第一章 总 则

第一条 为保障学校网络信息安全，维护学校网络空间和信息系统安全，保护师生个人合法权益，提高安全防护能力和水平，促进学校各项事业健康有序发展，依据《中华人民共和国网络安全法》，结合我校实际，特制定本办法。

第二条  本办法所称网络信息安全工作，是指由学校或社会投资建设、运行、维护与管理，并用于支撑学校教学、科研、管理和生活等各项工作的网络与信息资产（含信息系统与信息）的机密性、完整性、可用性等得到保持、不被破坏所开展的相关管理和技术工作。

本办法所指学校各单位包括各机关部、处、室，学院，直属单位以及有关科研机构。

第三条 网络信息安全按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的层级递进原则，建立健全网络信息安全责任体系，学校各单位部门、全体师生应依照本办法及相关法律法规、标准规范履行网络信息安全的义务和责任。

第二章 组织机构与职责

第四条  学校主要负责人是学校网络信息安全的第一责任人，分管信息化工作的校领导协助主要负责人履行学校网络信息安全责任。

第五条 校园信息化建设与安全领导小组是全校信息化建设与安全工作的领导机构，负责统筹学校网络信息安全各项工作。信息化建设与管理办公室是校园信息安全归口管理部门，负责学校网络信息安全防护体系的建设、运行维护、技术指导和服务支持。在网络信息安全方面具体职责包括：

（一）制定网络信息安全总体规划并组织实施；

（二）拟定网络信息安全管理规章制度，制定网络信息安全标准规范；

（三）组织开展信息系统安全等级保护工作；

（四）负责信息安全应急管理，协调处理与政府信息安全管理部门的关系；

（五）组织信息安全宣传和教育培训工作；

（六）负责网络信息安全监督检查工作；

（七）学校网络信息安全的其他工作。

第六条 学校各单位部门是本单位网络和信息化安全工作的责任主体，各单位主要负责人是本单位网络安全和信息化工作第一责任人，负责按本办法落实信息安全工作。

第三章 校园网络管理

第七条 校园网络是指校园范围内连接各种信息系统及信息终端的计算机网络，包括校园有线网络、无线网络和各类专网。

第八条 校园网络规划由校园信息化建设与安全领导小组统筹，信息化建设与管理办公室制定。由学校投入资金建设的光缆布线、网络机房、网络设备、网管系统、域名管理、安全防护、认证计费、网络接入与运维等校园网络和信息系统，由信息化建设与管理办公室负责建设、运行、维护和管理。由社会资金投资建设，服务于学校各项工作的校内专用网络和信息系统（商用通讯网络除外），应符合学校网络信息整体规划和技术架构，由使用单位负责管理与运维，信息化建设与管理办公室提供技术支持。

第九条 校园网络与互联网及其他公共信息网络应实行逻辑隔离，由信息化建设与管理办公室统一出口、统一管理和统一防护。未经批准，学校各单位部门在校内不得擅自通过其他渠道接入互联网及其他公共信息网络。

第十条 校园网络信息安全应采取访问控制、态势感知、安全审计、完整性检查、入侵防范、恶意代码防范等措施加强校园网络边界防护。具体工作由信息化建设与管理办公室负责。

第十一条 师生接入校园网络，实行“实名注册、认证上网”。 网络接入实名管理与登记实行校园网接入认证服务器归属地管理。长清校区、无影山校区网络接入实名管理由信息化建设与管理办公室负责。威海校区、东校区负责本校区的网络接入实名管理。

第十二条 校园网络接入单位负责提供本单位所需的网络设备设施和电源保障，协助解决网络布线和设备安装所需空间，负责安防和消防安全管理。

第十三条 未经学校允许任何单位和个人不得利用校园网络及设施开展公共上网经营服务。如需利用校园网开展公共上网经营服务的，学校批准后应向校区所在地公安机关报备并办理相关手续。

第四章 数据中心管理

第十四条 数据中心主要包括支撑学校信息系统运行的物理环境（含网络核心机房）、软硬件设备设施、校园私有云、学校中心数据库（包含基础数据库）、数据共享交换平台、统一身份认证平台及统一信息门户等信息化基础设施和平台。信息化建设与管理办公室负责数据中心的建设、运行、维护和管理。

