重庆医科大学网络与信息安全管理办法

第一章 总则

第一条 为规范我校网络与信息安全建设工作，加强我校网络安全管理，保证信息系统机密性、可靠性、完整性和可用性，健全安全制度及技术处理规范标准，落实安全责任制，全面贯彻落实《中华人民共和国网络安全法》，特制定本管理办法。

第二条 本办法适用范围包含学校网络安全和信息化建设范围内所组成的计算机信息系统、软件、设备、数据等信息资产和人员，以学校、各单位、组织及团体名义建设、运营、维护和使用的各级各类网站、信息系统、社交平台、新媒体、APP等。

第三条 重庆医科大学网络安全和信息化领导小组是我校网络建设与信息安全管理的最高决策机构。网络安全和信息化领导小组办公室在重庆医科大学网络安全和信息化领导小组指导下制定相关制度，负责全校网络及信息安全。

第四条 校园网络安全管理坚持网络安全与信息化发展并重，遵循积极利用、科学发展、依法管理、确保安全的方针，建立健全网络安全保障体系，提高网络安全保护能力，提升全员网络安全意识。

第二章 管理原则及岗位职责

第五条 管理原则。

（一）校园网络安全管理是学校网络安全和信息化工作的重要组成部分，实行校、院（部、处）两级管理，坚持谁主管谁负责、谁运维谁负责、谁使用谁负责的原则。坚持统一领导、分级管理、逐级负责、责任到人的原则，严格实行校园网络安全责任追究制。

（二）各部门要树立科学全面的网络安全观，把加强网络信息内容的管理纳入网络安全工作，发现问题信息内容，应当立即采取消除、正确引导等处置措施，防止问题信息内容扩散，保存有关记录，并向学校网络安全和信息化领导小组办公室报告。

第六条 岗位分工及职责如下：

（一）信息化建设与管理办公室是学校日常信息安全的技术保障部门。

1.负责保证网络核心机房正常供电和网络的通畅；

2.在防火墙上制定对网站的访问控制策略；

3.利用现有技术手段加强对校园网的各级网站、系统进行扫描；

4.负责指导、协助业务部门安全管理员修复漏洞和处理病毒；负责机房的管理工作及机房日常维护；

5.信息化建设与管理办公室建立与市公安机关公共信息网络安全监察部门24小时的联系制度。

6.与学校网站群软件服务商沟通联系，修复系统漏洞和做好安全防护。[A1]

（二）党委宣传部负责学校网络舆情安全管理。

1.负责网站内容的审核和管理。

2.对申请二级网站的院系部处进行授权；

3.对学校主页和各二级网站进行巡查，对网络舆情监督处理；

4.对主页内容进行备份。

5.宣传部派专人负责网站管理工作，网站管理员巡查学校主页和二级网站，并做好巡查记录。

（三）各院、系、部、处负责各自业务系统及二级网站安全。

1.部门主要领导是维护网络与信息安全的第一责任人。各部门必须指派网络与信息安全管理员和网络舆情信息员，具体负责各部门二级网站巡查，网络与信息安全及舆情的收集、反馈和回复工作。

2.网络与信息安全管理员要详细掌握部门信息系统的基本信息、运行情况和安全情况，监控本部门业务系统及二级网站安全，对通报的网络信息漏洞和事故进行整改处理。

3.对于建设有机房的部门，由该部门自行负责机房日常管理工作，并对机房网络与信息安全负责。

（四）党委办公室、招生办等有涉密计算机的部门，负责对本部门涉密计算机管理。

（五）学校相关职能部门，出现网络信息突发事件，应按照《重庆医科大学网络与信息安全突发事件应急预案》[A2]进行处理。

（六）网络安全，人人有责。

1.校园网络实行实名上网，我校师生在开户时须提供本人真实身份信息；

2.增强网络安全意识，对本单位及个人使用的计算机及时进行防病毒软件升级；

3.不得通过校园网络制作、发布、传播或者传输违反法律和行政法规的信息；

4.不得从事入侵他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全、故意制作、传播计算机病毒等破坏性程序的活动；

