为加强珠海校区校园信息安全管理,维护校园网络安全稳定,创造良好网络环境,根据国家和暨南大学网络和信息化相关安全法规和规章制度,结合校区实际情况,特制定本规定。
一、珠海校区网络安全和信息化管理机构设置与职能
珠海校区网络安全和信息化领导小组(下称领导小组)负责校区网络安全和信息化工作的统筹领导、发展规划和重大事项决策。
暨南大学珠海校区网络安全和信息化领导小组办公室(下称网信办),为领导小组下设的办公室。网信办设现代教育技术中心、党政办公室、综合服务办公室(保卫科)三个成员单位。
网信办主要职能:在领导小组带领下,网信办负责校区网络安全和信息化工作的组织、协调与建设;负责校区级规章制度的制定、修改及废止;负责网络安全教育培训工作的组织开展与考核;负责校区数据管理与保护;负责互联网及校园网上涉校舆情、舆论、网站内容等信息的监测;负责网络安全事件的响应及处置;根据工作需要,负责专项工作小组的组织与工作开展。
各成员单位主要职能:
现代教育技术中心负责网络安全和信息化体系建设、管理及服务,负责为校区内各单位提供技术支持。
党政办公室负责意识形态引导、舆情监测处置、新媒体管理及涉校内容审核;负责网络安全和信息化涉密工作的管理,负责相关文件的传达和归档管理,负责网络安全和舆情事件的法律支持。
综合服务办公室(保卫科)负责与国家安全部门的联络及工作协调。
基层单位网络安全与信息化工作职能:
珠海校区各单位需完善本单位的网络安全和信息化管理工作,指定具有相应业务知识和专业技能的人员具体负责本单位的网络安全和信息化管理工作,并建立健全网络安全责任制和相关规章制度、操作规程。指定一名工作人员作为本单位网络安全和信息化工作联系人,负责本单位网络安全和信息化工作的联系、协调,以及本单位网络与信息系统基本的维护和管理工作。同时加强本单位网络安全教育,组织工作人员参加培训,提高管理人员的安全意识和技术人员的防护能力。
珠海校区各单位承诺加强信息系统安全,落实信息系统安全等级保护制度,提高信息系统安全防护能力。加强终端计算机安全,落实软件正版化,推进具有自主知识产权的软硬件应用,规范工作人员的使用行为。规范本单位数据采集和使用,不采集超越职能范围的数据,保障数据安全。承诺提升应急响应能力,制定本单位应急预案,组织开展应急演练。承诺对本单位的信息系统进行安全监测,并对监测发现和通报的安全问题进行限时整改。工作人员应在授权范围内开展工作,严守工作纪律,严格保密。若违反规定,造成影响,需承担相应责任。
二、珠海校区网站管理
(一)珠海校区网站的建设、运行和管理实行“统一领导、统筹规划、分工协作、各负其责”的原则。
(二)珠海校区各网站管理遵循“谁主管谁负责、谁使用谁负责,谁运营谁负责”的原则,网站所属单位为网站主管单位,网站主管单位党政主要负责人为网络安全第一责任人。
(三)学校网站群系统由网络与教育技术中心负责底层维护与技术保障,各单位负责网站内容建设与管理。
(四)网站上线前应当经过信息系统安全评估,存在安全漏洞和隐患的由主管单位负责整改,整改完成后再次提请审批,评估合格的方准予上线服务。
(五)各单位应当根据国家法律法规规定,完成其主管网站的信息系统安全等级保护定级、备案、测评、整改和验收等各项工作。
(六)各单位应明确个人信息数据的使用权边界,保护个人信息不泄露,并遏制非法使用个人信息数据的行为。
(七)上网信息遵循“谁发布,谁负责”的原则。网站内容须与本单位工作及业务相关,发布和转载其他媒体新闻须标注来源,并符合国家法律法规和学校相关规定。任何单位和个人不得有以下行为:
1. 利用网站传播国家有关涉密信息;
2. 泄露学校机密和师生个人隐私信息;
3. 利用网站散布含有危害国家安全和社会稳定的信息;
4. 利用网站宣扬、发布暴力、色情等内容;
5. 发布违背法律、法规的信息。
(八)网站内容发布权限仅授予学校教职工,用户账号和密码不得泄露。因个人原因泄露密码所造成的后果由个人负责。
(九)各单位应当对本单位已上网信息进行定期检查;开设交互式论坛和其他交互式信息服务平台的单位应当实行实名制认证,并每天监控。
(十)各类网站发生网络安全事件时,主管单位应立即切断网络访问,保留系统及应用日志,通知学校网络安全与信息化领导小组办公室并配合开展应急处置工作。