第十五条 信息化建设与管理办公室负责数据中心物理环境、网络信息安全软硬件系统设备和校园私有云的建设和安全管理；根据信息系统安全等级的不同，对数据中心进行分区、分域管理，采取必要的技术措施对不同等级分区进行防护、对不同安全域之间实施访问控制。

第十六条 信息化建设与管理办公室负责学校中心数据库、数据共享交换平台的建设和安全管理，负责基础数据库与各单位业务数据库之间完成数据交换和共享。各单位负责建设、维护本单位业务应用系统所配套的业务数据库，并对本单位业务数据库及所申请的共享数据的安全负责。

第十七条 统一身份认证平台为学校信息系统提供统一的身份管理、安全的认证机制、审计及标准接口。学校各单位建设面向师生服务的应用系统时，应使用统一身份认证平台进行身份认证。信息化建设与管理办公室负责统一身份认证平台的安全，学校各单位负责本单位应用系统的权限管理及安全。

第十八条 原则上学校业务管理系统所需的服务器资源由学校统一提供，搭建在学校云服务器硬件平台上。各单位部门无特殊需求不再单独购置服务器、存储、机柜等网络设备设施。业务管理系统如需使用校外服务器或公有云，须明确系统管理员与责任人并做好备案。涉及学校基础数据、中心数据库、师生个人信息或敏感信息的信息系统，不得部署在校外数据中心服务器或公有云上。未经批准，严禁使用境外数据中心服务器。

第十九条 信息化建设与管理办公室对学校数据中心的使用实施准入管理，负责制定使用数据中心的技术规范和标准，在系统上线前进行安全检测。符合技术规范标准并检测通过的系统方可上线运行。

第二十条 学校云服务器管理本着“谁申请，谁使用，谁负责”的原则。申请和使用单位不一致的，申请单位是第一责任单位，使用单位或使用人负管理责任。

第二十一条 数据中心的使用单位应遵循数据中心相关管理制度和技术标准，按需申请、有序使用，不得利用数据中心资源从事任何与申请项目无关或危害网络信息安全的活动。

第五章 信息系统建设、运行和维护管理

第二十二条 学校按照同步规划、同步建设、同步运行的原则，规划、设计、建设、运行、管理信息安全系统设备设施，建立健全网络信息安全防护体系，全面实施信息系统安全等级保护制度。

第二十三条 学校鼓励对功能相近的信息系统进行合并以减少信息系统数量。鼓励在已有的信息系统或平台上进行新信息系统的开发建设。如需采购成品软件，应本着安全可靠、技术成熟和服务优质的原则。对没有相应成品软件或成品软件不适应实际需求的，可按照学校采购与招标相关管理办法，委托资质和信誉良好的软件开发单位按照学校数据标准进行开发。

第二十四条 信息系统建设单位在立项阶段应确定安全保护等级。对于安全等级第二级以上（含第二级）的信息系统，由信息化建设与管理办公室统一办理系统备案。

第二十五条 学校各单位部门应积极开展信息系统等级保护工作。按照“自主定级、自主保护”的原则，信息系统建设单位是信息系统安全等级保护的责任主体，具体负责系统定级、建设整改、安全自查，协助系统备案、等级测评并接受有关部门监督检查。信息化建设与管理办公室是信息系统安全等级保护工作的技术支撑保障部门，负责信息技术安全防护体系建设和等级测评组织工作，参与监督检查工作，并协助学校各单位进行系统定级、建设整改。

第二十六条 信息系统在建设阶段应按已确定安全保护等级，同步落实安全保护措施。信息系统投入试运行后，由建设单位初步验收，出具初步验收报告。对于安全等级第二级以上（含第二级）的信息系统，应开展信息系统等级保护定级和评测。信息系统通过初步验收和信息安全保护等级测评后，方可组织竣工验收。

第二十七条 信息系统开发环境、测试环境和运行环境应严格隔离。

第二十八条 信息系统建设单位可自行或委托校外单位、企业维护系统。涉及重要业务或师生核心信息的系统以及安全等级第二级以上（含第二级）的信息系统，维护单位应与建设使用单位签订保密协议。

