第一章总则
第一条 为进一步加强学院网络安全和信息化工作的规范管理,提高信息技术安全防护能力和水平,促进学院信息资源的交流与共享,保证网络安全和信息化建设的实效性与可持续发展,充分发挥信息化在教学、科研及管理方面的保障支撑作用,确保学院各项事业健康有序发展,根据《西南大学网络安全管理办法》,结合学院实际,特制定本办法。
第二条 在学院建设、运营、维护和使用的网络与信息系统,以及网络运行安全和信息内容安全的监督管理,适用本办法。
第三条 学院按照国家有关网络安全和信息化建设的法律、法规、规章,制定网络与信息安全总体规划,坚持信息化建设与网络安全发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施、网络平台、网络信息、网络意识形态等安全管理协调发展,建立健全网络安全工作体系,并在实际工作中予以落实。
第二章 管理体系与工作职责
第四条 学院网络安全和信息化工作领导小组负责协调全院网络与信息安全保障体系建设。学院主要负责人是网络安全管理的第一责任人,班子其他成员对职责范围内的网络安全管理工作负领导责任。
第五条 学院网络安全和信息化工作领导小组主要负责部署和统筹协调网络安全管理工作,定期研究网络安全管理工作;指导和督促网络安全管理制度建设;统筹网络安全管理工作队伍建设;决策网络安全管理的重大问题等。
第六条 按照“谁主管、谁负责;谁运维、谁负责;谁使用、谁负责”的原则,学院领导班子成员按照本办法落实信息安全工作,对系统操作与信息内容的安全监管承担直接责任。按照学校和学院有关规定进行网络运行安全、网络信息安全和网络意识形态安全的日常巡查和定期与不定期检查,及时报送相关信息,及时消除隐患并处置相关问题。
第三章 网络运维安全管理
第七条 学院任何组织和个人不得从事入侵他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全、故意制作、传播计算机病毒等破坏性程序的活动;不得提供从事入侵网络、干扰网络正常功能、窃取网络数据等危害网络安全活动的工具和制作方法;不得为他人实施危害网络安全的活动提供技术支持、广告推广、支付结算等帮助。
第八条 学院实验教学中心严格执行网络与数据中心机房建设管理规范,确保中心机房、教学实验室运行安全。认真记录对重要设备和信息系统的日常操作、运行维护记录、参数设置和修改等内容,严禁任何未经授权的操作。严格按照有关信息系统事故调查规定,及时报告信息系统事故情况,认真开展信息系统事故原因分析,有效落实整改。严格执行有关的网络与信息系统安全运行情况通报制度,做好定期、节假日和特殊时期的网络与信息系统安全运行情况报送工作。
第九条 学院定期对网站和信息系统根据安全提示及时进行整改。对网站和信息系统的数据、文件等内容进行备份,对于特别重要的数据和文件还应进行多份备份和异地备份。
第十条 学院师生员工应增强网络安全责任意识,不打开、阅读来历不明的文件和邮件,对本单位内使用的计算机及时进行防病毒软件升级。
第四章 网络信息安全管理
第十一条 网络信息安全管理主要包括网络意识形态安全管理、网络信息服务和网络信息内容管理。
第十二条 强化网络意识形态安全责任意识。要树立科学全面的网络安全观,把加强网络信息的意识形态内容管理作为网络安全工作的重要组成部分,坚持正确的政治方向和舆论导向,强化网络信息传播的纪律要求,对网络平台信息发布与传播严格执行内容审阅和信息审核制度,强化运营人员的日常管理和教育培训。
第十三条 规范网络信息服务管理。严格按照《互联网信息服务管理办法》相关规定开展网络信息服务,严格按照《互联网新闻信息服务管理规定》相关规定开展网络新闻信息服务。学院任何组织或个人未经允许不得在校内开设具有互动功能的信息服务网络平台,也不得在校外以学校或学院名义开设具有互动功能的信息服务网络平台。确因工作需要开设的,须向学院网络安全和信息化工作领导小组报告申报,经审核通过并签订《西南大学网络信息服务安全责任书》后方可开设。开设其他符合规定的、提供公开性、共享性信息服务的网络平台须向学院网络安全和信息化工作领导小组履行备案手续。
第十四条 建立健全网络信息内容管理机制。学院官网、新媒体等平台发布的信息须经学院分管领导审核通过后方可发布,学院主要负责人定期检查信息内容,提出整改意见。为更好地实现栏目信息版式规范统一、内容清晰美观、浏览方便快捷的要求,建议发布的信息采用如下格式规范:信息标题用宋体小二号字,加粗居中;信息正文用宋体四号字,行距1.5倍,段落首行缩进2字符。
第十五条 学院任何组织和个人不得通过网络制作、发布、传播或者查阅下列信息。
(一)煽动抗拒、破坏宪法和法律、行政法规实施的;
(二)煽动颠覆国家政权,推翻社会主义制度的;
(三)煽动分裂国家、破坏国家统一的;
(四)煽动民族仇恨、民族歧视,破坏民族团结的;
(五)捏造或者歪曲事实,散布谣言,扰乱学校和社会秩序的;
