关于印发《山东开放大学

网络安全管理规定》的通知

各部门、单位：

    现将《山东开放大学网络安全管理规定》印发给你们，请认真遵照执行。

                                         山东开放大学

                                            2021年6月22日

山东开放大学网络安全管理规定

第一章总则

第一条 为了维护我校网络与信息系统、数据和内容的整体安全，保持信息化工作运行平稳有序，促进教育教学高质量发展，根据《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例》（国务院第147号令）等国家法律法规并结合实际情况，制定本规定。

第二条 本规定适用于我校在校园网上运行或在校外平台上构建的网络基础设施、网站、信息系统、信息终端、数据与内容等方面的安全管理和经授权使用我校网络与信息系统的部门、机构、团体和个人，保障网络和信息系统安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性。

第三条 依据“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，逐级落实网络与信息安全责任，实现明确职责、突出重点、科学规范、保障安全的目标。

第四条 任何单位及个人不得利用我校网络和信息系统泄露国家或我校秘密、危害国家或我校安全，不得侵犯国家、社会、集体和个人的合法权益，不得从事违法犯罪活动。

第二章组织架构

第五条 网络安全与信息化领导小组（以下简称网信领导小组）是我校网络信息安全工作的领导机构，研究决定信息化建设规划、发展、安全等重大问题，制定网络信息安全相关政策，统筹指导各部门网络信息安全建设，组织召开网络信息安全工作会议，研究处置重大网络信息安全事宜。

第六条 网信领导小组下设办公室，设在信息技术中心（以下简称中心），负责网络信息安全的统筹规划、建设、管理，以及技术支持、保障与培训等日常工作，建立健全设备、制度、技术和监控并举的网络信息安全保障体系，保障各方面建设健康发展。

第七条 学校各部门依据职责分工负责本部门（含本部门的下设机构及个人）所辖网站、信息系统、数据和内容的管理、运维和安全，制定完善部门网络安全管理制度。各部门主要负责人为本部门网络信息安全工作的第一责任人。

第八条各部门设置一名网络安全与信息化管理员，负责本部门网络安全具体工作。人员发生变动时，需及时报送中心备案。

第三章安全等级保护

第九条 各部门在建设网络、网站、信息系统或实验实训设施等基础设施时，须同步建立网络信息安全防护体系，完善数据安全和保护措施，在技术方案、经费预算及运行维护等方面予以落实。

第十条 各部门建设的网站和信息系统，如果需要接入互联网，则需按照《信息系统安全等级保护基本要求》（GB/T 22239-2008）规定的二级（或以上）安全等级要求进行建设及管理。

第十一条 各部门自建且运行在校园网内的信息系统上线前，需完成信息系统安全等级测评，并开展安全自查工作，填写《网站及信息系统情况记录表》（附件1），由本部门负责人签字确认后，提交中心备案。中心负责上线前的专业安全检测，检测未通过的网站或信息系统需进行安全整改，检测通过后方可上线运行。在校外平台运行的信息系统需将信息系统安全等级备案及测评证书（复印件）提交中心备案。

第四章数据安全

第十二条 本规定所称的数据是指我校所属的各类信息系统产生的教育、教学和管理数据。

第十三条 数据管理部门包括数据统筹管理部门、数据生产部门、数据使用部门三部分。

第十四条 中心是我校数据资产的统筹管理部门，负责主数据中心、基础数据库、数据共享平台的安全管理，并规范数据使用流程，确保数据流向清晰，实现数据可控、可管、可查。

第十五条 数据生产部门为权威数据的单一来源部门，负责数据收集、维护、使用、备份、归档等全程安全，需遵循我校信息标准规范及数据服务规范。

第十六条 数据使用部门根据实际需求向数据生产部门提出书面申请，获得批准后，中心或数据生产部门向数据使用部门开放数据接口。数据使用部门有义务和责任保护所获得数据的安全，未经允许，不得将数据用于其他用途。

第十七条 未经批准，任何单位或个人不得擅自提供信息系统产生的内部数据。对于非法泄露或擅自提供数据的单位或个人，依照相关法律法规予以处理。

第五章内容安全

第十八条 任何部门和个人必须遵守《中华人民共和国计算机信息网络国际联网管理暂行规定》等法律法规和我校有关管理规定，严格执行信息安全保密制度，并对所提供和发布的信息负责。

