郑州大学网络与信息安全管理办法(试行)

发布时间:2020-05-11 点击:


郑州大学信息化办公室文件

信息办【2021 01



章 总则


第一条 为加强我校网络与信息安全工作,提高网络与信息系统安全防护能力和水平,保障我校各项工作安全、可靠、有序的进行,根据《中华人民共和国网络安全法》、《互联网安全保护技术措施规定》等相关法律法规及《信息安全技术 网络安全等级保护基本要求(GB/T 22239-2019)》等相关国家标准,按照《教育部关于加强教育行业网络与信息安全工作的指导意见》(教技〔20144号)、《教育部关于进一步加强直属高校直属单位信息技术安全工作的通知》(教技〔20151号)、《教育部公安部关于全面推进教育行业信息安全等级保护工作的通知》(教技〔20152号)等相关文件要求,结合我校实际,制定本管理办法。

第二条 本办法所称网络与信息安全工作,是指对于由学校建设、运维、管理并支撑学校教学、科研、管理、服务等各项事业的校园网络、数据中心、信息系统等以及各类校园网络接入终端开展的相关管理和技术工作,防止发生网络攻击、信息破坏、有害程序入侵、信息化设备设施故障等事件的发生。

本办法所指各单位包括学校各机关部、处、室,学院、直属单位、附属单位以及有关科研机构。

第三条 学校按照国家有关网络安全和信息化政策法规,制定网络与信息安全总体规划,加强安全管理与技术研究,建立完善的规章制度,并按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,建立健全网络信息安全责任体系,各单位、全体师生应依照本办法要求及学校相关标准规范履行网络信息安全的责任和义务。

第四条 学校按照同步规划、同步建设、同步运行的原则,规划、设计、建设、运行、管理网络安全设施,建立健全网络安全防护体系,全面实施网络安全等级保护制度。

第二章  管理机构与职责

第五条 学校成立以党委书记、校长任组长的网络安全和信息化领导小组(以下简称“领导小组),其主要职责包括:

(1) 贯彻落实上级有关部门关于网络安全和信息化工作的发展战略、宏观规划和重大政策,按照国家有关决策部署组织学校网络安全和信息化工作;

(2) 统一领导、统一谋划、统一部署学校网络安全和信息化建设工作,确定学校网络安全和信息化建设的指导思想、总体目标和工作任务;

(3) 审定学校网络安全和信息化工作规划、部署和重要项目建设方案,统筹协调和决策学校网络安全和信息化工作中的重大问题;

(4) 负责完成上级网络安全和信息化领导小组交办的有关工作。

第六条 网络安全和信息化领导小组办公室(以下简称“网信办)是网络安全和信息化领导小组常设办事机构,其主要职责包括:

(1) 负责学校网络安全和信息化领导小组日常事务工作,定期向网络安全和信息化领导小组汇报工作,提出工作建议;

(2) 组织落实学校网络安全和信息化领导小组的各项决议与工作部署,督促检查各单位网络安全和信息化工作落实情况;

(3) 研究制定学校网络安全和信息化工作发展规划、工作计划、规章制度和标准规范,统筹协调学校网络安全和信息化建设推进实施工作;

(4) 负责协调处理学校网络安全重大突发事件有关应急工作;

(5) 组织开展学校网络安全和信息化建设宣传普及、人员培训等工作;

(6) 完成网络安全和信息化领导小组交办的其它工作。

网络管理中心是网络与信息安全技术支撑单位,负责学校网络安全防护体系的建设与运行维护,负责为全校各单位网络与信息安全工作提供技术指导与服务支持。

第七条 各单位是本单位网络安全和信息化工作的责任主体,各单位主要负责人是本单位网络安全和信息化工作第一责任人,负责按本办法落实本单位网络与信息安全工作,推进信息化发展。

各单位应明确指定本单位信息系统的管理人员,信息系统管理人员是信息系统及其数据安全的直接责任人,其主要职责包括:

(1) 负责向信息化办公室备案所管理的信息系统,并签订网络信息安全责任书,履行相应的安全责任与义务;

(2) 负责信息系统运行相关的操作系统、中间件、数据库系统等的安全漏洞修补,协助信息系统厂商进行信息系统的更新升级;

(3) 负责信息系统及其运行相关的操作系统、中间件、数据库系统等的安全配置,关闭不必要的端口和服务,启用相应的安全策略;

(4) 负责对所有二级管理员和使用人员进行明确的权限划分,须遵循“最小够用”原则;

(5) 信息系统管理人员须及时修改操作系统、数据库系统、信息系统等的初始密码,并制定高强度密码安全策略(如长度、复杂度、更换周期、尝试登录次数、账号锁定等),各级管理员和使用人员要杜绝使用弱口令、默认口令、通用口令,不得将账号借与他人使用;因弱口令造成的网络安全事件由账号所有人承担全部责任;通过账号发布的各类不良内容,由账号所有人承担全部责任;

(6) 负责信息系统的数据安全,落实数据安全管理和技术措施,确保信息系统数据在收集、存储、传输和使用等过程中的保密性和完整性;

(7) 负责信息系统的内容安全,建立完善的信息系统信息发布与审核制度,明确审核与发布流程,保存相关操作记录;信息内容应当保证其不违反国家相关法律法规和学校有关规定,遵循学校信息化建设相关规定,确保其内容安全、真实、可靠、健康向上;严格遵守“涉密信息不上网,上网信息不涉密”,个人隐私信息须脱敏后方可发布;

(8) 确保信息系统所使用的脚本、程序、文字、图片、附件等资源必须安全可靠,避免传播带毒文件;引用、转发外部资讯时须做到严格审核,并注明来源;

(9) 根据数据重要性制定信息系统的数据备份和恢复机制,明确备份数据的备份方式、备份频度、存储介质、保存期等,定期对备份数据进行检查;

(10) 对发现或被通报的信息系统安全隐患要及时整改,受技术条件限制不能立即整改到位的,必须制定具有可操作性的应对方案,确保信息系统及其数据的安全;

(11) 负责信息系统的网络安全事件应急响应工作,如遇到网络安全事件,应立即采取果断措施进行处置,必要时要停止服务或断网,同时将网络安全事件报告信息化办公室,并启动网络安全事件报告与处置流程;

(12) 负责信息系统的版本管理,厂家部署运行的信息系统必须有对应软件版本号;当信息系统的软件版本发生变化时,需重新向信息化办公室备案;

(13) 负责信息系统的安全监测工作,每日须对信息系统进行异常监测和检查,并对其运行状态和信息内容进行监控;

(14) 加强信息系统运维的安全管理,关闭远程桌面连接服务,对确需进行远程维护的信息系统,可向网络管理中心申请安全运维堡垒机和VPN;系统管理员须对其申请的服务器运维堡垒机和VPN账号使用负责,因账号安全造成的一切后果由申请人承担;

(15) 做好信息系统对应服务器综合日志记录,日志留存时间不少于180天;对于废弃或不再使用的网络资源,应及时报送信息化办公室登记备案。

各单位须将信息系统管理人员名单报备信息化办公室,人员变动时应及时调整并报备。

第八条 按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,建立健全网络与信息安全责任体系,各单位及全体师生应依照本办法要求及学校相关标准规范履行网络与信息安全的责任和义务。

第三章  校园网络建设管理

第九条 校园网络是指校园范围内连接各种信息系统及信息终端的计算机网络、公用通信网络和专用通信网络,其中计算机网络和公用通信网络统一归口网络管理中心管理,专用通信网络由其建设单位负责管理。

第十条 校园网络的规划建设、运行维护和使用管理由网络管理中心负责;校园规划管理部门和建设部门负责在学校地下管网统一管理的原则下,进行规划、建设和运行维护;学校所有基建、修缮工程应将工程范围内校园网络建设纳入工程设计实施和竣工验收范畴。

