第一章 总则
第一条 为了进一步加强校园网络安全管理,保证学校网络安全,促进学校信息化建设工作规范有序发展,根据《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》等法律法规,《教育部关于加强教育行业网络与信息安全工作的指导意见》《职业院校数字校园建设规范》等要求,以及福建省关于网络安全的相关文件,结合学校实际,制定本办法。
第二条 校园网络是为全校教学、科研、行政管理和后勤服务建立的现代化计算机信息网络,实现校内计算机、移动终端的互联,并与互联网、教育网和政务网互联,实现信息的快捷沟通和资源共享,包括校园网络设备、配套的网络线缆设施及服务器、网络存储和网络安全设备等。
第三条 数据中心是指学校网络中心机房和部署在其内部的服务器、存储、交换机和虚拟化软件等设备。
第四条 网络安全包括学校网络的供电、布线、接地、防火、防雷、温湿度调节等方面的物理安全,网络边界的安全防护,服务器的安全防护,信息系统及网站的安全防护,数据的安全防护和终端的安全防护等。
第五条 信息系统是指校园信息门户、网上办事大厅、学校APP、办公自动化系统、教学管理系统、学生工作管理系统、人力资源管理系统、科研管理系统、财务管理系统、固定资产管理系统、图书管理系统、校园一卡通系统、考勤管理系统及其它用于学校管理和服务的信息化业务系统等。
第六条 网站包括学校官方网站、各部门网站和各类专题网站等。
第七条 电子资源是指电子图书、电子期刊、电子论文、音视频、图片、文本等文献资源库和教学资源库。
第八条 音像信息是指能够反映有关校园教学、管理、生活等场景的照片、录音、录像、视频监控资料等文件,包括经数字化转换的纸质照片、文件等资料所形成的电子文件。
第二章 网络管理
第九条 学校网络安全和信息化领导小组领导学校网络安全管理、信息化建设与软件正版化工作。
第十条 学校所有部门和个人必须遵守国家法律法规,严格执行安全保密制度,并对所提供的信息负责。任何人不得利用学校校园网络从事危害国家安全、泄露国家秘密等违法犯罪活动,不得查阅、下载、制作和传播有碍社会治安和有伤风化的信息。
第十一条 未经现代教育技术中心允许,任何单位和个人不得擅自在校园内安装、拆卸或改变网络设备。通信公司架设产权归其所有的网络设备,必须经现代教育技术中心批准,并报后勤管理处备案。
第十二条 校园内从事施工、建设,不得危害校园网络和各类信息系统的安全。施工、建设会对网络安全产生影响的,必须经现代教育技术中心批准,并报学校网信办、后勤管理处、安全工作处备案。
第十三条 全校师生员工应爱护学校网络线路和设施,勇于阻止和检举破坏行为,有责任和义务向学校和网络安全部门报告发现的违法犯罪行为和有害信息。
第十四条 学校所有部门和个人必须接受并配合国家有关部门依法进行的监督检查。
第十五条 学校网络IP地址的分配和管理由现代教育技术中心统一负责,各用户只能使用所分配的IP地址,严禁盗用他人的IP地址。
第十六条 未经学校批准,任何人不得利用学校网络从事商业或其他以营利为目的的活动。
第三章 音像信息管理
第十七条 音像信息实行集中统一管理。音像信息产生单位应当指定专人负责音像信息管理,对音像电子文件及时整理,并录入详细说明信息。
第十八条 音像信息产生单位及其系统管理人员应当严格遵守工作制度,不得有以下行为:
(一)改变用途,将其用于采集涉及国家秘密、商业秘密或者个人隐私及其它不正当目的。
(二)擅自关闭系统或者改变系统的用途和范围。
(三)删改、破坏、隐匿、毁弃系统原始信息资料和记录。
(四)向本规定以外的单位、个人提供音像信息资料,泄露秘密。
(五)其它妨碍音像信息安全的行为。
第十九条 音像信息属学校内部管理资料,严禁以个人身份调阅音像信息。校内单位(部门)因工作需要调阅音像信息,实行审批登记制度:
