湖南信息职业技术学院

网络安全管理办法

第一章 总 则

第一条 为进一步加强学院网络安全管理，预防和减少网络安全事件的发生，提高数字化水平，根据有关法律法规，结合学院实际情况，经研究决定，特制订本管理办法。

第二条 适用范围。本办法适用于使用学院网络和信息系统的所有部门和个人。

第三条 网络安全工作以《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《中华人民共和国密码法》、《计算机信息系统安全保护条例》和《关键信息基础设施安全保护条例》等法律法规为依据，“坚守合规底线，预防为主、防治结合、综合治理。”

第四条 学院网络安全保护对象主要包括网络基础设施/系统、云计算平台/系统、业务应用系统（包括网站）和信息内容（数据）等。网络安全工作是保护学院信息基础设施、信息系统及系统中的数据不遭受破坏、篡改、泄露，或未经授权访问和使用，保障网络平稳运行以及信息系统和信息内容（数据）的保密性、完整性、可用性、以及不可否认性和可控性等。

第五条 网络安全工作的总体原则

（一）主要领导负责原则。学院网络安全工作由学院主要领导总负责；各二级教学院（部）、院属其他部门主要领导对本部门网络安全工作负总责。

（二）保护重点、适度安全原则。根据网络安全等级保护的定级结果对信息系统进行分级保护，优化网络安全资源配置，做到重要系统重点保护和适度安全相结合。

（三）人防与技防并重原则。根据相关网络安全制度和技术规范，用规范的管理与安全技术进行综合防范，开展网络安全检查，同时接受上级部门的监管和指导，全面提高信息系统的安全防护能力。

（四）分权和授权原则。对相关人员及实体（如用户、管理员、进程、应用或系统）的授权，仅授予该人员及实体完成其任务所必须的权限，防止权限过分集中所带来的隐患。

第二章 管理体制与职责

第六条 建立健全网络安全管理组织架构。学院成立网络安全与信息化领导小组，负责研究制定网络安全发展规划、规范制度，落实和检查网络安全工作，协调处置重大网络安全事件。

第七条  学院网络安全与信息化领导小组下设网络安全与信息化办公室（简称“网信办”，设在现代教育信息中心（简称“信息中心”））作为执行机构，承担日常管理事务工作。

（一）负责制定学院网络安全制度，落实相关措施，保障网络安全运行。

（二）负责学院层面的信息基础设施、业务应用系统和公共数据的日常安全管理与维护，保障网络和信息系统的正常运行；保存网络运行日志，配合调查取证；负责办理部门和个人实名制入网登记；负责网络安全工作的技术协调与指导。

（三）负责统筹、协调学院网络安全事件应急响应工作，并配合上级主管部门和当地网络安全部门做好网络安全相关应急处置工作。

（四）负责开展网络安全工作检查。运行管理部门，是指信息系统应用业务的需求部门或主管部门，原则上是项目建设部门。负责具体落实网络安全保护责任，履行安全保护义务。

第八条 运行管理部门，是指信息系统应用(运行)业务的需求部门或主管部门，原则是项目建设部门，负责等级保护测评和数据资产保护，具体落实网络安全保护责任，履行安全保护义务。

第九条 学院党委宣传部门负责意识形态管控与研判，网络信息内容的安全监管和网络舆情信息的监控，开展网上疏导和正面宣传，做好对外宣传工作。

第十条 各二级教学院（部）、院属其他部门（以下统称“各部门”）应在本部门内部相应成立网络安全工作小组，其主要负责人为第一责任人，代表本部门与网信办（信息中心）签署《湖南信息职业技术学院网络安全责任承诺书》(见附件1)。并指定部门网络安全员，具体负责本部门的网络安全工作。