第十一条 校园计算机网络包括校园有线网络和无线网络,涉及光缆布线、网络机房、网络设备、网管系统、域名管理、安全防护、认证计费、网络接入与运维等,由网络管理中心负责建设、运行维护和管理。

   校园网络接入单位负责提供本单位所需的网络设备间和电源保障,协助解决网络布线和设备安装所需空间,负责安防和消防安全管理。

第十二条 校园网络与互联网及其他公共网络实行逻辑隔离,由网络管理中心统一出口、统一管理和统一防护。未经批准,各单位在校园内不得擅自通过其他渠道接入互联网及其他公共网络。

第十三条 网络管理中心采取访问控制、安全审计、完整性检查、入侵防范、恶意代码防范等措施以加强校园网络边界防护。

第十四条 校园网络接入实行“实名注册、认证上网”制度;学校非涉密信息系统接入校园网络,实行网络接入审批和信息系统备案登记制度。网络接入实名管理制度由网络管理中心负责实施。涉密信息系统不得接入校园网络。

第十五条 校园网用户必须遵守《中华人民共和国网络安全法》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《中华人民共和国计算机信息系统安全保护条例》等国家、地方和学校的网络与信息管理规定,并有义务向网络管理中心和学校有关部门举报任何网络违法犯罪行为。

第十六条 根据国家有关法律法规,禁止用户在使用校园网等网络资源时从事如下活动:

(1) 利用校园网发布、传播、存放颠覆国家政权和破坏、影响社会稳定的言论、文章及声音图像,发布有损国家利益、学校利益的各种信息和散布各种谣言;

(2) 利用校园网发布和传播属于国家秘密的各种文件资料,及泄露保密阶段的科研项目的有关资料、数据、图(照片)、音频、视频等校内文件资料;

(3) 利用校园网发布、传播、存放传播有淫秽、暴力等内容的文章、图像、音频、视频等信息;

(4) 在网络上散布计算机病毒,对他人进行恶意骚扰,包含恶意代码的邮件等;

(5) 使用各类网络扫描软件、黑客软件等手段侵入或干扰校园网络系统的正常运行;

(6) 利用系统漏洞牟取利益,或做出有可能危害系统安全或干扰系统正常运行的行为;

(7) 国家相关法律法规规定的其它违法事项。

第十七条 严禁任何单位和个人利用校园网络开展一切不正当、非正常的活动,包括但不限于:

(1) 未经允许,擅自提供WWWFTPDNSMail、电子论坛、即时通信、网络代理及VPN等服务;

(2) 未经允许,利用或变相利用校园网络资源及其网络设施从事商业及宣传活动;

(3) 未经允许,擅自接入路由器等网络设备;

(4) 盗用他人IP地址、账号或通过网络窃取他人信息;

(5) 利用校园网络发送垃圾邮件等信息对其他用户造成干扰;

(6) 将本人使用的账号转让、租借给他人不当使用;

(7) 未经允许,设立游戏站点或纯娱乐性站点;

(8) 利用网络造谣生事,进行人身攻击和侮辱;

(9) 其他损害学校权益、违反学校规定的行为。

第十八条 因用户违规行为造成的经济损失或法律纠纷,由违规者承担。

第四章  数据中心建设管理

第十九条 数据中心主要包括支撑学校各类信息系统运行的软硬件基础设施、云服务平台、学校基础数据库、数据共享交换平台、统一身份认证平台及统一信息门户等信息化基础设施和服务平台。网络管理中心负责数据中心的建设、运行维护和管理。

