大學網絡和信息系統安全應急預案

　　第一章 總則

　　第一條 編制目的。為了有效地發揮我校校園網及信息系統在教學、科研、管理中的作用，切實做好學校網絡和信息系統突發事件的防范和應急處理工作，遏制網上有害信息的產生和傳播，進一步提高預防和控制網絡和信息系統突發事件的能力，形成科學、有效、反應迅速的應急工作機制，減輕或消除突發事件的危害和影響，確保校園網絡及計算機信息系統的實體安全、運行安全和數據安全，保護師生權益，維護正常社會秩序、教學秩序，促進學校的和諧發展。結合我校實際情況，特制訂本應急預案。

　　第二條 編制依據。為了貫徹落實《中華人民共和國計算機信息系統安全保護條例》、《國家信息化領導小組關于加強信息安全保障工作的意見》和公安部、國務院信息化工作辦公室等部門《關于信息安全等級保護工作的實施意見》，依據GB/T 24363-2009《信息安全技術 信息安全應急響應計劃規范》，制定本應急預案。

　　第三條 適用范圍。本預案適用于xx大學校內網絡和信息系統發生突發性事件的應急處置。

　　第四條 工作原則。統一領導、統一指揮、各司其職、快速有效、保障安全。

　　第二章 組織指揮和職責任務

　　第五條 網絡安全和信息化領導小組職責。學校成立了xx大學網絡安全和信息化領導小組(以下簡稱領導小組)，領導小組的主要職責與任務是統一領導全校網絡和信息安全應急工作，全面負責學校網絡和信息系統可能出現的各種突發事件處置工作，協調解決處置工作中的重大問題。

　　第六條 信息網絡中心是網絡和信息系統安全事件(以下簡稱安全事件)技術處置及控制機構，負責日常安全事件的具體處理，負責服務器端和網絡層面的安全事件處置，并為各部門、學院做好網絡和信息系統的安全處置工作提供技術指導。

　　第三章 安全事件應急響應流程

　　第七條 安全事件應急響應流程。安全事件發生后，立即啟動應急預案，采取應急處置程序，根據《xx大學網絡和信息系統安全事件報告與處置流程》(一并下發)初步判定事件級別，并立即向信息網絡中心報告，在處置過程中，應及時報告處置工作進展情況，直至處置工作結束。

　　第四章 安全事件處置程序

　　第八條 安全事件發現情況。信息網絡中心要嚴格執行巡檢制度，做好校園網絡和信息系統安全的日常巡查及日志保存工作，以保障及時發現問題并處置突發性事件。

　　第九條 預案啟動。一旦安全事件發生，立即啟動應急預案，按照《xx大學網絡和信息系統安全事件報告與處置流程》進入應急預案的處置程序。

　　第十條 應急處置方法。參見《xx大學網絡和信息系統安全事件報告與處置流程》。

　　第十一條 情況報告。安全事件發生時，一方面按照應急處置方法進行處置，同時向信息網絡中心報告;信息網絡中心接到報告后，應立即組織技術人員進行緊急處置，并進一步判定安全事件等級，并報告領導小組。處置過程中應向領導小組及時報告處置工作進展情況，直至處置工作結束。

　　第十二條 發布預警。安全事件發生時，信息網絡中心可根據事件的危害程度適當地發布預警，特別是一些在其它地方已經出現，或在安全相關網站發布了預警而學校信息系統還沒有出現相應的事件，除了在技術上進行防范以外，還應當向網絡和信息系統用戶發布預警，直至事件警報解除。

　　第十三條 預案終止。經信息網絡中心鑒定，事件險情或災情已消除，或者得到有效控制后，由領導小組宣布應急期結束，并予以公告，同時預案終止。

　　第十四條 后期處置。通過應急處置成功解決安全事件后，相關責任人或責任單位應當對安全事件應急響應進行總結。應急響應總結應回顧并整理已發生安全事件的各種相關信息，盡可能詳細地把所有情況記錄到文檔中。

　　第五章 附則

　　第十五條 本預案由領導小組負責解釋，自發布之日起施行。

篇2：大學網絡與信息系統安全責任書

　　大學網絡與信息系統安全責任書

　　xx大學網絡與信息系統安全工作領導小組

　　辦公室(簽章)： 信息網絡中心(代章)

　　履行網絡與信息系統安全責任部門：

　　責 任 人(簽章)：

　　責 任 期 限：

　　信 息 安 全 工 作 職 責

　　為了保證互聯網網絡與信息系統安全，維護國家安全和社會穩定，保障公民、法人和其他組織的合法權益，本部門(學院)承諾在使用互聯網進行信息管理、發布及其它行為時，遵守國家和學校相關規定，承擔相應責任。

　　遵守《全國人民代表大會常務委員會關于維護互聯網安全的決定》、《中華人民共和國電信條例》、《互聯網信息服務管理辦法》、《中華人民共和國網絡安全法》等法律法規的有關規定。

