第一条为深入贯彻落实习近平总书记关于网络强国的战略思想，在党中央的统一领导下扎实做好新时代网络安全和信息化工作，加强重庆财经学院（以下简称学校）网络与信息安全体系建设，提高安全防护能力和水平，为全校师生员工和社会公众提供安全、可靠、稳定的网络与信息服务，保障学校教育事业健康有序发展，根据《中华人民共和国网络安全法》《中华人民共和国计算机信息系统安全保护条例》《教育部关于加强教育行业网络与信息安全工作的指导意见》《教育部公安部关于全面推进教育行业信息安全等级保护工作的通知》等法律法规与文件精神，结合学校实际，制定本办法。

第二条本办法所指的网络与信息安全管理，是对由学校（或引入社会投资）建设、运行并支撑学校各项教学、科研及服务活动的，包括校园有线与无线网络、网站与信息系统、数据中心以及各类接入终端等进行的相关管理和技术工作，防止发生网络攻击、信息破坏与泄露、意识形态与舆情事件、信息化设备设施故障等情况，保证网络与信息服务连续、可靠、正常的运行和网络信息的完整性、可控性、可用性、机密性。

第三条本办法适用于学校各部门、全体师生员工以及经学校审核批准的临时网络用户。学校依据国家有关网络安全和信息化政策法规，按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则建立网络与信息安全责任体系，各部门、全体师生员工及网络用户均应依照本办法要求和相关标准规范，履行网络与信息安全的义务并承担相应责任。

第二章  组织机构与职责

第四条学校在党委的统一领导下开展网络与信息化安全工作，校党委是直属领导机构。

第五条学校成立以党委书记、校长任组长，其他校领导任副组长的网络安全与信息化领导小组，组长为学校网络与信息安全工作的第一责任人。领导小组是学校网络与信息安全工作的统筹机构，负责统一领导、谋划、部署、协调网络与信息安全整体工作，研究决定相关重大事项。领导小组下设办公室，挂靠党委宣传部。

第六条党委宣传部是网络与信息安全总体协调、宣传与信息监控工作主管部门，负责网络与信息安全宣传和舆论引导，网络意识形态安全和舆情监测与管控，统筹学校门户网站的建设与管理，对教职工的宣传培训工作。

第七条党政办公室负责网络与信息安全相关软硬件设施设备的采购与资产管理工作。

第八条信息化办公室是网络与信息安全技术管理部门，负责统筹推进全校网络与信息安全保障体系建设，设计与编制网络与信息安全管理标准、建设规划和经费预算，牵头实施各项技术支持与保障工作，为相关部门与人员提供技术指导与培训工作。

第九条党委保卫部负责网络与信息安全相关的保卫与消防工作，协助进行相关信息的监控搜集和网络安全事件的调查处理，做好与公安机关的沟通、联络工作。

第十条学生工作部负责学生网络与信息安全的教育与管理，学生相关的思想政治教育和校园网络与信息安全文化建设工作。

第十一条财务处负责网络与信息安全相关工作的预算落实与经费保障工作。

第十二条其他各职能部门和二级学院按照领导小组工作部署做好各项相关工作。各二级部门负责人为本部门网络与信息安全主要责任人。

第三章网络基础设施与校园网安全

第十三条网络基础设施是构建校园网的相关设施，主要包括弱电管网、传输线路、网络设备、通信机房等，网络基础设施由学校实行统筹规划、统一建设和统一管理，未经学校批准，任何网络与通信业务运营商或代理商不得擅自在学校内进行工程施工，开展互联网与通信业务。

第十四条学校定期对校内网络基础设施进行巡检和维护，确保其使用状态良好，对基础设施造成毁坏的单位或个人，学校将按相关规定追究其责任。

第十五条弱电井是楼宇中各楼层弱电系统的布线集中汇聚场所，安装有配线及网络设备。弱电井由信息化办公室统一管理，钥匙由专人保管，严禁随意转借，任何单位或个人未经授权不得进入弱电井，更不能擅自操作井内任何设备。弱电井须做好防盗、防雷、防火、防潮、防鼠蚁等措施。

第十六条数据中心机房是校园网络核心软硬件设施设备集中存放与运行的场所，其安全管理规定按学校《数据中心机房管理办法》执行。

第十七条校园网是指学校范围内连接各种信息系统及信息终端的计算机网络，包括校园有线网络、无线网络、专用网络与虚拟网络等。校园网涉及综合布线、网络机房、网络设备、网管系统、域名与IP地址管理、安全防护、身份认证、出口管理等具体内容，信息化办公室统筹负责校园网的规划建设、运行、维护和管理。

