第一章总 则

第一条为了保障学校的网络安全，促进学校信息化建设可持续发展，根据《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例》等国家相关法律法规，结合我校实际情况，特制定本管理办法。

第二条网络安全，是指通过采取必要措施，防范对网络的攻击、入侵、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络存储、传输、处理信息的完整性、保密性、可用性的能力。

第三条网络意识形态安全是网络安全工作的重要组成部分，学校各级党委常委会应予以高度重视，认真贯彻落实上级党委关于网络意识形态工作的决策部署和指示精神。

第四条本办法适用于哈尔滨医科大学校本部以及二级单位。办法中的二级单位指大庆校区和各直属附属医院。

第二章管理机构及职责

第五条现代教育技术中心是学校网络安全的主要管理部门，在学校网络安全和信息化工作领导小组的领导下，负责校本部的网络安全管理工作。大庆校区、各直属附属医院的网络安全由各自单位的现代教育技术中心或信息中心管理，接受学校现代教育技术中心的业务指导。

第六条各单位领导班子主要负责人是本单位网络安全工作的第一责任人，领导班子成员中要有专人分管网络安全工作，同时指定专人（网络管理员）负责具体工作。相关人员调动时要做好交接工作。

第七条各单位网络管理员的职责如下：

（1）负责本单位网站或其他信息发布渠道（如公众号等）的维护工作。

（2）负责本单位终端联网用户与入网设备的统计和管理工作。

（3）负责本单位网络安全的日常监督及重大安全事件的联络工作。

（4）学校网络安全与信息化建设中涉及到需本单位支持和协调的其他各项工作。

第八条网络管理员的工作应计入所在单位的绩效考核中。

第三章工作原则

第九条全员参与原则。各单位人员应普遍参与网络安全管理，提高校内师生对网络信息安全的认识，做好事前、事中和事后的管理制度、操作流程和技术措施等预防工作，共同保障学校的网络安全。

第十条持续改进原则。网络安全管理是一种动态反馈过程，贯穿整个安全管理的生存周期。随着安全需求的变化、系统脆弱性的变化、威胁程度的提高、系统环境的变化、对系统安全认识的深化等，应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升网络安全管理等级，维护和持续改进网络安全管理体系的有效性。

第十一条管理与技术并重原则。坚持积极防御和综合防范，全面提高网络安全防护能力，紧跟国家形势政策，采用管理与技术相结合的方法，保障网络安全达到所要求的目标。

第十二条主动防护和领导小组监管相结合原则。按照“谁主管谁负责、谁使用谁负责、谁维护谁负责”的原则，各单位要对自己的网络安全负责，领导小组有责任对网络安全进行指导、监督和检查，形成自管、自查、自评和领导小组监管相结合的管理模式，提高网络安全保护能力和水平。

第四章网络接入

第十三条计算机接入网络必须符合《中华人民共和国计算机信息系统安全保护条例》的条件，符合中国教育和科研计算机网管理委员会所规定的入网条件。

第十四条计算机信息系统接入互联网，必须使用现代教育技术中心或者二级单位信息中心提供的出入带宽链路，任何单位和个人不得自行建立或者使用其他链路进行联网。本办法发布日之前已接入互联网的暂时可以维持现状。

第十五条新建的建筑物内的通信网、广播电视网、互联网等信息管线和配线设施，以及建设项目用地范围内的信息管道，需要接入网络的，应当按要求到本单位网络安全管理部门办理登记手续，统一接入哈尔滨医科大学网络。未登记备案的，不得入网。

第十六条所有接入校园网的信息终端，必须经过实名认证方可入网，网络配置由现代教育技术中心和二级单位的信息中心统一管理分配。未经许可，任何人不得更改网络配置。

第十七条所有接入校园网的信息终端，要采取有效的安全技术防护措施，各客户端计算机要有安全防护软件，计算机系统和防护软件应及时升级。

第五章信息系统管理安全

第十八条信息系统包括校本部及二级单位的所有应用系统。

第十九条物理服务器放置在校本部或二级单位信息中心机房统一管理，应配备专门人员进行维护，所有接入服务器的应用系统需具备日志备份、导出和恢复功能。日志信息要至少留存6个月。

