第一章  总  则

第一条  为保障网络与信息系统安全稳定运行，规范网络与信息系统管理，依据《湖南信息学院校园网络与信息系统安全管理办法》与《湖南信息学院网络安全与信息化建设应用管理办法》规定，结合我校实际，制定本办法。

第二条  网络与信息系统管理包括校园网络管理、信息系统管理、数据管理和授权管理。

第三条  本办法适用我校网络与信息系统的管理。

第二章  校园网络管理

第四条  校园网络是学校信息化基础设施，学校各部门和个人须按照国家相关法律法规及学校管理制度使用网络。

第五条  校园网络运行执行国家实名认证和上网行为审计制度。

第六条  信息中心负责学校网络基础设施、基础服务的运行管理，负责校园无线网络频谱管理。

第七条  旧楼拆迁或改造涉及校园网络设施变动，须预先通报信息中心，做好相应处置。

第八条  后勤服务中心负责保障弱电间网络供电和设备安全。

第九条  对校园网络主干设备或网络基础服务做较大幅度调整前，须事先做好充分论证和准备工作，制定具体实施方案，履行审批手续和提前用户告知义务。

第十条  为保障校园网络总体安全稳定运行，必要时信息中心可以对局部网络采取临时管制措施。

第三章  信息系统管理

第十一条  信息系统管理的原则遵循“业务谁主管，系统谁建设，管理谁负责”。

第十二条  信息中心负责公用硬件设备和公共基础支撑平台的运维与管理，各部门负责本部门信息系统和相关硬件设备的运维与管理。

第十三条  信息中心负责全校统一的安全防护和数据备份容灾工作，各部门负责各自应用系统的安全防护和防灾备灾工作。须定期检测系统，及时发现并修复漏洞。

第十四条  各部门新建应用系统正式上线运行前，须由专业评测机构进行功能测试、性能测试和安全测试。

第十五条  各信息系统必须配备一名系统管理员，业务上接受信息中心的指导和监督。

第十六条  信息中心每年组织信息系统管理员的业务培训，各部门负责各自应用系统的用户培训。

第四章  数据管理

第十七条  学校工作中产生的数据是学校的无形资产，学校拥有所有权、管理权和使用权。

第十八条  数据管理须遵循真实、准确、完整、规范和及时的原则。所有数据及数据库建设须严格执行国家及学校信息化标准与规范。

第十九条  信息中心负责全校共享数据库建设，负责共享数据库的管理、运维和应用工作。各部门负责本部门数据库管理、运维和应用。

第二十条  各部门应指定专人负责数据库的管理，严格进行数据库授权。

第二十一条  各部门应做好各自数据库的数据监控和数据审计工作。对数据的修正、补充、更新、删除等操作行为做好实时记录并保留三年。

第二十二条  各部门须制定本部门信息系统的数据备份制度，做好数据备份工作。

第二十三条  上级部门、校外部门、校内部门和个人需要数据时，各数据主管部门依照相关规定和程序执行。

第二十四条  未经批准，任何部门和个人不得擅自对外提供信息系统的内部数据和共享数据。对于违反规定的部门和个人，依照相关法律法规和制度进行处理。

第五章  授权管理

第二十五条  学校各类管理信息系统、网站、教学资源系统、用户服务系统、公共支撑平台等信息系统须严格执行授权管理。

第二十六条  信息系统授权实行分级分类管理，学校公共信息系统或平台的授权管理由信息中心负责，各部门信息系统的授权管理由信息系统所属部门负责。

第二十七条  信息系统的授权管理应依据学校岗位职务安排，在规定时间内授予或撤销用户相应的信息系统权限。

第二十八条  信息系统在授予管理员或用户权限时，应根据管理员或用户所在岗位的工作职责范围，授予相应的信息系统权限。

第二十九条  信息系统的授权用户应严格按照授权开展工作，并做好档案记录。

第三十条  信息系统的系统管理员应保持相对稳定，重要岗位实行一岗双人互备的工作机制，同时应签署《湖南信息学院数据安全保密协议(校内)》约束岗位职责。

第三十一条  信息系统所属部门应将系统管理员名单、联系方式及变更信息及时上报信息中心备案。

第三十二条  信息系统由第三方公司维护,由使用部门经学校授权后和第三方维护公司签署《湖南信息学院网络及信息系统安全责任保密协议(校外)》，交信息中心存档备案。

第六章  附  则

第三十三条  本办法由学校信息中心负责解释，自发布之日起施行。

附件：

1、《湖南信息学院网络及信息系统安全责任保密协议(校外)》

2、《湖南信息学院数据安全保密协议(校内)》

附件1：

湖南信息学院

网络及信息系统安全责任保密协议(校外)

