山西中医药大学网络与信息安全管理办法

第一章 总 则

第一条 为了保障学校网络与信息安全、促进学校信息化健康发展，根据国家相关法律法规并结合我校实际情况，特制定本办法。

第二条 网络与信息安全是指网络基础设施、网站、信息系统及数据内容等受到保护，保证网络、信息及内容的安全性、完整性、可用性、可控性。学校网络与信息安全管理工作分为网络安全、系统安全和内容安全三个方面。网络安全是指校园网（包括无线网络）基础设施的安全，包括光纤通信线路、网络布线和路由器、交换机等网络互联设备；系统安全是指承载校内各种应用系统的服务器、软件运行环境以及系统数据的安全；内容安全是指通过网络信息服务方式发布的各种信息中具体内容的安全。

第三条 网络与信息安全管理的基本原则是"谁主管谁负责，谁运营谁负责，谁使用谁负责"，明确责任、突出重点、保障安全。

第四条 网络与信息安全管理的总体方针是以《中华人民共和国网络安全法》和国家标准《信息系统安全等级保护基本要求》( GB /T22239-2008）为指导，预防为主、综合防范。

第五条 网络与信息安全管理的目标是建立健全网络与信息安全保障体系，提高安全防护能力，确保学校网络与信息安全工作规范、有序开展，保障学校信息化可持续发展。

第六条 本办法所称网络与信息安全，是指由学校建设、运行、维护或管理的校园网、信息系统的安全。

第二章 组织机构及职责

第七条 为了切实加强网络与信息安全工作的组织与协调，成立学校网络与信息安全工作领导小组（简称领导小组），领导小组负责制定学校网络与信息安全相关制度，研究处理重大网络与信息安全事件，定期召开网络与信息安全工作会议，统筹指导学校网络与信息安全建设。

组长由党委书记和校长担任，常务副组长由分管校领导担任，副组长由其他校领导担任，成员为有关单位党政负责人。

第八条 领导小组下设办公室，设在党委宣传部，负责学校网络与信息安全的日常工作。党委宣传部是学校网络信息安全工作的监督管理单位，负责网络信息的审核发布和舆情监控，保证校园网络信息安全。图文信息中心是学校网络信息安全工作的技术管理单位，负责学校网络信息工作的规划、建设、管理、组织协调、技术服务、技术培训和咨询、校园网运行维护以及教育、教学、办公管理平台的建立和维护等工作。

第九条 学校各单位负责本单位网站的建设、管理和安全运维。单位主要负责人是本单位网络与信息安全工作的第一责任人。各单位需设置一名网络管理员（名单报宣传部和图文信息中心备案），具体负责本单位计算机网络技术运行与信息的整理、送审、发布、管理、监控工作。

第三章 网络与信息安全建设

第十条 凡要求在校园网络信息系统开设站点的单位应向党委宣传部和图文信息中心提出申请，并由主管校领导批准，办理相关手续备案后，在图文信息中心指导下组织实施。

第十一条 各单位须明确网站或信息系统是否需要对校外开放，对校外开放的网站或信息系统，须满足国家标准《信息系统安全等级保护基本要求》规定的二级（或以上）安全等级要求，各单位明确其网络及信息安全需求，提供安全策略要求。

第十二条 各单位网站或信息系统在上线前，须开展安全自查工作，提供安全自查报告，由单位主要负责人签字确认后，提交领导小组办公室审核。

第十三条 图文信息中心采用专业技术手段对网站或信息系统进行安全检测，检测未通过的须进行安全整改，检测合格后方可上线运行。

第十四条 各单位的主要负责人要加强对本单位网站信息的检查监督，把握网络信息正确的舆论方向，确保网络信息与数据安全、准确和健康，发现问题及时处理，指导好本单位网站的建设与信息管理工作。

第十五条 各单位网站或信息系统的预算，须包含网络与信息安全的专项经费，用于保障该网站或信息系统的安全建设及运维管理。第四章 运行管理

第十六条 学校网上信息发布实行一级网站和二级网站分级管理制度。一级网站网上信息发布由宣传部负责审核管理，二级网站网上信息发布由各单位、各学院主要领导负责审核管理。

第十七条 凡通过校园网发布的新闻类信息内容，必须以书面形式由单位主要负责人签署送审意见，由网络管理员送交党委宣传部审核，经审核批准后方可发布。

第十八条 各单位主页要及时更新内容，信息内容严重滞后并长期存在技术问题，经通知整改后仍不能改正的，将对主页进行关闭。

第十九条 各单位须定期对本单位的网站及信息系统开展安全巡检，并做好巡检记录。对校外开放的网站或信息系统，要求每周至少巡检一次，对校内开放的网站或信息系统，要求每月至少巡检一次。

第二十条 各单位须定期对网站及信息系统进行漏洞修补，包括主机系统漏洞、 WEB 应用漏洞、中间件漏洞、数据库漏洞等。

第二十一条 图文信息中心定期对全校的网站及信息系统开展安全检查，不合格的网站或信息系统暂停访问，同时通知责任单位限期整改，并将整改报告提交领导小组办公室。经复查合格后，方可恢复其正常访问。

第二十二条 特殊时期，各单位须加强网站及信息系统的安全监管工作，加强安全巡检，做好安全整改。

第二十三条 关键信息系统及设施设备实行重要密钥双重保管机制。超级管理员密钥由具体管理人员和单位负责人各执一份。此类人员在岗位变动时应签署相关承诺书，并由新任管理人员对其身份及时注销和修改密钥。

第二十四条 各单位要提高网络信息安全意识，加强信息安全保护措施，对网络信息系统上负担重要数据处理和管理的服务器、计算机要做到专人管理，并建立完整使用登记及技术档案。涉及业务管理的（如组织、人事、财务、纪检）网络服务器，必须使用可靠地防范技术，保证业务数据系统的安全可靠。业务管理、档案信息等重要数据的输入、输山、存储、安全技术保管工作由主管单位负责。

第二十五条 各单位须遵守国家信息安全保密的有关规定，加强对计算机网络管理和使用人员的安全保密教育。需直接发布其他单位交换共享的数据，必须经过数据来源单位认可，确保信息真实性。

第二十六条 涉及机密、国防保密工作和研究内容的信息，严禁接入校园网。

第五章 安全事件应急响应

第二十七条 发生网络与信息安全事件后，领导小组按照《山西中医药大学网络与信息安全事件应急预案》，评估影响和危害程度，确定事件类别和等级，启动相应预案，对突发事件进行处置。

第二十八条 各单位须制定本单位的网站及信息系统安全应急预案，并定期进行安全应急演练。

第三章 附 则

第二十九条 本办法适用于使用校园网及使用学校信息系统的任何用户。涉密信息系统不在本办法管理范围。

第三十条 本管理办法由宣传部和图文信息中心负责解释，宣传部负责解释网络信息的发布和舆情监控等方面问题；图文信息中心负责解释网络信息安全工作的技术支持和运行维护等方面问题。

第三十一条 本管理办法自印发之日起施行。