甘肃医学院校园网络安全管理办法（试行）

为了进一步规范我院校园网络建设及管理，确保校园网络安全稳定运行，根据《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例》、《信息安全等级保护管理办法》、《互联网信息服务管理办法》、《互联网网络安全应急预案》、《教育管理信息化建设与应用指南》等国家相关法律法规，结合我院实际情况，特制定本办法。

第一章  校园信息网络基础设施管理

第一条 校园信息网络基础设施是学院办学与事业发展的基础性支撑条件之一，属国有资产。

第二条 校园信息网络基础设施是指学院校园范围内，由学院投资或与运营企业合作投资建设的用于校园信息网络的各类通信线缆与管道、楼内网络线缆、网络设备间、中心机房、有线与无线网络设备、服务器等。

第三条 校园信息网络基础设施的建设与管理按照“统筹规划、统一管理、多方协作、服务共享”的原则，由网络安全和信息化工作领导小组办公室（以下简称网信办）负责有关校园信息网络基础设施的设计、建设、运行和日常维护，相关职能处室及院系分工协作，提供辅助保障。

第四条 学院楼宇的新建、扩建及改建，校园、道路及其它管网的改造等，在规划时就应当同步考虑校园信息网络基础设施建设。负责实施的建设部门须将建设费用纳入预算。

第五条 房屋拆迁与装修时，需要移动、增加、减少校园网络基础设施设备和通信线缆，在工程施工前，建设部门应当向网信办提交工程申请及具体方案，经审核符合相关规范后方可施工。

第六条  校外单位的数据通信线缆需要进入校园，应当报学院网信办批准并备案，并在网信办的指导下进行施工。

第七条 校园信息网络基础设施验收通过并投入使用后，任何部门及个人不得擅自移动、拆除、毁损。因人为原因造成校园信息基础设施损坏，应当按照网信办要求进行恢复，如造成校园网络严重故障等将依法追究有关部门及人员的责任。

第八条 对确实需要进入网络设备间施工的部门，应当征得网信办同意，并在网信办工作人员指导下施工，以确保校园信息网络设备及信息安全。未经准许擅自进入设备间，并造成财产损失或信息安全事故的，相应部门或个人应当承担相应赔偿责任和法律责任。

第九条 网信办负责全校网络通信线缆的建设和维护，校内所有部门和个人有义务保护校园网络通信线缆。因擅自装修、拆卸等导致网络通信线缆损坏，相关部门或个人应当按照互联网相关标准恢复，如造成损失应当承担相应赔偿责任。

第十条 学院网信办对校园范围内无线网络实行统一管理。未经许可，任何部门或个人不得在校园内设立除通信光猫以外的网络无线设备。

第十一条 校园内室外网络通信线缆通过地下综合管沟或专用管道连接各个楼宇。对于涉及地下网络通信线缆的施工，在施工过程中采取必要的措施保护网络通信线缆。未提前书面告知而进行施工，并造成学院网络通信故障，施工部门承担全部责任。

第二章   校园网络信息安全管理

第十二条 本规定适用于学院所有部门和个人及所有基于校园网络的信息系统与网站。

第十三条 按照“谁主管谁负责、谁运行谁负责、谁审批谁负责”的原则，各部门党政负责人是本部门网络信息安全工作主要责任人，全面负责本部门所属网站、服务器和应用系统的信息安全工作。

第十四条 各部门应当设置信息安全管理岗位，配备信息安全管理人员。信息安全管理人员具体负责本部门公用的网络账号、固定IP地址、邮箱、VPN账号、网络基础设施、网站及应用系统的信息安全管理及日常检查等工作。信息安全管理人员信息应当在网信办登记备案，当人员发生变化时，应当及时完成工作交接并更新备案信息。

第十五条 各部门使用的固定IP地址、网站、服务器等网络资源应当在网信办申请并备案，网站或服务器资源原则上应当部署在数据机房，接受统一管理。部署在数据机房以外的网站、业务系统和服务器应当采取必要的防护手段确保安全运行，并接受学院的检查和监督。

第十六条 校园网账号等校园网资源应当专人专用，不得转让或借用，严格禁止不明身份人员擅自使用校园网资源。盗用、破坏网络资源的部门和个人，将依照国家和学院的有关规定严肃处理。

第十七条  校园网部门用户应当使用真实IP地址，不允许利用代理技术访问网络。

第十八条 按照国家相关规定，网信办要定期排查办公、教学、科研场所及学生公寓的网络接入情况，清理非校园网络的接入。如确因工作需要或特殊原因需要其它接入方式，应当书面报送网信办审核。

第十九条 校内各部门要加强网站、交互栏目等信息安全管理。严格规范信息采集、审核和发布流程，配备专人负责网站内容的审核、更新与监测，杜绝有害信息，确保网站信息的真实性和时效性。网站交互栏目要严格实行“实名注册”和“先审后发”的规定，必须指定专人进行管理和内容审核，相关信息须在网信办备案。以上管理人员或交互栏目发生变化时应及时在网信办更新信息。

第二十条 按照国家有关规定，网站及应用系统的操作日志和服务器的访问日志（包括访问时间、源IP地址、账号信息等）应当保存6个月以上。

第二十一条 各部门及网络用户应当强化安全防范意识，主动为网络终端或服务器安装必要的防攻击、防病毒、防篡改、防窃密软件并及时更新，提高网站、信息系统及网络终端的安全性。

