西财大校发〔2020〕3号
关于印发《西安财经大学
网络信息安全管理办法》的通知
校属各部门:
《西安财经大学网络信息安全管理办法》经2020年4月24日校长办公会审定通过,现予以印发,请遵照执行。
西安财经大学
2020年6月12日
西安财经大学网络信息安全管理办法
第一章 总则
第一条 为了切实加强学校网络信息安全管理工作,推进网络文明建设,规范使用网络行为,有效维护国家、学校的安全和利益,根据《中华人民共和国网络安全法》《中华人民共和国计算机信息系统安全保护条例》《中华人民共和国计算机信息网络国际互联网络管理暂行规定》《教育部关于对校园网有害信息专项清理整治工作的实施意见》以及国家有关法律法规对互联网安全管理的要求,特制定本办法。
第二条 学校网络信息安全,包括校园计算机网络(以下简称校园网)、信息系统与网站的运行安全,以及信息内容的安全。
第三条 网络信息安全工作按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则建立责任体系,学校各单位、全体师生员工应依照本办法要求和相关标准规范,履行网络信息安全的义务并承担相应责任。
第四条 本管理办法适用于通过各种方式接入校园网的所有用户,包括各级单位用户、办公用户和家属区个人用户。
第二章 管理机制与职责
第五条 西安财经大学网络安全和信息化工作领导小组是学校网络信息安全工作的领导机构,负责制定学校网络信息安全相关政策,统筹规划学校网络信息安全建设,研究处理重大网络信息安全事件。领导小组组长为学校网络信息安全工作的第一责任人。
第六条 学校网络安全和信息化工作领导小组办公室(以下简称校网信办)设在信息与教育技术中心,负责学校网络信息安全工作的组织实施、监督检查,负责与上级网络信息安全管理部门的任务对接和工作协调。
第七条 党委宣传部负责对网络信息内容进行监督、检查,对网络舆情信息进行监控、管理和引导。对于不良有害信息,应在第一时间联系相关部门进行处理,对涉嫌违法犯罪的信息,应立即向保卫处及公安机关报案。
第八条 信息与教育技术中心负责学校网络信息安全防护系统的规划建设、运行管理和安全等级保护;负责对网络信息安全出现的攻击和漏洞进行监控、布防、修复、整改;负责协助相关部门对网络信息安全事件进行调查取证和技术处理;负责对全校网络信息安全工作提供技术支持和技术保障;负责对学校网络信息安全人员进行技术指导和培训。
第九条 学校各单位主要负责人是本单位网络信息安全工作的第一责任人,负责本单位网络信息安全管理工作。各单位须制定本部门网络信息安全管理制度,设置一名网络信息安全管理员,负责本单位应用系统及网站的运行维护和网络信息安全的具体工作。
第三章 网络管理
第十条 西安财经大学校园网是学校教学、科研、管理、生活服务的信息基础设施,属于非赢利性的计算机网络。校园网采用实名管理制度,信息与教育技术中心负责网络实名账号的监督、检查和管理工作。校园网用户应加强对其账号的保护和管理,并对其账号负责,不得转借、转让。
第十一条 各单位应严格管理所属信息系统及网站的访问权限,及时记录操作信息。对不同操作人员、不同信息等级分设口令,并定期修改。
第十二条 各单位接入校园网的计算机,严禁安装带有恶意代码的软件,严禁攻击其它联网主机,严禁传播黑客和病毒软件。各用户应经常更新防、杀病毒软件,发现病毒应及时断开与校园网的连接,并及时进行杀毒处理。
第十三条 向师生开放的计算机房、实验室、电子阅览室等应采取可靠措施,避免病毒和黑客软件的传播,确保网络信息安全。上网必须采用实名登记制度,记录上网用户姓名、有效证件、机号、上机时间、下机时间等有关信息,记录备份留存不少于六个月。
第十四条 任何单位及个人未经授权,不得擅自接入校园网络和访问信息系统;不得擅自更改校园网及信息系统的功能和配置;不得从事其他危害校园网络安全的活动。
第十五条 任何单位及个人未经批准,不得将校园网延伸至校外或将校外网络引入至校园内。任何数据业务运营商或电信代理商不得擅自进入校园内进行工程施工,开展因特网业务。
第十六条 任何单位及个人不得损坏校园网设施,不得利用学校网络和信息系统泄露国家秘密、危害国家安全,不得泄露学校保密信息、损害学校权益,不得从事违法犯罪活动。
第四章 信息系统管理
第十七条 信息系统是指为西安财经大学教学、科研、管理等提供网络服务的各类软硬件平台。信息系统建设须经校网信办进行项目论证及审批,信息系统由各建设单位负责运行、维护与管理。