第二十条所有服务器应采取防范计算机病毒和网络攻击、网络入侵等危害网络安全行为的技术措施。不得设置恶意程序，发现其存在漏洞、风险时，应当及时采取补救措施。

第二十一条各单位应按照网络信息安全等级保护、关键信息基础设施防护等相关要求落实各项防护措施，做好网络信息安全检查、风险评估和容灾备份，加强网络和信息系统的安全保障能力。

第二十二条现代教育技术中心和二级单位信息中心应建立检查巡查机制，定期或不定期组织开展信息系统安全演练，查找安全漏洞和隐患，对机房、网络设备、服务器等设施定期开展安全检查，更新和升级必要的服务器软件，及时安装补丁，包括操作系统、web服务器、应用中间件、数据库等，加强服务器应用的安全性。对上述检查中发现安全漏洞和隐患的，检查单位应及时下发《隐患告知书》，逾期未采取措施和提交处理报告的，检查单位应及时下发《隐患整改通知书》。对于一时难以修复或整改落实的，应当立即采取措施进行隔离，直至修复完成。

第二十三条财务管理系统、一卡通管理系统等涉及资金管理流通的信息系统应搭建专用的软硬件平台，实现与网络的物理隔离，确保系统运行环境安全。

第二十四条学校现代教育技术中心、大庆校区现代教育技术中心、各直属附属医院信息中心分别对各自管辖范围内的信息系统实行统一审批、统一建设、统一管理。其他任何单位或个人未经批准，不得自行开发建设信息系统，未经批准的信息系统，不予上线。

第二十五条网络安全是信息系统建设的重要指标，各单位建设信息系统时，应对网络安全建设遵循“同步规划、同步建设、同步运行”的原则。所有信息系统启用之前必须通过第三方安全检测机构出具检测（评估）报告，签订《网络安全责任书》并上报现代教育技术中心或二级单位信息中心备案后方可上线运行。

第二十六条各单位的网络管理员有义务参加公安机关、上级单位和学院组织的安全技术培训和考核。

第二十七条各单位的信息系统如废弃不用，应及时关停并上报现代教育技术中心或二级单位信息中心备案。

第六章信息系统使用安全

第二十八条所有信息系统必须加强用户管理，严格界定各类用户权限。管理员用户账号不得转借、转让。所有用户登录密码必须使用强密码，并对自己账户的安全负责。如网络管理员在被批准离岗后，需禁用相关系统账户。涉及关键岗位人员离岗的，应承诺调岗后的保密义务并签署保密协议书。

第二十九条BBS、论坛、聊天室、博客、微博等公众信息服务系统，以及腾讯等互联网社交平台上开办公众服务号，应报备审批。冠有“哈医大”中外文字样的应到学校党委宣传部审批，冠有“哈医大大庆校区”中外文字样的应到校区党委宣传部审批，冠有“哈医大XX院”中外文字样的应到所在院的宣传科审批。