第二十条 网络管理中心负责数据中心的物理安全、网络安全和主机安全。数据中心的资源使用单位负责所使用的操作系统、业务数据库系统、信息系统和数据的安全

第二十一条 网络管理中心负责学校基础数据库和数据共享交换平台的建设和安全管理,负责各单位业务数据库与基础数据库之间完成数据交换和共享。

各单位负责建设、维护本单位业务信息系统所配套的业务数据库,对本单位业务数据库的系统安全、数据安全及所申请的共享数据的安全负责。

第二十二条 统一身份认证平台为学校信息系统提供统一的身份管理、安全的认证机制、审计及标准接口。各单位建设面向师生服务的信息系统时,应与统一身份认证平台进行认证集成并备案系统信息。

网络管理中心负责统一身份认证平台的安全,各单位负责本单位信息系统的权限管理及安全。

第二十三条 各单位应依托学校数据中心实施本单位信息系统建设,需要使用校外数据中心的须报信息化办公室审批;严禁使用设置在境外的数据中心。涉及学校基础数据、师生个人信息或敏感信息的信息系统,禁止部署在校外数据中心(含云服务平台)。

第二十四条 网络管理中心对学校数据中心的使用实施准入管理。负责制定使用数据中心的技术规范和标准,在信息系统上线前进行安全检测,符合技术规范标准并检测通过的信息系统方可上线运行。

第二十五条 数据中心的使用单位应遵循数据中心相关管理制度和技术标准,按需申请、有序使用;不得利用数据中心资源从事任何与申请项目无关或危害网络与信息系统安全的活动。

第五章  信息系统建设管理

第二十六条 信息化办公室负责制定学校信息系统项目规划和顶层设计。各单位根据本单位业务需求,提出信息系统建设申请,纳入学校规划的核心信息系统建设需求将获学校信息化建设经费的优先支持。

第二十七条 学校鼓励建设单位优先采购安全可靠、技术成熟和服务优质的成品软件用于信息系统建设。

没有相应成品软件或成品软件不适应实际需求的,可按照学校采购与招标相关管理办法,委托资质和信誉良好的软件开发商进行开发。

对于建设单位具有信息系统开发维护能力,并能够保证信息系统安全性和可靠性,可在学校顶层设计和软硬件配置框架内自行组织开发。

第二十八条 软件的采购、开发与维护管理。建设单位根据本单位业务需要撰写需求分析报告,明确详细的功能和性能需求。

网络管理中心负责软件所需的数据中心资源,包括硬件、运行

平台软件和基础数据等,协助制定技术方案。

信息化办公室组织对技术方案进行论证和审批,并确定拟建信息系统的网络安全保护等级;信息系统应按照相应安全等级的规范要求进行建设。

对于购买商业软件或委托软件开发的,建设单位根据论证和审批通过后的方案,按照学校采购与招标相关办法进行采购。

建设单位为信息系统的主管部门,应指定专人负责信息系统的建设、运行维护和管理,组织软件提供商并会同网络管理中心制定信息系统运维和安全管理方案。信息系统原则上由建设单位运维,特殊情况可委托网络管理中心运维。

第二十九条 信息系统移动客户端软件视同为信息系统,参照第二十八条执行。

第三十条 信息系统投入试运行后,由建设单位初步验收,出具初步验收报告,并向信息化办公室申请开展信息系统安全检测。

信息化办公室组织开展信息系统安全检测,检测内容主要包括

信息系统源代码审计、系统漏洞扫描、安全基线配置核查等,形成检测报告;信息系统渗透测试合格报告由信息系统开发单位委托具有相关服务资质的第三方测评机构出具;以上检测报告为信息系统竣工验收的重要内容。

第三十一条 本章未尽事宜应参照《郑州大学信息系统建设与运行维护管理暂行办法》相关规定执行。

第六章  信息系统数据安全管理

第三十二条 信息系统数据是指信息系统收集、存储、传输、处理和产生的各种电子数据,包括但不限于网站内容、业务数据、网络课程、图书资源、日志记录、用户信息等。

第三十三条 信息系统数据的所有者是数据安全管理的责任主体,应当落实管理和技术措施,规范数据的收集、存储、传输和使用,确保数据安全。

第三十四条 信息系统数据的收集应遵循“最少够用”原则,不得收集与信息系统业务服务无关的个人信息。按照“谁收集,谁负责”的原则,收集个人信息的单位是个人信息保护的责任主体,应当对其收集的个人信息严格保密,并建立健全相关保护制度。

