东北石油大学网络与信息安全管理办法(试行)
第一章 总 则
第一条为切实加强校园网络信息安全管理工作,提高网络与信息安全防护能力和水平,规范网络信息服务和个人上网行为,充分发挥校园网的信息传播功能、教育服务功能和对外宣传功能,促进校园网健康发展,依照《中华人民共和国网络安全法》《中华人民共和国计算机信息网络国际联网安全保护管理办法》《中华人民共和国计算机信息系统安全保护条例》《中华人民共和国互联网信息服务管理办法》等有关法律、法规和文件的规定和要求,结合我校实际,特制定本办法。
第二条学校网络与信息安全,包括校园计算机网络(以下简称校园网络)与信息系统(含网站,下同)的运行和信息内容的安全。
第三条本办法适用于所有东北石油大学校园内并通过学校统一出口接入互联网的各级网站、应用系统、移动APP、新媒体平台等。
第四条学校按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,建立健全网络与信息安全责任体系,学校各单位、全体师生员工应依照本办法要求及学校相关标准规范履行校园网络与信息管理的义务和责任。
第二章 管理体制与职责
第五条学校网络安全和信息化领导小组领导学校网络与信息安全全面工作,学校网络安全和信息化办公室(以下简称校网信办)统筹协调各单位按照本办法履行网络安全和信息化的责任与义务。
第六条党委宣传部负责对校园网络信息的日常监管、重要播发信息的政治审查、网络舆情的监控,统筹学校门户网站建设管理和新媒体内容管理,推进校园网络安全宣传教育和网络空间法治建设。
第七条党政办公室负责学校各部门网络安全与信息化工作的协调沟通,以及校园网络保密管理和校务信息化网络安全管理工作。
第八条现代教育技术中心作为技术部门负责校园网的规划、设计、建设、日常管理和维护;进行校园网络和信息系统的整体安全技术防护,保障网络和信息系统安全运行;保存网络运行日志;负责入网单位和个人登记入网,签署相应的安全责任书。
第九条保卫处负责协调、配合公安机关对网络违法犯罪行为进行调查、取证,根据相关证据及事态影响或破坏程度,协助公安机关对网络违法犯罪行为进行处理。
第十条国际交流合作处牵头负责学校英文版网站的建设与内容管理,具体负责网站建设的协调工作及网站的总体栏目设计、网页信息内容的审查把关、网站信息的翻译、审定和发布。
第十一条学校各单位(部门)是校园网的接入单位,网络与信息系统的主办单位承担安全监管责任,包括内容安全监管、技术安全保障和监督检查等职责;网络与信息系统的使用单位和个人对系统操作与信息内容的安全监管承担直接责任。网络与信息系统通过外包服务方式进行维护的,主办单位负责督促外包服务单位做好安全运维工作,网络与信息系统的安全监管责任主体仍为主办单位。
第十二条各二级单位成立本单位网络信息安全管理工作小组,由各单位党组织书记或行政负责人担任组长,党政负责人为本单位网络信息安全管理工作的第一责任人,负责本单位的网络与信息安全、信息化建设等工作,审定本单位发布的校园网络信息,并负相应的政治和法律责任。
第十三条各单位必须设置至少一名网络信息安全员,负责本单位局域网管理、网站管理、业务系统管理维护、网络信息发布及自有网络相关设备维护等工作。
第十四条各单位网络信息安全负责人、网络信息安全员采取备案制度,发生变动时,应及时向现代教育技术中心报送上述人员的备案信息。
第三章 用户接入与安全管理
第十五条校园网络是指校园范围内连接各种信息系统及信息终端的计算机网络,包括校园有线网络、无线网络和各种虚拟专网。校园网用户分为单位用户和个人用户。单位用户必须是学校的正式机构,个人用户必须是学校的正式教职工和在校学生。
