第一章总 则

为进一步加强学校信息化建设、完善学校信息化管理体制，加快学校教育教学信息化进程，依据《教育信息化“十四五”发展规划》、《教育信息化2.0行动计划》等文件以及全国教育大会、全国网络安全和信息化工作会议精神，结合我校实际，特制定本办法。

第一条网络安全管理是指为使由学校建设、运行、维护或管理并支撑学校教学、科研和管理等各项事业的信息资产的安全性、完整性、可用性等得到保护、不被破坏所开展的相关管理和技术工作。

第二条学校按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，建立健全学校网络安全责任体系，学校各部门、全体师生员工应依照学校要求及学校相关标准规范履行网络安全的义务和责任。

第三条学校网络安全和信息化工作坚持“统筹规划、分步推进；应用驱动、重点突破；规范标准、共建共享；统一管理、监管到位”的原则。

第四条网络安全和信息化建设与管理包括：

（一）信息化标准建设与管理

包括信息化基础设施建设标准、应用系统建设标准、数据标准、信息安全标准等信息化相关标准的制定、维护和实施。

（二）信息化基础设施建设与管理

包括建设与管理校园信息网络基础设施、信息化基础平台、基础数据库、教学资源库、学习空间和云计算平台等。

（三）网络安全建设与管理

安全建设包括：物理安全、网络安全、主机安全、应用安全和数据安全。安全管理包括：安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理。

（四）信息化应用建设与管理

包括建设与管理信息化应用、教学信息化应用、科研信息化应用和服务信息化应用等多方面应用。

第五条加强网络意识形态管理。加强校园网络文化建设、运用微信、微博等新媒体，做大做强网上正面思想舆论，提高网上议题设置能力和舆论引导水平，提升校园网络平台的吸引力和黏着力。

第二章组织机构和职责

第六条设立以学校书记、校长为双组长的“四川水利职业技术学院网络安全和信息化工作领导小组”（以下简称“校网信领导小组”）对学校网络安全和信息化工作进行统一领导和协调；下设网络安全和信息化工作办公室，办公室设在信息技术中心（简称校网信办，以下同），作为学校网络安全和信息化建设与管理的监督协调机构；学校各部门指定专人负责本部门网络安全和信息化建设与管理工作。

第七条校网信领导小组是学校网络安全的领导机构，负责统筹学校网络信息安全工作。宣传统战部负责校园网舆论环境管理、官方微博和官方微信等新媒体管理，指导学校校园网络文化建设和网络精神文明建设，履行对网络意识形态工作的组织、协调等职责。

第八条校网信领导小组职责为：

（一）对学校网络安全和信息化工作进行统一领导和协调；

（二）审定、批准学校网络安全和信息化建设与管理工作的规章制度；

（三）审核学校网络安全和信息化建设与管理工作的总体规划；

（四）指导网络安全和信息化办公室正确履行工作职责；

（五）研究决定网络安全和信息化建设与管理工作中的重大事项；

（六）对网络安全事件的责任部门和责任人提出处理意见；

（七）审定、批准数据资产管理、数据标准的规章制度；

（八）负责学校网络安全和信息化工作的考核；

（九）统筹推进学校软件正版化工作。

第九条信息技术中心是网络安全技术支撑部门，负责学校网络安全防护体系的建设、运行维护、技术指导和服务支持。

第十条学校各二级部门是本部门网络安全工作的责任主体，各部门主要负责人是本部门网络安全工作第一责任人。

第十一条网络安全和信息化工作办公室职责为:

（一）负责在网信领导小组的领导下开展网络安全和信息化建设工作，贯彻执行领导小组形成的各项决议；

（二）负责学校网络安全和信息化建设与管理工作的规章制度起草、修改与完善；

（三）负责学校网络安全和信息化建设与管理工作的总体规划起草、修改与完善；

（四）负责网络安全和信息化办公室履行工作职责；

（五）负责网络安全和信息化建设与管理工作中的重大事项总体规划起草、修改与完善；

（六）负责数据资产管理、数据标准的规章制度起草、修改与完善；负责学校数据资产的管理和建设，数据标准的制定，数据集成、数据维护和数据安全的管理；

（七）负责信息化建设管理、项目管理、标准体系建设；

（八）负责校园计算机网络、信息化基础平台、信息系统的综合集成，基础数据库等信息化平台的建设、运行维护和技术服务；

（九）负责网络信息安全的管理和信息安全技术支持与服务；

（十）负责学校信息化建设成果的宣传、推广和应用；

（十一）开展对各部门网络安全和信息化建设工作检查；

（十二）负责制定信息化工作考核办法，针对网络安全和信息化项目的建设和执行情况统一监督、检查和考核。

（十三）完成领导小组交办其他事项。

第十二条学校各部门按照学校网络安全和信息化工作的规划和制度要求，负责本部门网络安全和信息化建设与管理工作；负责本部门信息化项目的建设和管理；负责本部门业务数据库建设管理工作；负责本部门信息系统的质量管理、使用培训、应用推广和运行反馈。