(六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;
(七)公然侮辱他人或者捏造事实诽谤他人的;
(八)损害学校、学院形象和利益的。
第五章 巡查预警与应急处置
第十六条 建立检查巡查机制, 学院定期组织开展信息系统安全演练,查找安全漏洞和隐患;对机房、网络设备、服务器等设施定期开展安全检查;更新和升级必要的服务器软件,及时安装补丁,包括操作系统、 web 服务器、应用中间件、数据库等,加强服务器应用的安全性。对上述检查中发现安全漏洞和隐患的, 应及时处置和整改,同时向学院网络安全和信息化工作领导小组报告。对于一时难以修复或整改落实的,应当立即采取措施进行隔离,直至修复完成。
第十七条 建立信息安全值守制度, 做到安全事件早发现、早报告、早控制、早解决。
第十八条 网络与信息安全事件的分级:网络与信息安全事件分为四级:Ⅰ级(特别重大的网络与信息安全事件)、Ⅱ级(重大网络与信息安全事件)、Ⅲ级(较大网络与信息安全事件)、 Ⅳ级(一般网络与信息安全事件)。
(一)I 级:能够导致特别严重影响或破坏的网络与信息安全事件,包括会使特别重要的信息系统遭受特别严重的系统损失,产生特别重大的工作和社会影响。主要包括灾害性事件和导致特别严重影响的信息内容安全事件。
(二)Ⅱ级:能够导致严重影响或破坏的网络与信息安全事件,包括会使特别重要信息系统遭受严重的系统损失、或使重要信息系统遭受特别严重的系统损失,或使学院和师生员工造成重大经济或工作损失,产生的重大的工作和社会影响。主要包括导致严重影响的信息内容安全事件、信息破坏事件和网络攻击事件。
(三)Ⅲ级:指能够导致较严重影响或破坏的网络与信息安全事件,包括会使特别重要信息系统遭受较大的系统损失、或使重要信息系统遭受严重的系统损失、一般信息系统遭受特别严重的系统损失,或使学院和师生员工造成较大经济或工作损失,产生较大的工作和社会影响。主要包括导致较严重影响或破坏的信
息破坏事件、网络攻击事件和有害程序事件。
(四)Ⅳ级:不满足以上条件的网络与信息安全事件,包括会使特别重要信息系统遭受较小的系统损失、或使重要信息系统遭受较大的系统损失,一般信息系统遭受严重或严重以下级别的系统损失,或使学院和师生员工造成较小经济或工作损失,产生一般的工作和社会影响。主要包括影响或破坏程度较轻的网络攻
击事件和有害程序事件。
第十九条 对Ⅳ级网络与信息安全事件,由学院负责应急处置,并根据事件类型将有关情况向学校党委网络工作部报告,必要时可请求协助。对有可能演变为Ⅲ级、Ⅱ级、Ⅰ级的网络与信息安全事件,由学校党委网络工作部调配应急资源指导学院进行处置。发生Ⅱ级、I 级的网络与信息安全事件,立即采取紧急措施挽救损失、删除和切断不法信息内容传播途径,并向学校报告,请示处置方案。
第六章 保障措施及责任追究
第二十条 学院从制度、组织、人员和经费等方面对网络安全管理工作予以保障。学院完善网络安全相关配套制度,使网络安全管理工作有章可循、有法可依;根据工作需要,及时调整网络安全和信息化工作领导小组成员,明确成员职责分工;统筹建立网络管理队伍,安排专人负责网络安全管理,具体负责学院网络基础设施、网络平台、网络信息、网络意识形态等工作;把网络安全管理工作和管理队伍建设经费纳入学院年度预算,按网络安全和信息化建设总体规划、年度计划情况划拨网络安全管理工作经费。
第二十一条 网络安全管理工作按照统一领导、分级管理、逐级负责、责任到人的原则实行责任追究制。
第二十二条 学院任何组织和个人有以下情形之一的,根据网络安全事件的性质和情节,对相关责任人按照网络设施、系统、信息相关管理办法、教师和学生相关管理办法、网络意识形态责任制规定等进行追责,触犯法律的移交司法机关依法处理。
(一)擅自进入、使用他人网络及信息系统的;
(二)擅自增加、修改、删除、复制他人网络及信息系统数据的;
(三)擅自增加、修改、删除、干扰他人网络及信息系统功能的;
(四)破坏网络及信息系统运行环境、设备设施的;
(五)窃取、盗用、篡改、破坏他人网络资源的;
(六)故意制作、传播、使用计算机病毒、恶意软件等破坏性程序,或者制作、发布、复制、传播含破坏性程序或其机理、源程序的信息的;
(七)故意阻塞、阻碍、中断网络及信息系统的信息传输,恶意占用网络资源的;
(八)利用网络及信息系统大量或者多次发送电子邮件、短信息等,干扰他人正常生活秩序或者网络秩序的;
(九)利用网络及信息系统违背他人意愿、冒用他人名义发布信息的;
(十)明知本单位或本人的网络及信息系统的网络地址、主机空间等资源已被他人利用,从事可能危害网络及信息系统安全的活动而不予制止的;
(十一)擅自利用网络及信息系统收集、使用、提供、买卖学校公共数据和他人专有信息的;
(十二)其他危害网络安全行为的。
第七章 附则
第二十三条 本办法未尽事宜,依照法律法规和上级文件要求处理。
第二十四条 本办法自发布之日起施行,由学院网络安全和信息化工作领导小组负责解释。
西南大学经济管理学院
二〇二〇年六月