第十六条校园网络与互联网及其他公共信息网络实行逻辑隔离,由现代教育技术中心统一出口、统一管理和统一防护。未经批准,学校各单位在校园内不得擅自通过其他渠道接入互联网及其他公共信息网络。
第十七条现代教育技术中心采取访问控制、安全审计、完整性检查、入侵防范、恶意代码防范等措施加强校园网络边界防护。
第十八条所有接入校园网的单位必须签署《东北石油大学校园网络安全管理责任书》,并严格遵照执行。
第十九条师生员工接入校园网络,须实名认证,并对网络账号安全使用负责,不得随意转让。学校非涉密信息系统接入校园网络,实行接入审批和备案登记制度,涉密信息系统不得接入校园网络。
第二十条用户上网单位负责人要严格把关,认真履行校园入网程序,个人用户、机房和服务器接入校园网必须办理开户手续,由所在单位网络信息安全负责人签字并加盖公章,报现代教育技术中心审批后,方可使用校园网资源。机房入网要配备专职机房管理员,制定机房管理制度,保证实名制、上网信息留存180天并可查。服务器入网配备专人日常维护和管理,服务器非必要外网访问的应用统一限制校内访问。
第二十一条校园网用户要认真履行校园退网程序,拆除网络时需提前办理退网手续,报现代教育技术中心备案。已经办理退网手续或因故被停止使用的用户,必须切断与校园网络的物理连接。
第二十二条校园网络接入单位负责提供本单位所需的网络设备间和电源保障,协助解决网络布线和设备安装所需空间,负责安防和消防安全管理。
第二十三条学校网络建设统一归口现代教育技术中心管理,各单位有特殊需求建设本单位局域网,并接入校园网等情况,需提前将建设技术方案报送现代教育技术中心,现代教育技术中心对技术方案审核通过后,方可接入校园网。
第二十四条校园网络的IP地址由现代教育技术中心统一规划、统一管理。对IP地址使用有特殊需求的单位或个人可向现代教育技术中心提出申请,办理相关手续后方可使用。
第二十五条接入校园网络的单位和个人不得进行二次运营,不得发展本单位以外的任何用户,不得以任何形式为未经授权人员提供上网条件。未经许可不得擅自关闭、挪用网络设备、更改网络设施位置。
第二十六条在校园网络上严禁制作、查阅、复制或传播下列信息:
(一)煽动抗拒、破坏宪法和国家法律、行政法规实施;
(二)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一;
(三)损害国家荣誉和利益;
(四)煽动民族仇恨、民族歧视,破坏民族团结,或者侵害民族风俗习惯;
(五)宣扬恐怖主义、邪教、封建迷信,违反国家宗教政策;
(六)捏造或者歪曲事实,散布谣言,扰乱社会秩序,破坏社会稳定。
第二十七条在校园网络上严禁下列行为:
(一)破坏、盗用、篡改计算机网络中的信息资源;
(二)故意泄露、窃取、篡改个人电子信息,擅自利用网络收集、使用个人电子信息,出售或者非法向他人提供个人电子信息;
(三)违背他人意愿、冒用他人名义发布信息;
(四)攻击、入侵、破坏计算机网络、信息系统及设备设施;
(五)故意阻塞、中断校园网络,恶意占用网络资源;
(六)故意制作、传播、使用计算机病毒、木马、恶意软件等破坏性程序,对网络地址或端口进行非法扫描等活动;
(七)传播有害程序,故意大量发送垃圾电子邮件、垃圾短信等,干扰正常网络秩序;
(八)盗用未授权的、他人账号、盗用他人IP地址,使用未授权的计算机网络资源(如登录未授权主机);
(九)私自转借、转让用户账号;
(十)私自开设二级代理和路由接纳网络用户;
(十一)以端口扫描和私搭DHCP服务器等方式,破坏网络正常运行;
(十二)私自将外网串接到校园网络;
