各二级单位、党政管理部门：

为规范网络安全建设和管理，维护校园网络安全，保护师生合法权益，依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等有关法律法规，结合学校实际制定《广州中医药大学网络安全管理办法（征求意见稿）》（见附件），现面向全校公开征求意见。各单位（部门）如有反馈意见，烦请于10月12日17点前将反馈意见发送至邮箱itc@gzucm.edu.cn。

 附件：广州中医药大学网络安全管理办法（征求意见稿）

现代教育技术中心（信息中心）

2024年10月8日   

广州中医药大学网络安全管理办法

（征求意见稿）

第一章 总 则

第一条  为规范网络安全建设和管理，维护校园网络安全，保护师生合法权益，依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》等有关法律法规，结合学校实际，制定本办法。

第二条  本办法所指的网络安全工作，是指为保障校园信息化基础设施、数据中心、信息系统（网站）、移动互联网应用程序等信息资产的完整性、保密性和可用性而开展的相关管理和技术工作。

第三条  学校坚持网络安全与信息化发展并重，实行统一管理、分工负责。按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则，分级管理、责任到人。全校各单位及师生员工依照本办法及其相关管理规范和技术标准，履行网络与信息安全的义务和责任。

第四条  学校倡导诚实守信、健康文明的网络行为，推动传播社会主义核心价值观，采取措施提高全校的网络安全意识和水平，形成全校共同参与促进网络安全的良好环境。

第五条  任何单位和个人使用网络应当遵守宪法法律，遵守公共秩序，尊重社会公德，不得危害网络安全，不得利用网络从事危害国家安全、荣誉和利益，煽动颠覆国家政权、推翻社会主义制度，煽动分裂国家、破坏国家统一，宣扬恐怖主义、极端主义，宣扬民族仇恨、民族歧视，传播暴力、淫秽色情信息，编造、传播虚假信息扰乱经济秩序和社会秩序，以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。

第六条  任何单位和个人有权对危害网络安全的行为向网信领导小组办公室、信息中心、保卫部等部门举报。有关部门对举报人的相关信息予以保密，保护举报人的合法权益。

第二章 组织与保障

第七条  网络安全和信息化领导小组（信息安全等级保护工作小组）（以下简称“网信领导小组”）是学校网络安全管理领导机构，负责统筹部署学校网络安全和信息化工作，组织协调网络安全和信息化重大事项，落实人员、经费等必要工作保障。

第八条  网络安全和信息化领导小组办公室（信息安全等级保护工作小组办公室）（以下简称“网信领导小组办公室”）是学校网络安全管理执行机构，负责贯彻执行国家、省市网络安全相关法律法规，落实上级主管部门网络安全工作要求，组织制定学校网络安全标准规范和各项管理制度，指导、协调和规范学校网络安全和信息化工作，组织各单位统一开展网络安全等级保护（以下简称“等保”）工作，组织开展网络安全自查、检查和风险评估，制定学校网络与信息安全应急预案，组织开展应急演练，组织信息安全宣传、教育和培训。

第九条  现代教育技术中心（信息中心）（以下简称“信息中心”）是学校网络安全技术实施与支撑部门，负责学校网络与信息安全规划、建设、运行维护、技术指导、服务支持、安全演练、宣传、教育和培训等工作。

第十条  学校各单位主要负责人是本单位网络安全工作的第一责任人，分管网络安全工作的负责人为直接责任人。各单位的主要职责是：

（一）指定在岗在编专职人员担任信息联络员，负责处理、协调本单位的网络安全和信息化具体工作，包括落实信息系统等级保护工作，积极参与并做好网络安全宣传、培训等。

（二）将网络安全纳入本单位工作计划，在规划、设计和建设本单位信息系统时遵循学校网络安全相关制度、技术规范和标准流程，同步做好内部网络安全，并落实等级测评、安全整改等网络安全专项经费，全力配合学校领导、监督检查和宣传培训。

（三）负责监督为本单位提供技术服务的校外单位做好相关网络安全工作。

第十一条  学校师生员工作为校园网络的使用者，应遵守学校网络安全相关规定，积极参与网络安全建设和管理，依法处理和保护个人信息。

第三章 校园网基础设施安全

第十二条  校园网指校园计算机网络，主要用于学校教学、科研、管理和服务等各项业务。由信息中心负责统一规划、建设、管理、维护和防护，并提供互联网的统一接入。任何单位及个人不得擅自建设、更改、损毁和挪用校园网设施，不得私自接入其它网络，不得私自提供给校外人员使用，严禁任何单位和个人利用校园网及相关基础设施开展各类非法活动和未经许可的商业活动。

第十三条  未取得备案许可，校园网IP地址不得私自面向校园网外提供互联网信息服务，不得使用反向代理类软件共享校园网内资源。

第十四条  按照业务安全需求，校园网划分为互联网接入区、公用网络区和专用网络区等功能区域。党政管理、财务管理、校园一卡通、智慧课室、电子显示屏、消防监控等有独立专用网络需求的信息系统应搭建专用的软硬件平台和传输网络，实现区域之间的逻辑隔离和安全有效控制。

第十五条  未经审核同意，专用网络区中的任何设备和信息系统不得私自接入公用网络和互联网，公用网络区中的任何设备也不得私自接入专用网络。

第十六条  校园网的接入实行审核备案制，设备入网应由归口管理部门签署意见后方可办理。服务器、存储、网络打印机由各二级单位审核，电子显示屏由宣传部审核，网络摄像头由保卫部审核，自动售卖机、自助打印机、门禁、水电表由总务后勤部审核。设备入网后应加强安全监管，落实防护措施，使用正版软件，定期登录维护管理，确保运行安全。