　　遵守信息安全保密制度和用戶信息安全管理制度，不在網上傳送涉密文件，依法保護用戶隱私。

　　遵守信息發布審核制度，保證對外發布信息的來源真實、可靠。在本部門(學院)網站上發布公共信息前，必須經過本部門領導審核后，方能對外發布。

　　遵守計算機入網管理制度，嚴禁利用計算機進行網絡攻擊等非法行為。及時升級入網計算機的操作系統及應用軟件，減少計算機被入侵的機率。發現入侵時，應第一時間切斷網絡接入并及時處理。

　　建立網絡與信息系統安全責任人聯系制度。按成大委發〔2012〕27號文件精神，各學院黨政負責人、職能部門及業務部門主要負責人為網絡與信息系統安全責任人。責任人變更后，應及時以書面形式通知信息網絡中心。

　　建立網絡與信息系統安全事故應急處理制度，發生信息安全事故時應按《xx大學網絡與信息系統安全應急預案》及時處理。

　　第一責任人簽字

　　部門(學院)簽章

　　2024年 月 日

篇3：大學網絡和信息系統安全管理辦法

　　大學網絡和信息系統安全管理辦法

　　第一章 總則

　　第一條 為依法規范學校網絡和信息技術安全工作，提升學校網絡和信息技術安全防護能力和水平，促進學校網絡和信息化建設健康有序發展，保護師生個人信息，明確學校、用戶(教職工、學生及其他人員)在學校網絡和信息服務過程中的權責與義務，根據《中華人民共和國網絡安全法》《教育部關于加強教育行業網絡與信息安全工作的指導意見》等相關法律法規和文件要求，結合學校實際，制定本辦法。

　　第二條 本辦法所稱網絡和信息系統安全工作，是指為保障學校建設、運行、維護的IT設施(含：校園網、信息化基礎設施、網站、信息系統及業務數據信息)的機密性、完整性、可用性所開展的相關管理和技術工作。

　　第三條 按照“誰使用誰負責，誰主管誰負責，誰運維誰負責”的原則明確和落實學校各二級單位網絡安全責任;按照“同步規劃、同步建設、同步運行”的原則全面實施網絡安全等級保護制度。

　　第四條 學校各單位和全體師生應嚴格遵守國家相關法律法規，并按照本辦法要求及學校相關標準規范履行網絡和信息系統安全的義務和責任。

　　第二章 管理機構與職責

　　第五條 學校網絡安全與信息化領導小組負責統一領導、統一謀劃、統一部署全校網絡安全和信息化發展，統籌制定網絡安全和信息化發展戰略、長期規劃和重大政策，研究解決網絡安全和信息化重要問題;指導、監督、檢查網絡安全各項重點任務落實，統籌管理、推進學校網絡安全和信息化工作。

　　第六條 相關單位職責

　　(一)信息網絡中心作為網絡和信息系統安全技術支撐單位，負責學校網絡和信息系統安全技術防護體系的建設、運行維護、技術指導和服務支持。負責收集和分析網絡安全信息，分析、研判網絡安全態勢，服務網絡安全決策。負責向上一級網絡安全和信息化辦公室和所在地區網絡安全職能部門報告網絡安全信息。

　　(二)黨委宣傳部負責網絡意識形態陣地的輿情監管，負責對校園網絡信息內容的編排、維護、語言使用規范等進行指導和監督。

　　(三)學校辦公室負責與上級部門的溝通協調、網絡和信息系統安全管理政策發文、學校重大突發網絡和信息系統安全事件的統籌協調等工作。負責對學校網絡和信息系統安全保密工作落實情況進行監督、指導和檢查。

　　(四)保衛處負責協助重大網絡和信息系統安全事件的調查處理，負責網絡和信息系統安全相關的安全保衛工作。

　　第七條 各二級單位是本單位網絡和信息系統安全責任主體，負責本單位(含本單位的組織及個人)網絡和信息系統安全工作，各二級單位黨組織對本單位網絡和信息系統安全工作負主體責任，黨組織負責人是第一安全責任人，行政負責人按照“黨政同責”原則負重要責任。第一安全責任人具體職責包括：

