入侵防范、恶意代码防范等措施加强校园网 络边界防护。
第十三条 任何单位和个人不得从事入侵他人网络、干扰他 人网络正常功能、窃取网络数据等危害网络安全、故意制作、传 播计算机病毒等破坏性程序的活动;不得提供从事入侵网络、干 扰网络正常功能、窃取网络数据等危害网络安全活动的工具和制作方法;不得为他人实施危害网络安全的活动提供技术支持、广 告推广、支付结算等帮助。
第十四条 各单位采购信息产品、服务(含终端设备、工作 站、操作系统和信息系统等)应当符合相关国家标准、行业标准。 属于关键信息基础设施的,按有关规定实行安全审查。
第十五条 信息技术与网络管理中心应认真记录对重要设 备和信息系统的日常操作、运行维护记录、参数设置和修改等内 容,严禁任何未经授权的操作。
第十六条 校园各区域的网络设备,其管理、维护等均由信 息技术与网络管理中心统一负责,未经批准,不得以任何方式试 图登录、修改、设置、破坏校园网内的交换机、路由器和服务器 等。
第十七条 校园网络接入单位负责提供本单位所需的网络 设备间和电源保障,负责其安防和消防安全管理。
第四章 网络信息安全管理
第十八条 校园网所有用户必须遵守国家有关法律法规和 学校的有关管理规定,严格执行信息安全保密制度,对所提供和 发布的信息承担相应责任。
第十九条 任何单位和个人不得通过网络制作、发布、传播 或者查阅下列信息:
(一)煽动抗拒、破坏宪法和法律、行政法规实施的;
(二)煽动颠覆国家政权,推翻社会主义制度的;
(三)煽动分裂国家、破坏国家统一的;
(四)煽动民族仇恨、民族歧视,破坏民族团结的;
(五)捏造或者歪曲事实,散布谣言,扰乱学校和社会秩序 的;
(六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐 怖,教唆犯罪的;
(七)公然侮辱他人或者捏造事实诽谤他人的;
(八)损害学校形象和学校利益的。
第二十条 各单位要按照国家及学校有关规定,加强本单位 校园网信息发布审核管理,未经审核通过的信息内容不得发布。
第二十一条 校园网用户必须自觉配合国家和学校有关部 门依法进行的监督、检查。用户发现违法有害信息,有义务向学 校有关部门报告。
第五章 人员安全管理
第二十二条 各单位应建立健全本单位的岗位信息安全责 任制度,明确岗位及人员的信息安全责任。关键岗位的计算机使 用和管理人员应签订信息安全与保密协议,明确信息安全与保密 要求和责任。
第二十三条 各单位应加强人员离岗、离职管理,严格规范 人员离岗、离职过程,及时终止相关人员的所有访问权限,收回- 6 -学校提供的软硬件设备,并签署安全保密承诺书。
第二十四条 各单位应建立外部人员访问机房等重要区域 的审批制度,外部人员须经审批后方可进入,并安排工作人员现 场陪同,对访问活动进行记录和保存。
第二十五条 信息系统建设单位应与信息系统提供商签订 网络安全与保密协议。外包服务需求单位应与信息技术外包服务 提供商签订网络安全与保密协议,明确信息安全与保密责任。网 络安全与保密协议应按学校合同管理办法的有关要求,报信息技 术与网络管理中心备案。
第六章 巡查预警与应急处置
第二十六条 学校建立网络安全巡查和信息通报机制,对网 络关键基础设施和信息系统等运行安全情况、内容发布和传播等 信息安全情况进行巡查,加强网络安全信息的收集、分析、研判 等工作,并按照规定报送或通报巡查预警信息。各单位应建立相 应网络安全巡查和信息报送机制,加强本单位网络基础设施、网 络信息、基础数据和工作队伍的日常管理,对巡查中发现的安全 隐患,应及时处置和整改,同时向网络安全和信息化工作领导小 组办公室报告。
第二十七条 学校建立健全网络安全应急工作机制,完善网 络安全应急指挥体系,制定综合、专项网络安全应急预案,并组 织演练。各单位应建立健全相应的网络安全应急机制,制定本单- 7 -位网络安全应急预案,并组织演练。网络安全应急预案应当按照 安全问题的类别、影响程度和范围等因素对网络安全事件进行分 类、分级,并制定相应的应急处置措施。
第二十八条 发生网络安全事件,相关单位应立即启动网络 安全事件应急预案,并向网络安全和信息化工作领导小组办公室 报告,属于重大网络安全事件的由网络安全和信息化工作领导小 组统筹处置、调查、评估以及后续相关工作,并按规定向上级部 门报告或通报信息。网络安全事件应急处置后,责任单位须进行 安全整改,并向网络安全和信息化工作领导小组办公室提交整改 报告。
第七章 保障措施及责任追究
第二十九条 学校保障网络安全及信息化发展所需的人员 编制和经费投入,建设高水平网络与信息安全技术支撑队伍。
第三十条 网络安全管理工作按照统一领导、分级管理、逐 级负责、责任到人的原则实行责任追究制。
第三十一条 各单位要按照网络信息安全事件报告与处置 流程及时、如实地报告和妥善处置网络信息安全事件。对不按照 规定制定预案和组织开展演练,迟报、谎报、瞒报和漏报网络安 全事件重要情况或者在应急管理工作中有其他失职、渎职行为的, 依照相关规定对有关责任人给予处分;构成犯罪的,依法追究刑 事责任。
第三十二条 师生员工违反网络与信息安全相关管理规定 造成不良后果的,视情节轻重,由相关部门给予批评教育或纪律 处分;构成犯罪的,依法追究刑事责任。
第八章 附则
第三十三条 紧急情况下,经网络安全和信息化工作领导小 组批准,信息技术与网络管理中心可以采取特别技术措施以维护 学校网络与信息安全。
第三十四条 本办法未尽事宜,依照法律法规和上级文件要 求确立的原则处理。
第三十五条 本办法由信息技术与网络管理中心负责解释。 自发布之日起施行。
烟台理工学院
2024 年 10 月 23 日