第十九条 任何单位和个人不得利用我校网络基础设施、网站、信息系统和使用的公有云系统制作、复制、传播下列信息：

（一）煽动抗拒、破坏宪法和法律、法规实施的；

（二）煽动颠覆国家政权、推翻社会主义制度的；

（三）煽动分裂国家、破坏国家统一的；

（四）煽动民族仇恨、民族歧视，破坏民族团结的；

（五）煽动非法集会、结社、游行、示威、聚众扰乱社会秩序的；

（六）捏造或者歪曲事实，散布谣言，扰乱社会秩序的；

（七）宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的；

（八）公然侮辱他人或者捏造事实诽谤他人的；

（九）损害国家荣誉和利益的；

（十）以非法民间组织名义组织活动的；

（十一）其他违反宪法和法律、行政法规的。

第二十条 信息发布需严格遵循我校审核制度，规范信息发布审批流程，加强信息安全监控，防止出现内容篡改等安全事故。

第二十一条 意识形态责任部门负责校级网站内容审查及监管，各部门负责本部门网站内容审查及监管，中心负责技术支持和保障。

第六章信息资源的使用

第二十二条 各部门如需增加或变更接入校园网的接口、为扩展信息点安装网络设备或者安装接入校园网的数字终端，须填写《信息资源配置登记表》（附件2），经部门负责人审核同意后，由中心根据实际情况备案、配置并接入校园网。

第二十三条 各部门管理的信息系统申请IP地址须填写《信息资源配置登记表》。申请互联网IP地址须经分管校领导审核，并由网信领导小组组长批准后予以分配。申请校园网内部IP地址，经部门负责人审核同意，中心备案后统一分配IP。

第二十四条 各部门管理的信息系统运行需要使用虚拟服务器或者在中心机房托管服务器，按照《山东开放大学服务器托管服务管理规定》执行。

第七章账号和密码

第二十五条 教职工账号一般与工号相同，工号由人事部门负责统一编制并录入管理系统。中心根据人事部门安排负责开通上网和各项信息服务权限。账户初始密码由中心统一设定，用户在个人页面可以自行变更。学员账号根据规则可与本人学号或者身份证号等唯一性标识相一致。

第二十六条 账号管理实行“一人一号”原则,杜绝“一人多号”和“多人一号”现象。用户须严格管理自己的用户名和口令，遵守保密性原则，不得向任何第三方泄露或公开。系统内所有用户信息均必须采用真实信息。不得盗用他人账号信息。

第二十七条 密码设置不要使用Root、Admin、个人信息（姓名、身份证、电话号码、生日等）等易猜解和获取的内容。建议个人密码最小长度为8位，至少包括数字、大写字母、小写字母和特殊字符中的三种字符，

第八章设施安全

第二十八条 校园网基础设备和公共信息系统的安全运行和管理维护工作由中心统一负责。任何部门或个人未经协商，不得擅自安装、拆卸或改变校园网络基础设施，因私自改变校园网配置而导致校园网络遭受攻击破坏，将追究有关人员责任。

第二十九条 未经授权，任何部门或个人不得以任何方式非法登录校园网主、辅节点、服务器等设备进行修改、设置、删除等操作。

第三十条 严禁在校园网内使用来源不明的软件，因违反规定使用对网络信息安全造成损害的将追究相关人员责任。

第九章安全检查通报与处置

第三十一条 网络安全检查与通报分为由国家、省、市和区等各级网络安全职能部门组织实施的安全检查与通报、中心定期对全校的网络基础设施、网站及信息系统开展的安全检查与通报以及各部门自行开展的安全检查。

第三十二条 中心根据检查通报情况牵头组织有关部门、系统运维单位、专业技术人员进行分析研判，查明问题原因，及时提供处置建议和时限，形成《网络安全通报与处置单》（附件3）通知有关部门。对于影响面广、性质严重的安全问题，中心可优先进行处置工作，视严重程度采取限制或者中断其网络接入等必要技术措施。问题整改完毕并经复查合格后，方可恢复网络接入。

第三十三条 各部门根据《网络安全通报与处置单》中的所列整改内容确定整改责任人，组织开展风险处置工作，整理、统计和汇总整改结果，填写《网络安全通报与处置单》并附整改报告反馈中心。整改报告需经部门负责人和整改责任人签字确认并加盖部门公章。

