内蒙古大学网络安全管理办法（试行）

第一章 总则

第一条  为保障校园网络安全，加强校园网络的管理，营造安全、健康、文明的网络环境，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《个人信息保护法》《教育部关于加强教育行业网络与信息安全工作的指导意见》等相关法律法规，制定本办法。

第二条  本办法所称网络与信息安全工作，是指对于由学校建设、运维、管理并支撑学校教学、科研、管理、服务等各项事业的校园网络、数据中心、信息系统等以及各类校园网络接入终端开展的相关管理和技术工作，防止发生网络攻击、信息破坏、有害程序入侵、信息化设备设施故障等事件的发生。

第三条  学校按照国家有关网络安全和信息化政策法规，制定网络与信息安全总体规划，并按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，建立健全网络信息安全责任体系。坚持同步规划、同步建设、同步实施、同步发展的原则，建立健全网络安全防护体系，全面实施网络安全等级保护制度。

第二章 组织架构

第四条  学校成立网络安全与信息化领导小组，组长由学校党委书记、校长担任，成员由党政办公室、党委宣传部、网络信息与现代教育技术中心、后勤保障处、保卫处等相关部门负责人组成。其主要职责包括：

（1）贯彻落实上级有关部门关于网络安全和信息化工作的发展战略、宏观规划和重大政策，按照国家有关决策部署组织学校网络安全和信息化工作；

（2）统一领导、统一谋划、统一部署学校网络安全和信息化建设工作，确定学校网络安全和信息化建设的指导思想、总体目标和工作任务；

（3）审定学校网络安全和信息化工作规划、部署和重要项目建设方案，统筹协调和决策学校网络安全和信息化工作中的重大问题。

网络安全与信息化领导小组办公室设在网络信息与现代教育技术中心，办公室主任由网络信息与现代教育技术中心主任兼任。

第五条  各单位（部门，下同）应成立相应的网络安全工作小组。组长为第一责任人，由各单位党政主要领导担任。分管网络安全工作的班子成员为各单位直接责任人。其主要职责包括:

（1）贯彻落实上级有关部门和学校关于网络安全和信息化工作的发展战略、宏观规划和重大政策，按照国家或学校有关决策部署组织本单位网络安全和信息化工作；

（2）统一领导、统一谋划、统一部署各单位的网络安全和信息化建设工作，确定本单位网络安全和信息化建设的指导思想、总体目标和工作任务；

（3）审定本单位网络安全和信息化工作规划、部署和重要项目建设方案，统筹协调和决策学校网络安全和信息化工作中的重大问题。

第六条 各单位设专职或兼职网络安全员，其主要职责包括：

（1）负责与网络信息与现代教育技术中心沟通、协调，完成网络安全的相关工作；

（2）负责收集、汇总本单位信息系统信息，包括IP地址、服务端口、管理员、设备型号、软件版本等；

（3）对发现或被通报的信息系统安全隐患要及时整改，受技术条件限制不能立即整改到位的，必须制定具有可操作性的应对方案，确保信息系统及其数据的安全；

（4）负责信息系统的网络安全事件应急响应工作，如遇到网络安全事件，应立即采取果断措施进行处置，必要时要停止服务或断网，同时将网络安全事件报告网络信息与现代教育技术中心，并启动网络安全事件报告与处置流程。

第七条 各单位须建立本单位网络安全工作机构及责任体系，健全本单位网络安全管理制度、工作细则、工作队伍和应急预案。各单位须将网络安全第一责任人、直接责任人、网络安全员名单报备网络信息与现代教育技术中心，人员变动时应及时调整并及时报备。

第八条  各单位须对本单位网络平台进行管理和监督，对本单位师生员工进行安全用网、网络安全和网络法纪的教育及管理，按照上级要求和学校有关规定进行网络运行安全、网络信息安全和网络意识形态安全的日常巡查和定期检查，及时报送相关信息，及时消除隐患并处置相关问题。

第九条  任何单位、组织和个人发现网络安全隐患和网络安全违法行为时，均有权利有义务向网络安全与信息化领导小组办公室报告，情况紧急的或者属于本单位职责的，还应当及时采取处置措施。

第三章  校园网络管理

第十条  校园网络是指校园范围内连接各种信息系统及信息终端的计算机网络、公用通信网络和专用通信网络，其中计算机网络和公用通信网络统一归口网络信息与现代教育技术中心管理，专用通信网络由其建设单位负责管理。