第二十九条 信息系统建设单位应定期对信息系统运行日志进行安全审计，通过记录、检查系统和用户活动信息，及时发现系统漏洞，处置异常访问和操作。

第三十条 信息系统建设单位应制定信息系统使用与维护的管理制度，规范信息系统使用者和维护者的操作行为。

第三十一条 对于安全等级第二级以上（含第二级）的信息系统，信息化建设与管理办公室将定期组织开展等级测评，查找、发现并及时整改安全问题、漏洞和隐患。根据国家和行业有关标准规范定期测评。

第六章 信息系统数据与师生个人信息安全管理

第三十二条 信息系统数据是指信息系统收集、存储、传输、处理和产生的各种电子数据，包括但不限于网站内容、业务数据、网络课程、图书资源、日志记录等。

第三十三条 信息系统数据属于学校无形资产，各单位部门应当重视数据的生产和发布，对系统内数据的正确性和准确性进行校验和审查。未经授权或无正当理由严禁对外提供校内各项数据。

第三十四条 信息系统使用单位是系统数据的所有者，也是数据安全管理的责任主体。应当落实管理和技术措施，规范数据的收集、存储、传输和使用，定期进行数据人工备份，定期更改系统登录账号密码，确保数据安全。

第三十五条 信息系统数据收集应遵循“最少够用”原则，不得收集与信息系统业务服务无关的个人信息。按照“谁收集，谁负责”的原则，收集个人信息的单位是个人信息保护的责任主体，应当对其收集的个人信息进行加密和脱敏处理后存储和使用。师生个人关键信息，如身份证号码、家庭信息等未经脱敏加密处理的个人信息不得公开发布。

第三十六条 师生人体生物特征信息的收集和使用应当尊重本人意愿。不得将人脸特征、指静脉、指纹等人体生物特征信息作为校园唯一的身份认证方式。

第七章 互联网网站和域名安全管理

第三十七条 学校各单位部门开办互联网网站和专题网站，应使用学校互联网域名和互联网IP地址。

第三十八条 全校各单位部门使用学校二级域名的互联网网站，应当纳入学校网站集群管理平台下统一管理。信息化建设与管理办公室负责学校网站集群管理平台的建设。各单位部门负责本单位网站管理账号、密码、内容审核与发布的管理责任。未纳入学校网站集群管理平台的网站不能在学校部署，不能使用学校二级域名。

第三十九条 对确实需要使用“.com”等非学校互联网域名的网站，使用单位应以独立法人身份进行域名备案后在公有云部署，备案主体单位不能是“山东交通学院”。

第四十条 互联网网站运行维护单位应制订应急处置流程，组织专人对网站进行监测，发现网站运行异常及时处置。

第四十一条 互联网网站内容的合规审核由网站开办单位负责。互联网网站开办单位应建立完善的网站信息发布与审核流程，确定负责内容编辑、内容审核、内容发布的人员，明确审核与发布程序，保存相关操作记录。

第四十二条 对于使用频度不大、阶段性使用的网站，开办单位可采取非工作时间或寒暑假、节假日关闭的方式运行。对于无人管理维护、长期不更新的网站，网站开办单位应自行关闭或通知信息化建设与管理办公室代为关闭，以降低安全风险。

