第一章  总  则

第一条 为保障网络与信息安全，维护社会公共利益以及学校和师生的合法权益，促进教育教学信息化的健康发展，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》《个人信息保护合规审计管理办法》《中华人民共和国计算机信息网络国际联网管理暂行规定》《中华人民共和国计算机信息系统安全保护条例》《计算机信息网络国际联网安全保护管理办法》以及其他法律法规对网络与信息安全工作的要求，结合学校实际，制定本办法。

第二条 本办法适用于在校内建设、管理、运营、维护和使用网络的单位或个人。

第三条 本办法所指的网络与信息安全，包括校园网络安全和信息安全，指校园网的设施设备、传输系统、应用系统的安全，以及各项应用系统所承载的数据和信息内容的安全。

第四条 学校网络安全与信息化领导小组作为网络与信息安全工作的领导机构，负责统筹协调网络与信息安全方面的重大问题，信息技术中心负责网络与信息安全工作和监督管理工作的技术支撑。其他相关部门根据工作需要予以配合和协助。

第二章  网络设备安全管理

第五条 网络设备是指接入校园网的计算机、移动终端、智能终端、无线发射器、监控摄像机、物联网终端和其他入网设备，以及为这些设备提供接入服务的网络传输设备、服务器、综合布线和数据管理系统。

第六条 任何人不得将未经许可的网络设备私自接入校园网络，非信息技术部门提供的网络设备在接入网络前均须通过网上办事大厅流程提出申请。

第七条 物联网设备（如监控摄像机、智能传感器、门禁终端等）接入校园网，须通过专用物联网接入区进行接入，完成设备身份认证、MAC-IP绑定，禁止直接接入核心业务网络；设备管理员须定期更新设备固件，修复安全漏洞，禁止使用弱密码。

第八条 任何人不得擅自安装、拆卸、改变和故意破坏网络设备。在校园内的各类施工建设过程中，预计影响到校园网络的，应事先告知信息技术中心，信息技术中心须积极与施工方或建设方协调，以确保校园网的安全稳定运行。

第九条 任何人不得从事危害校园网及本地局域网服务器、工作站的活动，不得危害或侵入未被授权使用的服务器、工作站、网络传输设备。

第三章 数据中心机房的安全管理

第十条 未经信息技术中心同意，任何人不得擅自进入数据中心机房。因工作原因需要进入数据中心机房的人员，须通过网上办事大厅流程申请，经信息技术中心同意后方可入内。

第十一条 数据中心机房必须安装视频监控，并确保视频监控数据保留六个月。

第十二条 网络发生故障要及时处理并做好故障记录，遇到严重网络故障应及时报告主管校领导。

第十三条 遇到停电或制冷系统无法正常工作时，应及时关闭数据中心机房内各类设备的电源，防止设备因室温过高受到损坏。

第十四条 数据中心机房应配备双市电供电线路，技术人员应按照不间断供电系统的使用说明，定期对电池进行充放电。

第十五条 技术人员应熟悉自动消防系统和灭火器使用方法，确保在发生火灾意外时，财产不受损失或减少财产损失。

第十六条 严禁在数据中心机房吸烟，严禁将易燃、易爆、易腐蚀物品带入数据中心机房，技术人员应定期巡查数据中心机房的设备和环境情况。

第四章  信息系统安全管理

第十七条 根据国家制定的信息安全等级保护管理规范和技术标准，对学校所使用和运营的信息系统分等级实行安全保护，信息技术中心提供技术支持。

第十八条 信息系统建设过程中，须同步完成定级、备案工作，按照等级保护要求开展安全建设；新上线的系统应在上线后的六个月内完成等级测评。

第十九条 对于已经定级备案的信息系统要按照国家有关规定开展信息系统安全建设、整改和复评工作：二级系统每两年开展一次测评，三级及以上系统每年开展一次测评。安全建设、整改和复评不到位的信息系统应及时下线以确保系统安全。