5.不得提供从事入侵网络、干扰网络正常功能、窃取网络数据等危害网络安全活动的工具和制作方法。

第三章 风险评估及等级保护

第七条 按照网络安全风险评估及等级保护制度的要求，防止网络数据泄露或者被窃取、篡改。对确定参与等级保护建设的系统，系统所有部门应配合等级保护建设的工作。

（一）网络安全和信息化领导小组办公室发起风险评估。

（二）原则上应由第三方进行风险评估。对第三方进行的风险评估，应选择具备国家相关机构颁发的信息安全服务资质，无不良记录的第三方评估单位，并与其签订保密协议，明确对评估涉及的敏感信息、漏洞信息保密方面的要求。

（三）风险评估人员应对评估过程中接触到的敏感信息进行严格保密，尤其在安全漏洞修补之前，严禁泄露给第三方。

（四）对参加等级保护的系统风险评估，每年至少执行一次，在重大活动或敏感时期、在重要系统入网或现网进行大规模调整时，应根据实际情况启动专项评估。

（五）评估过程应有完备的文档记录。对风险评估中发现的重大问题应及时向学校主管领导汇报，并以安全预警方式通告。

（六）学校信息化建设与管理办公室对全校网站和业务系统的安全性和可能存在的风险每季度至少进行一次检测评估，各部门应针对检测评估结果及时整改。

第四章 日常运维管理

第八条各级各类校园网络平台运维者要建立健全信息保护机制，加强对用户个人信息、隐私的保护，不得收集与其提供的服务无关的师生员工个人信息，不得收集非公开的教学科研信息，对其收集的各类信息必须严格保密，不得泄露、篡改、毁损，不得出售或者非法向他人提供。

第九条 严格控制校园网络开设留言功能、讨论区、论坛以及服务性电子信息传输等交互性栏目和信息服务，严格控制开设社区、微视、微刊、微信公众号、QQ公众号等公共社交和媒体平台，因工作需要确需开设相关平台的部门，须向学校宣传部办理专项备案审核手续，不符合条件的，不予批准。

第十条 严格执行学校建设各级网站、各业务系统及设备采购、服务外包等相关规范。各二级网站、系统上线前均需备案登记并签订《二级网站建设及信息服务安全责任书》[A3]和《二级网站管理授权书》，并执行安全检测。所有业务系统、网站质保到期后需有专业维护。

第十一条 严格执行网络与数据机房建设管理规范，确保中心机房运行安全。

第十二条 各部门定期对所建设管理的网站和业务系统的数据、文件等内容备份，对于特别重要的数据和文件还应进行多份备份和异地备份。

第十三条 各部门定期应对所建设管理的业务系统更换密码，严禁使用空口令、弱口令、共享口令。

第十四条 各部门定期检查所建设管理的网站和业务系统运行与用户登陆日志与报告，日志与报告应该存档。

第十五条 宣传部和信息化建设与管理办公室联合制订我校年度信息安全与舆情培训计划及各阶段的具体实施方案。各院、系、部、处的网络安全与信息管理员应参加相应培训学习。

第五章 监督与考核

第十六条 任何单位、组织和个人都有义务对可能危害校园网络安全的行为向学校网络安全和信息化领导小组办公室举报，学校及时组织开展网络安全问题调查处置工作。

第十七条 根据校园网络安全事件原因和程度，对责任单位及其第一责任人及直接责任人等分别给予自我检查、通报批评、警告、记过及以上处分；造成严重影响的，对单位年终绩效考评实行一票否决。对违反本规定，构成违反治安管理行为及构成犯罪的，依法报送国家机关追究相关责任。

第六章 附则

第十八条 本办法自公布之日起实行，所涉及内容与学校原有其他有关文件不一致的，以本办法为准，本办法没有涉及到的有关内容，或在执行过程中与法律和行政法规发生冲突的，以法律和行政法规为准。