杭师大发〔2023〕8号

杭州师范大学关于印发网络与信息安全

管理办法的通知

各学院（部）、部门：

现将《杭州师范大学网络与信息安全管理办法》印发给你们，请认真遵照执行。

                                            杭州师范大学

  2023年5月31日

杭州师范大学网络与信息安全管理办法

第一章 总则

第一条 为保障学校网络安全与信息化建设工作规范有序，确保校园网络环境安全稳定，根据《中华人民共和国网络安全法》等相关法律法规要求，结合学校工作实际，制定本办法。

第二条 本办法所称的网络与信息安全管理是指学校采取技术、管理等措施，保护学校网络与信息化建设基础设施、信息系统及信息数据的安全，使其不受到破坏、篡改、泄露等。

第三条 网络安全工作是学校信息化建设的重要工作，校内各单位应通力合作，在人员、资金、技术、设备等方面提供充足的支持与保障。

第二章 组织机构及职责分工

第四条  学校网络安全和信息化工作领导小组为学校网络安全工作的领导机构，负责学校网络安全工作的战略决策，统筹指导学校网络信息安全建设，研究处理重大网络信息安全事件。领导小组下设办公室，办公室设在信息中心，负责学校网络信息安全的管理和协调工作。

第五条  信息中心负责学校网络与信息系统运行的日常监管，保障学校网络和相关信息系统的正常运行；保存网络运行日志，配合调查取证；负责入网单位和个人办理入网登记手续，签署相应的安全责任书。

第六条  党委宣传部负责网络信息内容的安全监管，负责校园网站准入审核，网络舆情信息的监控和管理，开展网上疏导和正面宣传，做好对外宣传工作。

第七条  党委保卫部（保卫处）负责对网络违规行为进行调查、取证、处理，根据相关证据及事态影响或破坏程度，对违规者按照有关规定进行处理。

第八条 各学院（部）、部门（以下简称各二级单位）应按照“谁主管谁负责、谁主办谁负责、谁运行谁负责、谁使用谁负责”的原则，负责本单位主管使用的主机、信息系统及数据、网站及新媒体平台的安全管理工作，建立本单位网络安全管理制度和应急处置预案。

第九条 师生应主动学习网络安全相关知识，培养科学健康用网习惯，配合做好宣传工作，积极参与网络安全的建设和管理，遵守学校网络安全管理的相关规定，不得从事危害国家安全、泄露国家秘密、侵犯知识产权、传播不良信息、破坏计算机信息系统等违法犯罪活动。

第三章 校园网络及基础设施安全管理

第十条 杭州师范大学校园网络（以下简称“校园网”）基础设施是指承载校园网正常运行的光纤通信线路、弱电设施设备、网络设备等基础设施设备。

第十一条 各二级单位及个人不得擅自建设、拆卸、更改、损毁、挪用校园网及相关基础设施，不得改变网络结构，私接外网出口。

第十二条 校园网主要服务于学校教学、科研及校务管理等，严禁利用校园网开展商业宣传等未经许可的其它活动。

第十三条 校园网入网实行实名认证，除专用机房、实验室等特殊场所经信息中心备案外，校园网用户必须通过学校统一身份认证接入校园网，未经登记不得以任何方式私接校园网，严禁盗用其他用户上网账号使用校园网。

第十四条 校园网用户应文明上网，规范网络行为，并做好个人信息安全防范。严禁利用校园网从事入侵、破坏、窃取、修改存储设备和计算机信息系统中的数据资源、配置参数等，不得利用校园网以任何形式攻击校内外网络。

第十五条 信息中心对内网IP、公网IP和域名的使用进行统一规划、分配和管理，并定期审查其使用情况，有权禁用涉嫌违法违规及存在安全隐患的IP和域名。

第十六条 信息中心以保障学校教学与科研的稳定顺畅为首要目标，有权根据运行情况对校园网进行适时调整与优化，对流量过高、挤占带宽资源严重的流量及应用进行限时、限速或封停操作。