第二十条 参与学校信息化建设的供应商、第三方服务商，须签订安全保密协议，明确双方安全责任与违约处置机制；须定期对供应商开展安全能力评估，排查供应链安全风险，确保其安全防护能力与系统风险相匹配。

第二十一条 第三方技术人员进场提供服务时，须实行专人全程陪同，按照最小权限原则为其分配临时账号与操作权限，服务结束后及时回收所有授权，留存完整操作日志备查。

第五章  密码安全管理

第二十二条 密码安全是指操作系统、数据库、业务系统、网站、仿真实训、网络设备、个人办公设备和文件等密码的安全。

第二十三条 关键的业务系统和设备都必须设置密码，密码策略如下：

（一）输入三次错误口令将被锁定，需要系统管理员对其确认并解锁，此账号才能够再使用；

（二）一般性密码长度不少于八个字符，至少包括字母和数字。涉及重要信息的系统和设备的密码不能小于十二位，且密码字符串使用以下字符的组合：大小字母、数字，以及特殊字符；

（三）关键系统的密码至少每三个月修改一次，用于校园网基础设施的系统和设备的密码最长期限为六个月，仿真实训系统软件及其数据库密码最长期限为二十四个月，用于个人办公用途的系统密码最长期限为十二个月；

（四）通过技术手段能限定密码锁定时间的，应将密码错误后的锁定时间设置为十分钟以上。通过技术手段能强制密码历史的，即更改后的新密码不能与旧密码相同，密码历史的数量不应小于四个；通过技术手段能强制修改初始密码的，须设置为强制修改初始密码。

（五）因新建、升级信息系统或管理人员变动产生密码移交，须在移交后修改密码。

第二十四条 用于校园网基础设施的系统和设备采取分级密码设置策略，超级管理员密码与普通管理员密码不可相同，不能随意扩大普通管理员的权限。

第二十五条 数据库系统采取分级密码设置策略。数据库系统须设置一个超级管理员密码，数据库系统中的业务数据库须设置一个不能与超级管理员密码相同的访问密码，该访问密码只能访问业务数据库。

第二十六条 各业务系统根据系统本身的权限管理模式设置密码策略，可实现分级管理的业务系统，密码设置也必须是分级的。

第二十七条 密码保管人为安全第一责任人。如因工作失职或人为故意，致密码遗失、泄漏，从而导致数据被非法复制、传播和篡改，造成重大网络与信息安全事故的，学校可对密码保管人追责，必要时可以上报公安机关处理。

第六章  数据安全管理

第二十八条 数据安全管理遵循“责任明确、授权合理、流程规范、技管结合”的原则，采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力，保证数据的可用性、完整性、机密性。

第二十九条 数据属于学校的重要资产，收集、使用单位必须承担数据的管理职责，有责任保护数据，防止数据的丢失、泄露和被破坏。在没有获得授权的情况下，任何人不得以任何方式向外部人员或者机构提供。保护数据安全是各单位和个人都应承担的工作责任、社会责任，严禁泄露、交易和滥用数据。各单位和个人有权利和义务制止、举报危害数据安全的行为。

第三十条 学校各部门的数据采集、存储、加工、处理、传输和销毁全生命周期管理必须符合法律法规，使用的数据范围应与规定的用途相符。根据权限使用数据，数据的使用者只能使用其权限范围内的数据，任何人不得使用未被授权的数据。数据的生命周期结束后，根据相关的法律法规及制度的约定，妥善地处理数据以及相关的数据载体。

第三十一条 数据根据业务范围和行业标准，以及内容涉及的主体进行分类。也要从数据安全的角度、重要程度以及行业标准，将数据安全级别划分为一级、二级、三级、四级、五级，敏感程度逐级递增。

