第一章总则
第一条 为加强学校网络安全管理,推进学校信息系统(网 站)安全等级保护工作,提高网络安全保护能力,确保学校网络安全工作规范有序开展,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《党委(党组)网络安全工作责任制实施办法》《教育部关于加强教育行业网络与信息安全工作的指导意见》(教技〔2014〕4 号)和《信息安全技术- 网络安全等级保护基本要求》( GB/T22239-2019)等法律法规、文件要求,结合学校实际,特制定本办法。
第二条 本办法网络安全工作包括支持学校人才培养、科学研究、管理服务等工作的各类管理信息系统、业务应用系统、媒体资源系统、网站以及网络基础设施等所涉及的硬件、软件和信息的安全。
第三条 学校按照“谁主管谁负责、谁运维谁负责、谁使用 谁负责”和“同步规划、同步建设、同步运行”的原则,逐级落实网络安全责任,全面实施网络安全等级保护制度。学校各单位和全体师生应严格遵守国家相关法律法规,并按照本办法要求及学校相关标准规范履行网络安全的义务和责任。
第二章 管理机构组成及职责
第四条网络安全和信息化领导小组是学校网络安全和信息化工作的议事协调机构,在学校党委的领导下,统筹协调解决学校网络安全和信息化工作重大问题,包括定期召开网络安全工作会议,审议学校网络安全规划、网络安全基本政策,协调处理重大网络安全事件等。
第五条网络安全和信息化领导小组下设网络安全和信息化领导小组办公室,办公室设在网络与信息化工作处,负责学校网络安全工作的组织实施、监督检查和考核,负责与上级网络安全管理部门的任务对接和校内工作协调,纵向衔接、横向协调。
第六条网络与信息化工作处(以下简称网信处)为学校网络安全归口管理部门,工作职责包括:
(一)统筹落实网络安全和信息化领导小组的任务要求;
(二)组织开展网络安全等级保护工作和网络安全教育培训工作;
(三)推进完成学校网络安全有关规划设计、建设实施及运维管理等常规工作。
第七条 相关职能部门职责
(一)学校宣传部门牵头开展学校新闻宣传方面敏感内容排查处置工作,统筹网络舆情应对和新媒体建设,协助开展网络安全宣传工作。
(二)学校保卫部门牵头组织学校相关单位,联系公安部门对网络违法违规行为开展调查、取证工作,包括校园网运行和使用场所的安防、消防安全检查监督和视频监控点位安放审核工
作。
(三)学校后勤管理部门负责学校网络运行场所的电力条件建设和保障,按照相关技术要求对校园网络核心场所提供双路供电,保障各楼宇弱电间的网络设备运行的负荷。
第八条 直属各党委(党总支、党支部)、校直各单位(以下简称学校各单位)负责本单位(含本单位及个人)信息系统(网站)的网络安全,与学校签订《华北电力大学网络安全承诺书》,开展单位内部网络安全教育培训,配合网信处落实网络安全等级保护工作。学校各单位主要负责人为本单位网络安全工作的第一责任人,并指定专人担任网络安全管理员,负责落实本单位信息系统(网站)网络安全的具体工作。
第九条 学校各单位网络安全管理员一般应具有相关专业知识背景,在正式上岗前,应当参加网络安全培训,掌握网络安全相关技术,了解学校网络安全体系,理解网络安全制度,熟悉本单位网络安全措施。人员发生变更,应及时向网信处备案。
第三章网络安全管理
第十条 全面落实网络安全等级保护工作。网信处牵头组织学校各相关单位,按照相关法律法规要求,开展信息系统定级、备案和测评等工作。信息系统(网站)应在规划设计阶段确定安全保护等级。学校新建二级及以上信息系统(网站),应在上线运行前完成网络安全等级保护备案。
第十一条 加强校园网安全防护技术措施。网信处在校园网出口、数据中心等部署所需的安全防护设备和系统,优化策略配置,做好日常监测,提升安全防护能力。信息系统(网站)主管单位应会同承建单位,做好信息系统(网站)的技术安全、数据安全、内容安全建设与管理。
第十二条 加强信息系统(网站)上线前安全建设。在校园 网上建立信息系统(网站)的单位,应向网信处提出申请,通过安全测试后方可上线运行。其中开设新媒体平台,须遵照《华北电力大学新媒体平台建设运行与管理办法》执行。未经许可,任何单位或个人不得以冠有“华北电力大学”或“华电”中外文字样的任何名义开通信息发布、BBS、论坛、聊天室、博客、微博、 微信等公众信息服务系统。
第十三条网信处定期组织开展学校网络安全宣传和教育培训,各单位应积极参与,并在本单位开展网络安全宣贯工作,提高全校师生的网络安全意识和技能。
第十四条学校各单位和师生员工可使用域名为@ncepu.edu.cn的电子邮箱。网信处应采取必要的技术和管理措施,加强电子邮件系统安全防护,减少垃圾邮件、病毒邮件。师生员工须对使用其电子邮箱账号开展的所有活动负责,妥善保管本人使用的电子邮箱账号和密码,确保密码具有一定强度并定期更换。师生员工如发现他人未经许可使用其电子邮箱,应立即通知网信处处置。网信处负责对电子邮件系统使用情况进行监测,对发送垃圾广告邮件、存在安全漏洞等情况的账户进行暂停或注销等相应处置。
第十五条 加强各楼宇内弱电间的管理。弱电间只允许安装摆放弱电网络所需设备,并符合消防安全要求。各单位由于工程需要,进入弱电间施工及安放设备,事先应需网信处确认,接受网信处的指导和监督。
第四章 网络安全应急处置
第十六条 网信处按照规定通报网络安全监测预警信息。各 单位应当根据国家、地方网络安全部门、网络安全和信息化领导小组办公室发布的预警信息及时做好相应防范工作,做好相应处置工作。
第十七条 网络安全和信息化领导小组办公室制定网络安全 事件应急预案。网络安全事件应急预案应当按照事件发生后的危害程度、影响范围等因素对网络安全事件进行分级,并规定相应的应急处置措施。
第十八条校园网内发生网络安全事件,应立即启动网络安全事件应急预案、及时处置。做好事发紧急报告与处置、事中情况报告与处置和事后整改报告与处置工作,做到安全事件早发现、早报告、早控制、早解决。
学校各单位或师生员工均有义务及时向网信处报告网络安全事件,不得在未授权情况下对外公布、尝试或利用所发现的安全漏洞或安全问题。
第五章责任追究
第十九条 网信处定期组织开展全校网络安全工作的检查,每年向学校网络安全和信息化领导小组汇报各单位网络安全工作汇总信息。学校对网络安全工作开展良好的单位及相关人员予以表彰;对违反网络安全管理制度、网络安全工作存在不足、安全隐患逾期不整改的单位及相关人员给予相应处罚,网络安全工 作纳入学校处级领导班子及处级干部考核。
第二十条对拒不执行网络安全管理相关制度、漠视网络安全工作造成重大事故的,学校将追究该单位及单位主要负责人、直接责任人的责任。对触犯法律的,将移送公安司法机关处理。
第六章附则
第二十一条对于涉及国家秘密的信息系统,在学校保密委员会的领导下,按照国家保密工作部门的相关规定和标准进行管理。
第二十二条本办法自发布之日起施行,由网络安全和信息 化工作领导小组办公室负责解释。
