第一章  总则

第一条 为规范广东药科大学网络与信息安全管理工作，提高网络与信息安全防护能力和水平，保障学校各项事业健康有序发展，根据《中华人民共和国网络安全法》《教育部关于加强教育行业网络与信息安全工作的指导意见》等有关规定，结合学校实际，制定本办法。

第二条 本办法所指的学校网络与信息安全，是指对于由校内单位建设或管理，服务于学校教学、科研或管理的校园计算机网络（以下简称校园网）、数据中心、信息系统（包含但不限于各类业务应用信息系统、网站、APP、小程序等网络应用系统）和新媒体平台公众服务号（包含但不限于博客、微博、微信公众号、头条号、抖音号等新媒体公众服务号）等网络与信息化业务的运行安全和信息内容的安全。

第三条 网络与信息安全管理包括计算机及其相关配套设备设施的安全管理、网络运行环境的安全管理、信息系统运行环境的安全管理，为防止网络与信息系统发生信息化设备设施故障、网络攻击、有害程序入侵、信息破坏和窃取等发生而开展的预防和整治工作。

第四条 网络与信息安全管理应遵循以下原则：

（一）提升意识、预防为主原则。提高学校师生对网络安全和信息化是“一体之两翼、驱动之双轮”的认识，领导重视，全员参与网络与信息安全工作，重点做好事前和事中的管理制度、操作流程和技术措施等预防工作。

（二）自主防护、明确责任原则。学校各单位内部网络、信息系统及各类网站原则上实行“谁主管谁负责、谁运维谁负责、谁使用谁负责”。按照“党政同责、一岗双责、齐抓共管、失职追责”和“管行业必须管安全、管业务必须管安全”的要求，落实网络安全责任。建立学校、二级单位两级联动的安全管理体系和责任体系，签订网络安全工作责任书，压实安全责任。

（三）统筹规划、同步建设原则。学校逐步建立与完善校内网络与信息安全的技术体系框架，提供可提升全局安全防护能力的平台、技术措施与相关设备。学校各单位应主动融入校园网络与信息安全防护体系，采取统一的技术手段，提高学校校园网络与信息安全整体防护能力。

第五条 学校实行网络与信息安全建设与管理工作责任人负责制。

学校党政主要负责人是网络与信息安全管理第一责任人；分管网络与信息管理工作的校领导是分管业务领导责任人，协助第一责任人负责网络与信息安全管理工作；其他校领导对分管、联系工作范围内的网络与信息安全工作负有管理、指导和监督职责。

信息中心负责人是网络与信息安全管理工作的直接监管责任人，分管网络与信息管理的副职是网络与信息安全管理的主要责任人；相关职能部门负责人在业务范围内对网络与信息安全工作负有监管责任，分管副职负有主要监管责任。

二级单位是本单位网络与信息安全工作的主体责任单位，党政主要负责人是本单位网络与信息安全工作第一责任人；分管网络与信息工作的领导是本单位网络与信息安全管理主要责任人，协助第一责任人负责本单位网络与信息安全管理工作。

网站和信息系统安全管理员是本网站和信息系统安全建设与管理工作的直接责任人。

第二章  管理体制与责任

第六条 广东药科大学网络安全和信息化领导小组（以下简称“领导小组”）是学校网络安全和信息化工作的领导机构，负责统一领导、统一谋划、统一部署全校网络安全和信息化发展，统筹制定网络安全和信息化发展战略、宏观规划和重大政策，研究解决网络与信息安全重要问题。领导小组下设办公室（以下简称“网信办”），办公室设在信息中心。

