蚌埠工商学院网络与信息安全管理办法

第一章 总则

第一条 为全面提升蚌埠工商学院网络与信息安全防护能力和管理水平，保障校园网、信息系统、数据资源安全稳定运行，维护校园网络秩序、意识形态安全与师生合法权益，依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国保守国家秘密法》及网络安全等级保护等国家法律法规与上级教育主管部门要求，结合学校实际，制定本办法。

第二条 本办法适用于全校师生员工，覆盖校园网、各类信息系统、终端设备、新媒体平台及官方网站等全部网络信息资产，实行全范围、全流程规范管理。涉密信息与网络严格按照国家保密相关规定执行。

第三条 网络与信息安全涵盖物理安全、网络安全、系统安全、数据安全、内容安全、行为安全、应急安全等多个维度，全面覆盖信息基础设施、运行环境、数据资源、应用服务及日常管理等关键环节，构建全方位安全保障体系。

第四条 工作遵循统筹规划、分工负责、预防为主、综合治理、全员参与、权责统一原则，落实“谁主管谁负责、谁主办谁负责、谁运维谁负责、谁使用谁负责”。

第五条 坚持网络安全与信息化建设统筹协调、一体推进，完善安全管理、技术防护、队伍建设与应急保障机制，全面提升学校网络安全综合防御能力。

第二章 组织机构与职责

第六条 学校成立网络安全和信息化工作领导小组（以下简称领导小组），由校长、党委书记任双组长，副校长任副组长，各职能部门、二级学院主要负责人为成员，统一领导全校网络安全与信息化工作。负责网络安全有关重大事项的研究决策，指挥网络安全重大突发事件的应急处置。

第七条 领导小组下设办公室，办公室设在现代教育技术中心，办公室主任由现代教育技术中心主任兼任。负责日常统筹协调、制度落实、监督检查、安全通报、应急组织等工作。

第八条 现代教育技术中心为学校网络安全归口管理与技术支撑部门，负责校园网规划、建设、运维及安全防护，统一管理网络资源；统筹开展等保、安全监测与预警；负责中心机房设备运行维护；承担攻防演练、应急处置等，督促整改并对违规行为提出处理建议。

第九条 各职能部门、二级学院作为本单位网络与信息安全责任主体，负责所属信息系统、网站、业务数据及网络终端的应用安全、数据安全和内容安全，落实系统备案、等保测评、漏洞整改、数据备份等工作，设立网络和信息化联络员，配合开展安全检查与事件处置。

第十条 各单位按照“谁主管、谁负责、谁使用、谁负责”的要求，对分管领域、业务系统及相关数据平台履行安全管理、内容监管与日常防护责任，切实落实网络安全工作任务。

第十一条 全体师生员工对本人使用的网络账号、终端设备、移动设备及个人网络行为负直接安全责任，自觉遵守学校网络安全管理规定，主动发现并报告网络安全风险、漏洞及违规行为。

第三章 物理与环境安全管理

第十二条 学校中心机房须符合网络安全等级保护物理安全标准，配备防火、温湿度调控、不间断电源（UPS）等设施。

第十三条 中心机房实行授权准入、专人管理、进出登记，校外人员、第三方人员进入须审批并由本校人员全程陪同，严禁无关人员进入中心机房。

第十四条 无人值守机房必须安装7×24小时环境监控系统，实时监测温湿度、烟感、断电等状态，告警信息及时处置并留存记录。

第十五条 网络设备、服务器、存储设备等实行专人负责、专机专用，严禁非授权人员操作、拆卸、改装、强制断电；设备停机维护须提前向现代教育技术中心报备，避开教学、办公高峰时段。

第十六条 所有网络设备、服务器、计算机终端、存储介质均建立资产台账，明确责任人、使用人、存放位置、配置信息，定期盘点核对，确保账实相符。

第四章 人员安全管理

第十七条 网络管理员、系统管理员、数据管理员、涉密岗位等重点岗位人员，应严格履行岗位安全与保密职责，明确保密义务、操作规范与相应责任，强化日常安全管理与风险防控。