　　(一)落實本單位網絡安全等級保護相關工作。

　　(二)負責本單位網站和信息系統的日常監管與安全管理，及時處理安全隱患。

　　(三)落實本單位網絡和信息系統安全管理員，負責本單位網絡和信息系統安全具體工作。

　　第三章 校園網基礎環境安全管理

　　第八條 校園網基礎環境包括校園有線網絡和無線網絡。所涉的光纜、網絡機房、網絡設備、基本網絡服務、網絡安全防護、認證系統等，由信息網絡中心負責建設和運行維護管理。

　　第九條 校園網接入互聯網遵循“統一出口、統一管理”的規定，由信息網絡中心負責實施。學校各單位在校園內不得擅自通過社會網絡資源接入互聯網。

　　第十條 學校實行實名注冊、認證上網的網絡接入制度。網絡接入實名制由信息網絡中心負責實施。

　　第十一條 嚴禁任何單位和個人利用校園網及其網絡設施開展經營活動。

　　第十二條 信息網絡中心按照網絡安全等級保護相關要求將校園計算機網絡劃分網絡安全域，并采取必要的安全隔離措施，按照規定留存相關網絡日志不少于6個月。信息網絡中心負責監測和檢查校園網安全運行狀況，緊急情況下，可采取“先斷網、后處理”的應對措施。

　　第四章 數據信息安全管理

　　第十三條 信息網絡中心負責學?；A數據庫和統一數據交換平臺的建設和安全管理，負責各單位業務數據庫與基礎數據庫之間完成數據交換和共享。各單位負責建設、維護本單位業務應用系統所配套的業務數據庫;對本單位業務數據庫的系統安全、數據安全及所申請的共享數據的安全負責。

　　第十四條 各單位對產生和使用的數據安全負責，不得收集與業務無關的個人信息，應當按照網絡安全等級保護要求落實安全管理和技術措施，規范數據的收集、存儲、傳輸和使用，確保數據安全。未經審批，不得對外發布和提供數據信息。

　　第十五條 各單位應嚴格管理業務數據的增加、修改、刪除等變更操作，按照數據的重要程度，對數據進行分類管理，適時進行業務數據有效性檢查，做好數據備份工作。

　　第五章 信息系統安全

　　第十六條 信息網絡中心負責校內信息化基礎設施(包括軟硬件基礎設施、學校云平臺、學?；A數據庫)的物理安全、網絡安全和主機安全。信息化基礎設施資源的使用單位負責所使用的操作系統、業務數據庫系統、應用系統和數據的安全。

　　第十七條 統一身份認證系統為校內信息系統提供統一的身份管理、安全的認證機制、審計及標準接口。校內各單位建設面向師生服務的應用系統時，應與統一身份認證系統進行認證集成并備案系統信息。信息網絡中心負責統一身份認證系統的安全，各單位負責本單位應用系統的權限管理及安全。

　　第十八條 校內各信息系統應按照國家要求開展信息系統等級保護工作。

　　第六章 網站建設管理

　　第十九條 各單位以信息發布為主的網站，應主要利用學校網站群平臺進行建設。

　　第二十條 學校網站群平臺由信息網絡中心統一建設，其技術安全由信息網絡中心負責;運行在網站群平臺上的網站的內容安全由各二級單位負責。

　　第二十一條 因特殊原因未納入學校網站群平臺的網站，各二級單位對其技術和內容安全負責。

　　第二十二條 各網站的主管單位應建立網站應急值守制度，規范應急處置流程，由專人對網站進行監測，發現網站運行異常及時處置。

　　第七章 校園網用戶與終端安全管理

　　第二十三條 校園網用戶必須本人實名認證上網，必須嚴格遵守國家相關法律法規，上網行為不得危害到學校網絡信息安全，并對上網產生的一切行為負責。

　　第二十四條 校園網用戶應做好計算機等使用終端的安全防護工作，應設置系統登錄賬號和復雜度高的密碼，安裝正版操作系統、辦公軟件和防病毒軟件，及時更新系統補丁，修補漏洞。

　　第八章 監測與處置

　　第二十五條 各單位應加強對所屬網站和信息系統的日常監管，做到安全事件早發現、早報告、早控制、早解決。對發現的網絡安全問題及時整改并報告信息網絡中心。

　　第二十六條 信息網絡中心負責對學校網站和信息系統安全情況進行監測與檢查，對于檢查不合格的網站和信息系統，視其安全問題級別進行關停、限制校內訪問等處理。

　　第二十七條 信息網絡中心負責制定網絡和信息安全事件應急預案，對各單位網絡和信息技術安全工作落實情況進行檢查，對發現的問題下達限期整改通知書，對網絡和信息技術安全事件進行調查處理。聯合相關單位定期組織網絡和信息安全突發事件應急演練。學校各單位應做好網絡和信息安全應急響應工作。

　　第二十八條 各單位應按照我校網絡和信息安全事件報告與處置流程，做好事發緊急報告與處置、事中情況報告與處置和事后整改報告與處置工作。

　　第九章 責任追究

　　第二十九條 對于違反本辦法，造成網絡和信息安全事件的單位及個人，給予通報批評;情節嚴重的，追究其主管領導、相關部門第一安全負責人及直接責任人的責任;構成犯罪的，依法追究刑事責任。網絡信息失泄密事件按照國家和學校相關法律法規和規章制度處理。

　　第十章 附則

　　第三十條 本辦法由信息網絡中心負責解釋，自發布之日起生效。