(十三)其他违反法律法规或危害网络与信息安全的行为。
第二十八条校园网络上网用户,上网前必须安装防病毒软件和相应的操作系统补丁。及时对所使用的软件系统进行升级,经常修改机器安全密码,查杀病毒。对发生病毒等安全问题不及时处理,对其关停网络,情节严重的追究其责任。
第二十九条校园网络要自觉接受公安机关的监督指导,上网用户有义务向本单位网络信息安全员和有关部门报告违法犯罪行为和有害、不健康的信息,共同维护校园网络安全秩序。
第四章 信息发布管理
第三十条各单位在校园网站和信息系统发布信息必须坚持归口管理和“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,按照下列规定和程序办理:
(一)学校门户网站新闻类信息发布流程:各单位在信息发布前,必须由本单位网络信息安全负责人对所发信息进行审核,审查合格后提交党委宣传部审核,党委宣传部负责校级网站新闻类信息的日常管理和信息审核,审核合格后在学校门户网站发布。
(二)学校门户网站通知公告类信息发布流程:各单位在信息发布前,必须由本单位网络信息安全负责人对所发信息进行审核,审查合格后提交党政办公室审核,党政办公室负责校级通知公告的日常管理和信息审核,审核合格后在学校门户网站发布。
(三)学校英文版网站各类信息发布流程:各栏目信息由负责单位提供,并由该单位网络信息安全负责人审核,审查合格后提交国际交流合作处会同党政办公室、党委宣传部审核审批,国际交流合作处负责信息内容的英文翻译,审核合格后在学校英文网站发布。
(四)各单位网站信息发布流程:各单位在信息发布前,必须由本单位网络信息安全负责人对所发信息进行审核,审查合格后在本单位网站发布。
(五)各单位凡涉及安全稳定或学校名誉、形象和知名度的有关重大事件以及尺度把握不准的信息,发布前必须由本单位网络信息安全负责人签署意见后报送党委宣传部进行政治审查。审查合格后,完成后续信息发布工作。
第三十一条各接入单位的网站由现代教育技术中心分配网站群系统账号和密码,网站建设必须要在网站群平台中开发制作。现代教育技术中心负责学校网站群平台的管理运行,校园所有的网站、信息系统、移动APP等外网访问权限由现代教育技术中心统一分配和管理。
第三十二条根据《中国互联网域名注册暂行管理办法》的相关规定,学校网络主域名实行规范管理。主域名为nepu.edu.cn,代表东北石油大学。子域名由现代教育技术中心统一分配,使用规范的学校域名xxx.nepu.edu.cn。要求学校各类网站和信息系统接入校园网必须采用域名访问,域名申请由各单位统一办理,严格履行域名开通办理手续,由本单位网络信息安全负责人审核同意后提出申请,经现代教育技术中心审批后开通使用,不接受以个人名义申请学校域名。
第三十三条为方便在校师生获取电子信息资源和对外交流,在职教师和在校学生可以申请开通校园电子邮箱账号。教师邮箱地址:用户名@ nepu.edu.cn,学生邮箱地址:用户名@stu.nepu.edu.cn,师生认真履行邮箱申请办理手续,经现代教育技术中心审批后开通使用。邮箱用户密码须设置强密码,并妥善保管和使用。
第三十四条为方便获取校内信息资源访问校内信息系统,在校师生可以申请开通校园WEBVPN账号。师生认真履行申请办理手续,经现代教育技术中心审批后开通使用。WEBVPN用户密码须设置强密码,并妥善保管和使用。
第五章 信息系统(网站)管理
第三十五条未经学校网络安全与信息化领导小组许可,任何入网单位或个人不得冠有“东北石油大学”或“东油”中外文字样开通信息发布、电子公告栏(BBS)、聊天室、博客、微博、微信等公众信息服务系统(含网站)。
