西航院字﹝2018﹞133号

第一章 总则

第一条      为加强学校对网络信息安全工作的监督管理，提高网络信息安全防护能力和水平，保障信息化建设成效与学校各项工作开展，依照国家相关法律法规，结合学校实际，制定本办法。

第二条      学校网络与信息安全，包含由学校建设、管理和运维的校园网络、信息系统及信息资源的安全。

第三条      学校信息安全工作领导小组统一领导学校网络信息安全工作。网络信息中心负责学校校园网主体安全防护和技术支持工作；党委宣传部负责校园网的舆情监控及网站内容安全工作；各单位主管信息化工作的领导担任本单位网络信息安全责任人，负责落实本单位网络信息安全工作。

第四条  按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，建立健全网络信息安全责任体系，学校各单位、全体师生员工应依照本办法要求及相关标准规范履行网络信息安全的责任和义务。

第二章 安全防护规范

第五条  校园网络包括校园有线网络、无线网络和各种虚拟专网。网络信息中心负责统一出口、统一管理和统一防护。未经批准，各单位在校园内不允许以任何方式接入其它公共信息网络。

第六条  校园网络信息安全防护须采取防火墙、身份认证、安全审计、病毒防护、入侵检测、数据备份及访问控制等安全技术手段。

第七条  学校域名为xaau.edu.cn，各信息系统域名由主办单位按其名称的拼音或英文缩写简写设置，并向网络信息中心提出申请，经批准后方可使用。

第八条  任何单位和个人均须实名登记网络账号信息， 并对网络账号安全使用负责，不得将账号信息泄露给他人。

第九条  校园网络实行信息系统报批备案制。需要在校园网上开通信息系统的单位，应到网络信息中心办理登记备案，其中网站、BBS、论坛、聊天室、博客、微博等公众信息服务系统，以及在微信、QQ等互联网社交平台上开办公众服务号，应到党委宣传部报备批准。未经许可，任何入网单位或个人不得以冠有“西安航空学院”或“西航”中外文字样的任何名义开通信息发布、BBS、论坛、聊天室、博客、微博、微信等公众信息服务系统。

第十条  各单位原则上应依托校园网开展信息系统建设。涉及学校基础数据、师生员工个人信息或敏感信息的信息系统，不得部署在校外。需要在校外部署信息系统的单位，应到网络信息中心办理备案手续。部署在校外的网络和信息系统，安全监管责任主体仍为建设单位。

第十一条信息系统建设管理单位应当落实系统重要数据管理、备份和恢复措施；计算机病毒等破坏性程序的防治措施；防范网络入侵、攻击破坏等危害网络安全行为的措施；系统运行和用户使用日志备份并保存的措施；密钥、密码安全管理措施以及其他安全技术措施。

第十二条网络与信息系统通过外包服务方式进行维护的，需选择具有国家相关专业资质认证的外包服务提供商，与其签订网络与信息系统安全保密协议。外包服务原则上不得采用远程在线直连方式，确需远程服务时须采取书面审批、访问控制、在线监测、日志审计等安全防护措施。现场服务过程中也须安排专人管理，并记录服务过程。

第三章 安全行为规范

第十三条经批准建立的信息系统应明确专门的管理员和制订相应管理制度，包括安全保护技术措施、信息发布审核登记制度、信息监控和保存备份制度、不良信息报告和协查制度、管理人员岗位责任制度等。

第十四条各单位应建立健全信息发布、信息审查、应急处置机制，指定专人负责审查上网信息和信息系统保密管理，负责涉及学校或本单位舆情的处置引导，以及监管本单位开设的博客、微博、微信等自媒体平台。

第十五条任何单位或者个人不得从事下列危害网络与信息系统安全的行为：

（一）擅自接入、安装、拆卸或改变校园网络运行环境、设备设施，攻击、入侵、破坏校园网络与信息系统；

（二）擅自进入他人计算机系统，窃取、盗用、篡改、破坏他人网络信息资源；

（三）故意制作、传播、使用计算机病毒、恶意软件等破坏性程序；

（四）故意阻塞、中断校园网络的信息传输，恶意占用网络资源；

（五）私自转借、转让用户账号造成危害；

（六）擅自利用网络收集、使用、提供、买卖学校公共信息和他人专有信息；

（七）发布信息审查不严，造成严重后果；

（八）其他违反法律法规或危害网络与信息安全的行为。

第十六条任何单位或者个人不得利用网络制作、发布、传播含有下列内容的信息：

（一）违反宪法和国家法律法规，危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一，损害国家利益的；

（二）煽动民族仇恨，宣扬邪教，散布谣言，扰乱社会秩序，破坏社会稳定，对公共安全构成威胁的；

（三）鼓动公众恶意评论他人、公开发布他人隐私或者捏造事实诽谤他人的；

（四）含有淫秽、色情、赌博、暴力、欺诈等内容，或者教唆犯罪、传授犯罪方法的；

（五）含有法律、法规禁止的其他内容的。

第四章 安全检查与应急处置

第十七条网络信息中心定期对机房、网络设备、服务器等设施开展安全检查，同时组织开展信息系统安全监督与排查，查找安全漏洞和隐患。对检查中发现的问题，将通知建设单位及时采取处理措施，必要时网络信息中心将限制或隔离网络连接、关闭信息系统，直至修复完成。

第十八条建立网络安全监测预警和信息通报制度。网络信息中心负责信息收集、分析和通报工作，按照规定向全校统一发布网络安全监测预警信息。各单位应做好网络信息安全事件的风险评估和隐患排查工作，制订相关应急预案，及时采取有效措施，避免和减少网络信息安全事件的发生及其危害。

第五章 附则

第十九条学校相关管理部门对违反本办法的单位或个人可根据情况作以下处理：

（一）警告、勒令整改；

（二）中断网络连接或封停网络账号；

（三）关闭信息系统；

（四）给予相应的行政和纪律处分；

（五）对情节严重的，学校向公安部门报告，追究其法律责任。

第二十条本办法由网络信息中心和党委宣传部负责解释。

第二十一条  本办法自公布之日起执行。