学校网络安全责任追究制度

学校网络安全责任追究制度第一章总则1.1为落实《网络安全法》《数据安全法》《个人信息保护法》《未成年人保护法》以及教育部《教育系统网络安全事件应急预案》等上位法要求，本校以“谁主管谁负责、谁运营谁负责、谁使用谁负责”为基本原则，建立覆盖“决策—执行—监督—改进”全周期的网络安全责任追究制度，确保教学、科研、管理、服务四大场景下的网络与数据安全。1.2本制度所称“网络安全责任”包括网络基础设施安全、信息系统安全、数据安全、内容安全、终端安全、供应链安全、账号权限安全、应急演练与事件处置安全等八个维度；所称“责任追究”是指对未履行或未正确履行上述责任，造成不良影响或潜在风险的个人、科室、二级学院、项目组、外包服务商等主体，依据本制度进行行政、经济、技术、信用四位一体的问责。1.3责任追究坚持“事实清楚、证据确凿、程序合规、量责适当、教育与惩戒并重”的方针，实行“分级分类、节点管控、过程留痕、闭环销号”的管理方式，任何单位和个人不得干扰、拖延或拒绝调查，不得打击报复举报人。第二章责任主体与职责清单2.1学校网络安全与信息化领导小组（以下简称“校网信领导小组”）a)统筹制定学校网络安全战略、年度工作要点、预算投入和考核指标；b)对重大网络安全事件负最终决策责任，授权网络与信息安全工作办公室（以下简称“校网信办”）开展调查与问责；c)每学期至少听取一次网络安全责任履行情况专项汇报，对连续两次考核不合格的部门启动约谈或重组程序。2.2校网信办a)负责制度解释、日常监督、技术监测、事件取证、责任认定、整改复查、信用档案管理；b)建立“网络安全责任地图”，将全校IP地址、域名、信息系统、数据库、物联网终端、云资源、外包合同等资产与责任人一一绑定，做到“一资产一责任人一问责条款”；c)每月发布《网络安全风险月报》，对漏洞整改逾期率、钓鱼邮件点击率、弱口令率、数据外发量等核心指标进行排名，连续两次排名末位的部门自动触发专项审计。2.3二级学院（部、处、中心）a)党政主要负责人为本单位网络安全第一责任人，对所属资产负全面领导责任；b)指定一名班子成员担任“网络安全直接责任人”，负责日常管理、教育培训、隐患整改、应急演练；c)各教研室、实验室、科研团队负责人为“业务直接责任人”，对所用系统、数据、终端负具体管理责任；d)每季度向校网信办提交《网络安全自查与整改报告》，逾期不交视为拒绝履行责任，直接启动通报批评程序。2.4教职工与在校学生a)教职工对本人账号、终端、科研数据、教学资源负直接责任，须签署《个人网络安全承诺书》；b)在校学生对本人校园网账号、VPN、邮箱、一卡通、毕业设计数据负使用责任，须完成年度“网络安全素养”在线测试，未通过者限制高带宽权限；c)发现漏洞或事件时，有义务通过“一键报障”平台第一时间报告，故意隐瞒或私自利用漏洞的，不论是否造成损失，均视为“故意违规”。2.5外包服务商与供应链企业a)入校前须签署《网络安全与保密协议》，缴纳不低于合同金额10%的安全保证金；b)发生因外包人员违规导致的事件，除扣除保证金外，三年内禁止参与学校任何项目招标；c)外包运维人员操作须通过堡垒机进行双人授权+录屏审计，违规外联、私自提权、擅自变更配置即视为“严重违约”。第三章风险分级与问责启动标准3.1风险分级a)特别重大（Ⅰ级）：国家秘密数据、重要科研成果、10万人以上个人信息泄露，或造成1000万元以上直接经济损失，或引发重大舆情；b)重大（Ⅱ级）：学校核心系统中断8小时以上，或5万至10万条个人信息泄露，或100万至1000万元损失；c)较大（Ⅲ级）：部门级系统中断4小时以上，或1万至5万条个人信息泄露，或10万至100万元损失；d)一般（Ⅳ级）：终端感染病毒、弱口令、钓鱼邮件、网页被篡改但未造成数据泄露，损失10万元以下。3.2问责启动阈值a)Ⅰ级事件：由教育部或省级教育行政部门督办，校网信领导小组须在30分钟内启动“红色问责”；b)Ⅱ级事件：由校党委书记、校长联合签发“橙色问责”，24小时内成立调查组；c)Ⅲ级事件：由分管校领导签发“黄色问责”，3个工作日内完成调查；d)Ⅳ级事件：由校网信办签发“蓝色问责”，7个工作日内完成整改复核；e)同一部门一年内累计发生2次Ⅲ级或3次Ⅳ级事件，自动上调一级处理。第四章责任调查与取证流程4.1事件接报a)任何人员可通过电话、邮件、微信小程序、钉钉“网络安全一键报障”入口报告；b)校网信办7×24小时值班，接报后10分钟内进行初步研判，对可能达到Ⅲ级以上的事件立即封存相关日志、镜像、账号权限。