第七条 网信办负责学校网络与信息安全管理和监督工作。

（一）负责设计编制网络与信息安全相关管理标准、建设规划和经费预算；

（二）负责协调推进全校网络与信息安全保障体系建设；

（三）负责信息安全宣传和教育培训、监督检查工作；

（四）负责建立健全信息技术安全信息通报机制；

（五）负责制定并完善网络与信息安全事件应急处置预案，完善信息技术安全事件报告与处置流程，完善24小时应急值守制度，定期开展应急演练，及时排查并处置安全隐患。

第八条 信息中心是学校网络与信息安全的技术实施与支撑部门，负责校级网络与信息安全技术体系建设，负责校园网、数据中心、云平台和各类服务平台的日常安全管理和维护，为学校提供校级统一的安全防护措施、设备和技术手段，负责安全技术培训工作，负责入网单位和个人上网行为管理，保存网络运行日志，协助有关部门进行网络与信息安全事件的技术调查取证。

第九条 党委宣传部负责学校校园网、信息系统和新媒体平台公众服务号等信息内容和网络舆情信息的安全监管，开展网上疏导和正面宣传，做好学校的对外宣传工作。

第十条 保卫处（武装部）负责统筹校园安全稳定工作，联系上级安全管理部门，及时反馈安全相关信息，配合信息中心对网络与信息安全事件进行调查、取证和处理。

第十一条 学校各二级单位是本单位网络和信息化工作的责任主体，负责按本办法落实网络与信息安全工作，推进本单位信息化发展。各单位应明确指定本单位网络与信息安全管理人员，且必须由在职工作人员管理维护和应急处置，管理人员工作调动时要做好交接并报备信息中心。

第三章  数据中心建设管理

第十二条 数据中心主要包括支撑各类应用系统运行的软硬件基础设施、学校基础数据库、统一数据交换平台、统一身份认证系统。信息中心负责数据中心的建设、运行、维护和管理。

第十三条 信息中心负责数据中心软硬件基础设施的安全，包括物理安全、网络安全和主机安全。信息中心根据信息系统安全等级不同，对数据中心进行分区、分域管理，采取必要的技术措施对不同等级分区进行防护，对不同安全域之前实施访问控制。数据中心的资源使用单位负责本单位使用的操作系统、业务数据库系统、应用系统和数据的安全。

第十四条 信息中心负责学校基础数据库和统一数据交换平台的建设和安全管理，负责各单位业务数据库与基础数据库之间完成数据交换和共享。

第十五条 统一身份认证系统为学校信息系统提供统一的身份管理、安全的认证机制、审计及标准接口。学校各单位建设面向师生服务的应用系统时，应与统一身份认证系统进行认证集成并向信息中心备案系统信息。信息中心负责统一身份认证系统的安全，各单位负责本单位应用系统的权限管理及安全。

第十六条 学校各单位原则上应依托学校数据中心实施本单位信息化建设。涉及学校基础数据、师生员工个人信息或敏感信息的信息系统，未经信息中心批准，严禁部署在校外。

第十七条 信息中心对学校数据中心的使用实施准入管理。信息中心负责制定使用数据中心的技术规范和标准，在系统上线前进行安全检测。符合技术规范标准并检测通过的系统方可上线运行。

第十八条 数据中心的使用单位应遵循数据中心相关管理制度和技术标准，按需申请、有序使用，规范本单位数据中心资源的使用和管理，不得利用数据中心资源从事任何与申请项目无关或危害计算机信息系统安全的活动。

第十九条 信息化公共基础服务、跨部门信息系统、业务部门管理信息系统等面向师生公开服务的信息系统原则上应尽量使用信息化公共云平台等学校统一的软硬件平台。因技术原因（如外置加密设备）确需存放在单位自建服务器上的，应把服务器托管到数据中心，提高信息系统运行环境的安全防护能力。

第四章  信息系统建设管理

第二十条 鼓励优先采购安全、成熟和售后服务优良的商业软件。没有相应商业软件，或商业软件不适应学校实际需求的，可按照学校采购相关规定委托资质和信誉良好的软件开发商进行开发。学校各单位具有应用系统开发维护能力并能够保证其信息安全的，可在学校顶层设计和软硬件配置框架内自行组织开发。

第二十一条 学校各单位根据本单位业务需要撰写需求分析报告，明确详细的功能和性能需求。信息中心负责软件所需的数据中心资源，包括硬件、运行平台软件和基础数据等，协助制定技术方案。信息中心组织对技术方案进行论证和审批，并确定拟建信息系统信息安全保护等级；应用系统按照相应等级的规范要求进行建设。

