第一章  总则

第一条 为规范校园内计算机及办公网络管理，确保校园网络和校内各类信息系统安全、稳定、高效运行，确保学校网络信息安全工作规范有序开展，促进学校信息化健康可持续发展，根据《中华人民共和国网络安全法》《教育部关于加强教育行业网络与信息安全工作的指导意见》（教技〔2014〕4号）等相关法律法规并结合我校实际情况，特制定本管理制度。

第二条 网络信息安全是指学校在校园网内或经学校备案在公有云上构建的网络基础设施、网站、信息系统及数据内容等受到保护，保证网络、系统及内容的安全性、完整性、可用性、可控性。

第三条 本制度适用于学校范围内处室、部门所有教职工及使用单位网络的所有人员。

 第二章  网络与信息安全管理机构

第四条 设立网络与信息安全领导小组，领导小组组长为党总支书记，副组长为学校党总支副书记、副校长，组员为各处室负责人。领导小组下设网络与信息安全管理办公室（以下简称信息安全办公室），信息安全办公室主任由负责网络管理的具体部门（信息中心）负责人担任。

第五条 网络与信息安全领导小组主要职责如下：

（一）根据国家有关网络与信息安全的政策、法律和法规，制定学校网络与信息安全总体规划、管理规范和技术标准等。

（二）发挥集中统一领导作用，统筹领导学校网络与信息安全相关工作。

（三）贯彻执行上级单位、相关单位下发的网络与信息安全文件要求及精神。

（四）协调、督促各处室、部门的网络与信息安全工作，处理网络与信息安全隐患，参与信息系统工程建设中的安全规划，监督安全措施的执行。

（五）统筹处理网络与信息安全事故，组织进行事件调查，评估安全事件的严重程度，负责网络与信息安全事故的后续处理及防范措施等。

第六条 信息安全办公室职责为按照国家、省市两级及上级单位统一部署组织开展的网络与信息安全工作，具体工作包括：

（一） 保障网络与信息系统安全运行。

（二） 按照网络与信息安全等级保护制度对学校网络进行建设和整改工作。

（三） 网络与信息安全突发事件处置、应对、整改。

（四） 开展网络与信息安全宣传教育与培训。

（五） 开展网络与信息安全检查与自查工作。

（六） 负责学校网络与信息安全应急预案的编制并组织测试和演练。

（七） 开展其他网络与信息安全工作。

第三章  网络与信息安全管理

第七条 网络与信息安全是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。

第八条 信息安全办公室负责对接入的Internet网（简称外网）、学校内部局域网（简称校园网）、专用网络及设备和系统进行规划、建设、统一管理、日常维护、安全保障等工作。

第九条 接入并利用学校网络进行工作的人员，应自觉遵守相关规章制度，建立良好的使用习惯，杜绝潜在的网络与信息安全隐患和漏洞。

第十条 使用学校网络必须遵守相关法律法规，遵守公共秩序，尊重社会公德，不得利用网络从事危害国家安全、泄露国家秘密，不得侵犯国家、社会、集体的利益和公民的合法权益，不得从事违法犯罪活动。

第十一条 严禁通过学校网络传播反动、暴力、淫秽等内容，严禁利用学校网络制作、复制、发布、传播病毒、流氓软件，严禁实施影响网络正常运行或影响其他用户正常使用网络的行为。

第十二条 所有对外发布的信息必须严格按照《酒泉工贸中等专业学校校园网信息发布管理办法》执行，确保学校已开通运营的门户网站、微信公众号等新媒体不出现导向性错误。

第十三条 按照“谁建立谁负责，谁主管谁负责”的工作原则，加强学校已开通运行的微信公众号等新媒体的平台架构、技术规范、日常运维等方面管理，尤其是网络和信息安全方面的管理，要做到先备案后开通，不备案不开通，不合要求不开通，全面建立备案登记台账管理。