第十八条 各单位应按照国家网络安全等级保护的相关法律法规、标准规范以及《教育行业信息系统安全等级保护定级工作指南》要求,落实网络安全等级保护制度。
第十九条 各单位应准确掌握本单位信息系统情况,规范系统建设、运行维护、信息管理等方面的工作流程和机制,建立健全信息系统档案。
第二十条 各单位要保证信息系统安全和数据安全,制定重要数据库和系统主要设备的容灾备份措施,记录并保留不少于六个月的系统维护日志。
第二十一条 各单位必须严格遵守国家、行业、地方相关法律法规和学校相关规章制度,自觉使用正版软件,保证信息系统数据的完整性和保密性,同时不得利用信息系统从事法律法规和学校相关规章制度禁止的活动。
第五章 域名管理
第二十二条 为保证唯一性、规范性和权威性,域名xaufe.edu.cn是我校对外的唯一域名,是学校在因特网上的重要标志。
第二十三条 西安财经大学域名实行分级管理。域名(xaufe.edu.cn)由信息与教育技术中心负责向上级有关部门统一办理申请、注册和备案手续,其他二级域名(*.xaufe.edu.cn)由申请单位负责管理,主要用于学校各类公共信息服务、二级单位、重要科研机构的网络信息服务。
第二十四条 申请使用域名服务的各单位,须填写《西安财经大学二级网站域名备案表》,报送信息与教育技术中心审核通过,并与信息与教育技术中心签署责任协议后,方可获得我校二级域名。
第二十五条 原则上每个单位只能申请一个二级域名。二级域名只能指向校内IP地址,其他国内、国际域名不得指向校内IP地址。
第二十六条 二级域名仅限申请单位用于WEB服务,未经批准,不得在域名指向的服务器上建立其他任何形式的网络服务。申请单位不得私自转让域名给其他单位或个人使用。
第二十七条 域名的名称应使用本单位英文名称、英文名称缩写、汉语拼音名称或汉语拼音名称缩写,并符合一般域名命名规范和命名习惯。任何单位不得使用违反法律法规规定或侵犯他人权益的域名。
第二十八条 各单位域名指向的服务器提供的服务,必须严格遵守国家、行业、地方相关法律法规和学校相关规章制度,否则后果由申请单位负责。
第二十九条 信息与教育技术中心有权对域名的运行和管理情况进行监督和检查;对存在问题的域名,有权责令使用单位限期整改;对逾期未整改的,有权停止其域名解析服务。
第六章 网站管理
第三十条 西安财经大学网站是以国际互联网为依托,借助CERNET(中国教育和科研计算机网)发布信息的平台。西安财经大学二级网站是学校各单位建设的信息平台(以下简称二级网站)。未经批准,任何单位及个人不得以“西安财经大学”在公网注册域名和开办网站。
第三十一条 各单位要及时更新网站信息、充实网站内容、提高实效性。各级网站信息内容应层层把关,自下而上逐级审核。未经批准,任何网站不得开设BBS等交互式栏目。
第三十二条 校长办公室、党委宣传部负责西安财经大学中英文网站的信息征集、内容审核及发布等工作。信息与教育技术中心负责网站信息安全的监管及技术保障。二级网站由各单位建设、维护和管理,各单位负责人为二级网站的第一责任人。
第三十三条 各单位应建立完善的信息审查制度。网站信息发布必须严格遵守国家有关法律法规以及学校相关管理制度,所有网站发布信息须保存原稿备查。
第三十四条 网站发布信息应符合国家和学校的有关保密规定,不得发布涉及党和国家秘密的信息,不得发布学校需要保密的信息,不得发布涉及个人隐私的信息。
第三十五条 各单位要保证网站的数据安全和系统安全,制定重要数据库和系统主要设备的容灾备案措施。记录并保留不少于六个月的系统维护日志。
第三十六条 对于信息内容陈旧、长期不维护更新、页面制作粗糙、有损学校形象或整体风格、消耗大量服务器资源、对服务器性能产生不良影响的二级网站,信息与教育技术中心有权中止该网站运行。
第七章 数据管理
第三十七条 西安财经大学信息系统数据作为学校的无形资产和资源,包括但不限于:各类信息平台、各类业务系统、各类服务支持系统以及各类网站产生的数据。
第三十八条 西安财经大学的数据管理架构包括数据统筹管理部门、数据生产部门、数据使用部门三部分。数据管理须遵循真实、准确、完整、规范和及时的原则,所有数据及数据库建设须严格执行国家及学校信息化标准与规范。
第三十九条 信息与教育技术中心是西安财经大学数据统筹管理的责任部门,负责学校数据标准的制定、更新以及统一数据平台建设与管理,并根据信息系统的数据需求,规划数据库结构和内容,管理数据字典、数据接口以及数据库访问权限,并对外提供统一的访问服务。
