天津商业大学宝德学院

网络和信息安全管理办法

第一章 总则

第一条 为保障校园网络安全，加强校园网络的管理，营造安全、健康、文明的网络环境，促进学校各项事业健康有序发展，根据《中华人民共和国网络安全法》《信息安全技术-网络安全等级保护基本要求》（GB/T22239-2019）等国家网络安全相关法律法规、国家标准和政策要求，结合学院实际，制定本办法。

第二条 本办法适用于非涉密信息管理，涉密信息管理按照信息安全保密管理体系文件的要求，落实“涉密不上网、上网不涉密”的基本原则。

第三条 本办法所称网络和信息安全工作，是指由学院建设、运维、管理并支撑学院教学、科研、管理、服务等各项事业的校园网络、数据中心、信息系统等以及各类校园网络接入终端开展的相关管理和技术工作，防止发生网络攻击、信息破坏、有害程序入侵、信息化设备设施故障等事件的发生。

第四条 学院按照国家有关网络安全和信息化政策法规，制定网络与信息安全总体规划，并按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，建立健全网络信息安全责任体系。坚持同步规划、同步建设、同步实施、同步发展的原则，建立健全网络安全防护体系，全面实施网络安全等级保护制度。学院各部门应签署《网络安全责任书》，各部门和全体师生应依照本办法及相关文件履行网络安全的义务和责任。 

第五条 网络和信息安全工作是学院信息化建设的重要工作，各部门应通力合作，在人员、资金、技术、设备等方面提供充足的支持与保障。

第二章 组织机构及职责分工

第六条  学院网络安全和信息化工作领导小组为学院网络安全工作的领导机构，负责学院贯彻落实党中央、国务院以及天津市关于网络安全和信息化工作的方针政策和决策部署；研究制定学院网络安全和信息化发展规划、推进措施，统一领导、统一部署全校网络意识形态、网络安全、数据安全和信息化发展工作；统筹制定网络安全和信息化顶层设计，建立健全工作机制，推动智慧校园建设，审议信息化建设项目合作共建的相关事宜；统筹落实网络安全和信息化工作责任制、落实网络意识形态责任制，协调各部门抓好工作任务落实，并加强督促检查。领导小组下设办公室，办公室设在网信办，负责组织落实党委及网络安全和信息化领导小组的各项决议与工作部署。

第七条  领导小组成员单位职责分工情况如下：

院长（党委）办公室负责协调上级部门和相关单位参与网络安全、数据安全应急响应和处置，负责有关网络信息安全保密工作。负责网络舆情预警，宣传阵地（如学院主页、学院微博、公众号等）信息内容审核工作。

财务部负责财务管理系统的日常运行安全维护、数据备份、数据安全等工作，协助网信办做好网络安全和信息化建设预算工作。

人力资源部负责协助网信办做好各部门网络安全责任制落实及网络安全培训和考核工作，支持网络安全和信息化专业队伍建设工作。 

教务部负责教学、科研管理活动的信息安全和管理工作，负责教务管理系统的日常运行安全维护、数据备份、数据安全等工作。

学工部负责学生在校信息、就业信息的数据备份、数据安全等管理，负责对学生网络安全教育和管理，做好对学生信息化素养的教育提升，以及对学生融媒体素养和网络行为的宣传教育。

安全保卫部负责防范网络诈骗的宣传、网络安全相关的案件的处置工作，协助公安机关打击学院内相关的网络安全违法犯罪活动。

后勤保障部负责学院网络中心机房的供电安全，协助信息技术中心做好校园网络管线规划，基础设施建设、修缮等保障通信线路管网的工作。

实验教学管理部负责经济管理虚拟仿真实验教学中心网络安全、数据安全和信息化建设的相关工作。

图书馆负责馆内各信息系统的日常运行网络安全维护、数据备份、数据安全等工作。

信息技术中心负责全院网络安全、数据安全的技术保障，统筹信息化系统建设和运维管理、培训工作。

各职能部门、教学单位和教辅单位负责本部门网站信息管理、各联网设备的管理和信息化建设等工作，协助学院做好本部门教职工在教学、科研、管理等方面信息化素养的教育提升工作。

第八条  各教学单位、教辅单位、职能部门（以下简称各部门）负责人为本部门网络和信息安全第一责任人，健全本部门网络安全管理制度、工作细则、工作队伍和应急预案，统筹本部门主管使用的计算机、信息系统、网站及新媒体平台的安全管理工作，落实相应责任到具体岗位、具体人。

第九条 师生应主动学习网络安全相关知识，培养科学健康用网习惯，配合做好宣传工作，积极参与网络安全的建设和管理，遵守学院网络安全管理的相关规定，不得从事危害国家安全、泄露国家秘密、侵犯知识产权、传播不良信息、破坏计算机信息系统等违法犯罪活动。