(一)由音像信息系统自动采集的一般性事件(如校内考试行为管理、普通偷盗行为管理、上课行为管理等)的音像资料由申请调阅部门负责人、安全工作处或现代教育技术中心负责人同意后方可调阅音像资料;
(二)涉及师生个人隐私、国家教育考试等重大事件的音像资料由申请调阅部门负责人、相关业务部门负责人、安全工作处或现代教育技术中心负责人同意后方可调阅。
(三)校外单位原则上不得调阅本音像资料。国家公安机关、司法部门、学校主管厅局等部门确因业务需要调阅的,需报学校主要领导同意后方可调阅。
第二十条 经审批同意调阅相关音像资料的单位(部门)及调阅人员,对其调阅音像资料负有安全保管和保密责任,未经许可严禁翻拍、复制、拷贝和截图所调阅的音像资料。因调阅单位(部门)和个人导致音像资料泄漏造成不良影响和法律后果,由调阅单位和相关人员负责。
第二十一条 校内单位(部门)申请现代教育技术中心协助拍摄的有关会议、活动的照片和视频,由申请单位(部门)审核所产生音像信息的质量,并正确命名、归档和备份。不能正确反映会议、活动主题的资料申请单位(部门)应做妥善处理,不得外泄。
第二十二条 存储音像信息的硬盘等设备发生故障由现代教育技术中心在设备所在部门人员陪同下进行故障排查。工作过程中不得从存储设备中复制任何文件,若确因更换存储设备需要复制的,在工作完成之后,应将复制出的文件删除。
第二十三条 无法修复的存储设备履行完报废手续后应做数据销毁处理。数据销毁由现代教育技术中心负责,严禁私自销毁。销毁时要确保音像资料内容无法还原。销毁磁介质、光盘等存储设备时,应当彻底销毁,必要时采取粉碎、烧毁或化学腐蚀等方式进行。销毁存储设备时,应由有关人员在场监销,并由监销人员和销毁人员共同签名。
第四章 信息安全
第二十四条 学校网络安全建设和管理必须严格按照国家信息系统安全等级保护相关文件的要求执行。
第二十五条 现代教育技术中心严格落实各项管理制度和技术规范,监控、封堵、清除网上有害信息。为有效防范网上非法活动,校园网要统一出口管理、统一用户管理。
第二十六条 现代教育技术中心主任负责按照信息安全等级保护的要求全面建设和完善学校的网络安全体系,统筹管理学校网络安全工作。其他各部门负责人负责建立和完善本部门网络安全组织,建立健全相关管理制度;负责对本部门上网信息及内容的审查,确保上网信息的安全和保密信息不泄漏。各部门应配备兼职网络安全管理员,具体负责本部门网络安全工作。
第二十七条 严禁在学校网络上进行任何干扰其他网络用户、破坏网络资源和网络设施、危害校园网络和信息系统、侵入未授权的设备和信息系统、网络上公布不真实信息、散布计算机病毒、侵入他人计算机系统、侦听盗用用户帐户及口令等行为。
第二十八条 严格控制和防范计算机病毒对学校网络的侵袭。现代教育技术中心监测学校病毒状况,在病毒高发危机前,须及时发出病毒防范安全警告,配合相关部门做好病毒预防措施。所有上网用户要积极防范,发现病毒及时向现代教育技术中心报告。
第二十九条 现代教育技术中心每天实时监控学校网络运行情况,对学校各网站、信息系统、网络和服务器的巡检,指导各部门及时发现和处理安全隐患,及时更新漏洞补丁,对异常事件进行告警。
第三十条 严格控制各类信息系统和网站的互联网运行权限。各类信息系统和网站如需允许互联网访问、面向互联网提供服务,由信息系统(或网站)管理部门提出申请,依次经申请部门的部门负责人、现代教育技术中心负责人、学校网信办负责人审批同意后,交由现代教育技术中心执行。
第三十一条 新建信息系统安全设计须达到网络安全等级保护要求。为防止缺陷系统上线运行影响学校网络安全,新建信息系统必须通过现代教育技术中心的安全检测,如存在安全隐患,现代教育技术中心应指导相关单位进行整改,整改并复测通过后,方可上线运行。