第三十五条 网络管理中心负责学校核心信息系统的备份与恢复管理,制订备份与恢复计划,根据业务实际需要对重要数据和信息系统进行备份,定期测试备份与恢复计划,并确保备份数据和备用资源的有效性。

第三十六条 本章未尽事宜应参照《郑州大学数据安全与个人信息保护管理暂行办法》相关规定执行。

第七章  二级域名管理

第三十七条 学校一级域名(zzu.edu.cn)由网络管理中心向有关域名注册管理机构办理申请、注册手续,且仅能对郑州大学校园网IP进行解析。

学校二级域名的解析由网络管理中心负责技术实现,网络管理中心依法设立域名服务器;校内其他任何单位不得设立域名服务器。

网络管理中心有义务配合国家主管部门开展网站检查工作,必要时按要求暂停或停止相关的域名解析服务。

第三十八条 二级域名服务遵循“先注册先使用”原则;为维护学校和公众权益,网络管理中心对部分域名进行预留和保护。

域名注册申请单位应当提交真实、准确、完整的域名注册信息,经所在单位主要负责人审核同意,并通过党委宣传部审批、网络管理中心安全检测通过后,方可办理。

第三十九条 二级域名使用单位应当遵守国家有关互联网络的法律法规。因二级域名使用造成不良影响的责任,由二级域名使用单位承担;二级域名注册信息发生变更的,二级域名使用单位应在30日内向网络管理中心申请变更。

第八章  互联网网站管理

第四十条 各单位建设的互联网网站,应使用学校的互联网域名和互联网IP地址。

第四十一条 网络管理中心统一建设学校网站集群平台并负责纳入该平台网站的技术安全。未纳入学校网站集群平台的网站,其技术安全由网站建设单位负责。

第四十二条 各单位建设互联网网站应优先选择学校网站集群平台,集群平台不能满足需求时可委托其他供应商管理。网站投入试运行后,需要到网络管理中心进行网站信息备案并通过网络管理中心组织的安全检查后方可正式上线。

第四十三条 互联网网站运行维护单位应建立网站值守制度,制订应急处置流程,组织专人对网站进行监测,发现网站运行异常及时处置。

第四十四条 互联网网站的内容安全由网站建设单位负责。互联网网站建设单位应建立完善的网站信息发布与审核制度,确定负责内容编辑、内容审核、内容发布的人员名单,明确审核与发布程序,保存相关操作记录。

第四十五条 互联网网站建设单位在网站信息发布时应坚持遵守“涉密信息不上网,上网信息不涉密”和“谁发布、谁负责”的原则,确保发布的信息合法合规、真实有效、准确及时,符合信息公开相关要求。

第四十六条 互联网网站建设单位应定期备份其网站的重要信息数据,根据数据的重要性和系统运行需要,制定数据的备份和恢复策略与程序等。

第四十七条 互联网网站应进行相关活动日志记录,包括权限管理日志、账户管理日志、登录认证日志、业务访问日志、数据访问日志等;提供新闻、出版以及电子公告等服务的网站,还应记录并留存用户注册信息和发布信息审计日志;所有日志记录留存应至少保存90天。

第四十八条 原则上,各单位不得提供电子公告服务,确有需要,经信息化办公室批准备案后方能提供电子公告服务。提供电子公告服务的互联网网站建设单位承担电子公告服务内容管理的主体责任,并按国家有关规定落实专项安全管理和技术措施。

第四十九条 对于使用频度不大、阶段性使用的网站,互联网网站建设单位可采取非工作时间或寒暑假、节假日关闭的方式运行。对于无人管理、无力维护、长期不更新的网站,互联网网站建设单位应关闭网站以降低安全风险。