第二十二条 学校各单位购买商业软件或委托软件开发的，需根据论证和审批通过后的方案，按照学校采购管理办法进行采购。

第二十三条 学校各单位为本单位应用系统的主管部门，应指定专门人员负责系统的建设、运行、维护和安全管理，组织软件提供商并会同信息中心制定应用系统运维和安全管理方案。应用系统原则上由学校各单位运维，特殊情况可委托软件提供商或第三方专业机构运维，并签订相应的信息保密协议。

第二十四条 信息系统实行登记备案制度，建设有信息系统的学校各单位（以下简称为“系统建设单位”）须签署安全责任书，系统登记备案的信息包括但不限于信息系统名称、主办/主管单位、责任人、技术管理员、服务器放置地、数据库类型、开发商、域名、IP 地址、开放端口、运行有效期等。学校各单位放置在校内的信息系统必须使用学校互联网IP地址和学校互联网络域名后缀（gdpu.edu.cn），不使用学校域名后缀的信息系统必须在公安机关进行登记备案。

第二十五条 系统建设单位在信息系统投入试运行后，需负责初步验收，出具初步验收报告，并向信息中心申请开展信息系统安全等级保护定级备案和测评工作。信息系统原则上应取得公安部门出具的《信息系统安全等级保护备案证明》，并形成测评合格报告后方可上线运行，该报告为信息系统竣工验收的重要依据。各单位内部使用的信息系统必须通过信息中心安全检测后方可上线运行。

第二十六条  学校网站群平台由信息中心统一建设，其技术安全由信息中心负责，其内容安全由开通网站的单位或个人（以下简称“网站主办者”）负责。学校各单位新建的宣传类、门户类的网站原则上使用学校网站群平台系统，减少网站安全漏洞，提升网站安全防护能力，确保网站风格统一。未运行在学校网站群平台的网站，网站主办者对其技术和内容安全负责。

第二十七条 信息系统发布信息实行信息审核制度，除经信息中心审批同意的网站或信息系统外，不允许开设交互类、论坛类栏目。确因教学、科研等工作需要开设论坛或留言板的，必须实行实名制管理，并原则上仅限用于校园内部交流。网站主办者负责组织、监督本单位信息系统网页制作，负责网页发布的内容审核、备案及保密工作，负责监督信息系统网页所有信息的更新、修改、删除及网站的维护，确保网页内容的正确性，保证系统安全运行。

第二十八条 加强电子邮箱的注册和使用管理。学校域名的电子邮箱实行实名制管理。学校各单位不得使用校外注册的个人邮箱用于收发公文或重要敏感信息，各单位和师生个人不得向私人邮箱发送重要、敏感或隐私信息。

第二十九条 加强信息系统的账号管理和权限管理。严格规范系统管理员账号和特权账号的密码设定规则，避免使用过于简单的密码，并做到定期更换。管理员账号和特权账号不得交予他人登录系统。信息系统账号授权应采取最小化授权原则，不得授予超出工作内容范围的信息系统管理与操作权限。

第三十条 托管在信息中心或放置在本单位提供互联网信息服务的服务器，应配备有专业计算机技术人员进行维护和安全管理，并按信息安全等级保护的相应规范落实信息安全防护，做好开启日志、防病毒、防黑客攻击的措施。

第五章  互联网内容管理

第三十一条 各单位应加强本单位信息系统、各类网站和新媒体平台公众服务号的运行维护和安全监控工作，做好涉及学校或本单位舆情的引导工作。发现重大舆情问题应立即主动向党委宣传部报告，并在党委宣传部的指导下妥善处理。

第三十二条 校内单位开设公众服务号、互联网站等，应到党委宣传部进行备案申请，批准通过后方可开通。未经许可，任何单位或个人不得以冠有“广东药科大学”“广药大”“广药”“GDPU”等代表学校的任何中外文字样名称或标识开通互联网公众服务，禁止擅自使用学校名称或校徽等标识。