第三章 网络安全规划建设

第十一条 网络安全应当遵循与信息化“同步规划、同步建设、同步运行”的基本原则，在信息化项目的规划设计、建设开发、移交上线等环节严格落实网络安全要求和保护责任。

第十二条 信息化项目建设部门在项目报批前应组织开展网络安全等级保护定级论证，在系统正式上线前完成定级，向网信办（信息中心）提交相关材料。网信办（信息中心）负责向上级网络安全主管部门报送系统的定级备案信息。

第十三条 信息化项目建设部门应采购安全可靠的信息技术产品和服务。建设部门应当组织对二级及以上保护对象的软件代码进行安全性测试，正式上线前组织第三方机构完成网络安全等级保护测评，通过测评和问题整改后方可上线和项目验收。

第十四条 安全保护等级三级及以上的网络安全保护对象应当制定密码应用实施方案，按密码保护与信息化项目“同步规划、同步建设、同步运行”的原则，同步开展密码应用安全评估，通过评估后方可进行项目验收。

第四章  运行安全

第十五条 信息基础设施安全可靠运行是学院网络安全的基础，运行管理部门应当落实网络安全保护责任，履行安全保护义务。

信息基础设施是指支撑学院网络及信息系统运行所需的各种相关设施，主要包括校园网、网络机房、服务器、存储和相关运维管理系统等。

第十六条 信息系统（含数据）的安全是网络安全的关键保护对象，信息系统是指处理业务信息的软件及其相关的和配套的设备与设施，信息系统（含数据）安全工作是指保障信息系统的可用性、完整性、机密性以及数据的安全性。

第十七条 按照网络安全等级保护制度要求，运行管理部门应当加强网络安全保护对象的安全管控，采取措施防范网络攻击，包括但不限于：

（一）严格控制机房和设备间的进出访问，加强监控和巡检；

（二）按照最小权限原则对网络进行分区域管理，在不同网络区域之间进行物理或逻辑隔离；

（三）遵循最小授权、最小安装原则，加强对主机账号、口令、端口、微服务等的安全管理，定期开展漏洞扫描和恶意代码检测，及时安装安全补丁；

（四）加强应用系统的用户管理、认证管理和审计管理。及时清理僵尸账号、禁用弱口令账号，对三级及以上系统必须采用两种及以上组合的鉴别技术对用户进行身份鉴别；

（五）采用技术措施监测、记录网络运行状态、网络行为和网络安全事件，并留存网络日志不少于六个月；

（六）严格邮件账号的注册审批和注销管理，加强安全意识教育，避免存在弱口令和访问钓鱼邮件等情况；

（七）按照“谁使用、谁负责”的原则，明确终端的使用和安全管理责任，定期开展针对终端的安全基线检查、漏洞扫描和系统加固。

第十八条 运行管理部门应当按照安全职责保障数据采集、传输、存储、处理、交换、共享和销毁等数据生命周期安全，对师生个人隐私数据部署加密和反爬取措施，遵循合法、正当、必要的原则进行数据收集和使用。

第十九条 运行管理部门要加强外包和运维技术服务方的安全管理。要求外包服务或远程技术服务方签订《保密承诺书》（见附件2），进行技术运维操作必须先通过堡垒机再接入访问校园网资源。

第二十条 各部门应当及时废止不再使用的信息系统，废止前应当妥善处理历史数据、系统及相关设备资产，确保安全。属于二级及以上等级的系统，信息中心应当及时向上级安全主管部门变更备案信息。

第二十一条 各部门应当加强国家重要活动、节假日等重要时期的网络安全保障工作，做好事前检查和漏洞修补，对可能影响网络安全和稳定运行的变更从严管控。

第五章 信息传播和数据安全

第二十二条 学院党委宣传部门负责校园网络信息发布的管理、舆情信息监控，受理互联网违法和不良信息举报。各部门须按照“谁主管、谁负责，谁主办、谁负责，谁使用、谁负责”的原则加强本部门网络信息的发布管理，发现不良信息须及时报告和处理。