第九章  电子邮件管理

第五十条 网络管理中心为各单位和师生提供电子邮箱服务,并负责学校电子邮件的安全管理。各单位和师生使用学校电子邮箱应遵守学校电子邮箱管理等相关规章制度。

第五十一条 网络管理中心采取必要的技术和管理措施,加强电子邮件系统安全防护,减少垃圾邮件、病毒邮件侵袭。

邮件用户应定期清理过期邮件,以确保整个电子邮件和该邮件账户能正常运作;邮件账户如出现安全漏洞、传播非法信息等情况,网络管理中心有权随时中断或终止向用户提供邮件服务。

第五十二条 师生须对使用其电子邮箱账号开展的所有活动负责,应妥善保管本人的电子邮箱账号和密码,确保密码具有一定强度并定期更换。师生如发现他人未经许可使用其电子邮箱,应立即通知网络管理中心处理。

第五十三条 在校师生可通过网上办事大厅申请办理个人邮件账户,办理成功后邮件账户ID不可更改。学生毕业、教职工调离后其邮件账户将自动停用。

第十章  终端设备管理

第五十四条 终端设备是指使用校园网从事教学、科研、管理、服务等活动的各类计算机及附属设备,包括台式电脑、笔记本电脑及其他移动类终端等。

第五十五条 终端设备使用人按照“谁使用,谁负责”的原则,对其终端设备负有保管和安全使用的责任。网络管理中心对终端设备的安全管理提供技术支持和指导,包括常用正版软件下载分发、系统补丁安装、病毒软件安装升级及漏洞管理等。

第五十六条 终端设备上安装、运行的软件须为正版软件。在终端设备上使用盗版软件带来的安全和法律责任由终端设备使用人承担。

第五十七条 终端设备应当设置系统登录账号和密码,禁止自动登录,登录密码应具有一定强度并定期更改。

第五十八条 终端设备使用人应做好数据日常管理和保护,定期进行数据备份。非涉密终端设备不得存储和处理涉密信息。

第五十九条 终端设备使用人应做好终端设备的安全防范,如发现终端设备出现可能由病毒或攻击导致的异常系统行为或其他安全问题,应立即断网后进行处置。

第十一章  存储介质管理

第六十条 存储介质是指存储数据的载体,主要包括硬盘、存储阵列、磁带库等不可移动存储介质,以及移动硬盘、U盘等可移动存储介质。

第六十一条 原则上,存储阵列、磁带库等大容量介质应托管在学校数据中心,并由网络管理中心统一运行维护和管理。网络管理中心采取必要技术措施防范数据泄漏风险,确保存储数据安全。

第六十二条 各单位应建立移动介质管理制度,记录介质领用、交回、维修、报废、损毁等情况;介质使用人按照“谁使用,谁负责”的原则,对其移动介质负有保管和安全使用的责任。

第六十三条 非涉密移动存储介质不得用于存储涉密信息,不得在涉密计算机上使用。

第六十四条 移动存储介质在接入终端计算机和信息系统前,应当查杀病毒、木马等恶意代码。

第六十五条 介质使用人应注意移动存储介质的内容管理,对送出维修或销毁的介质应事先清除敏感信息。

第六十六条 网络管理中心配备必要的电子信息消除和销毁设备。存储介质履行必要的审批程序后,可由网络管理中心集中销毁。

第十二章 人员管理

第六十七条 各单位应建立健全本单位的岗位及网络信息安全责任制度,明确岗位及人员的网络信息安全责任。关键岗位的计算机使用和管理人员应签订信息安全保密协议,明确信息安全与保密要求和责任。

第六十八条 各单位应加强人员离岗、离职管理,严格规范人员离岗、离职过程,及时终止相关人员的所有访问权限,收回各种身份证件、钥匙、徽章以及学校提供的软硬件设备,并签署安全保密承诺书。