第十一条  校园网络的规划建设、运行维护和使用管理由网络信息与现代教育技术中心负责；校园规划管理部门和建设部门负责在规划建设校园网络时，建设所需的电力、管网、弱电间、电信间、桥架等网络基础设施。校园网使用单位负责对所在楼宇的管网、桥架、弱电、电信设施进行日常管理和消防安全管理。

第十二条  校园计算机网络包括校园有线网络和无线网络，涉及光缆布线、网络机房、网络设备、网管系统、域名管理、安全防护、认证计费、网络接入与运维等，由网络信息与现代教育技术中心负责建设、运行维护和管理。

第十三条  校园网络与互联网及其他公共网络实行逻辑隔离，由网络信息与现代教育技术中心统一出口、统一管理和统一防护。未经批准，各单位在校园内不得擅自通过其他渠道接入互联网及其他公共网络。

第十四条 网络信息与现代教育技术中心采取访问控制、安全审计、完整性检查、入侵防范、恶意代码防范等措施以加强校园网络边界防护。

第十五条  校园涉密信息系统不得接入校园网络。

第十六条  严禁任何单位和个人利用、拆除、调整校园网络线路，凡涉及到弱电改造的相关工程项目或对学校统一管理的网络信息设施（含校园网设施、通信运营商设施）进行处置的，均需报网络信息与现代教育技术中心审批，经批准后方可实施项目。未经审批进行施工，造成的后果由使用单位承担。

第十七条 根据国家有关法律法规，禁止用户在使用校园网等网络资源时从事如下活动：

（1）利用校园网发布、传播、存放颠覆国家政权和破坏、影响社会稳定的言论、文章及声音图像，发布有损国家利益、学校利益的各种信息和散布各种谣言；

（2）利用校园网发布和传播属于国家秘密的各种文件资料，及泄露保密阶段的科研项目的有关资料、数据、图（照片）、音频、视频等校内文件资料；

（3）利用校园网发布、传播、存放有淫秽、暴力等内容的文章、图像、音频、视频等信息；

（4）在网络上散布计算机病毒，对他人进行恶意骚扰，包含恶意代码的邮件等；

（5）使用各类网络扫描软件、黑客软件等手段侵入或干扰校园网络系统的正常运行；

（6）利用系统漏洞牟取利益，或做出有可能危害系统安全或干扰系统正常运行的行为；

（7）国家相关法律法规规定的其它违法事项。

第十八条  严禁任何单位和个人利用校园网络开展一切不正当、非正常的活动，包括但不限于：

（1）未经允许，擅自提供WWW、FTP、DNS、Email、电子论坛、即时通信、网络代理及VPN等服务；

（2）未经允许，利用或变相利用校园网络资源及其网络设施从事商业及宣传活动；

（3）盗用他人IP地址、账号或通过网络窃取他人信息；

（4）利用校园网络发送垃圾邮件等信息对其他用户造成干扰；

（5）将本人使用的账号转让、租借给他人不当使用；

（6）未经允许，设立游戏站点或纯娱乐性站点；

（7）利用网络造谣生事，进行人身攻击和侮辱；

（8）其他损害学校权益、违反学校规定的行为。

第四章 网络信息安全管理

第十九条  各单位上线的信息系统需要向网络信息与现代教育技术中心报备，重要系统应进行网络信息安全审计，保障信息系统的安全性和可靠性。应对上线的信息系统开展网络安全等级保护工作，在相关部门和行业专家指导下开展定级指导、备案审查、系统测评、安全咨询、安全检查等工作。对于即将下线或不再使用的信息系统，应及时向网络信息与现代教育技术中心报备，关闭外网等访问权限。

第二十条 各单位的网络信息发布工作需严格遵循国家规定和学校规定，建立内容审核机制，规范信息发布审批流程，应由该单位主管领导分管，专人负责执行，并做到先审查后发布。

第二十一条  党委宣传部负责对内蒙古大学官网的内容审查、监管及合规处置，网络信息与现代教育技术中心负责网站群技术支持和保障，各单位负责本单位网络发布内容及信息安全。

第二十二条  以“内蒙古大学”、“内大”冠名的各类二级宣传网站原则上须在学校网站群平台建设，同时使用内蒙古大学域名。新建网站、不在学校网站群平台上开设的网站、在校外公有云建设的网站，需报党委宣传部审批。