4.2成立调查组a)成员由校网信办、纪检监察室、人事处、财务处、工会、法律顾问、外部专家组成，人数不少于5人，独立开展调查；b)调查组拥有调阅监控、门禁、财务、合同、人事档案的权限，任何个人不得拒绝或拖延；c)调查全程使用“可信时间戳+区块链存证”系统，确保证据不可篡改。4.3事实认定a)采用“因果五步法”：违规事实→技术成因→管理缺失→损失评估→责任主体；b)出具《网络安全责任调查报告》，包括事件经过、证据清单、责任比例、整改建议、问责建议；c)被调查人可在3个工作日内提交书面申辩，调查组须在5个工作日内完成复核。第五章责任划分与量责规则5.1责任类型a)全面领导责任：党政主要负责人对所属单位整体安全负总责；b)直接主管责任：分管副职或项目组长对分管领域负直接管理责任；c)直接操作责任：具体账号使用者、外包人员、学生等对本人行为负责；d)监督责任：审计、纪检、网信办对监管缺位承担连带责任；e)协同责任：财务、招标、国资、后勤等对供应链审核不严承担相应比例责任。5.2量责矩阵a)故意违规：如私自开设“测试”数据库却接入生产环境、私自导出学生身份证信息出售，按“损失金额×3倍”进行经济追偿，并给予记过直至开除处分；b)重大过失：如已收到漏洞整改通知却逾期7天不处理，导致Ⅱ级事件，扣发全年绩效30%，两年内不得晋升职称；c)一般过失：如未按时更新补丁导致Ⅳ级事件，扣发季度绩效10%，责令书面检查；d)管理缺位：如部门全年未开展应急演练、未组织教育培训，发生事件后按“领导责任”上限处理，年度考核直接定为“不合格”；e)不可抗力：如国家级骨干网络光缆被施工挖断，经第三方评估确属不可抗力，可免除个人责任，但仍须复盘改进。第六章惩戒措施与执行程序6.1行政惩戒a)通报批评：校内OA、LED大屏、微信公众号同步发布，保留90天；b)诫勉谈话：由纪委书记、组织部长联合执行，形成纪要存入人事档案；c)组织调整：对连续两年考核不合格的部门，可采取“拆分、合并、降格”处理；d)党纪政纪处分：按照《中国共产党纪律处分条例》《事业单位工作人员处分暂行规定》执行。6.2经济惩戒a)绩效扣减：从事件发生次月起执行，最多可追索24个月；b)安全赔偿金：对造成经济损失的，按责任比例承担，最高不超过责任人上一年度全部收入；c)违约金：外包服务商按合同10%—50%扣除，并纳入“黑名单”。6.3技术惩戒a)权限降级：教职工取消数据库管理权限，学生限制高带宽和外网访问；b)账号封禁：对多次弱口令或钓鱼邮件点击者，封禁30—90天；c)强制培训：安排不少于16学时的“网络安全封闭训练营”，费用自理。6.4信用惩戒a)建立“网络安全信用分”，初始100分，扣分达到60分即列入“灰名单”，限制评优评先、职称申报、项目申报；b)扣分达到30分即强制参加“网络安全义工”服务，协助网信办完成资产核查、应急演练；c)外包服务商扣分达到40分即列入“限制投标名单”，禁止参与新项目。第七章申诉与复查7.1被问责人可在处理决定送达之日起5个工作日内向“学校网络安全申诉委员会”提出书面申诉，申诉委员会由教代会、工会、法律事务室、校外律师组成，7个工作日内作出维持、变更或撤销决定。7.2申诉期间不停止执行，但涉及开除、解除劳动合同的，可暂缓执行，待结论作出后多退少补。7.3对复查仍不服的，可向上级教育行政部门或劳动仲裁机构提起行政复议或诉讼，学校无条件提供原始证据。第八章整改验收与闭环销号8.1被问责部门须在处理决定下发之日起3个工作日内编制《网络安全整改方案》，明确“措施、资金、责任人、完成时间、验收标准”；8.2校网信办在整改期满后5个工作日内组织“回头看”，采用“渗透测试+基线核查+红蓝对抗”三种手段验证；8.3验收不合格的，启动“二次问责”，在原有处分基础上上调一个等级；8.4验收合格的，由校网信办出具《网络安全整改验收报告》，在“责任地图”中销号，并公开通报，接受师生监督。第九章教育培训与风险前移9.1新入职教职工、研究生导师、科研项目负责人必须完成“网络安全岗前培训”并考试合格，未通过者暂缓发放工号、暂缓开通财务系统权限；9.2各学院每学期至少组织一次“沉浸式钓鱼演练”，点击率高于15%的班级须重新培训；9.3对采购金额50万元以上的信息化项目，招标前须由网信办出具《网络安全前置审查意见》，否则财务处不得付款；9.4建立“学生网络安全助理”制度，每班设1名“网络安全委员”，纳入学生干部序列，享受综测加分，发现重大隐患的给予专项奖学金。第十章绩效联动与持续改进10.1将网络安全考核结果纳入学校“双一流”建设、学科