第三章 校园网络及基础设施安全管理

第十条 天津商业大学宝德学院校园网络（以下简称“校园网”）基础设施是指承载校园网正常运行的光纤通信线路、弱电设施设备、网络设备等基础设施设备。

第十一条 各部门及个人不得擅自建设、拆卸、更改、损毁、挪用校园网及相关基础设施，未经批准不得改变网络结构，私接外网出口。

第十二条 校园网主要服务于学院教学、科研及各项管理等，严禁利用校园网开展商业宣传等未经许可的其它活动。

第十三条 校园网入网实行实名认证，除专用机房、实验室等特殊场所经信息技术中心备案外，校园网用户必须通过学院统一身份认证或实名IP登记方式接入校园网，未经登记不得以任何方式私接校园网，严禁盗用他人上网账号或IP地址使用校园网。

第十四条 校园网用户应文明上网，规范网络行为，并做好个人信息安全防范。严禁利用校园网从事入侵、破坏、窃取、修改存储设备和计算机信息系统中的数据资源、配置参数等，不得利用校园网以任何形式攻击校内外网络等违法行为。

第十五条 学院对IP地址和域名的使用进行统一规划、分配和管理，由信息技术中心定期审查其使用情况，有权禁用涉嫌违法违规及存在安全隐患的IP和域名。

第十六条 为保障学院教学、科研、管理工作的稳定顺畅，学院有权根据运行情况对校园网进行适时调整与优化，对流量过高、挤占带宽资源严重的流量及应用进行限时、限速或封停操作。

第十七条 学院对校园网的安全进行监测管理，依法利用上网行为审计系统，对网站、软件等应用的违规上网行为进行审计，及时发现并追溯违法违规行为。对散布病毒、木马、违规使用校园网等危害校园网安全行为的，学院有权封停计算机或其使用人账号，并追究其法律责任。

第四章 物理安全管理

第十八条 物理安全管理是指通过技术和管理手段，保护校园服务器机房网络设备、服务器存储设备、动力环境设备等硬件设施免遭自然灾害（地震、水灾、火灾、爆炸等环境事故）和人为操作错误或失误而造成的破坏。

第十九条 单独设立服务器机房的部门应建立机房安全管理制度，严控机房进出人员，规范机房各项管理操作。

第二十条 学院电力维护部门应确保机房用电不间断，若确实需停电维护的，须提前通知后方可实施。

第二十一条 未经信息技术中心允许，任何单位或个人不得擅自对弱电间设备设施和校园通信线路进行操作。增加、安装、调试、更换、拆除弱电间的设备设施或通信线路时，必须做好相关操作记录，并向信息技术中心提前报备。

第二十二条 机房所属单位应做好机房动力环境工作，要有防火、防盗、防雷、防电磁防护、恒温、恒湿等安全措施，定期巡检，做好记录，发现异常及时处理，避免安全事故发生。

第五章 主机安全管理

第二十三条 主机安全管理是指通过一系列安全技术和安全管理措施，保证服务器、存储等主机设备（包括虚拟主机）数据存储和处理的保密性、完整性、可用性，以及主机硬件、固件和系统软件的自身安全。

第二十四条 各部门应指派专人负责本部门各类主机的安全维护和管理，定期对各类主机进行安全检查、漏洞修复和病毒扫描，及时发现、解决软硬件系统故障。

第二十五条 各部门可向信息技术中心申请主机托管服务。托管的主机原则上只允许对外开放以web服务为主的用于教学、科研和管理的互联网基本信息服务，以及校园内部使用的业务系统等。托管主机达到报废年限且不再使用的，应及时关停并移出托管机房。

第二十六条 托管主机的软硬件维护以及内部系统、软件的安装及安全管理由托管单位自行负责。

第二十七条 信息技术中心有权对托管主机进行必要的监控，以保证学院网络线路的正常运行。若托管单位违反校内网络安全相关制度，或托管服务器出现中毒、被黑客侵入等异常情况时，信息技术中心有权中断服务器网络的权利。

第六章 信息系统安全管理

第二十八条 学院信息系统建设使用应遵循校内网络安全相关制度、技术、规范和流程开展。

第二十九条 各部门应定期对本部门使用的信息系统和网站的安全状况、安全保护制度及措施的落实情况进行自查、修复等，并配合有关部门的信息安全检查、信息内容检查、保密检查等。

第三十条 各单位建设的面向在校师生开放的各类信息系统负责接入条件的应接入学院统一身份认证平台。

第三十一条 学院定期对校内的信息系统进行安全监测，对长期无人管理、内容不做更新、存在安全隐患、管理制度缺失或无固定的管理和维护人员的信息系统，有权予以清理和关闭。