第三十条信息系统发布信息实行信息审核制度，信息内容必须严格遵守国家相关法律，保障网络意识形态安全。严禁制作、查阅、复制或传播下列信息：

（1）煽动抗拒、破坏宪法和国家法律、行政法规实施。

（2）危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一。

（3）损害国家荣誉和利益。

（4）煽动民族仇恨、民族歧视，破坏民族团结，或者侵害民族风俗习惯。

（5）宣扬恐怖主义、邪教、封建迷信，违反国家宗教政策。

（6）捏造或者歪曲事实，散布谣言，扰乱社会秩序，破坏社会稳定。

（7）侮辱他人或者捏造事实诽谤他人。

（8）含有淫秽、色情、赌博、暴力、欺诈等内容。

（9）影响学校声誉和违反学校相关规定的信息。

（10）含有法律、法规禁止的其他内容。

第三十一条在哈尔滨医科大学网络上严禁下列行为：

（1）破坏、盗用、篡改计算机网络中的信息资源。

（2）故意泄露、窃取、篡改个人电子信息，擅自利用网络收集、使用个人电子信息，出售或者非法向他人提供个人电子信息。

（3）违背他人意愿、冒用他人名义发布信息。

（4）攻击、入侵、破坏计算机网络、信息系统及设备设施。

（5）故意阻塞、中断校园网络，恶意占用网络资源。

（6）故意制作、传播、使用计算机病毒、木马、恶意软件等破坏性程序。

（7）故意大量发送垃圾电子邮件、垃圾短信等，干扰正常网络秩序。

（8）盗用他人帐号、盗用他人IP地址。

（9）私自转借、转让用户帐号造成危害。

（10）私自开设二级代理和路由接纳网络用户。

（11）上网信息审查不严，造成严重后果。

（12）以端口扫描和私搭DHCP服务器等方式，破坏网络正常运行。

（13）私自将外网串接到哈尔滨医科大学网络。

（14）其它违反法律法规或危害网络与信息安全的行为。

第七章数据安全

第三十二条对信息系统的使用，要确保信息数据的全面性、真实性、准确性、安全性、实时性。

（1）全面性。要按照各类应用信息系统的有关要求进行数据操作，保证数据完整，避免数据的缺失。

（2）真实性。录入的信息要真实有效，严格按照应用信息系统的数据规范，进行数据的录入。

（3）准确性。准确录入相关数据，不得随意修改、增减。重要数据的修改须经审核人员同意方可修改。

（4）安全性。严格按照应用信息系统权限设置进行数据录入。

（5）实时性。数据须在规定的时间内与学校共享数据库同步，确保数据与实际业务一致。

第三十三条任何单位不得泄露、出售个人信息，包括但不限于：姓名、出生日期、身份证件号码、个人生物识别信息、职业、银行卡号、电话号码、住址等。如有需要发布个人信息的公告、公示等，严格遵守国家相关的法律法规，并明确告知征得本人同意，必要时需进行数据脱敏处理。

第三十四条由现代教育技术中心负责的数据内容，统一由学校共享数据库提供访问接口和数据服务。现代教育技术中心一般不直接向其他单位提供数据，向校外提供数据信息时，须经领导小组审批。

第三十五条在信息化系统建设时，后台数据库选型应该采用功能强大、安全、通用的正版数据库软件。数据库软硬件设施统一由现代教育技术中心或二级单位的信息中心提供并集中部署，以提高系统运行效率，加强数据信息管理。

第三十六条现代教育技术中心可以提供公共数据共享服务，应定期对数据管理人员进行安全教育、技术培训和技术考核。

第八章监督与处罚

第三十七条各单位应加强信息系统的运行维护和安全监控工作。发现重大隐患、黑客侵入痕迹等安全风险事件，按照突发安全事件应急处置预案立即向上级单位逐级上报，并在上级主管单位的领导下妥善处理。

第三十八条学校依法接受上级有关部门对网络安全、信息系统安全等级保护等工作的监督检查，接受上级有关部门对破坏网络信息基础设施、危害网络信息安全、扰乱社会秩序等违法行为进行处罚。

第三十九条因单位或个人失职、渎职造成网络安全责任事故的，由相应单位或个人承担所有责任。故意破坏网络设施、设备和系统的，需对损坏的设施设备或系统予以修复，或者照价赔偿，同时上报相关部门，追究相应责任。

第四十条对于违反本办法第四章规定的，办公室有权要求违法单位立即整改，否则停止联网，情节严重的，追究相关人员责任，由学校有关部门进行党纪政纪处分或交由国家有关部门处理。

第四十一条对于违反本办法第二十四条、第二十六条规定的，未经批准的信息系统不得上线，上线了的将予以关停，并通报办公室视具体情况处理，未按学校要求参加培训和考核且信息化系统安全性较差的单位，将予以通报批评，情节严重的，暂停信息化系统运行。

第四十二条对于违反本办法第十九条、第二十八条、第三十一条、第三十三条、第三十四条规定的，由领导小组办公室责令改正，并给予警告。拒不整改的由办公室追究相关人员责任，予以党纪政纪处分，导致危害网络安全等后果的，交由国家有关部门处理。

第四十三条对于违反本办法第三十条规定的，领导小组办公室有权要求违法单位删除不实信息或负面信息，并消除影响，造成严重后果的，由学校有关部门进行党纪政纪处分或交由国家有关部门处理。

第九章附 则

第四十四条各二级单位可在本办法基础上制定相关细则。

第四十五条本办法自发布之日起执行，由学校网络安全和信息化工作领导小组办公室负责解释。