第十四条 在使用网络与信息设备时应保持清洁、安全、良好的工作环境，禁止在信息设备应用环境中放置易燃、易爆、强腐蚀、强磁性等损害设备的物品。

第十五条 所有网络和信息设备未经信息安全办公室授权同意，严禁擅自拆、换任何零件、配件、外设。

第十六条 各处室负责人对本部门信息化设备负安全管理责任。

第四章  应用系统及校园网安全管理

第十七条 接入校园网的设备和软件，应进行充分的安全评估和杀毒扫描，只允许经过授权软件运行。临时接入校园网的设备在接入前须进行病毒查杀，并由负责信息安全的工作人员辅助执行。

第十八条 校园网接入的设备应由信息安全办公室进行授权备案。对重大配置变更应制定变更计划并进行影响分析，配置变更实施前进行严格安全测试。

第十九条 负责信息安全的工作人员密切关注重大安全漏洞及其补丁发布，发现漏洞及时上报信息安全办公室，由信息安全办公室统一指定和进行升级措施。

第二十条 对重要的业务数据、关键程序建立健全的本地和异地、自动和手动相配合的多重备份机制，定期检查备份数据的完整性。

第二十一条 数字化校园平台、云办公电脑、智慧教育云平台、校园Wifi、陇政钉、QQ工作群、微信公众号等系统使用过程中，严格遵循“谁应用，谁负责”的原则，严禁通过网络传递单位或他人不宜公开的信息。

第二十二条 个人账号不得相互借用，个人账号严禁使用空密码或弱密码，做好账号密码的保护工作，防止密码泄露。

第二十三条 禁止安装与工作无关的软件，禁止运行来源不明的软件和程序。禁止未经授权私自通过外接路由器、USB网卡等方式建立无线网络环境。因工作需要连接各类外来移动存储设备时，应进行病毒扫描等基础安全防护工作。

第五章  网络与信息安全事故管理

第二十四条 信息安全办公室负责制定信息安全事件应急响应预案，当遭受安全事故导致系统出现异常或故障时，应立即采取紧急防护措施，防止事态扩大，并上报上级信息化主管部门，同时注意保护现场，以便进行调查取证。

第二十五条 信息安全办公室负责网络与信息安全事故应急预案的编制，并组织演练。

第二十六条 网络与信息安全事故概念：

（一）普通网络与信息安全事故

1. 网络与信息系统发生 24 小时内故障瘫痪；

2. 安全事故影响范围仅限部分处室和部分设备；

3. 安全事故得到及时遏制和处理，未发生蔓延；

4. 安全事故没有造成数据丢失和泄密，没有造成经济损失；

5. 安全事故没有对教学活动造成明显影响。

（二）严重网络与信息安全事故

1. 网络与信息系统发生24小时以上48小时以内故障和瘫痪。

2. 安全事故影响范围包含单位大部分处室和设备；

3. 安全事故没有及时遏制和处理，但未蔓延；

4. 安全事故没有造成数据丢失和泄密，没有造成经济损失；

5. 安全事故对教学活动造成一定影响，但在可控范围内。

6. 没有发生不利于单位的舆情信息。

（三）重大网络与信息安全事故

1. 网络与信息系统发生 48 小时以上的故障和瘫痪。

2. 信息系统受到较大面积病毒感染和渗透、攻击。

3. 安全事故没有及时遏制和处理，发生蔓延；

4. 安全事故造成数据丢失和泄密，造成经济损失；

5. 安全事故对教学活动造成了影响，师生及家长发生不满情绪；

6. 县级以上新闻媒体进行报道，发生了负面舆情。

第二十七条 出现网络与信息安全事件时，发现者及时上报处室负责人和信息安全办公室，做到及时、全面、准确报送，不得瞒报、缓报、谎报网络与信息安全情况。出现严重或重大网络与信息安全事故时，信息安全办公室应及时上报市教育局。

第二十八条 发生网络与信息安全事故时，网络与信息安全小组应及时对故障进行排查、处理，第一时间阻止事故发生蔓延。若无法处理，应立即联系软件服务商或厂家工程师寻求协助处理。

第六章  附则

第二十九条 结合信息网络快速发展和经济社会发展状况，配合相关法律法规的制定、修改和完善，本制度适时修订。

第三十条 本制度由网络与信息安全领导小组负责解释，自印发之日起执行。