第十八条 人员在入职、转岗、离岗、离职时，所在单位应及时完成网络账号、信息系统权限及门禁权限的开通、变更与注销，规范权限全生命周期管理，杜绝权限滞留、超期使用等安全风险。

第十九条 各单位网络和信息化联络员、系统管理员须报现代教育技术中心备案，人员变动后3个工作日内更新备案信息。

第二十条 学校每年至少开展1次全员网络安全意识宣传，对运维、管理岗位开展相关培训。

第二十一条 校外运维、技术服务、项目开发等第三方人员须，限定最小操作权限，全程操作留痕审计，离岗立即回收所有权限、资料与设备。

第五章 介质与设备安全管理

第二十二条 报废、淘汰的存储介质必须进行数据彻底清除或物理销毁，严禁未经安全处理直接丢弃、出售、转让或捐赠。

第二十三条 所有接入校园网的计算机、笔记本、手机、平板等终端设备，必须安装正版杀毒软件、及时更新系统补丁，开启防火墙，禁止安装盗版、破解、来历不明软件。

第二十四条 严禁在校园网内私自搭建路由器、无线AP、代理服务器、私有子网；严禁私自修改IP地址、MAC地址、网络配置；严禁私自接入未经认证的网络。

第二十五条 现代教育技术中心定期对全校服务器开展安全巡检，重点排查高危漏洞、病毒木马、违规外联、非法软件等风险，及时通报并督促整改。

第六章 网络与系统安全管理

第二十六条 校园网实行统一出口、统一认证、实名上网，所有用户必须使用本人实名账号登录，严禁盗用、转借。

第二十七条 校园网部署下一代防火墙、入侵防御系统、日志审计等设备，实现边界访问控制、攻击拦截、流量审计与异常告警。

第二十八条 按照业务重要性划分核心网络区域，重要业务网段、普通办公网段和学生网段逻辑隔离，严格控制跨区域访问权限。

第二十九条 所有信息系统、网站上线前，须完成安全检测相关流程，未通过安全评估的系统，一律不得接入校园网。

第三十条 涉及学校核心数据、师生个人信息、敏感业务数据的系统严禁部署在校外及境外云平台；确因工作需要校外部署的，须经学校网络安全和信息化工作领导小组审批备案，由承办单位承担全部安全责任。

