安工大秘〔2024〕15号

各院（部），机关各部门、校直各单位：

经校长办公会研究同意，现将《安徽工业大学网络与信息安全管理办法》予以印发，请认真遵照执行。

  安徽工业大学

2024年11月27日

安徽工业大学网络与信息安全管理办法

第一章  总则

第一条 为做好我校网络安全工作，提高网络与信息安全防护能力和水平，保障信息化建设工作顺利进行，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等相关法律法规和上级有关文件精神，结合我校工作实际，特制定本办法。

第二条 本办法所称网络与信息安全（以下简称网络安全）是指为保障我校建设、运行、维护、管理的校园网络基础设施、数据中心、信息系统、移动互联网应用程序、网站、新媒体、数据以及校园网络接入终端等开展的相关安全管理工作，防止发生有害程序入侵、网络攻击、信息破坏、信息安全、信息化设备设施故障等网络安全事件。

第三条 管理目标是全面提高师生网络安全意识，建立健全校园网络安全工作的组织体系、管理制度和责任制度，有效防范、控制和抵御网络安全风险，增强安全预警、应急处置和灾难恢复能力，提高网络安全防护水平，形成与教育信息化发展相适应的、完备的网络安全保障体系，支撑学校教育现代化事业健康持续发展。

第四条 按照“谁主管、谁运行、谁使用，谁负责”的原则，逐级落实网络安全责任，明确主体责任。各单位及全体师生应强化网络安全意识，依照本办法要求及学校相关标准规范履行网络安全的责任和义务。

第二章  管理机构与职责

第五条 学校网络安全与信息化领导小组（以下简称“领导小组”）是学校网络安全的领导机构，负责统一领导、统一谋划、统一部署学校网络安全和信息化建设工作，研究解决网络安全和信息化建设重要问题。

第六条 信息化处是学校网络安全的技术实施与支撑部门，负责校级网络安全技术体系建设和网络安全保障，做好学校网络安全日常事务管理，协助有关部门进行网络安全事件的调查处置等。

第七条 党委宣传部负责校园网络信息内容的安全监管，负责学校新闻网和新媒体平台等信息监管，做好网络舆情的监控。

第八条 学校各单位是本单位网络安全工作的责任主体，单位主要负责人是本单位网络安全工作第一责任人，各单位须明确本单位网络安全与信息化负责人和联络员，负责管理和协调本单位的网络安全和信息化工作。各单位主要职责包括：

（一）负责本单位网络安全管理工作，配合学校开展网络安全建设、检查、整改、培训与宣传工作；

（二）落实学校网络安全管理制度，做好本单位各类系统、网站、新媒体信息发布内容的审核和管理；自建子网络或自行管理服务器的单位应根据实际情况制定本单位相关安全管理制度、工作规范及应急预案；

（三）配合学校处理网络安全事件，协助有关部门开展安全调查取证工作等。

第三章  校园网及IT基础设施安全

第九条 校园网包括校园有线网络、无线网络以及物联网，涉及光缆、网络机房、网络设备、网络终端、域名、IP、安全防护、认证计费、网络接入与运维等，由信息化处负责建设和管理。单位和个人自建子网络（包含视频监控、智能门锁、实验室等）、服务器、各类网络终端等接入校园网或互联网的应报信息化处论证同意后实施，不得擅自通过其他渠道接入校园网或互联网。

第十条 校园网与互联网及其他公共网络实行逻辑隔离，对校园网划分网络安全域，并采取必要的安全隔离措施，统筹规划网站与信息系统向外网开放的范围，由信息化处统一出口、统一管理和统一防护。

第十一条 信息化处负责做好学校网络安全防护设备和软件的按需配置，加强和完善学校身份认证威胁识别、入侵检测、漏洞扫描、攻击防护、访问控制、操作审计、灾备恢复等安全技术措施，构建可查、可管、可控的校园网络安全技术支撑环境。

第十二条 任何单位和个人不得利用学校公共网络资源从事与建设项目无关或危害网络安全的活动。使用校外服务器的，须报信息化处审批。

第十三条 与学校教学、科研、管理和服务等各项业务无关或未经学校审核备案的信息系统或网站不属于学校信息资产，不得使用学校资金、数据中心、域名、IP地址建设，不得使用校名、校标等学校标识，一切网络安全责任由系统申请单位或个人承担。

第十四条 相关单位要配合信息化处做好校园网网络弱电间的电源保障、消防安全等安防管理，任何单位和个人不得占用。

第四章  信息系统安全

第十五条 信息系统包括各单位的网站以及各类应用系统（仅在实验室等局域网环境使用，不对校园网及互联网开放的应用系统除外）等。

第十六条 面向师生公开服务的信息系统原则上应使用统一门户、统一数据库、统一认证等学校统一建设的软硬件平台。

第十七条 学校各单位自建信息系统接入网络实行登记备案制度，并签署安全责任书，信息系统原则上应使用学校互联网IP地址和学校互联网络域名后缀（ahut.edu.cn），不使用学校域名后缀的信息系统必须在公安机关进行登记备案。