第二十二条 各部门要积极开展重要信息系统等级保护工作，网信办负责全校等级保护工作的统筹安排，并提供有关协调、咨询和技术支持工作。已完成等级保护定级的重要信息系统，要由专人落实等级保护工作标准中规定的信息安全工作要求，积极开展后续的测评和整改；未定级的信息系统应根据其业务和数据的重要性及社会影响程度，主动开展等级保护定级工作；新建信息系统应当在系统需求分析、建设和验收等阶段，须通过信息系统安全等级保护测评。

第二十三条 校内各部门网站或信息系统因业务需要，委托校外部门进行建设和维护工作时，应当与其签订包括系统安全及信息数据安全条款的委托协议，明确校外部门的安全责任和义务，保障学院的合法权益。校外部门维护人员进行远程维护时，通过由委托部门在网信办申请的VPN专用账号进行操作。

第二十四条 涉及国家保密信息的部门和个人要严格执行计算机信息安全保密制度。涉及国家保密信息的部门要严格管理涉密人员、设备、介质、网络和数据，杜绝网络泄密事件发生。

第二十五条 对于信息安全管理工作不力、对学院造成不良影响或损失的部门，学院将追究相关责任人的责任。

第二十六条 对于违反本规定并引发安全事故的网站、应用系统等，根据事故的严重程度、损失大小，学院将采取暂时关闭其网站、封存账号、通报批评等必要措施，在整改完成后重新开放。

第三章  网站站群管理

第二十七条 甘肃医学院校内各类网站是学院信息化建设的重要组成部分，是校内各部门提供信息服务的重要渠道。

第二十八条 根据《非经营性互联网信息服务备案管理办法》及其他相关法律、法规，学院对网站实施备案审批管理。

第二十九条 网站建设部门应履行备案报批手续，向学院网信办提交《甘肃医学院校内网站备案表》，并根据要求提供有关主管部门的许可文件。

第三十条 网站建设部门需要变更其备案信息的，应当及时履行备案变更手续；网站建设部门需要关停网站的，应当履行备案注销手续。

第三十一条 原则上，校内部门建设的各类网站应使用学院的域名和IP地址。

第三十二条 未经批准，网站建设部门不得利用学院互联网域名或IP从事经营性互联网信息服务。

第三十三条 网站设计应遵循甘肃医学院视觉形象识别系统标准，规范校徽、中英文校名等元素的使用。

第三十四条 学院将逐步推行网站集群化管理，将校内部门网站逐步集中到网站集群平台实施统一管理、统一防护和统一监测。原则上，甘肃医学院校内各部门的官方网站均应进入集群化管理平台。

第三十五条 网站建设部门应严格按照信息公开保密审查有关规定，做好信息公开保密审查工作，确保网站内容不涉密。

第三十六条 网站建设部门应按明确审核与发布程序，确定内容编辑和审核的人员，保存最近6个月日志记录。

第三十七条 校内各类网站要按照国家网络安全法律政策和信息安全等级保护制度要求，建立并落实安全管理制度，建设安全防护技术措施，提高网站抵御攻击破坏的能力。

第三十八条 网信办负责建立网站安全监测平台，监控校内各部门网站的安全性和可用性，对异常情况及时通报预警，并可视情况暂时关停网站。

第三十九条 各网站管理部门要健全应急保障措施，定期开展应急演练，及时处置网站安全事件。

第四十条 重要时期或重大活动安全保障期间，网信办可根据需要临时关闭校内相关网站。

第四十一条 对于无人管理、无力维护、长期不更新的网站，管理部门可予以关停，以降低安全风险。

第四十二条 校内网站实行年度审核制度，网站开办部门应当按照要求履行年度审核手续。未按时办理年度审核手续的，管理部门可对网站予以关停。

第四十三条 学院网信办要定期对校内各类网站进行检查，对存在问题的网站限期整改，对违反相关规定，失职渎职造成网站安全责任事故的，将追究相关人员责任。

第四章  网络安全监测预警通报

第四十四条  适用范围

（一）本规定适用于处理来自教育部、教育厅、市网信办等部门发送的各类网络信息安全隐患通报。

（二）网络信息安全事件应当根据《甘肃医学院网络与信息安全类突发事件应急预案（试行）》处理。

第四十五条  责任分工

网信办负责接收相关部门发来的网络信息安全通报，传达学院网络安全和信息化领导小组（以下简称领导小组）的工作要求，撰写并上报学院整改报告，撰写发布工作简报及领导小组每月会议通报。

各责任部门负责在通报规定期限内完成网络信息系统整改并上报整改情况报告。

第四十六条  通报处置程序

（一）网信办接收到网络信息安全通报后，第一时间向领导小组做出汇报，并按领导小组组长批示意见转发责任部门。

（二）责任部门根据通报内容在规定时间内完成网络信息系统的整改工作，并向网信办报送纸质版整改情况报告。

（三）网信办将各部门整改情况报告梳理汇总后报送安全隐患通报发送部门。

第四十七条  通报内容

（一）安全通报文件。

（二）漏洞详情。

（三）整改建议。

（四）其他应当知晓的情况。

第四十八条  整改报告内容

（一）通报基本情况描述。

（二）针对通报漏洞所采取的整改措施及成效。

（三）其他应当报告的情况。

第四十九条 本办法自发布之日起执行