第二十三条 运行管理部门要严格落实网络信息审查、审核和监督管理工作。经批准建立的公众信息服务系统或平台应明确专门的管理员。要落实安全保护技术措施，避免应用系统后台管理相关页面和信息暴露在互联网，严格管控门户网站信息的发布。

公众信息服务系统或平台包括但不限于：学院或部门官网、APP、微信公众号、微博、博客、微视频、户外媒体等。

第二十四条 各部门应优先考虑依托校园网开展信息系统建设，学院任何部门和个人依托校园网提供网络信息发布服务（含网站，包括托管在校内非我院网站），均须符合国家有关互联网信息服务管理要求，不得发布涉密信息和泄露隐私数据。

第二十五条 对于托管在校内非学院网站或托管在校外使用学院域名或为学院提供服务的“双非”（非学院域名、非学院IP）网站和应用系统，应由运行管理部门主要负责人与学院网络安全与信息化办公室签署《湖南信息职业技术学院校外网站网络安全承诺书》(见附件3)，并在网信办（信息中心）备案。

第二十六条 各部门和个人不得通过私自与校外单位联网的方式，向外交换、传递学院数据。涉及学院基础数据、师生员工个人信息或敏感信息的应用系统，数据库服务器原则上不得部署在校外。

第六章 监测预警与应急处置

第二十七条 按照“分工负责、联动配合，资源共享、协同管理，集中力量、重点保障”的原则和工作思路开展检测预警和信息通报。网信办（信息中心）牵头负责信息收集、分析和通报工作，按照规定发布网络安全监测预警信息。各部门应加强网络安全监测预警能力建设，加大安全事件的风险评估和隐患排查工作力度，避免和减少网络安全事件的发生及其危害。

网络安全事件是指由于自然或人为的原因对校园网、各类信息系统或内容造成危害，对学院或社会造成负面影响的事件。

第二十八条  网络安全风险漏洞的处理实行限期修复。对于通用型网络产品和服务的风险漏洞，运行管理部门应当在产商和安全机构修复方案公开发布后立即检查整改；对于各级网络安全主管部门和信息中心通报的高危漏洞，运行管理部门应当按照时限要求组织整改。

第二十九条 网信办（信息中心）牵头建立健全网络安全事件应急机制，制定应急预案。各部门可根据实际制定相关预案或工作方案，对于三级及以上保护等级的系统必须制定专项应急预案。各部门应当定期检验、评估和完善应急预案。

第三十条 网信办（信息中心）每年至少要组织1次应急演练，及时发现安全隐患，提高处置突发网络安全事件的应急能力。

第七章  监督考核与责任追究

第三十一条 学院网络安全与信息化领导小组每年至少开展1次网络安全督查工作，可以根据网络安全情况并结合上级部门工作部署和安排不定期开展网络安全督查工作，及时通报督查情况，对网络安全工作成绩突出的部门和个人给予表彰奖励。

第三十二条 网信办（信息中心）将检查发现的问题视严重程度，提出限期整改、立即整改、下线整改等要求，并跟踪整改落实情况。被检查部门应当评估、分析问题产生原因，采取系统升级、漏洞修补、部署防护措施、完善管理制度等措施进行整改，并按要求反馈整改结果。

第三十三条 网络安全工作是学院的重要工作之一，网络安全工作责任的落实情况将作为对各部门年度工作考核、先进集体评选的一项重要依据，出现重大网络安全事件的部门不得评为先进集体。

第三十四条 对于玩忽职守或有意危害学院网络安全而造成网络安全事件的，学院可根据损失情况和不良影响的程度，对当事人进行相应处罚，涉及违法犯罪的，按照相关法律法规处理。

第八章  附 则

第三十五条 本办法及相关配套管理制度由网信办（信息中心）负责解释。

第三十六条 本办法自印发之日起执行。原《湖南信息职业技术学院网络安全管理办法（试行）》（湘信院〔2018〕45号）同时废止。

湖南信息职业技术学院  

2022年4月5日