第十七条 信息中心负责对校园网的安全进行监测管理，依法利用上网行为审计系统，对网站、软件、邮件等应用的违规上网行为进行审计，及时发现并追溯违法违规行为；对办公协同应用进行敏感信息审计，追溯学校泄密源头。对散布病毒、木马、违规使用校园网等危害校园网安全行为的，信息中心有权封停计算机或其使用人账号。

第四章 物理安全管理

第十八条 物理安全管理是指通过技术和管理手段，保护校园服务器机房网络设备、服务器存储设备、动力环境设备等硬件设施免遭自然灾害（地震、水灾、火灾、爆炸等环境事故）和人为操作错误或失误而造成的破坏。

第十九条 单独设立服务器机房的二级单位应建立机房安全管理制度，严控机房进出人员，规范机房各项管理操作。

第二十条 学校电力维护部门应确保机房用电不间断，若确实须停电维护的，须提前通知后方可实施。

第二十一条 未经信息中心允许，任何单位或个人不得擅自对弱电间设备设施和校园通信线路进行操作。增加、安装、调试、更换、拆除弱电间的设备设施或通信线路时，必须做好相关操作记录，并向信息中心提前报备。

第二十二条 机房所属单位应做好机房动力环境工作，要有防火、防盗、防雷、防电磁防护、恒温、恒湿等安全措施，定期巡检，做好记录，发现异常及时处理，避免安全事故发生。

第五章 主机安全管理

第二十三条 主机安全管理是指通过一系列安全技术和安全管理措施，保证服务器、存储等主机设备（包括虚拟主机）数据存储和处理的保密性、完整性、可用性，以及主机硬件、固件和系统软件的自身安全。

第二十四条 各二级单位应指派专人负责本单位各类主机的安全维护和管理，定期对各类主机进行安全检查、漏洞修复和病毒扫描，及时发现、解决软硬件系统故障。

第二十五条 各二级单位可向信息中心申请主机托管服务。托管的主机原则上只允许对外开放以web服务为主的用于教学、科研和管理的互联网基本信息服务，以及校园内部使用的业务系统等。托管主机达到报废年限且不再使用的，应及时关停并移出托管机房。

第二十六条 托管主机的软硬件维护以及内部系统、软件的安装及安全管理由托管单位自行负责。

第二十七条 信息中心有权对托管主机进行必要的监控，以保证学校网络线路的正常运行。若托管单位违反校内网络安全相关制度，或托管服务器出现中毒、被黑客侵入等异常情况时，信息中心有权终止服务器运行的权利。

第六章 信息系统安全管理

第二十八条 学校信息系统建设使用应遵循校内网络安全相关制度、技术、规范和流程开展。

第二十九条 各二级单位应定期对本单位使用的信息系统和网站的安全状况、安全保护制度及措施的落实情况进行自查、修复等，并配合有关部门的信息安全检查、信息内容检查、保密检查与审批等。每年将本单位信息系统和网站等信息提交信息中心备案，内容包括：系统名称、域名、IP地址、使用单位、系统管理员及联系方式等。

第三十条 各单位建设的面向在校师生开放的各类信息系统应使用学校统一身份认证。

第三十一条 信息中心定期对校内的信息系统进行安全监测，对长期无人管理、内容不做更新、存在安全隐患、管理制度缺失或无固定的管理和维护人员的信息系统，有权予以清理和关闭。

第三十二条 各二级单位应落实信息系统安全等级保护制度。按照要求开展信息系统定级和备案工作。新建、改建、扩建信息系统应在设计阶段确定安全保护等级并同步建设安全防护措施。对于计算机信息系统安全状况未达到安全保护等级要求的，相应系统主管的二级单位应及时整改。

第三十三条 涉密信息系统不得直接或者间接地与国际互联网或其它公共信息网络相联接，应当根据国家涉密信息分级保护管理规定和技术标准进行保护。

第三十四条 涉密人员的非密计算机如需联接外网，须申请审批，坚持“谁上网谁负责”的原则，做到涉密的信息不上网，上网的信息不涉密。

第七章 数据安全管理

第三十五条 本办法所涉及的数据是指各类信息系统所覆盖的相关业务数据，包括但不限于:信息门户、人事系统、学生管理系统、教务管理系统、研究生管理系统、科研系统以及其他各类信息系统产生的数据。