第三十二条 各部门应落实网络安全等级保护制度。按照要求开展信息系统定级和备案工作。新建、改建、扩建信息系统应在设计阶段确定安全保护等级并同步建设安全防护措施。对于信息系统安全状况未达到网络安全等级保护要求的，相应系统主管部门应及时整改。

第三十三条各部门对建设使用的信息系统负直接管理责任，应安排专人负责系统的日常运维管理，包括但不限于系统用户账号的权限管理、口令管理、系统主机的漏洞管理等。 

第三十四条 信息系统的口令管理，为保证口令的安全性，对用户口令的管理应该遵循以下安全原则： 

（一）信息系统口令由网络管理员统一进行管理，注意保密； 

（二）口令设置符合保密要求：一般不少于 8 个字符，必须由大写、小写、数字、特殊字符中的2种及以上构成，不使用姓名的汉语拼音和常见的英文单词； 

（三）定期改变口令，通过系统设置强制实现所有用户口令至少每三个月修改一次，并且不能与上两次的相同；

（四）采用有效措施，保证用户口令的传输和存储时安全。

第三十五条 涉密信息系统不得直接或者间接地与国际互联网或其它公共信息网络相连接，应当根据国家涉密信息分级保护管理规定和技术标准进行保护。

第三十六条 涉密人员的非密计算机原则上不允许接入互联网，如必须接入，坚持“谁上网谁负责”的原则，做到涉密的信息不上网，上网的信息不涉密。

第七章 数据安全管理

第三十七条 详见《天津商业大学宝德学院数据安全管理办法》（试行）。

第三十八条 未经批准，任何单位和个人不得擅自提供信息系统产生的内部数据。对于非法泄露或擅自提供数据的单位或个人，依照相关法律法规予以处理。

第八章 信息发布管理

第三十九条 各部门应建立健全信息发布、信息审查、应急处置机制，指定人员负责审查上网信息和信息系统保密管理，严禁发布涉密信息。负责涉及学校或本部门舆情的处置引导，以及监管本部门师生开设的博客、微博、微信等自媒体平台。

第四十条 各部门进行信息发布公开时应避免将学号、身份证号、手机号、家庭住址等敏感信息在网站进行公开展示，若确需展示应按照一定规则对敏感信息进行脱敏后展示。 

第四十一条 任何单位和个人不得利用网络制作、复制、传播下列信息:

（一）反对宪法所确定的基本原则的;

（二）危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的;

（三）损害国家、学院荣誉和利益的;

（四）煽动民族仇恨、民族歧视，破坏民族团结的;

（五）破坏国家宗教政策，宣扬邪教和封建迷信的;

（六）散布谣言，捏造或者歪曲事实，扰乱社会秩序，破坏社会稳定的;

（七）散布封建迷信、淫秽、色情、赌博、暴力、恐怖或者教唆犯罪的;

（八）侮辱或者诽谤他人，侵害他人合法权益的;

（九）涉及个人隐私和敏感信息；

（十）以非法民间组织名义组织活动的;

（十一）涉及学院保密信息、危及学院安全稳定的;

（十二）法律法规禁止的其他内容。

第四十二条 各部门须严格遵循内容审核机制，规范信息发布审批流程，加强信息安全监控，防范出现内容被篡改等安全事故。

第九章 监测预警与网络安全事件的处置

第四十三条 学院不定期对校内各类信息系统、网络、其他网络相关设备开展网络安全监测，并发布监测报告。各单位应及时配合落实网络安全自查和问题整改，避免网络安全事件发生。

第四十四条 校内网络安全事件的处理由信息技术中心协同有关部门负责组织实施，按照《天津商业大学宝德学院网络安全事件应急预案》进行分级、分类处理。安全事件相关单位及人员应积极配合，认真落实网络安全事件处置相关工作。为避免安全事件不良影响扩大，信息技术中心有权直接对安全事件相关的网络及信息系统进行断网、停止服务等应急处理。

第四十五条 各部门应按照学院网络安全应急预案，定期开展应急演练，提高网络安全事件处置能力，发现网络安全问题应及时向信息技术中心报告并进行必要的应急处理。

第四十六条 信息技术中心负责组织校内网络安全处置应急演练，相关部门应积极参与，通过演练提高校内网络安全事件处置能力。

第十章 责任追究

第四十七条 网络安全事件的责任认定，由信息技术中心提交给网信办，由网信办上报学院网络安全和信息化工作领导小组，经领导小组会议审议处理。

第四十八条 对于违反法律、法规，造成国家、学院和个人损失的单位或个人，学院将依据《中华人民共和国网络安全法》等法律法规配合公安、网信等主管部门进行处理。

第十一章 附则

第四十九条 本办法由网信办负责解释，自印发之日起施行。

第五十条 原《天津商业大学宝德学院网络信息安全管理办法》（试行）（天商宝德院〔2017〕31号）同时废止。