校园网络信息安全责任追究制度

校园网络信息安全责任追究制度第一章总则第一条为落实《网络安全法》《数据安全法》《个人信息保护法》《未成年人保护法》及教育部相关配套规章，结合本校教学、科研、管理、服务场景，建立“谁主管谁负责、谁运营谁负责、谁使用谁负责”的闭环责任体系，特制定本制度。第二条本制度所称“校园网络”指由学校投资或授权建设，覆盖教学区、宿舍区、办公区、家属区、云平台、边缘节点、物联网终端、5G校园专网、卫星备份链路、VPN接入通道、临时展会网络等全部物理与虚拟资源；“信息”指以电子或其他方式记录的、可被处理或传播的数据、文件、图像、音视频、元数据、日志、配置、密钥、算法、模型及其衍生品；“安全事件”指因人为过失、技术缺陷、外部攻击、供应链污染、自然灾害等原因导致信息泄露、篡改、丢失、假冒、中断、滥用或违规出境，造成校誉损害、师生权益受损、教学科研中断、社会秩序扰动或监管问责的情形。第三条责任追究坚持“事实清楚、证据确凿、程序合规、定性准确、处理恰当、整改闭环”十八字方针，实行“一案双查”：既查事件直接原因，也查管理漏洞；既追当事人责任，也追领导责任；既做当下止损，也做长远治理。第二章责任主体与分级第四条责任主体分为六级：（一）决策层：党委网络安全与信息化领导小组（简称“网信领导小组”），对学校网络安全负总责；（二）监管层：信息化办公室（简称“信息化办”）与保卫部，负责统筹监督、检查、通报、考核；（三）归口层：各二级单位党政一把手，对本单位网络安全负主要领导责任；（四）执行层：系统管理员、数据库管理员、云资源管理员、代码开发负责人、数据接口责任人、外包驻场人员，对各自系统负直接技术责任；（五）使用层：师生员工、访客、合作企业、临时项目组，对其账号及终端负使用责任；（六）供应链层：软硬件厂商、云服务商、运维外包、集成商、维保商，依据合同与保密协议负连带责任。第五条事件等级按影响面、数据量级、恢复时长、舆情热度四维评分，划分为特别重大（Ⅰ级）、重大（Ⅱ级）、较大（Ⅲ级）、一般（Ⅳ级）、轻微（Ⅴ级）五档。评分细则由信息化办每年动态发布，并在安全运营平台自动计算。第三章日常管理职责清单第六条决策层职责1.将网络安全纳入学校“十四五”规划与年度经费预算，占比不低于信息化总预算的8%；2.每年至少召开两次专题会议，听取攻防演练、数据出境、供应链审计汇报；3.建立“红蓝紫”三色考核，将结果纳入干部年度考核与单位绩效，占比权重不低于30%。第七条监管层职责1.制定并年度修订《校园网络安全基线规范》，覆盖操作系统、中间件、数据库、容器、移动应用、IoT、API、邮件系统、无线控制器、堡垒机、日志审计、备份系统十二大类共268项检查项；2.运营7×24安全运营中心（SOC），对流量、日志、终端、云原生、工控、视频网六域数据做关联分析，平均检测时间（MTTD）≤15分钟；3.建立“零报告”制度，每日8:30、20:30两次向教育部省级节点推送“无事件”确认报文；4.每学期组织一次实战攻防，聘请外部战队与校内红队背靠背对抗，防守方得分低于80分的系统，强制下线整改。第八条归口层职责1.建立“一系统一档”，包括业务属性、数据分类、用户规模、网络拓扑、依赖清单、威胁建模、应急预案、演练记录、整改报告九类材料，纸质与电子双版本，保存六年；2.每年3月30日前完成本单位数据资产普查，形成《数据资产地图》，对个人信息、重要数据、核心数据三级做加密、脱敏、水印、溯源、跨境评估五类治理；3.建立“双人共管”制度，对特权账号、加密机、证书私钥、备份磁带、门禁卡、机房钥匙六类对象实行A/B角签名领取、使用、归还全程录像；4.每季度开展一次“弱口令歼灭战”，对邮件、VPN、堡垒机、数据库、无线AC、物联网平台六类系统强制爆破测试，发现率高于1%即约谈单位负责人。第九条执行层职责1.代码上线前必须通过SAST、DAST、IAST、SCA、容器镜像扫描、许可证合规、开源漏洞、配置基线八项检测，高危漏洞修复率100%；2.每日9:00前完成增量备份完整性校验，每月最后一个周五做全量恢复演练，RPO≤15分钟，RTO≤2小时；3.对生产网、测试网、办公网、IoT网、视频会议网五类区域实行VLAN+ACL+SDP微隔离，默认拒绝所有，策略变更需通过工单系统，双人审批；4.发现漏洞30分钟内录入漏洞管理平台，2小时内完成初步研判，24小时内完成复现，7日内完成修复或发布临时缓解措施。第十条使用层职责1.一人一账号，禁止借用、共用、买卖、转让；2.终端必须安装EDR与DLP客户端，未注册设备准入控制器自动阻断；3.收到钓鱼邮件5分钟内通过“一键举报”插件上传样本，信息化办30分钟内完成全网狩猎；4.离开工位即锁屏，违规三次以上者，取消当年评优资格。第十一条供应链层职责1.签署《网络安全与保密协议》及《个人信息处理协议》，明确数据境内存储、未经书面批准不得转包、源代码托管至学校GitLab、重大漏洞24小时内书面通报；2.