项目名称：                         

甲    方：      湖南信息学院       

乙    方：                         

乙方必须严格遵守湖南信息学院学院网络信息安全管理规定和管理办法，合理、规范、安全地使用计算机、网络、数据和信息资源。乙方承诺在管理、开发、实施、维护维修项目的过程中，承担安全责任如下：

第一条  乙方对系统的硬件、操作系统、网络承担安全责任。包括但不限于：(1)保障硬件系统的安全运行状态；(2)对操作系统进行漏洞修补、安全更新；(3)对系统所需的各类网络协议与服务端口进行安全设置；(4)对数据进行备份和加密；(5)对病毒、木马程序及网络上出现的各类攻击手段进行事前防范、应急响应、事后处置等工作。最大限度地保障系统所用软硬件环境的安全。

第二条  乙方对所提供的信息系统及相关辅助软件(如数据库、Web容器、第三方组件等)承担安全责任。包括但不限于：(1)符合学校信息安全技术要求，对学校信息安全环境和其他系统不造成负面影响；(2)对系统进行严格的安全检测、并对安全事件和隐患进行处置；(3)负责落实甲方对系统提出的安全工作指令。

第三条  乙方对乙方工作人员的技术行为承担安全责任。包括但不限于：(1)在对系统进行建设、开发、安装、维护等各类必要的工作过程中，不得在服务器上安装各类与建设维护内容无关的软件(如QQ、支付宝、各类游戏等)；(2)不得在服务器上进行与建设维护内容无关的各类操作(如打游戏、查询股票等)；(3)必须按照甲方提供的登录方式进行工作，不得擅自开启任何后门程序进入；(4)在系统上线之后进行维护操作对系统访问产生影响的，应知会甲方，为甲方提供合理的业务处置时间；(5)做好账号管理工作，防止账号泄露、侵入等事件的发生；(6)履行甲方的安全责任有关要求。

第四条  乙方对安全检测、应急响应和安全事件处置承担责任。包括但不限于：(1)对系统进行经常性的安全检测和监控(每季度不少于一次)，并将结果以书面形式报告给甲方；(2)系统被检测出或发生安全问题时，乙方必须在1小时内做出响应，24小时内完成应急处置，有效防止损失的进一步扩大，负责承担湖南信息学院产生的相关损失。

第五条  乙方无法在规定时间内响应和完成相关安全工作时，甲方可自行组织开展相关工作，由乙方承担相关费用。

第六条  本协议一式六份，甲方业务部门、乙方、学校信息中心各执两份，经双方签字确认后生效。乙方若违反本协议自愿承担湖南信息学院因此而产生的相关损失。

附件2：

湖南信息学院数据安全保密协议(校内)

第一条  由业务系统管理员担任责任人。

第二条  责任人必须严格遵守湖南信息学院相关管理规定，合理、规范、安全地使用计算机、网络、数据和信息资源。责任人承诺在管理、开发、实施项目的过程中，视所接触到的资料、数据和项目信息为保密内容，承担保密责任。

第三条  来源于湖南信息学院的所有资料、数据和项目信息，包括但不限于教职工、学生个人身份信息、湖南信息学院组织架构信息、教学、科研、管理、服务等相关业务信息，以及项目建设内部文件、建设规划和建设方案资料。

第四条  责任人未经允许，不得访问、删除、修改、增加、复制、备份、摄录、摘抄、打印数据和资料，不擅自传播保密信息。

第五条  责任人保存数据、资料的存储介质(云盘、U盘、终端存储等)不可交由其他人使用，或作其它用途，必须妥善保管，严防丢失。

第六条  责任人未经允许，不得进行影响系统运行的操作，如关闭主机(设备)、关闭关键服务、大量数据查询、修改数据库、修改系统配置等。

第七条  责任人对自己管理的账号，必须加强密码管理，管理员账号需使用字符、数字、符号组合的复杂密码，长度不小于8位，口令30天定期更换。

第八条  存有保密信息的介质(硬盘、U盘、磁盘、闪存、光盘等)如需送到单位外维修时，要将涉密资料备份后，对介质进行技术处理(如低级格式化、写零处理等)，以防泄密。

第九条  责任人在承担项目工作完成以后，不得保留保密信息的副本，一切关于保密信息数据的资料销毁或返还信息提供部门，保证信息不会外流；责任人承诺若中途不再从事项目有关工作，仍对保密信息承担保密责任。

第十条  责任人因违反保密协议而给学校带来相应的经济或其他损失，学校有权视其情节轻重给与开除并经济追责的处理决定，构成犯罪的，移交司法机关处理。

第十一条  责任人的保密义务自本协议盖章之日起开始生效，至保密信息完全公开或被公众知悉时终止。责任人的保密义务并不因双方合作关系的解除而免除。

第十二条  本责任书一式三份，责任部门、责任人、信息化中心各执一份，经签字确认后生效。