第三十六条学校各信息系统、移动APP、微信公众号等实行信息系统上线报批备案制。各单位在校园网上开通信息系统、移动APP、微信公众号、视频号等,须经党委宣传部审批,报现代教育技术中心备案。对于新建、改建、扩建的信息系统,应当在规划、设计阶段同步建设网络信息安全保障措施,并根据学校信息化发展需要,建设部门有义务提供系统集成标准接口。新开发的信息系统必须经过第三方安全检测机构出具检测报告、签订《东北石油大学信息系统(网站)安全责任书》后方可上线运行。学校各单位不允许超出许可或备案的类别、项目提供互联网信息服务。
第三十七条学校信息系统上线后,按照国家信息系统安全等级保护相关制度完成信息系统的定级和备案工作。专家确定系统安全保护等级,备案单位负责填写系统备案信息,等级保护定为一级的信息系统在现代教育技术中心办理备案手续,等级保护定为二级及以上的信息系统在公安机关办理备案手续。同时,按照相关要求开展信息系统安全等级测评工作。
第三十八条信息系统提供托管主机、FTP、电子公告栏(BBS)、微博、博客、网络新媒体以及在微信、QQ等互联网社交平台上开办公众服务号的单位、组织和个人,必须向党委宣传部提出书面申请,说明服务器主管单位、主要负责人、设立时间、地点、用途等,经党委宣传部审批,并报现代教育技术中心备案。获得批准后应设置相应的管理员和管理制度,包括安全保护技术措施,信息发布审核登记制度,信息监测、保存、清除和备份制度,不良信息报告和协助查处制度,以及管理人员岗位责任制。
第三十九条校园网络播发的信息、电子公告服务、新媒体信息不得含有下列内容:
(一)违反宪法所确定的基本原则;
(二)危害国家安全,泄露国家秘密,煽动颠覆国家政权,破坏国家统一;
(三)损害国家的荣誉和利益;
(四)煽动民族仇恨、民族歧视,破坏民族团结;
(五)破坏国家宗教政策,宣扬邪教,宣扬封建迷信;
(六)散布谣言,编造和传播虚假新闻,扰乱社会秩序,破坏社会稳定;
(七)散布淫秽、色情、赌博、暴力、恐怖或者教唆犯罪;
(八)侮辱或者诽谤他人,侵害他人合法权益;
(九)法律、法规禁止的其他内容。
第四十条以电子公告栏(BBS)、网络聊天室、留言板、跟帖等交互形式为上网用户提供信息交流功能的信息系统上发布的信息,须由该信息系统主办单位及主管部门进行审核和监控。必须实名发表内容,对校外人员不提供发言功能,仅提供浏览。党委宣传部和现代教育技术中心随时进行监督。
第四十一条电子公告服务提供者及其主管部门要加强对电子公告服务的规范和管理,严格实行用户实名注册制度。遵守相关法律、法规,并对所发布的信息负责,及时发现和删除各类有害信息。对有害信息防范不力的要限期整改,对有害信息蔓延、管理失控的要予以关闭。
第四十二条各单位原则上应依托校园网络开展信息系统建设。涉及学校基础数据、师生员工个人信息或敏感信息的信息系统,原则上不得部署在校外。需要在校外开办信息系统的单位,须提前将服务器网址、提供服务栏目及主要负责人等信息报送党委宣传部审批,报现代教育技术中心备案。部署在校外的网络和信息系统,安全监管责任主体仍为主办单位。
第四十三条校园网站链接境外新闻网站,播发境外新闻媒体和互联网站发布的新闻,必须经党委宣传部批准。
第四十四条对于使用频度不大、阶段性使用的网站,开办单位可采取非工作时间或寒暑假、节假日关闭的方式运行。对于无人管理、无力维护、长期不更新的网站,开办单位应申请关闭网站以降低安全风险。
第四十五条各单位必须按照国家和学校的相关规定对本单位的网络和信息系统(网站)进行定期巡检、漏洞修复和信息报送工作。