第三十六条 信息中心是学校数据资产的统筹管理部门，负责主数据中心、数据仓库平台、数据共享平台的安全管理，并规范数据服务流程，确保数据流向清晰，实现数据可控、可管、可查。

第三十七条 数据生产部门为权威数据的单一来源部门，负责数据收集、维护、使用、备份、归档等全程安全，需遵循学校信息标准规范及数据服务规范。

第三十八条 数据使用部门根据实际需求向数据生产部门提出申请，获得批准后，信息中心或数据生产部门向数据使用部门开放数据接口。数据使用部门有义务和责任保护所获得数据的安全，未经允许，不得将数据用于申请使用外的其他用途。

第三十九条 未经批准，任何单位和个人不得擅自提供信息系统产生的内部数据。对于非法泄露或擅自提供数据的单位或个人，依照相关法律法规予以处理。

第八章 内容安全

第四十条 任何单位和个人必须遵守《中华人民共和国计算机信息网络国际互联网络管理暂行规定》、国家有关法律法规和学校的有关管理规定，严格执行信息安全保密制度,并对所提供和发布的信息负责。

第四十一条 任何单位和个人不得利用网络制作、复制、传播下列信息:

（一）煽动抗拒、破坏宪法和法律、法规实施的;

（二）煽动颠覆国家政权，推翻社会主义制度的;

（三）煽动分裂国家、破坏国家统一的;

（四）煽动民族仇恨、民族歧视,破坏民族团结的;

（五）煽动非法集会、结社、游行、示威、聚众扰乱社会秩序的;

（六）捏造或者歪曲事实，散布谣言，扰乱社会秩序的;

（七）宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的;

（八）公然侮辱他人或者捏造事实诽谤他人的;

（九）损害国家荣誉和利益的;

（十）以非法民间组织名义组织活动的;

（十一）损害杭州师范大学荣誉和利益的;

（十二）其他违反宪法和法律、行政法规的。

第四十二条 各二级单位须严格遵循内容审核机制，规范信息发布审批流程，加强信息安全监控，防止出现内容篡改等安全事故。

第九章 检测预警与网络安全事件的处置

第四十三条 信息中心不定期对校内各类信息系统、网络、其他网络相关设备开展网络安全检测工作，并发布检测报告。各单位应根据《杭州师范大学网络安全漏洞整改流程》（附件1），及时落实网络安全自查和问题修复，避免网络安全事件发生。

第四十四条 校内网络安全事件的处理由信息中心协同有关部门负责组织实施，按照《杭州师范大学信息技术安全事件报告与处置流程》（附件2）进行分级、分类处理。安全事件相关单位及人员应积极配合，认真落实网络安全事件处置相关工作。为避免安全事件不良影响扩大，信息中心有权直接对安全事件相关的网络及信息系统进行断网、停止服务等应急处理。

第四十五条 各二级单位应制定网络安全应急预案，定期开展应急演练，提高网络安全事件处置能力，发现网络安全问题应及时向信息中心报告并进行必要的应急处理。

第四十六条 信息中心负责组织校内网络安全处置应急演练，相关部门应积极参与，通过演练提高校内网络安全事件处置能力。

第十章 责任追究

第四十七条 网络安全事件的责任认定，由信息中心提交校网络安全和信息化工作领导小组讨论后，经学校相关会议审议处理。

第四十八条 对于违反法律、法规，造成国家、学校和个人损失的单位或个人，学校将依据《中华人民共和国网络安全法》等法律法规配合公安、网信等主管部门进行处理。

第十一章 附则

第四十九条 本办法由信息中心负责解释，自印发之日起施行。

各类附件详见：《杭州师范大学网络与信息安全管理办法》杭师大发〔2023〕8 号