第六十九条 各单位应定期对网络与信息技术安全岗位的人员进行安全知识和技能的考核,并对考核结果进行记录和保存。

第七十条 各单位应建立外部人员访问机房等重要区域的审批制度,外部人员须经审批后方可进入,并安排工作人员现场陪同,对访问活动进行记录和保存。

第十三章 应急管理

第七十一条 网信办负责学校网络安全应急工作的统筹管理,网络管理中心负责网络安全应急工作的技术支撑和保障。

第七十二条 网信办负责制订学校网络安全事件应急预案和信息技术安全事件报告与处置流程;若学校网络安全事件应急预案不能满足需求,相关单位可制订本单位网络安全事件应急预案。网络安全事件应急预案制订或修订后应及时报网信办备案。

第七十三条 网信办定期组织网络安全应急演练,评估并适时组织网络安全事件应急预案修订。各单位应组织开展网络安全事件应急预案的宣传、教育和培训,确保相关人员熟悉应急预案。

第七十四条 网络管理中心负责组建学校网络安全应急技术支援队伍,完善24小时应急值守制度,提高网络安全事件的预防、预警和应对能力,预防和减轻网络安全事件造成的损失和危害。

第七十五条 各单位应按照学校网络安全事件应急预案做好网络安全事件的应急处置,并按照学校信息技术安全事件报告与处置流程,做好事发紧急报告与处置、事中情况报告与处置和事后整改报告与处置工作,做到安全事件早发现、早报告、早控制、早解决。

第七十六条 各单位或师生均有义务及时向网络管理中心报告网络安全事件,不得在未授权情况下对外公布、尝试或利用所发现的安全漏洞或安全问题。

第十四章 教育培训

第七十七条 网信办负责组织开展学校网络安全宣传和教育培训工作,建立健全相关制度。

第七十八条 网信办联合相关单位定期组织开展针对学校师生的网络安全教育,提高师生的安全意识和防范技能。

第七十九条 网信办联合相关单位定期开展针对网络安全管理人员和技术人员的专业技能培训,提高相关人员的网络安全工作能力和水平。

第十五章 监督检查

第八十条 各单位应定期开展本单位信息系统和数据安全状况、安全管理制度及技术措施落实情况的自查整改工作,对于自查中发现的问题要及时整改,并配合有关部门的安全监督检查工作。

第八十一条 网信办负责学校网络与信息安全工作落实情况的监督检查,建立健全安全监督检查机制。

第八十二条 网信办负责对年度网络与信息安全情况进行全面总结,并报领导小组。

第十六章 责任追究

第八十三条 各单位在收到网络安全限期整改通知书后,整改不力的,学校给予通报批评;造成严重安全后果,上级执法部门进行追责处罚的,本单位负责人为第一责任人。

第八十四条 各单位应按照学校网络安全事件应急预案和信息技术安全事件报告与处置流程,在发生网络安全事件时立即采取应急响应措施控制、降低损失,并及时、如实地报告和妥善处置网络安全事件。如有瞒报、缓报、处置和整改不力等情况的,将对本单位予以通报并追究单位负责人的责任。

第八十五条 校园网用户违反网络与信息安全相关管理规定,未造成严重后果的,由网络管理中心或相关管理部门给予批评教育,责令改正;对拒不改正或者造成网络与信息安全严重后果的,根据学校有关规定予以处分。触犯法律时,由相关国家机关依法追究法律责任。

第十七章 附则

第八十六条 涉及国家秘密的管理办法,执行国家保密工作的相关规定和标准,由学校保密委员会办公室监督指导。

第八十七条 各单位可参照本办法制订本单位的实施细则。

第八十八条 本办法自发布之日起施行,由信息化办公室负责解释和修订。

上一篇:郑州大学数据安全与个人信息保护管理办法(试行)

下一篇:中华人民共和国网络安全法