提供7×24技术支持接口人，电话接通时间≤30分钟，远程接入须通过学校堡垒机，全程录屏；3.每半年提交第三方安全测试报告，覆盖渗透、代码、App、API、云原生、物理社工六类；4.合同总额预留10%作为安全保证金，发生Ⅲ级以上事件全额扣除，并列入学校黑名单三年。第四章事件分级与调查流程第十二条事件发生后，最早发现人须在10分钟内通过电话、钉钉、微信小程序三种渠道同步向SOC值班台报告，值班台5分钟内完成初步定级并启动预案。第十三条Ⅰ级、Ⅱ级事件由网信领导小组组长亲自挂帅，成立“事件调查组”，成员包括信息化办、保卫部、纪委办、宣传部、法务办、学生处、工会、外部专家；Ⅲ级、Ⅳ级事件由信息化办牵头；Ⅴ级事件由归口单位自行调查，结果报信息化办备案。第十四条调查组拥有调阅日志、镜像、硬盘、备份、录像、门禁、财务、合同、人事档案的权限，任何单位与个人不得拒绝、拖延、伪造、毁灭证据。第十五条调查时限：Ⅰ级事件10日内提交《调查报告》，Ⅱ级7日，Ⅲ级5日，Ⅳ级3日，Ⅴ级2日。报告须包括事件概述、影响范围、数据受损清单、攻击路径、时间线、责任主体、违反条款、整改建议、处罚依据、类似风险排查十要素。第十六条被调查人享有陈述申辩权，调查组须在报告发布前向其出示证据清单，听取意见并记录在案；意见不一致时，可向上级网信领导小组申请复核一次。第五章责任认定与处罚标准第十七条责任类型分为：1.直接技术责任：因配置错误、漏洞未修、弱口令、泄露密钥、误操作、代码后门等直接导致事件；2.直接管理责任：未履行审批、未做备份、未进行测试、未组织培训、未落实整改；3.主要领导责任：年度未安排预算、未建立制度、未开展演练、未签订协议；4.重要领导责任：对分管领域风险熟视无睹、对上级通报敷衍整改、对下属违规放任纵容；5.连带责任：供应链未履约、维保不到位、外包人员泄密、合作高校或科研平台违规接口。第十八条处罚措施分为八档：1.书面检查：Ⅴ级事件主要责任人；2.通报批评：Ⅳ级事件主要责任人、Ⅴ级事件管理责任人；3.取消评优：Ⅲ级事件主要责任人及管理责任人，影响期一年；4.绩效扣减：Ⅱ级事件主要责任人扣减30%，管理责任人扣减20%，领导责任人扣减10%；5.岗位调离：Ⅰ级事件主要责任人调离技术岗位，三年内不得重新聘任；6.降职降级：Ⅰ级事件管理责任人降职，Ⅱ级事件领导责任人降级；7.党纪政纪处分：由纪委办依据《纪律处分条例》给予警告至开除处分；8.民事赔偿与刑事移送：造成经济损失的，按直接损失1—3倍赔偿；涉嫌犯罪的，移交公安机关，学校保留追偿权。第十九条对主动发现、及时报告、有效处置、挽回损失的个人或团队，可减轻或免除处罚，并给予1000—50000元奖励；对隐瞒、拖延、伪造、毁灭证据的，从重处罚，并取消当年职称评审资格。第六章申诉与复核第二十条被处理人可在收到《处理决定书》之日起5个工作日内向网信领导小组提交《申诉书》，领导小组7日内指定复核小组，15日内完成复核并作出终局决定。第二十一条复核期间不停止执行，但可能引发严重次生损害的，经领导小组批准可暂缓执行部分措施。第七章整改与闭环第二十二条事件处置完毕后，责任单位须在30日内提交《整改报告》，内容包括漏洞修复清单、策略优化清单、制度修订清单、人员培训清单、预算执行情况、第三方复测结论、长效机制建设七部分。第二十三条信息化办在收到《整改报告》后10日内组织现场复核，复核未通过的，责令延长整改期并加倍处罚；复核通过的，关闭事件工单，并在安全运营平台公示整改结论，接受师生监督。第二十四条建立“回头看”机制，对Ⅰ级、Ⅱ级事件在整改完成后第6个月、第12个月各进行一次突击抽检，发现同类问题反弹的，启动二次问责，并追究单位年度考核“一票否决”。第八章教育培训与文化建设第二十五条新入职教职工、新生、外包人员、访客须在一周内完成“网络安全准入考试”，满分100分，90分合格，不合格者账号不予激活；每年9月开展“网络安全文化月”，组织钓鱼邮件演练、CTF竞赛、数据安全辩论赛、隐私保护创意市集、供应链安全路演、家庭网络安全公开课六大主题活动；对连续三次演练零点击的单位授予“钓鱼免疫奖”，在年度绩效中加5分。第二十六条建立“学生安全助理”制度，每年从计算机、软件、法学、新闻、心理学、设计、公共管理七类专业遴选100名学生，授予“校园安全卫士”聘书，参与SOC值班、事件调查、普法宣传、产品体验、隐私影响评估、漏洞众测六项实践，给予第二课堂学分、奖学金、保研加分、实习推荐四类激励。第九章预算与考核第二十七条学校每年单列网络安全专项预算，不低于信息化总投入的10%，其中40%用于威胁情报、攻防演练、应急储备、保险采购；30%用于关键信息基础设施升级；20%用于教育培训与文化建设；10%用于奖励与抚恤。第二十八条建立“红黄绿”考核看板，对68个二级单位实行月度打分、季