第十八条信息化办公室负责校园网IP地址的总体规划、设计、分配、管理，根据校园网络具体情况，统一为校内办公、教学以及网站、信息系统等各类网络接入设备分配唯一的动态或静态IP地址。

第十九条接入校园网的计算机、服务器、路由器、交换机以及其他网络设备应当符合国家有关技术标准和使用规定，各种网络接入设备要切实做好病毒防范措施，定期进行系统软件更新和漏洞扫描，及时进行系统漏洞补丁修复。

第二十条学校应采取身份认证、访问控制、安全审计、完整性检查、入侵防范、恶意代码防范、日志记录等措施加强校园网边界防护。

第二十一条校园网与互联网等公共信息网络实行逻辑隔离，由学校统一管理、统一防护和统一出口。未经批准，任何部门与个人在校园内不得擅自通过其他渠道接入互联网等公共信息网络。个人使用手机或其他无线接入设备通过网络运营商提供的移动网络服务接入互联网的，须遵守国家相关法律法规与网络运营商的安全管理要求。

第二十二条用户接入校园网实行“实名注册、认证上网”制度，在校学生凭本人有效身份证件办理上网账号，教职工由信息化办公室统一开通上网账号。外来人员因工作或学习原因，有临时上网需求的，经校内相关部门审核批准，凭本人有效身份证件可申请临时上网账号。

第二十三条校园网用户必须遵守《中华人民共和国网络安全法》《中华人民共和国计算机信息系统安全保护条例》《计算机信息网络国际联网安全保护管理办法》等法律法规，并有义务向学校有关部门举报任何网络违法违规行为。

第二十四条任何用户禁止利用校园网制作、复制、查阅和传播下列信息：

（一）煽动分裂国家、破坏国家统一、颠覆国家政权、推翻社会主义制度的；

（二）煽动抗拒、破坏宪法和法律、行政法规实施的；

（三）煽动民族仇恨、民族歧视，破坏民族团结的；

（四）涉及国家、组织、学校、部门秘密和个人隐私的；

（五）捏造或者歪曲事实，散布谣言，扰乱社会及校园秩序的；

（六）宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、欺诈，教唆犯罪的；

（七）公然侮辱他人或者捏造事实诽谤他人的；

（八）损害国家机关、组织、学校、部门信誉的；

（九）其他违反宪法和法律、行政法规和学校规定的。

第二十五条任何用户禁止在校园网上进行下列行为：

（一）用各种手段攻击、入侵、破坏计算机网络、信息系统及网络设备；盗用、泄露、篡改、破坏各类数据、信息资源及个人信息；

（二）制作、传播计算机病毒、木马、恶意程序，发送垃圾电子邮件，使用各种通信手段对他人进行恶意骚扰；

（三）用各种手段阻塞、中断校园网络，恶意占用网络资源；

（四）出售、转借、转让本人校园网或信息系统账号，盗用他人账号；冒充他人名义发布信息；

（五）未经学校批准，擅自提供WWW、FTP、DNS、Mail、论坛、留言板、即时通信、网络代理、VPN等服务；

（六）未经学校批准，私自架设服务器，接入路由器，搭建局域网络；私拉乱接网线及私自安装、更换和拆除网络设备；私设IP地址、盗用他人IP地址。

（七）未经学校批准，将校园网延伸至校外或将校外网络引入至校园内；

（八）未经学校批准，利用或变相利用校园网资源或网络设施从事商业及宣传活动；

（九）其他违反法律法规或危害网络与信息安全的行为。

第二十六条校园网是支撑学校教学、科研、管理、服务的重要公共设施和资源，为保障校园网运行安全，维护用户的正当权益，学校将对网络运行、网络出口和用户上网行为进行实时监控。对不正当使用校园网的用户，学校有权停止其使用，对于违反学校规定的，按相关管理办法进行处理；情节特别严重或违反国家法律法规的，移交公安机关调查处理，用户将承担一切由此带来的后果与责任。

第四章校园网站安全

第二十七条学校一级域名cfec.edu.cn是在国家工信部注册备案的唯一域名，是学校在互联网上和对外宣传的重要标志，用于学校门户网站，任何单位及个人不得以“重庆财经学院”在互联网注册域名和开设网站。二级域名xxx.cfec.edu.cn主要用于学校各类公共信息服务、二级部门网站和信息系统服务，由使用单位按程序向学校进行申请。信息化办公室统一负责域名的解析及管理等工作。

第二十八条校园网站指对应IP地址为学校IP地址范围以及域名后缀为cfec.edu.cn的，用于学校和二级部门宣传并以内容发布为主体的Web服务网站。学校门户网站由党委宣传部统筹负责开发建设与管理，二级网站由开设部门负责建设与管理维护。各二级部门不得开设“双非”（非学校IP地址，非学校域名）网站。