第二十三条  各单位需建立本单位的电子显示屏台账，盯紧盯牢电子显示屏控制系统的生产、运营和使用等供应链，对供应链厂商开展全周期管理，定期开展弱口令、高危漏洞等安全风险隐患排查。新建电子显示屏需上报党委宣传部审批，同时将电子显示屏生产厂商、基本配置等基础信息提供给网络信息与现代教育技术中心。各单位要督导落实“非必要不开启、非必要不联网、亮屏设备专人负责”的要求，压实主体责任，做到风险威胁“发现在早、处置在小”。

第二十四条  网络安全保护等级为第一、二级系统可由各单位原则上每两年自主组织等级测评，备案证明、测评报告及时向网络信息与现代教育技术中心报备。第三级及以上系统应在网络安全与信息化领导小组的指导下组织等级测评。同时，信息系统建设单位应按等级保护政策、标准、规范和测评报告要求，制定相应的安全保护实施方案。

第二十五条  各单位定期对所建设管理的网站和信息系统的数据、文件等内容进行备份，对于特别重要的数据和文件还应进行多份备份和异地备份。对于下线和关闭的网站和信息系统，其运行数据和信息按照相关要求进行销毁。

第二十六条  各单位采购信息产品、服务（含终端设备、工作站、服务器、操作系统和信息系统等）应当符合相关国家标准、行业标准。第三方服务公司应当具有网络安全相关资质，具有修复漏洞的能力。

第二十七条  各单位配备专人对服务方提供的服务进行安全性监督与评估，采取安全措施对访问实施控制，出现问题应遵照合同规定及时处理和报告，确保其提供的服务符合单位的内部控制要求。

第二十八条  各单位应对外包服务的业务应用系统运行的安全状况进行定期评估，当出现重大安全问题或隐患时，应及时提出改进要求和时限要求，最终完成二次评估。应加强对外包服务（供应链服务）的安全培训和教育，保障外包服务（供应链）不存在网络安全风险隐患。应与外包服务方签订安全保密协议或合同，明确外包服务方其服务所对应的设施设备、软件系统、信息数据相关安全责任要求，并对服务人员进行安全保密教育。

第二十九条 各单位收集、使用学生个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。不得收集与其提供的服务无关的个人信息。

第三十条  各单位应当采取技术措施和其他必要措施，确保其收集的学生个人信息安全，发布个人信息时应按照相关要求脱敏，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施。

第三十一条  师生在使用信息门户、校园网络、教务系统、科研系统、财务系统等重要信息系统时，需将个人登录口令设置为强口令，包括大小写字母、特殊字符和数字等，并定期修改账号口令。

第三十二条 师生在使用校园网络时应注意个人网络安全风险隐患，包括不访问不良网站、不下载恶意文件、不浏览恶意内容、不点击恶意链接、不借给他人个人账号等，提升个人网络安全意识。

第五章  监测预警与应急处置

第三十三条 网络安全与信息化领导小组办公室按照规定通报网络安全监测预警信息。各单位应当根据国家、地方网络安全部门、网络安全与信息化领导小组办公室发布的预警信息及时做好相应防范工作，做好相应处置工作。

第三十四条 网络信息与现代教育技术中心利用技术手段及设备不定期进行网络信息安全检测，对可能发生网络与信息安全事件的信息系统进行反馈，各单位须落实网络信息与现代教育技术中心下发的整改通知，对相关漏洞情况进行整改。

第三十五条  发生网络与信息安全事件，立即启动网络与信息安全事件应急预案。学校各单位或师生员工均有义务及时向网络安全与信息化领导小组办公室报告网络信息安全事件，不得在未授权情况下对外公布、尝试或利用所发现的安全漏洞或安全问题。

第三十六条  各单位网络安全员必须熟悉本单位网络信息资产情况和网络信息安全事件应急处置流程。做好事发紧急报告与处置、事中情况报告与处置和事后整改报告与处置工作。做到安全事件早发现、早报告、早控制、早解决。

第三十七条  安全事件处置完成后，要形成网络安全处置整改台账，形成报告，上报网络安全与信息化领导小组，并依据网络安全事件所暴露的问题，采取必要的技术手段增强安全防护能力。

第六章  附则

第三十八条  本办法由网络信息与现代教育技术中心负责解释。

第三十九条 本办法自发布之日起施行。