西南医科大学网络与信息系统安全管理办法

第一章 总则

第一条 为保障我校网络与信息系统安全，规范校园信息服务行为，维护学校网络信息安全，根据《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》和其它有关法律、法规及学校《关于进一步加强网络与信息安全工作的实施意见》等相关规定，制定本管理办法。

第二条 本办法所述的网络与信息系统，是指由计算机及其相关的配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统，包括校园网、信息化公共基础服务、跨部门信息系统、业务部门管理信息系统、各类网站、教学资源系统等。

第三条 本办法适用于校内一切与网络及信息系统相关的行为，也适用于通过互联网对我校网络及信息系统进行业务维护或服务的行为。

第二章 管理机构与职责

第四条 学校党委对校园网络与信息安全负领导责任，党委书记是第一责任人，校长是主要负责人，分管校领导是直接责任人。学校成立“网络与信息安全工作领导小组”，领导小组下设办公室，挂靠党委宣传部、信息与教育技术中心（成员名单详见附件）。

第五条 学校建立健全主管部门、使用部门紧密配合、协调行动的网络与信息安全管理体系，按照“谁管理谁负责、谁运行谁负责、谁使用谁负责”的原则，强化责任意识，形成“分级负责、按块管理”的模式，明确相关职能部门、二级院系工作职责任务。

第六条 各二级单位设有书记岗位的，书记是本单位网络与信息系统安全的第一责任人；未设书记岗位的或者书记岗位暂时空缺的，其主要负责人是本单位网络与信息系统安全的第一责任人。第一责任人全面领导本单位网络与信息系统安全工作。

第七条 各二级单位下设网络与信息系统安全管理员，负责本单位网络与信息系统安全的日常工作，是本单位网络与信息系统安全的直接责任人。

第八条 信息与教育技术中心负责全校网络与信息系统的安全指导、安全监督工作。

第三章 信息安全制度

第九条 各二级单位建设的网络与信息系统，应当遵守国家法律、行政法规和学校有关规定，落实国家信息安全等级保护制度的相关要求。

第十条 网络与信息系统的建设者、使用者、维护者应遵守网络文明公约，不得制作、复制和传播有碍社会治安和不健康的信息。

第十一条 各二级单位应严格遵守“涉密信息不上网，上网信息不涉密”，不得将单位财务、人事、档案及其它敏感信息在互联网上公开发布。

第十二条 各二级单位的网络与信息系统出现安全事故时,应当在保留相关证据的前提下及时报告、及时处理，力争控制局面、尽快恢复、减少影响。

第十三条 网络与信息系统的建设者、使用者、维护者，应主动接受和配合上级主管部门、公安部门和信息与教育技术中心组织的安全检查、安全教育。

第四章 安全措施

第十四条 信息与教育技术中心定期对学校的网络与信息系统进行安全检查工作。每学期至少进行两次安全巡查，并督促存在问题的信息系统的相关责任人进行整改。

第十五条 各二级单位要规范网络与信息系统的管理、维护等工作的流程和机制，指定专人负责网络与信息系统运行的日常工作，做好用户授权及其它管理（服务）工作。

第十六条 各二级单位应当定期备份重要业务数据，确保数据的完整性、时效性和准确性。

第十七条 各二级单位应当制定重要网络与信息系统的容灾与恢复措施。保障网络与信息系统的快速恢复能力。

第十八条 各二级单位的网络与信息系统管理员应当记录并保留不低于180天的运行日志。并妥善保管、定期更换管理员密码，防止密码外泄。

第十九条 信息与教育技术中心应加强网络与信息系统的安全防范技术培训工作，加强网络与信息系统安全监控，防止黑客入侵，积极预防计算机病毒；对有碍社会稳定和一些不健康的网站进行屏蔽和隔离，保障我校网络健康、稳定地向前发展。

第五章 责任追究

第二十条 凡违反本办法，学校信息化建设与管理领导组将根据安全风险对安全责任人做出警示、限期整改或停机整顿的处理。

第二十一条 因违反本办法，造成网络与信息系统安全事故，学校将追究第一责任人及直接责任人的安全责任。构成违法犯罪的，将依法移交司法机关追究法律责任。

第六章 附 则

第二十二条 本办法由学校信息化建设与管理领导组办公室负责解释。

第二十三条 本办法自公布之日起生效。