第二十九条原则上所有校园网站均应纳入学校网站群系统进行统一管理，未纳入学校网站群系统的网站，其技术安全由网站开设部门自行负责并承担由此带来的后果。各部门开发建设网站，须向学校提出申请，通过内容审核和系统安全性检测后方可纳入站群系统。

第三十条信息化办公室按照网站安全技术防护标准规范，统筹负责学校网站群系统的技术安全管理，各二级部门应指派专人担任本部门的网站安全管理员，配合信息化办公室做好本部门的网站安全管理工作。

第三十一条学校门户网站的内容安全由党委宣传部负责，二级网站的内容安全由网站开设部门负责，责任部门应严格按照学校对外宣传的相关规定与信息发布的相关流程，确定专人负责网站内容的编辑、审核、发布与监控工作，各级工作人员应按安全标准规范妥善管理操作账户与密码，并保存相关操作记录。

第三十二条原则上校园网站不得提供BBS论坛、留言板、聊天室等电子公告服务。

第三十三条对于信息内容陈旧、长期不维护更新、页面制作粗糙、有损学校形象或整体风格、消耗大量服务器资源、对服务器性能产生不良影响的二级网站，学校将中止该网站运行。

第三十四条其他未尽事宜，按学校《校园网站管理办法》要求执行。

第五章  信息系统与数据安全

第三十五条本办法所指的信息系统与《中华人民共和国计算机信息系统安全保护条例》中的信息系统定义一致：由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

第三十六条本办法所指的数据包括但不限于学校信息化公共基础服务、跨部门信息系统、业务部门管理信息系统、各类网站、教学资源等各类信息系统所产生、保存和利用的数据、资料与信息。信息系统数据是学校重要的无形资产和战略资源。

第三十七条学校信息系统及数据管理的原则是“谁主管谁负责、谁运维谁负责、谁使用谁负责”。信息化办公室作为技术主管部门，负责学校信息系统运维体系的总体规划、建设，协调、指导、监督各二级部门信息系统建设与管理；各二级部门负责本部门的信息系统建设和日常运维管理。

第三十八条信息系统的建设和运行须按学校《信息化项目管理办法》的规定，完成立项论证、项目实施、项目验收、项目评估等相关程序，并实行校内备案制度，建立信息系统台账，由信息化办公室具体负责管理。对于不再使用的信息系统，管理部门应及时上报并注销台账。

第三十九条信息系统的建设必须把系统安全作为重要指标，学校根据国家《信息安全等级保护管理办法》《教育部公安部关于全面推进教育行业信息安全等级保护工作的通知》《教育行业信息系统安全等级保护定级工作指南》等文件精神与具体技术规范，按照“同步规划、同步建设、同步运行”的原则，全面实施信息系统（含网站）安全等级保护制度。

第四十条信息化办公室统筹负责学校信息系统安全等级保护工作，统一组织各部门开展信息系统定级、等级测评、建设整改、系统备案等工作，同时为信息系统安全等级保护提供技术支持，进行监督检查工作。

第四十一条信息系统原则上应部署在校内并将服务器托管至数据中心机房统一管理，确需部署在校外的，须将具体运维与安全管理方案报学校审核批准后方可实施。涉及学校秘密数据、师生员工个人隐私信息或敏感信息的信息系统，不得部署在校外。

第四十二条财务管理系统、校园一卡通管理系统等涉及学校资金流通管理的信息系统，应搭建专用的软硬件平台和传输网络，实现与校园网的逻辑或物理隔离，确保系统运行环境安全。

第四十三条不具有或仅有少量校外互联网访问需求的信息系统，原则上仅对校园网内部开放服务，不对校外互联网开放。学校根据不同时期的网络安全防护策略，实时调整对校外互联网开放的信息系统（含网站）访问服务时间。

第四十四条各类数据的采集、加工、保存、流转共享等环节工作要求按学校《信息系统数据管理办法》的规定执行。数据的安全管理实行三级责任制，数据生产部门（各业务部门）、全局共享数据管理部门（信息化办公室），数据使用部门（各二级部门）分别对本部门所管理数据的安全负主体责任。

第四十五条信息系统数据主要用于教学、科研、管理、生活服务等，数据的采集与使用应明确依据、范围、场景和用途，应遵循“最少够用”的原则，不得采集与信息系统业务服务无关的信息。