第三十二条 学校各部门要以技术体系为支撑，从数据加密管理、数据脱敏管理、数据的访问授权、数据容灾备份、数据安全审计等方面采取技术手段保障数据安全。

第七章  个人信息安全管理

第三十三条 在校师生的个人信息受法律保护，任何单位、个人不得非法复制、传播、泄露在校师生的个人信息，或以此谋取不正当利益，侵害在校师生的个人信息权益。

第三十四条 处理个人信息遵循合法、正当、必要、诚信原则，遵循最小必要原则，不得过度收集个人信息；因工作需要须在应用系统中上传个人信息时，应对个人敏感信息进行脱敏处理。上级主管部门另有规定的除外。

第三十五条 个人敏感信息包括但不限于以下内容：生物识别信息、手机号码、身份证号、金融账户、行踪轨迹等。处理敏感个人信息，须取得个人的单独同意，进行个人信息保护影响评估，并对处理过程进行记录。

第三十六条 因工作需要掌握了他人个人信息的管理人员、技术人员，应严格对他人个人信息保密，不得将他人个人信息公之于众或非法谋取利益。委托第三方处理个人信息的，须签订书面协议，明确安全责任，对第三方的处理活动进行监督。

第三十七条 学校定期开展全校范围的网络安全宣传教育，将网络安全教育纳入新生入学教育、教职工岗前培训，每年组织网络安全宣传周活动，提升全体师生的网络安全意识与防护能力。

第八章  计算机病毒防治

第三十八条 计算机病毒（以下简称“病毒”）是指编制或者在软件程序中插入的破坏计算机、网络和系统功能或者毁坏数据，影响正常使用，并能自我复制和传播的一组计算机指令或者程序代码，包括恶意代码和木马程序。

第三十九条 从网络上下载软件、程序和数据，以及购置、维修、借入计算机设备时，必须先对其进行病毒检测，经确认无毒后方可使用。

第四十条 信息技术中心应当对易受病毒攻击的系统定期进行病毒检查，确认无毒后方可使用，防止病毒对系统和数据的破坏。

第四十一条 信息技术中心应加强访问控制机制，关闭不必要的共享服务与应用端口等措施，堵住漏洞，切断病毒的感染与传播途径，防范病毒入侵。

第四十二条 各部门应安装经学校许可的网络防病毒软件，开启实时防护功能，不得擅自关闭，以便技术人员能够经常检测，及时发现和清除病毒，避免或尽可能减轻病毒造成的危害或损失。

第四十三条 定期升级计算机防病毒服务端软件，及时更新病毒库，督促使用人员定期升级本机上的防病毒客户端软件，以确保防病毒软件的功效。

第四十四条 学校各部门应在技术人员指导下及时做好所有计算机操作系统漏洞补丁的安装工作。

第四十五条 信息技术中心对接入网络的计算机、服务器和网络传输设备，应当采取严格的防病毒措施，认真审批入网资格及传输内容，限定访问使用权限，以防止病毒与黑客的侵袭。

第四十六条 当病毒疫情发生后，造成系统瘫痪、程序和数据严重破坏等重大事故时，应上报信息技术中心并保护好现场。信息技术中心应派专人进行调查，查清病毒来源，分析病毒疫情，查杀计算机病毒。能力范围内无法及时查杀病毒的，应采取措施隔断染毒计算机，控制疫情，并联系防病毒软件供应商请求协助。

第九章  安全工作考核

第四十七条 各个二级部门的网络与信息安全工作按学校相关行政管理绩效考核办法进行考核。

第四十八条 对因违反本办法导致出现网络与信息安全问题的教职工，在年度考核时纳入综合评价指标体系，作为评优、评先的重要参考；对违反本办法相关规定的学生，取消其评优、评先资格，并给予相应的纪律处分。

第四十九条 各二级部门主要负责人、各个信息系统的管理员负责自己所辖的人员和系统的网络与信息安全工作，并与学校签订《网络与信息安全责任承诺书》（附件1）。

第十章  附  则

第五十条 网络与信息安全突发事件处置按照《湖南商务职业技术学院突发事件预防和应急处置工作预案》的流程进行处理。

第五十一条 本办法自发布之日起执行，由信息技术中心负责解释。原《湖南商务职业技术学院网络与信息安全管理办法》（湘商职院发〔2023〕64号）同时废止。

 

