学校信息安全管理制度

学校信息安全管理制度第一章总则第一条目的与依据为规范学校信息安全管理，保障学校信息系统及数据的保密性、完整性和可用性，维护正常的教育教学、科研及管理秩序，防范信息安全风险，依据国家相关法律法规及行业标准，结合本校实际，特制定本制度。第二条适用范围本制度适用于学校所有部门、院系、直属单位（以下统称“各单位”）以及全体教职员工、学生、离退休人员、访问学者、进修人员、外来务工人员及其他使用学校信息资源的个人（以下统称“用户”）。学校所有信息系统、网络设施、数据资源及相关的信息技术活动均受本制度约束。第三条基本原则学校信息安全管理遵循“统一领导、分级负责，预防为主、防治结合，全员参与、责任到人”的原则。坚持技术与管理并重，保障信息安全与促进信息应用相结合。第二章组织机构与职责第四条领导机构学校成立信息安全工作领导小组，由校领导担任组长，成员包括学校办公室、网络中心（或信息化办公室）、教务处、科研处、人事处、财务处、保卫处等相关部门负责人。领导小组负责统筹协调全校信息安全工作，审定信息安全策略和重要管理制度，决策信息安全重大事项。第五条管理部门网络中心（或信息化办公室）作为学校信息安全工作的日常管理和技术支撑部门，主要职责包括：（一）贯彻落实信息安全工作领导小组的决策部署；（二）组织制定和修订学校信息安全相关管理制度和技术规范；（三）负责学校网络基础设施、核心信息系统的安全运行与维护；（四）组织开展信息安全风险评估、安全检查和应急处置；（五）负责信息安全技术防护体系的建设与管理；（六）组织开展信息安全宣传教育和培训工作。第六条各单位职责各单位是本单位信息安全的责任主体，其主要负责人是本单位信息安全第一责任人，负责：（一）组织本单位人员学习和执行学校信息安全管理制度；（二）落实本单位信息系统和数据的安全管理责任，明确具体负责人和管理员；（三）组织本单位信息安全隐患排查和整改；（四）配合学校信息安全管理部门开展工作，报告本单位发生的信息安全事件。第七条用户责任所有用户在使用学校信息资源时，应履行以下责任：（一）学习并遵守学校信息安全相关规定；（二）妥善保管个人账号、密码及其他身份认证信息，对个人行为负责；（三）不利用学校信息资源从事危害国家安全、违反法律法规及学校规定的活动；（四）发现信息安全隐患或事件时，及时向本单位负责人或网络中心报告。第三章信息安全管理第八条网络安全管理（一）学校网络实行统一规划、分级管理。网络接入应符合学校规范，严禁未经许可私自接入网络或擅自更改网络配置。（二）校园网出口由网络中心统一管理，任何单位和个人不得私自开设网络出口。（三）重要网络设备应放置在安全可控的机房或区域，落实物理安全防护措施。（四）网络设备应配置必要的安全策略，如访问控制列表、防火墙规则等，并定期审计。（五）无线局域网应采取加密和身份认证措施，禁止私自搭建未授权的无线网络。第九条系统与应用安全管理（一）信息系统的开发、部署、运行和维护应遵循安全开发生命周期管理，确保系统安全。（二）服务器、数据库等关键信息系统应采取最小权限原则配置用户和权限，并定期更换密码。（三）及时对操作系统、数据库、应用软件等进行安全补丁更新和版本升级。（四）重要业务系统应具备数据备份和恢复机制，并定期进行备份测试。（五）禁止在非授权服务器上存储、处理或传输学校敏感信息。第十条数据安全与保密管理（一）学校数据根据其重要性和敏感程度进行分类分级管理。（二）建立健全数据备份和恢复机制，确保关键数据的安全和可恢复。（三）涉及国家秘密、工作秘密、商业秘密及个人隐私的数据，应严格按照相关保密规定进行管理。（四）数据的采集、存储、传输、使用和销毁应遵循最小够用和全程可控原则。（五）向校外单位或个人提供数据，须经相关管理部门批准，并签署数据安全保密协议。第十一条个人信息保护（一）学校在收集、使用个人信息时，应遵循合法、正当、必要的原则，并明确告知收集和使用目的。（二）妥善保管所收集的个人信息，采取必要措施防止信息泄露、丢失或被篡改。（三）除法律规定或经本人同意外，不得向第三方泄露个人信息。第四章人员安全管理第十二条安全意识与培训学校定期组织开展信息安全宣传教育和技能培训，提高全体用户的信息安全意识和防护能力。各单位应积极配合组织本单位人员参加相关培训。第十三条账号与密码管理（一）用户账号实行实名制管理，由网络中心或相关系统管理员统一分配。（二）用户应设置符合安全要求的密码，并定期更换。严禁转借、共用账号或泄露密码。（三）人员离职、调离或结束在校学习、工作时，应及时办理账号注销或权限变更手续。第十四条岗位安全管理（一）对涉及信息安全的关键岗位人员，应进行背景审查，并签订保密协议。（二）关键岗位人员应定期进行安全培训和考核，实行轮岗制度。第五章安全技术防护第十五条安全技术措施学校应根据信息安全需求，部署必要的安全技术防护设施，如防火墙、入侵检测/防御系统、防病毒系统、数据备份与恢复系统、安全审计系统等，并确保其有效运行。第十六条应急响应（一）网络中心应制定信息安全事件应急响应预案，定期组织演练。（二）发生信息安全事件时，相关单位和个人应立即采取措施控制事态，并按规定程序及时上报。（三）网络中心接到报告后，应迅速启动应急响应预案，进行事件调查、分析、处置和恢复，并按规定上报上级主管部门。第十七条安全审计与评估学校定期组织对信息系统和网络进行安全审计和风险评估，及时发现和消除安全隐患。对重要信息系统，应至少每年进行一次全面的安全评估。第六章教学科研活动安全管理第十八条教学环境安全多媒体教室、计算机实验室等教学场所的设备和网络应符合安全要求，管理员应定期进行安全检查和维护。第十九条科研数据安全科研人员应加强科研数据的安全管理，妥善保管研究过程中产生的数据，防止数据丢失、泄露或被篡改。涉及敏感信息的科研项目，应制定专项安全保障措施。第二十条学术交流与合作安全在开展国内外学术交流与合作时，应遵守国家信息安全和保密相关规定，不得泄露国家秘密和学校敏感信息。第七章监督检查与责任追究第二十一条监督检查学校信息安全工作领导小组及网络中心定期或不定期对各单位信息安全制度落实情况进行监督检查。对发现的问题，责令限期整改。第二十二条责任追究对违反本制度规定，造成信息安全事件或不良后果的单位和个人，学校将根据情节轻重，依据相关规定给予批评教育、通报批评、纪律处分