第四十六条数据管理和使用部门有义务保护数据的隐秘性，并按《个人信息保护法》的相关要求，对教职工和学生的个人信息严格保密。未经学校批准，任何部门与个人不得擅自共享或提供学校数据或个人信息给校外单位及个人。

第四十七条信息系统的信息发布应参照网站信息发布的相关要求，各部门应建立完善信息系统信息发布与审核机制，明确信息审核与发布流程，保存相关的操作记录，应严格做到“涉密信息不上网，上网信息不涉密”。

第四十八条各部门应安排专人担任信息系统管理员，管理员负责规划、开通、管理信息系统用户账号，并按账号的类型采用最小化原则赋予不同的限权。信息系统管理员须及时修改操作系统、数据库等系统的初始密码，并制定高强度密码安全策略。各级管理员和用户要杜绝使用弱口令、默认口令、通用口令，不得将账号给予他人使用。

第四十九条各部门应定期对信息系统和服务器等设备进行安全检查，更新和升级必要的软件，扫描病毒、木马、后门和系统漏洞，及时安装补丁，关闭不必要的端口、服务和远程连接。

第五十条各部门在办公时应使用学校统一管理开通的官方电子邮件系统，不得使用个人电子邮箱发送、接收与工作相关的邮件。

第五十一条信息系统应制定完善的数据备份和恢复机制，明确数据的备份方式、备份频率、存储介质等，对于重要的信息系统数据实行跨校区异地备份。应作好信息系统的运行日志管理，原则上运行日志的保存时间应不少于6个月。

第五十二条信息系统的终端设备如个人计算机、移动设备等，由具体使用人负责并加强安全管理。终端设备应安装正版操作系统和应用软件，设置开机及锁定密码且专人专用，不得转借他人使用。使用人应定期对终端设备进行病毒查杀，不使用来历不明的U盘、移动硬盘等存储介质。

第五十三条信息系统的校外技术服务单位有责任和义务维护信息系统的数据与信息安全，须与学校签订信息安全与保密协议，不得泄露、扩散、转让服务过程中获取的各种数据，不得侵占服务过程中产生的任何信息资产。

第五十四条其他未尽事宜，按学校《信息系统数据管理办法》相关要求执行。

第六章人员管理

第五十五条学校各部门应建立健全本部门的岗位信息安全责任制度，明确岗位及人员的信息安全责任。关键岗位的管理和操作人员应签订信息安全与保密协议，明确信息安全与保密要求和责任。

第五十六条学校各部门应加强人员离岗、离职管理，严格规范过程，及时取消和回收离岗离职人员的相关系统账号和访问权限，收回学校提供的相关软硬件设备与资料，并签署安全保密协议。

第五十七条学校定期对网络与信息管理人员、技术人员以及全体师生员工开展技能培训与网络信息安全宣传教育，提高网络与信息安全管理水平和防范能力，增加防范意识。

第七章  应急管理

第五十八条网络安全与信息化领导小组负责学校网络与信息安全应急工作的统筹管理，宣传部负责牵头突发网络舆情事件的处理，信息化办公室负责牵头突发网络技术安全事件的处理，其他各相关部门配合协调开展应急工作。

第五十九条学校严格按《国家网络安全事件应急预案》《教育部信息技术安全事件报告与处置流程（试行）》《重庆市教育系统突发公共事件应急预案》《重庆市教育委员会网络舆情应对处置管理办法》《重庆市教育系统网络安全事件应急预案》以及学校《网络与信息安全事件应急预案》等文件要求与处置流程，处理突发网络与信息安全事件。

第六十条学校组织开展网络与信息安全相关应急预案的宣传、教育和培训，确保相关人员熟悉应急预案，并定期开展安全应急演练。

第六十一条任何部门及个人发现网络与信息安全事件时，有义务第一时间向学校相关部门报告。

第六十二条在重要特殊时期或紧急情况下，信息化办公室可以采取应急保护措施或特殊技术手段以维护校园网络与信息安全。

第八章  责任追究

第六十三条学校建立网络与信息安全责任追究和倒查机制，任何部门及个人均应遵守国家与重庆市相关法律法规，和学校相关规章制度，否则将追究责任。

第六十四条学校将网络与信息安全工作纳入二级部门考核，对网络与信息安全工作管理不到位，发现问题整改不力的部门，考核结果将受到影响。

第六十五条对违反本管理办法或学校其他相关制度规定的，按学校相关规定进行处理，对于情节特别严重或违反国家法律法规的，移交公安机关调查处理。

第九章  附则

第六十六条本办法经学校2021年11月10日校长办公会讨论通过，自公布之日起实施。

第六十七条本办法由学校授权信息化办公室负责解释。

第六十八条学校原有规定与本办法不一致的，以本办法为准。