(十一)有下列行为之一的,按照学校相关规定处理;给学校造成负面影响的,学校有权追究相关单位和个人的法律责任;涉嫌犯罪的,交由司法机关依法追究刑事责任:
1. 未按规定履行相应报批和申请手续的;
2. 将学校官方域名指向校外互联网地址,或将非学校官方域名指向学校互联网地址的;
3. 违反规定发布信息的;
4. 造成数据泄漏的;
5. 利用学校网站从事违法行为的;
6. 收到风险提示通知后不采取措施、不按规定进行整改的;
7. 因管理不善或技术措施不到位,导致发生网络安全事件的;
8. 有其他违反国家法律法规和学校相关规定行为的。
三、珠海校区各单位官方微博、微信等新媒体公众平台管理
(一)各单位应严格遵守国家信息发布的相关规定,不得在新媒体公众平台上制作、转载、发布、传播任何含有法律、法规等禁止的内容。
(二)必须坚持正确舆论导向,要有严格的信息发布审核机制。各单位新媒体公众平台发布的信息应与本单位工作相关,不得发布有损暨南大学声誉的信息,不得利用单位新媒体公众平台发布纯属私人的、娱乐化的信息。发布、转发、评论信息时,应确认信息的准确性,研判可能带来的舆论影响,避免出现负面效应。原则上不得利用官方公众平台进行任何商业性营销活动。
(三)各单位新媒体公众平台按照“谁主办,谁负责;谁主管,谁负责”的原则进行管理,主办单位党政主要负责人为第一责任人。
(四)对于违反本办法开设和使用新媒体公众平台的行为,给学校声誉造成不良影响的,学校有权责令其关闭新媒体公众平台,并依照意识形态责任制的有关规定,追究主管主办单位及主要负责人、管理员的相关责任。
四、珠海校区校园网用户管理
(一)校区校园网与中国教育和科研计算机网CERNET的连接,同时与国际互联网络Internet连接,校园网所有用户(包括单位办公用户、个人用户),以及通过其他网络与国际互联网相连接的学校师生员工及单位用户,都必须遵守执行国家有关信息安全的法律法规。
(二)校园网电子信息服务提供者不得制作、复制、发布、传播含有下列内容的信息:
1. 反对宪法所确定的基本原则的;
2. 危害国家安全、泄露国家秘密,颠覆国家政权,破坏国家统一的;
3. 损害国家荣誉和利益的;
4. 煽动民族仇恨、民族歧视,破坏民族团结的;
5. 破坏国家宗教政策,宣传邪教和封建迷信的;
6. 散布谣言,扰乱社会秩序,破坏社会稳定的;
7. 散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;
8. 侮辱或者诽谤他人,侵害他人合法权益的;
9. 含有法律、行政法规禁止的其他内容的。
(三)校区师生员工在论坛、留言版、博客等电子公告栏发表言论、交流信息,必须严格遵守国家有关法律法规,言责自负,任何人不得在电子公告服务系统中发布属于本规定第六条所列内容的信息。
五、珠海校区信息化数据管理
(一)为进一步规范校区信息化数据资产的管理,构建良好的数据生态体系,提高数据质量和使用效率,提供安全、完整和统一的数据服务,依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《暨南大学信息化数据管理办法》相关规定,结合校区实际情况,进行管理。
(二)信息化数据管理应遵循以下原则:
1. 统一管理、分工负责。校区开展信息化数据管理工作的总体规划、协调处置和工作监督,各单位按要求做好本单位信息化数据管理的相关工作。
2. 谁生产数据,谁负责管理。校区各单位负责本单位数据的采集、使用和维护等管理工作,各单位负责人为信息化数据管理的第一责任人。
3. 一数一源。原则上数据的生产单位为数据的唯一来源如两个以上的单位对于数据生产单位发生争议,由学校明确一个单位为数据生产单位,以确保数据来源的单一性。
4. 统一标准。所有信息化数据的采集录入、处理应符合国家、教育部、行业和学校制定的相关标准。
5. 集中共享。所有信息化数据以共享为原则、不共享为例外,全校信息化数据由网络与教育技术中心负责集中存储,并在学校的数据共享交换平台根据层级开放共享。
6. 全生命周期管控。建立数据生命周期各环节的管控体系,把好数据质量关,确保数据的规范性和准确性,确保数据的使用合法合规,保障数据安全。