附件1

网络与信息安全责任承诺书

（部门负责人版）

     本人郑重承诺，本人在使用校园网、管理本部门网站和业务系统的过程中，将认真学习理解并严格遵守《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《信息安全等级保护管理办法》及《湖南商务职业技术学院网络与信息安全管理办法》等相关法律法规和行政规章制度。

     一、保证不利用校园网络从事危害国家安全、泄露国家秘密等违法犯罪活动，不侵犯国家、社会、学校和第三方的合法权益，不制作、查阅、复制和传播违反法律的文字、音视频资料，妨害社会治安。

     二、不从事危害网络信息安全的活动，不制作或者故意传播计算机病毒以及其他破坏性程序，不非法侵入计算机信息系统或者破坏计算机信息系统功能、数据和应用程序。

     三、不组织、不参与非法网络活动。

     四、按照操作规程对本部门负责的网站和业务系统进行日常管理，定时巡检，按要求做好数据备份，发现漏洞及时处理并上报。

     五、未经学校批准，不利用校园网架设开通网站和信息系统对校内外提供服务，不利用校园网络资源从事商业盈利活动。

     六、本人作为部门负责人承诺加强本部门职工的网络安全教育，加强终端入网设备安全，规范操作人员的使用行为。

    七、承诺规范校内各类数据地采集和应用，保障数据安全，按要求控制保密数据的分发范围与流转渠道。

    八、严格审核上网数据，凡涉及个人隐私的数据须经脱敏后上网。

    九、承诺当发生信息安全事件时，要迅速进行报告与处置，将损害和影响降至最小范围，并按照相关要求及时整改。

    十、若违反本承诺书有关条款和国家相关法律法规的，本人愿意承担相应责任。

    十一、本承诺书自签署之日起生效。

 

 

学院第一责任人、党委书记：                                                                                                                     部门第一责任人：

 

学院公章：                                                                                                                                                  部门公章：

 

签字日期：

 

 

 

网络与信息安全责任承诺书

（系统管理员版）

 

     本人郑重承诺，本人在使用校园网、管理信息系统的过程中，将认真学习理解并严格遵守《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《信息安全等级保护管理办法》及《湖南商务职业技术学院网络与信息安全管理办法》等相关法律法规和行政规章制度。

     一、保证不利用校园网络从事危害国家安全、泄露国家秘密等违法犯罪活动，不侵犯国家、社会、学校和第三方的合法权益，不制作、查阅、复制和传播违反法律的文字、音视频资料，妨害社会治安。

     二、不从事危害网络信息安全的活动，不制作或者故意传播计算机病毒以及其他破坏性程序，不非法侵入计算机信息系统或者破坏计算机信息系统功能、数据和应用程序。

     三、不组织、不参与非法网络活动。

     四、按照操作规程对本人负责的信息系统进行日常管理，定时巡检，做好记录，按要求做好数据备份，发现漏洞时及时处理并上报。

     五、承诺保障信息系统数据安全，采取技术手段防止数据泄露。

     六、承诺定期（小于6个月）修改信息系统密码，并使用复杂密码（含数字、大写字母、小字母和特殊符号），按最小化原则控制系统使用权限。

     七、承诺留存至少60天（含）以上的访问记录。

     八、未经学校批准，不利用职务之便将信息系统提供给无关人员使用，不将所负责的信息系统账号、密码转交给他人使用，不利用所掌握的信息系统资源从事商业盈利活动。

     九、指导其他职工合法、正常使用信息系统。

     十、承诺当发生信息安全事件时，要迅速进行报告与处置，将损害和影响降至最小范围，并按照相关要求及时整改。

     十一、若违反本承诺书有关条款和国家相关法律法规的，本人愿意承担相应责任。

     十二、本承诺书自签署之日起生效。

 

 

学院第一责任人、党委书记：                                                                                                                   系统管理员：

 

学院公章：                                                                                                                                                部门公章：

 

签字日期：