第三章信息化项目的建设与管理

第十三条本办法中所称信息化项目，指以计算机、网络、通信、信息安全及其它信息技术等为主要技术手段，包括自主研发、引进试点、推广完善、第三方投资等方式建设的校园信息网络（含弱电间、弱电管沟、运营商线路和设施）等基础通信设施、大型管理信息系统、基础数据库、网络与信息安全保障体系、教学管理和教学资源系统、信息化标准体系、信息系统运维、信息化相关的支撑体系和基础平台等建设项目。

第十四条信息化项目的建设遵循“统筹规划、互联互通、资源共享、安全保密”的原则，在统一网络、统一出口、统一平台、统一门户、统一认证，统一数据交换，统一论证采购的基础上，由信息技术中心统一配置学校所需的基础设施（包括基础网络、机房、机柜、服务器、存储、系统支撑软件和系统安全保障等网络资源、计算资源、存储资源、软件资源和安全资源），项目建设部门不再另行采购基础硬件、系统支撑软件及各类云计算和信息安全产品等基础设施。新的应用系统应依托学校云平台建设，防止盲目投资和重复建设。

第十五条信息化项目管理统一规范

信息化项目管理统一规范包括：统一规划、统一技术标准、统一信息标准、统一使用规范等内容。

（一）统一规划。校内各部门的相关业务系统建设作为智慧校园的子系统要纳入学校的总体规划之中，所有建设项目必须遵循学校的总体规划，由校网信领导小组审议决策，由校网信办组织技术评估和论证。

（二）统一技术标准。各新建业务系统在建设实施时必须统一技术标准，在智慧校园信息平台的基础上实施系统开发和采购，以保证各子系统与学校智慧校园平台和数据平台的无缝集成，实现服务和数据的集成共享。

（三）统一信息标准。统一信息编码是实行数据共享的基础，所有系统（新建、已建）均须按照学校信息化标准执行。该标准由校网信办根据学校的实际情况调研、起草和完善，由校网信领导小组审批后实施。

（四）统一使用规范。为确保学校数据共享平台建成后数据的权威性，基础信息建设部门必须遵照《四川水利职业技术学院数据管理暂行办法》及时更新、维护数据，对所属应用系统进行有效维护和管理。

第十六条信息化项目管理流程

信息化项目管理流程包括：项目技术论证、项目立项、项目实施、项目验收、项目移交、项目检查、项目应用评估等。

（一）项目技术论证

网信办负责学校信息化项目按年度进行项目立项技术论证。在每年度提交第二年财务预算之前，将项目申请和项目建设方案提交校网信办，各部门申报的信息化项目必须符合学校发展规划和本部门的实际需求。学校各部门根据本部门业务范围及信息化需要，研究提出信息化项目建设申请，拟定项目建设方案。信息化项目涉及多个部门共建的，由牵头部门提出项目建设申请。校网信办负责组织专家及相关职能部门对申请项目进行必要性、可行性、紧迫性和技术性论证后，提交校发展规划与质量管理处对已论证项目进行审批。未通过论证审批的项目不得纳入学校财务后备库预算。

（二）项目建设要求

1.新建项目应在项目建设书中明确提出对云平台相关资源的需求。如：计算需求、网络需求、存储需求以及对其他二级部门共享数据的需求。

2.新建项目应在项目建设书中说明可用于共享的数据项，准确说明共享数据所在的数据库表、字段名称、数据格式和标准等，申报可共享的数据项，特别需要说明数据的接口方式以及共享条件和范围。明确所涉及的数据、数据源、数据字段标准、数据存储以及交换方式。

3.项目建设部门应根据国家关于信息安全等级保护和涉密信息系统分级保护的有关规定，加强信息化项目的信息安全工作。项目建设部门应在信息化项目的需求分析报告和建设方案中，同步落实等级保护和分级保护的相关要求，形成与业务应用紧密结合、技术上自主可控的信息安全解决方案；项目建设中应切实落实有关信息安全解决方案，完成相关的建设内容；信息化项目建设任务完成后试运行期间，应联系信息技术中心开展信息安全风险评估工作。

4.信息化项目数据资源共享设计应符合《四川水利职业技术学院数据管理暂行办法》的要求，信息化项目建设应为学校智慧校园和数据中心开放接口调用、数据共享等基本功能。

（三）项目验收

信息化项目验收由国有资产管理处按照相关文件组织相关部门和相关专家参与验收，验收时须有信息技术中心的相关技术人员参加。验收内容包括但不限于：信息化项目预期目标、网络安全、数据对接、数据标准、单点登录、信息孤岛等多方面内容。

对已完成项目执行情况采取两种方式进行检查：一是项目实施部门进行自查并将自查结果上报学校网络安全和信息化建设委员会进行评估，自查报告应包含：全面、客观地评价项目建设的应用效果，对项目建成投入使用后的运行情况和效果进行综合检验，客观分析和评价项目对学校管理、教学、科研等方面的提升作用。项目自查和总结工作每年至少开展一次。二是校网信办对项目实施部门进行现场验收，每三年至少开展一次项目检查和评估工作。重点检查项目建设质量、项目实际应用情况，并组织相关专家组听取重点项目汇报，进行现场调研，提出整改意见和检查结论，形成全校信息化项目应用效果评估报告。