(三)信息化数据生产主要包括数据采集、录入和审核三个步骤。校区各单位作为信息化数据生产单位,应遵照本单位业务规范以及国家、教育部、行业和学校制定的相关标准,按照特定目标和业务过程生产数据,并保证信息化数据的真实性、完整性、规范性、时效性、来源唯一性和安全性。
1. 真实性:校区各单位须确保数据真实准确。
2. 完整性:校区各单位须确保数据完整,避免数据缺失。
3. 规范性:校区各单位在进行数据采集、录入和审核时须保证数据的规范可用。
4. 时效性:校区各单位须及时进行数据维护与更新,确保数据与实际业务同步,防止无效数据产生、过时数据不处理的情况发生。
5. 来源唯一性:依据“一数一源”的原则,学校指定数据唯一来源的生产单位,其他单位对于唯一来源数据,只能引用和衍生,不得进行采集和篡改。
6. 安全性:校区各单位在数据生产过程中,须确保数据的安全,预防数据丢失、泄露和非法篡改等问题。
(四)校区各单位和个人需按照《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国数据安全法》等国家法律法规,提高数据安全防范意识,预防信息泄露和非法篡改,做好各类数据的安全工作。加强对全校区师生的个人信息和重要数据的保护,不得泄露师生的个人信息和重要数据。
(五)发生个人信息泄露和丢失等数据安全事件时相关单位应当立即向网信办报告,采取补救措施,并限时整改。
(六)对于存在下列情形之一的单位,校区根据实际情况责令限期整改:
1. 发现本单位生产的数据质量有问题但不配合整改的;
2. 不将本单位的数据共享至学校的数据共享交换平台的;
3. 不整理本单位数据资源目录、数据基本情况以及数据明细情况的;
4. 不按照规定规范使用数据的;
5. 对本单位数据的安全管理不到位,发生数据安全事件的。
(七)对于违反本办法造成学校损失的单位和个人,学校有权依法追究相关责任人的法律责任;涉嫌犯罪的,移送国家司法机关处理。
六、珠海校区网络实名登记制度
(一)网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布服务,应当在与用户签订协议或者确认提供服务时,要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。
(二)根据《暨南大学人员信息编码管理办法》文件指出,JNUID是学校统一身份认证平台的用户账号,也是学校各类信息系统的登录账号。
(三)在校区使用校园网,登录账号为JNUID,密码为统一认证平台密码。教职工的JNUID也称为人事编号;学生的JNUID也称为学号。
(四)在校师生通过统一认证平台,在校园网用户自助平台使用JNUID进行登录,申请办理个人入网手续。
(五)办公用户通过统一认证平台,在网上服务大厅使用JNUID进行登录,申请办理办公用户入网手续。
(六)其他无JNUID人员,均由单位或部门提交纸质申请办理入网,写明入网理由、时长,提供入网者个人有效证件和学校相关协议等纸质资料,经单位或部门领导签字盖章同意后,交由现代教育技术中心审批,方能入网。
(七)网络实名后所有产生的相关问题,谁使用,谁负责。
七、珠海校区信息系统安全等级保护制度
(一)等级保护对象等级保护对象是指网络安全等级保护工作中的对象,通常是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网(IoT)、工业控制系统和采用移动互联技术的系统等。
(二)等级保护对象根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高被划分为五个安全保护等级。
(三)根据《信息安全技术网络安全等级保护基本要求》2.0 文件指导,开展覆盖全校信息系统的网络安全等级保护工作。完成校区内信息系统网络安全等级保护定级工作;二级及以上系统完成公安机关备案工作,组织推进已备案系统开展差距测评、整改与验收等工作;三级系统完成每年测评、整改与验收工作;将网络安全等级保护工作落实到项目规划、申报、建设、运维全过程。
八、本规定未涉及的网络安全和信息化管理工作,参照国家及学校相关规定执行。
九、本规定自公布之日起试行,由现代教育技术中心负责解释和修订。