第十八条 信息系统正式上线运行前，由信息化处组织开展信息系统安全等级保护定级备案和测评工作，达到二级及以上等级保护要求的信息系统，原则上应取得公安部门出具的《信息系统安全等级保护备案证明》，并形成测评合格报告后方可上线运行，其他信息系统必须通过信息化处组织安全检测后方可正式上线运行。

第十九条 信息系统发布信息实行信息审核制度，未经允许不得开设交互类、论坛类栏目。对于招生需要对外开放留言板的，网站应达到二级以上等级保护要求，且具备违禁违规词检测和审核后发布功能。

第二十条 各单位对账号密码使用进行严格管理，做好账号的权限设置、密码设置等安全管理工作。信息系统建设单位应定期做好各类系统各类用户弱口令检测和清理工作，保障系统安全。

第二十一条 各单位应定期对本单位的网站与信息系统的安全状况、版本更新以及内容更新等情况进行自查，并根据学校安排每年将本单位网站与信息系统安全检查情况提交学校相关部门备案。配合有关部门做好系统安全检查、信息内容检查、保密检查等工作。

第五章  自建业务平台安全

第二十二条 各单位具有线上办公、即时通讯等功能的互联网办公应用程序均归属自建业务平台，各单位要指定专人负责建设、维护和管理，明确管理责任和要求。

第二十三条 各单位要认真做好自建业务平台网络安全、数据安全、用户安全、系统安全、保密安全管理，定期检查平台运行情况，做好系统升级，及时修补安全漏洞，按照相关保密要求，严防失泄密事件，保障平台安全稳定运行。

第二十四条 针对自建业务平台，建设单位、使用单位、数据管理单位各方的工作职责边界如下：

1.建设单位

（1）系统设计与开发：负责平台的整体架构设计、功能开发及技术选型。

（2）安全措施实施：制定并执行数据加密、访问控制等安全策略，确保用户信息安全。

（3）技术支持与维护：提供日常的技术支持服务，包括但不限于故障排查、性能优化等。

（4）更新迭代：根据用户反馈和技术发展定期对产品进行升级和完善。

2.使用单位

（1）需求提出：基于自身业务特点向建设单位提出具体的功能需求和技术要求。

（2）组织培训：组织内部培训，确保所有使用者能够正确、高效地使用平台。

（3）操作规范制定：建立相应的操作流程和规章制度，指导用户合理利用平台资源。

（4）用户体验反馈：收集用户意见，及时向建设单位反馈，促进产品改进。

3.数据管理单位

（1）数据治理：负责制定数据标准、分类分级管理方案，确保数据质量。

（2）隐私保护：遵守相关法律法规，采取必要措施保护个人隐私信息不被泄露。

（3）权限管理：合理分配不同角色的数据访问权限，做好数据访问权限管理。

（4）备份恢复：实施定期的数据备份计划，并做好恢复演练，以应对突发事件。

各方须加强配合协作，建立定期沟通机制，评估平台运行状况，及时梳理存在的问题并妥善解决。

第六章  数据安全

第二十五条 数据是指信息系统收集、存储、传输、处理等产生的各种电子数据，包括但不限于网站内容、学校基本状态数据、各类业务数据、网络课程、图书资源、日志记录等。

第二十六条 数据管理遵循“谁产生，谁维护，谁负责”原则，数据的所有者是数据安全管理的责任主体，应当落实管理和技术措施。严格按照《中华人民共和国个人信息保护法》《网络数据安全管理条例》等相关规定，规范数据的收集、存储、传输和使用，确保数据安全。

第二十七条 学校各单位原则上应依托学校数据中心实施本单位信息化建设。数据实行申请使用制度，申请使用单位应遵循数据中心相关管理制度和技术标准，按需申请、有序使用，规范本单位数据中心资源的使用和管理，保障数据安全。不得利用数据中心资源从事任何与建设项目无关或危害计算机信息系统安全的活动。涉及学校基础数据、师生员工个人信息或敏感信息的信息系统，未经信息化处批准，严禁部署在校外。

第二十八条 信息化处负责学校数据中心的备份与恢复管理，制订备份与恢复计划，根据业务实际需要对重要数据和信息系统进行备份，定期测试备份与恢复计划，并确保备份数据和备用资源的有效性。同时各单位要根据本单位业务系统实际情况自行做好数据备份。

第七章  网站与邮件安全

第二十九条 各单位网站应在学校网站群平台下建设。信息化处负责网站群平台的建设、管理、运行和维护，提供建站的技术支持，各单位负责本单位网站的规范运行和内容安全，具体参照《安徽工业大学网站建设管理办法》实施管理。

第三十条 各单位应加强本单位信息系统、各类网站和新媒体平台公众服务号的运行维护和安全监控工作，做好涉及学校或本单位舆情的引导工作。发现重大舆情问题应立即主动向党委宣传部报告，并在党委宣传部的指导下妥善处理。