第十七条  校园网的使用实行实名制。校内用户通过实名登记后方可按照入网要求使用校园网，未经登记不得以任何方式私自接入校园网，严禁盗用（借用）其它用户账号信息使用校园网。

第十八条  校园网用户应文明上网，做好上网终端安全防护，依法保护个人信息安全，上网行为不得危害学校网络安全和正常秩序，严禁利用校园网从事任何无授权的扫描、渗透、破坏、信息窃取等网络攻击活动。

第十九条  学校各单位有网络建设需求的，无论是否需要接入校园网，均须在项目建设前期按要求报批。

第四章 信息系统与数据安全

第二十条  学校各单位建设的信息系统实行报批备案制，原则上应部署在学校数据机房并使用学校IP地址和域名。非学校IP地址（域名）或在非校园网环境建设的信息系统（俗称“双非系统”），与学校教学、科研、管理和服务等各项业务无关的信息系统原则上不得使用校名、校徽等学校标识。

第二十一条  信息系统应当按照数据分类实行分级保护制度，确定涉密数据和重要数据具体目录，涉密数据不上网，对重要数据做好加密、定期完整备份和实时增量备份，确保重要数据资源不被破坏、篡改和泄露，并定期进行数据安全风险评估。与学校数据中心对接的业务系统，应加强对共享数据的安全管理。

第二十二条  在信息系统全生命周期内，各环节均需落实等级保护要求。具有互联网访问需求的信息系统，应按照信息安全等级保护的要求，通过安全检查和风险评估。当系统发生重大变更时应重新进行等级测评。无校外开放必要，或达不到安全标准的，一律不得对校外开放服务。

第二十三条  涉及学校基础数据、教职工和学生个人信息或敏感信息的信息系统，不得部署在校外。在业务处理过程中对收集、使用的个人信息，应当遵循合法、正当、必要的原则，公开收集使用规则，明示收集使用目的、方式和范围，并经被收集者同意。在学校范围内收集和产生的个人信息和重要数据应严格保护，防止信息泄露、毁损和丢失。任何单位及个人不得违法违规收集、使用和处理校内各类个人信息。

第二十四条  学校各单位信息系统应强化内部网络安全，采取必要的安全措施，安排专人定时巡检和备份，完善日志功能，按规定留存服务器运行日志、系统访问日志、数据库操作日志等日志；加强账户安全管理，落实国家密码应用管理要求，杜绝使用弱密码、默认密码和通用密码，杜绝僵尸账号。严防黑客入侵、数据篡改、信息泄露等事件发生。

第二十五条  信息系统不再使用时，应当及时关闭服务，完成数据归档和删除，注销域名和备案信息。依据上级相关指标考核不合格的信息系统（网站），信息中心有权对其进行关停，对服务器进行下架处理。对于使用频次不大、阶段性使用的信息系统（网站），可采取定期开放方式运行。

第二十六条  学校各单位通过校园网应用发布信息，应当健全信息发布审核制度，明确审核程序，建立审核记录档案，确保发布信息内容的权威性、真实性、准确性、及时性和严肃性，严禁发布违法和不良信息。

第五章 监测预警与应急处置

第二十七条  网信领导小组办公室负责协调校内各单位，建立健全网络安全风险评估和应急工作机制，制定学校网络与信息安全应急预案，组织开展应急演练。

第二十八条  校内网络安全事件的处置由网信领导小组办公室负责统一协调，信息中心负责具体实施，安全事件相关单位应配合处置网络安全事件相关工作，及时消除安全隐患，防止危害扩大。

第二十九条  信息中心负责学校网络安全信息搜集、分析和通报工作，按照规定统一发布网络安全监测预警。相关单位应根据预警信息，落实网络安全自查及问题修复。未及时修复或修复不达标的，将采取网络访问限制、收回服务资源、暂停业务运行等措施。

第三十条  信息中心负责对校内各类信息系统（网站）、网络和其他相关设备开展网络安全检测工作，视检测结果确定是否启动校内网络安全事件处置流程。在发生重大网络安全事件等紧急情况下，可直接对相关网络及信息系统进行断网、停止服务等应急处理。

第三十一条 学校各单位应根据本单位实际落实监控值守和网络安全事件报告流程，发现网络安全问题应及时向信息中心报告并进行必要的应急处置，不得在未经学校同意的情况下对外公布、测试或利用所发现的安全漏洞或安全隐患。

第六章 考核评价与责任追究

第三十二条  学校将各单位网络安全工作纳入“平安校园”目标管理指标考核体系。

第三十三条 对于违反网络安全相关法律法规和学校相关规章制度的单位和个人，经网信领导小组办公室查实，学校将视情节轻重发出网络安全整改通知书，给予限期整改、封停账号或端口、暂停或者中止网络与信息化服务、通报批评、纪律处分等处理。对于违反法律、法规的，学校还将依法配合公安、网信、通信管理等部门进行处理。

第三十四条  学校各单位在收到网络安全整改通知书后，应按要求限期整改。对于整改不力的，由网信领导小组办公室给予通报批评并责令改正；瞒报、缓报网络安全事件的，由网信领导小组办公室对相关单位责任人进行约谈并通报批评；对于玩忽职守、失职渎职造成严重后果的，网信领导小组将依法依规追究相关人员的责任。

第三十五条  学校各单位信息联络员有义务参加公安机关、上级单位和学校组织的安全技术培训。不参加培训且管理安全性较差的单位，将暂停该单位管理建设的信息系统（网站）运行，并报网信领导小组办公室讨论，视情况予以处理。

第七章 附 则

第三十六条  本办法自发布之日起试行。

第三十七条  本办法由学校网信领导小组办公室负责解释。