第四十六条现代教育技术中心对各单位信息系统做安全漏洞巡检,对于巡检出现安全漏洞的信息系统,将第一时间通知其所属单位网络信息安全员,所属单位在收到安全漏洞通告后必须在规定时间内完成安全修复及整改,如未能在规定时间内修复漏洞,现代教育技术中心有权将其存在安全漏洞的信息系统作下线处理,因未及时修复漏洞而造成安全事件的相关责任由该信息系统所属单位承担。
第四十七条各单位作为安全等级保护的责任主体,须按照国家网络安全等级保护的管理规范和技术标准进行备案、确定信息系统的安全保护等级,并报现代教育技术中心审核。学校按相关规定选择具有相关技术资质和安全资质的测评单位,对信息系统进行等级测评。经测评,信息安全状况未达到安全保护等级要求的,信息系统的主办单位应制定整改方案并落实到位。
第四十八条各单位对于主办的信息系统(网站),须采取必要的安全措施,严防入侵、篡改、泄露等事件发生。信息系统(网站)主办单位和运维单位要各司其职,各负其责。
第六章 应急处置
第四十九条各单位须建立本单位网络和信息系统安全值守制度,严密监控本单位信息系统运行状况及信息内容,做到安全事件早知道、早报告、早控制、早解决。
第五十条各单位须根据《东北石油大学网络与信息安全突发事件应急预案》等要求对发生的网络与信息安全事件第一时间上报校网信办,启动应急预案,做好应急响应、监测预警和通报,须把网络安全应急工作责任落实到具体岗位和个人,建立健全应急工作机制,提高应对网络与信息安全类突发公共事件的能力,预防和减少由此造成的损失和危害,维护学校的安全和稳定。
第七章 保密安全
第五十一条各单位根据国家有关规定,须对本单位用户及所使用计算机进行涉密检查,凡涉密计算机严禁上网。
第五十二条各单位结合保密工作要求,须制定信息安全保密管理的具体措施,坚持“谁主管谁负责、谁运维谁负责、谁使用谁负责”和 “上网不涉密、涉密不上网”的原则,对上网信息进行审查,严禁涉密信息上网。
第八章 宣传教育
第五十三条学校和各单位要开展经常性的互联网信息安全和文明上网的宣传,加强对广大师生员工的教育和引导,增强师生员工使用网络的法治意识、责任意识、政治意识、自律意识和安全意识,形成共同抵制有害信息的良好氛围。
第九章 监督检查
第五十四条校园网工作人员、各入网单位和用户必须接受并配合国家有关部门依法进行的监督检查。
第五十五条校园网工作人员、各入网单位和用户必须接受学校有关部门依法进行的监督检查,并对学校采取的必要措施给予配合。
第十章 支持保障
第五十六条网络与信息安全人员配置、人才引进和梯队建设的相关工作由人事处统筹管理。
第五十七条网络与信息安全工作的资金由计划财务处统筹规划,合理使用。
第五十八条校园规划管理部门和建设部门负责在学校地下管网统一管理的原则下,进行规划、建设和运行维护。学校所有基建、修缮工程应将工程范围内校园网络建设纳入工程设计、实施和竣工验收范畴。
第十一章 责任追究
第五十九条违反本办法的单位或个人,学校将予以警告、禁止播发信息、停止网络连接、责令限期改正;情节严重的,追究主管领导及相关责任人的责任,由学校有关部门依照校纪、校规及相关法律、法规进行处理。
第六十条违反本办法的单位或个人,如触犯国家有关法律、法规,构成犯罪的,依法追究其刑事责任;尚不构成犯罪的,由公安机关或者国家安全机关依照有关法律、行政法规的规定给予行政处罚。
第六十一条违反本办法规定,给国家、集体或者他人财产造成损失的应当依法承担民事责任。
第十二章 附则
第六十二条本办法由校网信办负责解释。本办法自发布之日起施行,原《大庆石油学院校园网络管理条例》(庆油院发〔2004〕35号)《关于进一步加强校园网络信息管理的规定》(庆油院发〔2006〕35号)即行废止。