第三十三条 学校的新闻网（含中、英文新闻网站）的建设由党委宣传部负责统筹，党委办公室、校长办公室、国际交流与合作处、外国语学院、信息中心等相关单位配合完成。学校各单位、个人的网站建设由各单位和个人自行组织完成。新闻网内容应及时更新内容，党委宣传部按《广东药科大学新闻宣传工作管理办法（试行）》进行管理。

第六章  监测与处置

第三十四条 各互联网站的主管单位应建立网站应急值守制度，规范应急处置流程，由专人对网站进行监测，发现网站运行异常及时处置。对于使用频度不大、阶段性使用的网站，可采取非工作时间或寒暑假、节假日关闭的方式运行。

第三十五条 学校各应用系统和互联网站，由信息中心按照国家信息安全等级保护制度要求确定安全保护等级，由信息中心协同业务系统管理单位按相关规定对信息安全等级状况开展等级评测。经评测，信息安全状况未达到安全保护等级要求的，应用系统或互联网站的主管单位应制定整改方案并落实整改到位。

第三十六条 各单位定期对本单位各应用系统和互联网站安全状况、安全保护制度及措施的落实情况进行自查，并配合有关部门的信息安全检查、信息内容检查、保密检查与审批等工作。对于已经废弃使用的信息系统、互联网站和新媒体平台公众服务号，其建设管理单位应该及时关停，并上报信息中心及党委宣传部备案。

第三十七条 各单位应按照学校信息技术安全事件报告与处置流程，做好事发紧急报告与处置、事中情况报告与处置和事后整改报告与处置工作。

第三十八条 各单位应建立本单位信息安全值守制度，做到安全事件早发现、早报告、早控制、早解决。各单位应按照信息中心建立的网络与信息安全事件应急处置预案和信息技术安全事件报告与处置流程，定期组织应急演练。

第三十九条 信息中心联合相关单位对全校各单位网络与信息安全工作落实情况进行检查，信息中心不定期利用扫描设备或委托第三方安全评测机构对校内各应用系统和互联网站安全性进行扫描检测，对发现的问题下达限期整改通知书，建设管理单位须立即组织人员进行整改、修复和加固，并对问题事件进行调查处理。不能达到整改要求的，信息中心可暂停其运行。

第四十条 重要或特殊时期，根据上级部署和学校要求，学校对校园网络、信息服务和信息系统采取加强性应急保护措施，对校园网络通信及信息系统进行不间断监控。

第七章  保障措施

第四十一条 学校保障网络与信息安全发展所需的人员编制，采取有效措施建立高水平的网络与信息安全管理专职队伍和技术支撑专业队伍。学校保障网络与信息安全发展的经费投入和必要的软硬件基础设施。

第四十二条 学校切实开展人员安全教育和培训工作，制定网络与信息安全教育培训规划，开展面向全员的普及型培训和宣传教育，提高安全和防范意识，培养良好的媒介素养和规范的网络行为。

第四十三条 学校建立完善的网络与信息安全工作检查考核、责任追究和倒查机制。

第八章  责任追究

第四十四条 各单位应按照信息技术安全事件报告与处置流程及时、如实地报告和妥善处置信息技术安全事件，发生网络安全事件，未按要求及时报告的，学校将给予通报批评，依纪依法追究相关人员的责任。

第四十五条 师生员工必须严格遵守国家有关法律法规，不得发布违反国家法律、扰乱社会稳定、影响学校声誉和违反学校相关规定的信息。违反网络与信息安全相关管理规定，造成不良后果的，视情节轻重，分别由人事管理或学生管理部门按相关规定给予批评教育或纪律处分。触犯法律法规的，由相关国家机关依法追究法律责任。

第九章  附则

第四十六条 对于涉及国家秘密的信息系统，按照国家保密工作部门的相关规定和标准进行保护，接受学校党委保密委员会部门及上级部门监督指导。

第四十七条 本办法自发布之日起施行，由学校信息中心负责解释。