第四十条 数据生产部门应遵循学校发布的《西安财经大学自定义编码规范》对所生产的业务数据进行数据编码,同时负责所生产数据的收集、维护、备份和归档工作。
第四十一条 数据使用部门需根据需求向数据生产部门提出数据使用申请,获得数据生产部门批准后,由数据统筹管理部门提供数据交换接口。
第四十二条 学校数据信息主要用于教学、科研、管理、生活服务等。数据使用部门有义务保护数据的隐秘性,不得将数据信息用于申请用途外的活动。
第四十三条 数据生产部门须对所管理的数据负责,保证数据安全,防止数据泄漏。同时应及时补充和更新信息系统的数据,确保数据的完整性、准确性和时效性。
第四十四条 未经批准,任何单位和个人不得擅自对外提供信息系统的内部数据。对于违反规定非法提供数据的单位和个人,将依照相关规定予以处罚。
第八章 网络地址管理
第四十五条 信息与教育技术中心负责校园网IP地址的总体规划、设计、分配、管理,根据校园网网络结构、网络设备承载能力,为校内办公区、家属区上网的计算机分配唯一的动态或静态IP地址。
第四十六条 家属区及部分办公区域采用动态IP地址,用户无需单独申请IP地址。采用静态IP地址的办公区用户,根据本部门实际需求填写《校园网静态IP地址申请表》,由信息与教育技术中心统一分配IP地址后方可接入校园网。
第四十七条 校园网IP地址仅用于学校师生个人使用,禁止私设IP地址、盗用他人IP地址、私设代理等行为。
第九章 电子邮件管理
第四十八条 西安财经大学电子邮件系统实行实名制管理,教职工和学生可以在线申请邮箱帐户,办公邮箱申请开户需在信息与教育技术中心办理有关手续。
第四十九条 使用电子邮箱的用户必须自觉配合国家和学校有关部门依法进行的监督、检查。用户必须对其邮箱账户和密码的安全负责,并对以其邮箱账户产生的所有网络行为负责。用户若发现其邮箱账户被非法使用或存在安全漏洞情况,应立即报告信息与教育技术中心。
第五十条 信息与教育技术中心负责对校园网电子邮件系统使用情况进行监督、检查。对于发送垃圾广告邮件、存在安全漏洞等情况的账户,信息与教育技术中心有权暂停直至取消其服务账号。
第十章 信息管理
第五十一条 校园网所有用户必须遵守国家有关法律法规和学校的有关管理办法,严格执行信息安全保密制度,并对所提供和发布的信息负责。
第五十二条 校长办公室为学校信息公开的权威部门,学校信息公开工作要严格按照《西安财经大学信息公开实施办法》执行,未经批准,任何单位和个人不能擅自发布学校信息。
第五十三条 任何单位及个人不得利用校园网制作、复制、查阅和传播下列信息:
(一)煽动抗拒、破坏宪法和法律、行政法规实施的;
(二)煽动颠覆国家政权,推翻社会主义制度的;
(三)煽动分裂国家、破坏国家统一的;
(四)煽动民族仇恨、民族歧视,破坏民族团结的;
(五)煽动非法集会、结社、游行、示威、聚众扰乱社会秩序的;
(六)捏造或者歪曲事实,散布谣言,扰乱社会秩序的;
(七)宣传封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪的;
(八)公然侮辱他人或者捏造事实诽谤他人的;
(九)损害国家机关和学校信誉的;
(十)以非法民间组织名义组织活动的;
(十一)其他违反宪法和法律、行政法规、地方和学校规定的。
第五十四条 各单位要按照国家及学校有关规定,严格信息发布审核制度,未经审核的信息内容不得发布。凡涉及国家机密的信息严禁上网。
第五十五条 校园网用户必须自觉配合国家和学校有关部门依法进行的监督、检查。用户若发现违法有害信息,有义务向学校有关部门报告。
第五十六条 校园网用户不得违反法律规定,利用网络获取和盗用他人信息。
第十一章 附则
第五十七条 校网信办负责制定学校网络信息安全应急预案,各单位负责制定本单位的网络信息安全应急预案,并定期进行安全应急演练。
第五十八条 违反本管理办法的,视情节轻重采用以下一种或多种处理措施:
(一)限期整改;
(二)封闭账号或端口至安全问题排除;
(三)报学校有关职能部门或当事人所在单位处理;
(四)触犯法律法规的,将移交司法、公安部门处理。
第五十九条 本规定未涉及的有关内容,或在执行过程中,与国家的法律、法规发生冲突的,以国家的法律、法规为准。
第六十条 本规定由校网信办负责解释,自公布之日起执行。