第八章 个人电子账号与安全管理

第四十三条 教工工号、学生学号是学校唯一官方认定的个人电子账号。各业务系统的登录账号应以工号、学号为标准账号。各信息系统内人员编号，应以工号学号作为标准字段。

第四十四条 师生须对使用其个人电子账号开展的所有活动负责，妥善保管本人使用的电子账号和密码，确保密码具有一定强度并定期更换。

第四十五条 信息化建设与管理办公室应采取必要的技术和管理措施，加强师生电子账号的安全防护。

第九章 终端计算机安全管理

第四十六条 终端计算机是指由学校师生使用并接入校园网从事学校教学、科研、管理等活动的各类计算机及附属设备，包括台式电脑、笔记本电脑及其他移动终端。

第四十七条 终端计算机使用人按照“谁使用，谁负责”的原则，对其终端计算机负有保管和安全使用的责任。

第四十八条 终端计算机设备上安装、运行的软件须为正版软件。在终端计算机上使用盗版软件带来的安全和法律责任由终端计算机使用人承担。

第四十九条 信息化建设与管理办公室为全校师生提供终端计算机所需的正版操作系统和办公软件，使用人自行安装。

第五十条 终端计算机应当设置系统登录账号和密码，禁止自动登录，登录密码应具有一定强度并定期更改。

第五十一条 终端计算机使用人应做好数据日常管理和保护，定期进行数据备份。非涉密计算机不得存储和处理涉密信息，不得接入涉密网络。

第五十二条 终端计算机使用人应做好终端计算机的安全防范，如发现终端计算机出现可能由病毒或攻击导致的异常系统行为或其他安全问题，应立即断网后进行处置。

第十章 存储介质安全管理

第五十三条 存储介质是指存储数据的载体，主要包括硬盘、存储阵列、磁带库等不可移动存储介质，以及移动硬盘、U盘等可移动存储介质。

第五十四条 原则上存储系统等大容量介质应由学校 统一建设。对各单位部门已经购置的存储系统应在学校数据中心机房托管，学校统一运行、维护和管理。信息化建设与管理办公室应采取必要技术措施防范数据泄漏风险，确保存储数据安全。

第五十五条 非涉密移动存储介质不得用于存储涉密信息，不得在涉密计算机上使用。

第五十六条 移动存储介质在接入终端计算机和信息系统前，应当查杀病毒、木马等恶意代码。

第十一章 外包服务安全管理

第五十七条 本章节外包服务是指信息系统的开发和运维的外包。

第五十八条 外包服务需求单位应与外包服务提供商签订服务合同和信息安全保密协议，明确信息安全与保密责任，要求服务提供商不得将服务转包，不得泄露、扩散、转让服务过程中获知的敏感信息，不得占有服务过程中产生的任何信息资产，不得以服务为由强制要求委托方购买、使用指定产品。

外包服务合同和信息安全与保密协议应按学校合同管理办法的有关要求，报校园信息化建设与安全领导小组审核。

第五十九条 现场服务过程中，外包服务需求单位应安排专人陪同，并详细记录服务过程。

第六十条 外包开发的系统、软件上线应用前，外包服务需求单位应组织安全检查，要求开发方及时提供系统、软件的升级、漏洞等信息和相应服务。

第六十一条 信息化建设与管理办公室负责远程在线运维设备（堡垒机、VPN等设备）的统一购置、运维和管理。信息系统运维如需采用远程方式进行，必须通过远程在线运维统一进行管理。

第十二章 信息安全应急管理

第六十二条 校园信息化建设与安全领导小组负责学校网络信息安全应急工作的统筹管理，信息化建设与管理办公室负责信息安全应急工作的技术支撑和保障。

第六十三条 信息化建设与管理办公室负责组建学校网络信息安全应急技术支援队伍，提高信息安全事件的预防、预警和应对能力，预防和减轻网络信息安全事件造成的损失和危害。

第六十四条 学校各单位应做好网络安全突发事件紧急报告与处置。做到安全事件早发现、早报告、早控制、早解决。

第六十五条 学校各单位和师生均有义务及时向信息化建设与管理办公室报告网络信息安全事件，不得在未授权情况下对外公布、尝试或利用所发现的安全漏洞或安全问题。

第十三章 信息安全教育培训

第六十六条 信息化建设与管理办公室负责组织学校网络信息安全宣传和教育培训工作。定期组织开展针对师生的网络信息安全教育，提高师生的安全和防范意识。

第六十七条 信息化建设与管理办公室定期开展针对网络信息安全管理人员和技术人员的专业技能培训，提高信息安全工作能力和水平。

第十四章 信息安全检查与处理

第六十八条 学校各单位定期对本单位信息系统的安全状况、安全保护制度及措施的落实情况进行自查，并配合有关部门的信息安全检查、信息内容检查、保密检查与审批等工作。

第六十九条 信息化建设与管理办公室对学校各单位网络信息安全定期进行巡检，对发现的问题及时通知问题所在单位整改。同时对存在网络信息安全风险隐患的网站和信息系统，或是被病毒感染的服务器、电脑做停用、断网处理。风险隐患排除后恢复运行。信息化建设与管理办公室提供技术支持。

第十五章 附则

第七十条 涉及国家秘密的信息系统，执行国家保密工作相关规定和标准，由学校保密工作委员会监督指导。

第七十一条 学校各单位可参照本办法制订本单位的实施细则。

第七十二条 本办法自发布之日起实施，由信息化建设与管理办公室负责解释。学校原有相关规定与本办法不一致的，按本办法执行。