第三十一条 学校提供校园免费邮箱服务，学校域名的电子邮箱实行实名制管理。在职教职工和在籍研究生、本科生根据个人需要可以申请使用，信息化处负责学校电子邮件的建设与安全管理。申请校园邮箱的单位和个人应遵守学校电子邮箱管理等相关规章制度，不得使用校园邮箱收发违法违规内容或个人隐私信息等。

第三十二条 邮箱申请者须对使用其电子邮件帐号开展的所有活动负责，应妥善保管本人使用的电子邮箱账号和密码，确保密码具有一定强度并定期更换。

第八章  安全秩序与行为规范

第三十三条 校园网接入实行审批和备案登记制度，校园网访问实行实名认证上网制度。校园网用户必须严格遵守国家相关法律法规，涉密信息系统不得接入校园网络，上网行为不得危害到网络与信息安全，并对上网行为负责。不得任何形式进行虚拟货币“挖矿”活动及其他未经许可的活动。

第三十四条 校园网终端设备使用人对设备负有保管和安全使用的责任。终端设备应设置系统登录账号和密码，禁止自动登录，登录密码应具有一定强度并定期更改。终端设备上应安装、运行正版软件，做好数据日常管理和保护，定期进行数据备份。做好安全防范，如发现终端设备出现可能由病毒或攻击导致的异常系统行为或其他安全问题，应立即断网后报告信息化处进行处置。

第三十五条 各单位关键岗位的计算机使用和管理人员应签订信息安全保密协议，明确信息安全与保密要求和责任，及时终止离岗、离职人员的所有访问权限。各单位应与外包服务方签订安全保密协议或合同，明确其服务所涉及的设施设备、软件系统、信息数据安全责任要求，对人员进行安全保密教育，采取安全措施对访问实施控制，并对服务进行安全性监督与评估，确保其服务过程符合学校网络安全管理要求。

第九章  监测预警与应急处置

第三十六条 学校各应用系统和互联网站，由信息化处按照国家信息安全等级保护制度要求确定安全保护等级。经评测信息安全状况未达到安全保护等级要求的，应用系统或互联网站的主管单位应制定整改方案并落实到位。

第三十七条 信息化处定期对校内网站、信息系统、网络及相关设备开展网络安全检测工作，并发布检测报告，各单位应根据检测报告，及时落实网络安全自查和问题修复，避免网络安全事件发生。信息化处对“双非网站”与信息系统（非学校IP地址、非学校域名）及使用频率低、长期未更新、无专人运维的网站与信息系统，有权进行关闭和清退处理。

第三十八条 信息化处负责组织校内网络与信息安全处置应急演练，相关单位应积极参与。对于发现网络安全问题应及时向信息化处报告，并按照《安徽工业大学网络与信息安全应急预案》要求，协助信息化处做好网络安全事件的应急响应和处置工作。

第三十九条 各单位定期对本单位应用系统、互联网站安全状况、安全保护制度及措施的落实情况进行自查，并配合相关部门的信息安全检查、信息内容检查、保密检查与审批等工作。

第四十条 信息化处对全校各单位网络与信息系统安全工作落实情况进行检查，对发现的问题下达限期整改通知书，对网络安全事件进行调查处置。

第十章  教育培训

第四十一条 学校定期组织开展针对师生员工的网络信息安全教育，提高师生员工的安全和防范意识。各单位负责组织做好培训工作落实，广大师生应积极参与。

第四十二条 信息化处定期开展针对网络信息安全管理人员和技术人员的专业技能培训，提高网络安全工作能力和水平。

第十一章  责任追究

第四十三条 信息化处定期开展全校网络安全工作的检查，对违反网络安全管理制度或存在网络安全隐患的单位下达网络安全限期整改通知书，相关单位应按照网络安全事件报告与处置流程及时、如实报告和妥善处置网络安全事件。如有瞒报、缓报、处置和整改不力等情况，学校将对相关单位责任人进行约谈或通报；对于玩忽职守、失职渎职造成严重后果的，依纪依法追究相关人员的责任。

第四十四条 师生员工必须严格遵守国家有关法律法规，不得发布违反国家法律、扰乱社会稳定、影响学校声誉和违反学校相关规定的信息。违反网络与信息安全相关管理规定，造成不良后果的，视情节轻重，分别由相关管理单位按相关规定给予批评教育或纪律处分。触犯法律法规的，移交相关国家机关依法追究法律责任。

第十二章  附则

第四十五条 涉及国家秘密的信息系统，按照国家保密工作部门的相关规定和标准进行保护，接受学校保密委员会办公室监督指导。

第四十六条 学校每年对全校各单位网络安全和信息化建设工作进行考核，考核结果纳入学校各单位党建考核体系。

第四十七条 本办法自发布之日起施行，由网络安全与信息化领导小组办公室负责解释。原《安徽工业大学校园网络安全管理办法》（安工大秘〔2013〕23号）、《安徽工业大学校园计算机网络管理办法》（办〔2017〕45号）同时废止。