第三十二条 新建信息系统部署完成并通过验收后,系统建设部门应配合现代教育技术中心整理网络安全等级保护备案材料,现代教育技术中心统筹进行网络安全等级保护备案。现代教育技术中心统筹做好重要信息系统的网络安全等级保护测评工作。
第三十三条 各学院(部),各职能部门在网站上上传文件、发布信息,由各部门负责人和相关职能部门按权限负责审核。
第三十四条 在学校各级网站和信息系统上发布的信息(包括有关文字、图片、声音等信息资料),应严格按照学校相关保密审查制度执行。凡涉及国家机密、违反国家有关法律法规和学校规章制度的信息严禁上网。
第三十五条 校园网各类信息系统、网站和服务器等开设的管理员帐户、密码需由专人进行保管。严禁密码保管人向他人泄露帐户和密码。
第三十六条 学校各类信息系统和网站要严格按照授权进行权限管理。学校公共信息系统或平台的授权管理由现代教育技术中心负责,各部门信息系统的授权管理由信息系统所属部门负责。各级各类信息系统在授予管理员或用户权限时,应根据管理员或用户所在岗位的工作职责范围,授予相应的信息系统权限。各级各类信息系统的授权管理,应依据学校岗位职务安排,在规定时间内授予或撤销用户相应的信息系统权限。
第三十七条 学校各类信息系统和网站等所生成的数据原则上只能用于与学校教育事业有关事项。未经学校网信办授权许可,任何部门和个人不得擅自将获得的数据公开、转给他人使用或用于申请授权范围以外的用途。
第三十八条 学校各类信息系统和网站的数据必须定期进行备份。系统安装在学校数据中心的,由现代教育技术中心负责备份数据;系统安装在各部门自建服务器、云端服务器和第三方托管服务器的,由使用部门负责备份数据。
第三十九条 所有信息系统和网站必须开启日志记录功能,日志保存时间不得低于180天。
第四十条 学校任何部门(单位)和个人不得将师生员工的身份证号、电话号码、通讯地址、证件照片及个人图像等个人敏感信息直接发布在网站上(包括附件形式)。确因工作需要的,应当经学校网信办批准后按规范要求公布。
第四十一条 严格实行网络安全责任追究制度。如因管理不善致使本部门内发生重特大信息安全事故或严重违纪违法事件的,由学校对部门和有关责任人进行处理,情节特别严重的依法追究相关责任人的法律责任。
第四十二条 为了防止管理不善引发的安全事故,各部门信息系统停止使用或暂停维护的,须及时通知现代教育技术中心妥善处理。
第四十三条 发生网络安全类突发事件时,应严格按照《福建卫生职业技术学院校园网络安全事件应急处置预案》(见附件)执行。
第五章 附则
第四十四条 本办法授权现代教育技术中心负责解释。
第四十五条 本办法自2025年1月1日起施行,原《福建卫生职业技术学院网络信息安全管理办法(试行)》(闽卫院现〔2020〕1号)同时废止。
附件
福建卫生职业技术学院
校园网络安全事件应急处置预案
为防范和处置发生或可能发生的校园网络安全事件,维护校园稳定,确保校园网络安全,参照《国家网络安全事件应急预案》《福建省网络安全事件应急预案》和《福建省教育系统网络安全事件应急预案》,特制定本预案。
一、总则
(一)适用范围
由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,影响或破坏学校网络运行及网络安全的事件,包括有害程序事件、网络攻击事件、信息破坏事件、设备设施故障、灾害性事件和其他网络安全事件。
(二)处置原则
校园网络安全事件的处置原则:“预防为主、分级负责、责任到人”。学校网络安全和信息化领导小组领导全校网络安全工作,各学院(部),各职能部门都必须安排专人负责网络安全工作,及时了解掌握信息动态,及时清除各类不良信息,营造健康文明的网络环境,将有害信息内容造成的不良影响减小到最低限度。
(三)事件分级
校园网络安全事件分为三级:重大网络安全事件、较大网络安全事件、一般网络安全事件。