第四章数据资产管理

第十七条数据责任部门是指校内各业务系统的主管部门；数据使用部门是指校内需要使用数据中心数据信息的部门。数据责任部门须提供所负责系统的全量数据、数据字典与数据接口，与学校大数据中心进行对接，并实现数据实时或定时自动同步。

第十八条数据责任部门负责本部门业务系统数据的准确性、完整性和安全性，负责本部门业务系统数据的生产、维护、发布、备份和归档。学校教职工和学生基础数据由相关业务系统的责任部门共同维护。

第十九条数据采集、导入、预处理、导出、使用、挖掘、分析过程需符合学校《四川水利职业技术学院数据管理暂行办法》有关规定。

第二十条数据使用部门须确保数据实际用途与所申请用途一致。数据使用部门须确保数据的安全，严禁外传、泄露。

第二十一条数据责任部门要加强共享数据的安全防护，切实保障数据共享交换时的数据安全;提供部门和使用部门要确保数据资源采集、共享、使用时的准确性、完整性和安全性。

第五章网络安全管理

第二十二条信息化项目建设必须落实网络安全等级保护制度，保护基础设施、信息系统和数据免受攻击、侵入、干扰和破坏。

第二十三条学校网络与信息安全管理工作分为网络安全、系统安全和内容安全三个方面。网络安全是指校园网基础设施的安全，包括：通信线路、路由器、交换机、数据中心等网络设备；系统安全是指承载校内各种应用系统的操作系统、软件运行环境以及系统数据的安全；内容安全是指通过网络信息服务方式发布的各种信息中具体内容的安全。

第二十四条网信办负责网络安全，保障校园网的畅通运行和各网络设施的正常运转。宣传统战部负责学校官方网站、官方微信、官方微博内容安全，参考《四川水利职业技术学院网站管理办法》。学校各部门负责部门系统安全和内容安全，做好操作系统和软件的升级、数据备份和业务系统内容安全。

第二十五条信息化软件系统开发合同中必须明确与开发方订立软件系统和数据的保密条款，或签订单独的保密协议。

第二十六条信息化软件系统中的信息以及学校的共享数据必须由大数据中心严格授权、合法使用，确保学校各类数据资源的安全。

第二十七条校园网用户必须遵守国家有关法律法规，不得利用校园网从事违反国家法律法和学校规章制度的活动。网信办有权按照国家的网络安全管理规定，记录用户上网行为，并配合公安机关的要求，提供用户上网记录。

第二十八条校园网用户必须对自己的统一身份认证账号和上网账号加强管理，防止他人盗用后在网上进行非法活动。如出现他人盗用账号造成违法后果的，账户所有者负有管理责任。

第六章追责问责

第二十九条各部门要彻底消除部门信息孤岛，对出现的信息孤岛问题要落实追责问责。存在下列情形之一的，各主体责任部门应当逐级倒查，追究当事人、主体部门负责人直至主要负责人责任。协调监管不力的，还应当追究综合协调或监管部门负责人责任。

（一）新建信息化系统没有及时备案，无法接入大数据中心的；

（二）新建信息化系统，没有提供全量数据接入大数据中心或不提供全量数据字典的；

（三）新建信息化系统，提供全量数据接入大数据但拒不提供全量数据字典的；

（四）已建信息化系统已经接入大数据中心，但没有使用（但无实时数据更新），无法提供数据的；

（五）更改信息化系统属性，以及其他非信息化类别建设的信息化系统的。

第三十条各单位所发布的一切信息必须符合中华人民共和国法律法规，内容真实有效。凡因虚假、反动、色情等内容而引起的一切后果均由报送、发布部门承担，如属个人因素影响信息发布工作将追究相关责任。

第三十一条严肃问责。对出现的网络安全问题要落实追责问责。存在下列情形之一的，各主体责任单位应当逐级倒查，追究当事人、网络与信息安全负责人直至主要负责人责任。协调监管不力的，还应当追究综合协调或监管部门负责人责任。

（一）重要的网站和信息系统被攻击篡改，没有及时报告和组织处置的；

（二）发生重要敏感数据泄露的；

（三）信息基础设施安全保护不到位的；

（四）瞒报网络安全事件，对发现的问题和风险隐患不及时整改的；

（五）发生其他严重危害网络安全行为的。

第三十二条责任区分。实施责任追究应当实事求是，分清集体责任和个人责任。追究集体责任时，领导班子主要负责人和分管负责人承担主要领导责任，领导班子其他成员承担其分管业务领域的领导责任。其他部门工作人员应当根据工作职责承担相应的责任。

第三十三条各部门要加快落实网络与信息安全责任落实，逐级明确职责，做到分工明确、责任到人。不得通过委托工作等方式转移、转嫁主体责任。

第七章附则

第三十四条本办法自发布之日起实施，由网络安全和信息化工作领导小组办公室解释。学校原有相关规定与本办法不一致的，按本办法执行。试行期限为1年。