第三十四条 各部门应定期对本部门所辖信息系统开展网络安全检查，并填写《网站及信息系统巡检记录表》（附件4）。对校外开放的信息系统，每月至少巡检一次；对校内开放的信息系统，每季度至少巡检一次。

第十章安全事件处置

第三十五条 网络信息安全事件分为紧急事件和普通事件。

第三十六条 紧急事件是指：

（一）可由校外访问的页面发生篡改或被替换成非法信息的事件，尤其是发生在主页、新闻网站、招生信息网等访问量高的系统或网站的事件。

（二）影响我校信息系统正常运转的攻击事件，如与服务门户、教务系统、财务系统、办公自动化系统等相关的攻击事件。

（三）可能造成师生隐私信息被窃取、丢失、损坏的漏洞。

（四）其它可能对社会公共安全和我校安全造成危害或不良影响的事件或漏洞。

第三十七条 普通事件是指：

（一）对校内开放系统或网站的页面发生无害篡改或有隐藏漏洞。

（二）影响不大的攻击事件或可能造成中低隐患的漏洞。

（三）其他不构成公共危害或社会不良影响的安全事件或漏洞。

第三十八条 安全事件处置过程如下所示：

（一）中心接到安全事件通报后，采取综合手段，获取表明事件状态性质的数据资料等必要相关证据。

（二）中心核实事件类别，启动处置流程。

（三）若事件为紧急事件，中心第一时间向分管信息化工作的校领导汇报，经网信领导小组研究同意，启动应急预案，同时向责任部门通报相关情况及事件证据，关闭或限制相关网站或信息系统的访问权限，控制事态发展，防范不良影响。事件报告和处置按《网络信息安全事件报告和处置办法》施行。

（四）中心与责任部门共同分析事件原因，并提供整改建议。责任部门对网站或信息系统进行安全修复并上报情况。中心对修复后的网站或信息系统进行安全复查，复查通过后恢复其访问权限。

第三十九条 中心负责制定我校《网络安全事件应急预案》，各部门负责制定本部门的网络安全应急预案，并定期进行安全应急演练。

第四十条 当发生重大网络信息安全事件时，学校有关部门须及时进行处理，根据情况向上级网络安全职能部门报告。

（一）对校园网发生的泄漏国家秘密与工作秘密事件，由保密责任部门组织处置，做好相关记录，并向上级有关部门报告。

（二）对校园网发生的有害信息传播事件，由意识形态责任部门负责处置，做好相关记录，并向上级有关部门报告。

（三）利用我校网络基础设施、网站及信息系统发生的违法行为，由校园安全责任部门负责协助公安机关处置。

（四）中心负责事件技术处置，及时采取必要技术措施阻断访问。

第四十一条 任何部门及个人发现国家秘密与工作秘密泄露的情况应立即向保密责任部门报告；发现有害信息传播应立即向意识形态责任部门报告；发现网络信息违法犯罪行为，应立即向校园安全责任部门报告。

第四十二条 任何部门及个人应当接受并积极配合国家有关主管部门的监督检查。

第十一章队伍建设及经费保障

第四十三条加强网络安全专业队伍建设，形成结构合理、专业精干、忠诚担当的业务团队，为网络安全建设提供人才支撑。加强网络安全教育与培训，提升人员素质与能力。

第四十四条 设立网络安全专项经费，将信息系统（网站）安全等级保护、安全防护能力建设、安全设施运行和维护、培训、检查评估等费用纳入其中，为网络信息安全管理工作提供经费保障。

第十二章安全责任

第四十五条 依据《中华人民共和国网络安全法》第六章“法律责任”的规定：因网络信息安全导致的事故，由网站或信息系统所属单位和责任人承担相应的经济处罚、民事责任、治安管理处罚或刑事责任。

第四十六条 对因未能履行网络安全责任导致事故并造成损失的相关责任人，学校将按照有关规定严肃问责，依纪依法作出处理。

第十三章附则

第四十七条 本规定由信息技术中心负责解释，自印发之日起施行。原《山东广播电视大学网络安全管理规定》(鲁电大技字〔2017〕1号）同时废止。

附件：1.网站及信息系统情况记录表

      2.信息资源配置登记表

      3.网络安全通报与处置单

      4.网站及信息系统巡检记录表

附件1          

网站及信息系统情况记录表

附件2

信息资源配置登记表

附件3

网络安全通报与处置单

附件4

网站及信息系统巡检记录表