1.符合下列情形之一,为重大网络安全事件:
①学校核心业务系统(网站)长时间中断,业务处理能力受到极大影响;学校核心业务系统(网站)重要敏感信息或关键数据丢失或被窃取、篡改。对学校安全稳定和正常秩序构成严重威胁。
②网络病毒在全校范围内大面积爆发。
③其他对学校安全稳定和正常秩序构成严重威胁,造成严重影响的网络安全事件。
2.符合下列情形之一且未达到重大网络安全事件等级的,为较大网络安全事件:
①部门信息系统遭受系统损失,造成系统中断,明显影响系统效率,业务处理能力受到较大影响;部门信息系统的数据发生丢失或被窃取、篡改。
②网络病毒在校内部分范围内传播。
③其他对学校安全稳定和正常秩序构成较大威胁,造成较大影响的网络安全事件。
3.一般网络安全事件:除上述情形外,对学校安全稳定和正常秩序构成一定威胁、造成一定影响的网络安全事件,为一般网络安全事件。
二、职责任务
学校网络安全和信息化领导小组负责校园网络安全领导工作。
现代教育技术中心负责网络安全日常管理工作,其职责是:当网络设备故障、病毒攻击、非法入侵等原因造成校园网运行异常、瘫痪或信息泄露时,负责及时发现并找出原因,封堵安全漏洞,尽快恢复网络的正常运行。网络安全事件发生后,在学校网络安全和信息化领导小组统一布置下,严格按照应急预案组织实施,处置各类危害校园信息安全的事件。
三、处置措施和程序
网络安全事件发生后,要立即启动应急预案,采取应急处置程序,判定网络安全事件级别,并立即将情况向有关部门报告,在处置过程中,应及时报告处置工作进展情况,直至处置工作结束。
应急处置程序如下:
(一)发现情况
现代教育技术中心应严格执行网络安全日常值班制度,每天巡查校园网运行情况、记录巡查情况,做好各个信息系统的日志保存工作,以保障在第一时间发现网络安全事件。
(二)预案启动
一旦网络安全事件发生,立即启动应急预案,进入应急预案的处置程序。
(三)应急处置
在网络安全事件发生时,现代教育技术中心应立即向领导小组报告并负责组织实施应急措施:断开影响安全与稳定的信息网络设备,跟踪并锁定破坏来源的IP或其它网络用户信息,做好备份数据、保护设备、排查隐患等工作;定时向领导小组和有关部门通告最新情况,并按照有关规定上报上级机关。
(四)情况报告
在重大网络安全事件发生时或重要时期内发生的网络安全事件,应向领导小组汇报,经领导小组同意后再向公安网络安全职能部门报告。较大、一般网络安全事件,应向领导小组汇报,并及时报告处置工作进展情况,直至处置工作结束。
情况报告内容包括:网络安全事件发生的时间、地点,网络安全事件的级别,网络安全事件造成的后果,应急处置的过程、结果,网络安全事件结束的时间,以后如何防范类似网络安全事件发生的建议与方案等。
(五)发布预警
发现情况,领导小组应及时通知学校和各学院(部),各职能部门,让大家提高警惕,并组织调查取证工作,配合上级主管部门的调查。
(六)预案终止
网络安全事件险情或灾情已消除,或者得到有效控制后,由领导小组宣布应急处置程序结束,并予以公告,同时预案终止。
四、调查和评估
应急处置预案结束后,领导小组应组织开展调查处理和总结评估工作,撰写网络安全事件总结调查报告。网络安全事件总结调查报告应对事件的起因、性质、影响、责任等进行分析评估,提出处理意见和改进措施。
五、保障措施
(一)人员保障
现代教育技术中心应安排专人担任网络安全管理员,网络安全管理员应具备网络安全相关技能。
(二)技术和物资保障
现代教育技术中心为学校网络安全技术支撑单位,负责学校的网络安全体系建设。学校对网络安全体系的建设给予资金上的保障。
(三)预案演练
领导小组每年至少组织一次应急演练,并按上级部门的规定在每年年底前将演练情况上报。
六、预案实施时间
本预案自2025年1月1日起施行。
现代教育技术中心