第三十一条 账号权限遵循最小授权、权限分离、按需分配原则，定期清理冗余、闲置及超期账号；实行管理员账号与普通账号严格分离，严禁共享、共用、转借管理员账号。

第三十二条 信息系统按照国家网络安全等级保护标准完成定级、备案、测评、整改，系统定期开展等级保护测评。

第三十三条 系统升级、功能新增、配置修改、架构调整等重大变更，须提交变更申请、制定实施方案、开展安全测试、评审通过后方可实施，保留完整变更记录与回退方案。

第三十四条 系统停用、报废须履行下线注销手续，留存配置与数据备份，到期后安全删除，及时注销域名、IP、账号与备案信息。

第七章 数据安全管理

第三十五条 学校数据分为公开数据、内部数据、敏感数据、核心数据、涉密数据五个等级，实行分级保护、分类管理。

第三十六条 采集师生个人信息遵循最小必要原则，不得超范围、超期限采集；使用数据须获得授权，严禁非法获取、泄露、篡改、买卖、传播学校数据与个人信息。

第三十七条 敏感数据、核心数据传输加密、存储加密，严禁明文存储、明文传输；重要数据实行本地与异地双备份，防止数据丢失、泄露、损毁。

第三十八条 公开展示学号、身份证号、手机号、家庭住址等个人敏感信息时，必须做脱敏处理，严禁完整公开敏感信息。

第三十九条 数据共享与开放须履行审批流程，明确共享范围、使用期限、安全责任，签订数据安全协议，全程审计数据使用行为。

第八章 信息发布与内容安全

第四十条 所有上网信息、网站内容、新媒体发布内容实行专人审核、留痕备查，未经审核一律不得发布。

第四十一条 严禁制作、复制、发布、传播以下信息：

（一）危害国家安全、泄露国家秘密、煽动分裂国家、破坏民族团结的信息；

（二）虚假谣言、淫秽色情、暴力恐怖、赌博、封建迷信的信息；

（三）侵权、诽谤、侮辱他人、侵害他人隐私的信息；

（四）学校涉密信息、内部敏感信息、未公开工作信息；

（五）其他违反国家法律法规、校规校纪与公序良俗的信息。

第四十二条 以学校、部门、院系开设网站、公众号、视频号、微博、抖音、论坛、小程序等，须向党委宣传部与现代教育技术中心双备案，获批后方可运营，严禁未经授权使用“蚌埠工商学院”全称、简称及校徽等标识。

第四十三条 各单位定期巡检本单位平台内容，及时删除违规信息，留存巡检与处置记录，发现重大舆情立即上报学校。

第九章 备份与恢复管理

第四十四条 各承办单位应按照信息系统重要程度，规范数据备份工作，明确备份范围、频率、方式、保存期限、恢复时限及相关责任人。

第四十五条 重要业务系统与核心教学管理数据实行每日增量备份、每周全量备份。

第四十六条 每年至少开展一次数据备份核查，确保备份数据安全可用、系统能够正常恢复。

第四十七条 备份介质专人保管、安全存放、定期检查，防止丢失、损坏、泄露、非法访问。

第十章 监测预警与应急处置

第四十八条 现代教育技术中心对校园网、信息系统、网站平台实行7×24小时安全监测，及时发现漏洞、攻击、入侵、病毒爆发、异常流量、数据泄露等风险。

第四十九条 归口管理部门定期发布安全预警与漏洞提示，引导各单位主动开展安全自查，及时排查隐患并做好整改落实。

第五十条 发生网络安全事件（包括系统漏洞、网络攻击、数据泄露、病毒传播、网站篡改等），责任单位应立即向现代教育技术中心报告，并在24小时内提交书面情况说明，妥善保护现场、留存日志及相关证据。

第五十一条 学校制定《蚌埠工商学院网络安全事件应急预案》，实行24小时应急值守；重大事件立即启动预案，统一指挥、快速处置、防止危害扩大。

第五十二条 安全事件处置完毕后，开展原因分析、责任认定、整改优化，形成复盘报告，完善防控措施。

第十一章 监督检查与责任追究

第五十三条 现代教育技术中心定期开展网络安全检查、抽查与专项审计，对发现的问题跟踪督促、逐项整改落实。

第五十四条 违反本办法规定，有下列行为之一的，给予通报批评、限期整改、暂停网络使用权限处理：

（一）私自接入校园网、私设网络设备、盗用IP/账号的；

（二）未按要求备案、审核、备份、整改的；

（三）违规发布信息、泄露非敏感信息的；

（四）不配合安全检查、应急处置的。

第五十五条 有下列行为之一的，依规给予纪律处分；造成学校损失的依法赔偿；涉嫌违法犯罪的，移交司法机关处理：

（一）故意破坏网络设施、传播病毒、实施网络攻击的；

（二）泄露国家秘密、学校核心数据、大量师生个人信息的；

（三）迟报、瞒报、谎报网络安全事件造成严重后果的；

（四）利用校园网从事违法犯罪活动的；

（五）违规部署系统、疏于管理导致重大安全事件的。

第五十六条 因管理失职、监管不力导致本单位发生重大网络安全事件的，有权追究部门/院系负责人与直接责任人连带责任。

第十二章 附则

第五十九条 本办法由蚌埠工商学院网络安全和信息化工作领导小组办公室负责解释。

第六十条 本办法自发布之日起施行，学校原有相关网络安全管理规定与本办法不一致的，以本办法为准。