第一章 总 则
第一条 为明确网络安全事件责任主体(以下简称“责任主体”),做好网络与信息安全事件的责任认定工作,结合学校实际情况,制定本办法。
第二条 本办法中提到的网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等对网络和信息系统或其中的数据造成危害,从而给学校和社会造成负面影响的事件,分为特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件四个级别。
第三条 网络安全事件责任认定实行“谁主管谁负责、谁使用谁负责”的原则,各单位应对本单位网络安全事件负责。
第四条 责任追究坚持公平公正、有责必究、过罚相当、教育与惩戒相结合的原则,层层负责,下级责任追究主体对上级责任追究主体负责。
第五条 本办法适用于哈尔滨医科大学校本部、大庆校区、各直属附属医院网络安全事件的追责。
第二章 追责主体
第六条 哈尔滨医科大学网络安全和信息化工作领导小组(以下简称“领导小组”)、各二级单位网络安全和信息化工作领导小组是责任追究主体,负责认定网络安全事件责任和监督实施责任处罚。
第七条 哈尔滨医科大学网络安全和信息化工作领导小组办公室(以下简称“网信办”)和各二级单位领导小组办公室对事件报告进行审核并对责任主体具体责任进行认定,发布认定结果和责任处罚措施,并向领导小组汇报。
第八条 各二级单位负责对本单位管辖范围内的网络安全事件进行责任追责,辅助学校网信办进行责任的认定。事发单位负责安全事件自查和报告的撰写。学校纪委、组织、人事部门和各二级单位相关部门依据责任认定结果进行问责。
第三章 责任追究流程
第九条 责任追究流程包括事件调查及报告撰写、事件报告审核、责任认定、申诉与结果公示、责任追究实施。
第十条 事件调查及报告撰写。特别重大、重大、较大网络安全事件由学校应急办组织有关单位和专家进行调查处理和总结评估,形成事件报告,并上报学校网信办和上级网络安全主管部门。一般网络安全事件由事件发生单位自行组织调查处理和总结评估,形成事件报告,并上报学校网信办。
第十一条 事件报告内容要真实,不得瞒报、虚报、漏报。事件报告中应当包括以下内容:
(一)事件发生的单位名称、负责人、联系电话等基本信息。
(二)事件发生的时间、地点。
(三)事件发生的简要经过。
(四)事件造成的危害程度、影响范围等。
(五)事件发生后的应急处置过程。
(六)事件的责任分析、处理意见和改进措施。
(七)其他需上报的有关事项。
第十二条 事件报告审核。学校网信办对事件报告进行审核,根据具体情况对事件责任认定。事件报告的审核重点包括:事件的事实是否清楚;证据是否确实、充分;性质认定是否准确;责任划分是否明确。
第十三条 责任认定。当事件等级为特别重大、重大、较大时,由学校网信办向领导小组和上级网络安全主管部门上交事件报告,并根据上级网络安全主管部门意见结合学校具体情况进行网络安全事件责任认定;当安全事件为一般网络安全事件时,由事发单位进行责任认定,并上报学校网信办进行审核。
第十四条 申诉与结果公示。责任主体可以在责任认定后7天内向学校网信办进行申诉。学校网信办对网络安全事件责任认定及追究处罚决定进行公示。
第十五条 责任追究实施。学校纪委、组织、人事部门和各二级单位相关部门负责责任追究实施,根据安全事件等级,事件造成的影响及相关责任主体的态度,作出如下处理:
(一)一般处理。包括对责任主体警示谈话、批评教育、责令书面检查、限期整改、将处理结果写入年度考核中,取消当年年度考核评优资格、在一定范围内通报批评、诫勉谈话等。
(二)严肃处理。对严重网络安全事件发生负有领导责任的负责人进行问责,对相关直接责任人扣发绩效工资、责令其赔偿事故损失、免职处理、党纪政务处分等。
(三)移交行政司法机关处理。严重损坏社会或国家利益的,报属地行政司法机关处理。
第十六条 网络安全事件等级在网络安全事件处理过程中有下列行为之一的,按照法律及有关规定对责任主体视情节和危害后果,由其所在单位或上级机关给予处罚。
(一)拒绝履行责任追究义务的。
(二)不按照规定及时报告、通报安全事件真实情况的。(三)拒不执行网络安全事件责任追究决定,不服从命令和指挥的。
(四)阻碍相关工作人员依法执行任务或者进行破坏活动的。
第十七条 在责任期内,网络安全责任不因负责人变化而变更或解除,接任负责人应履行相应职责。
第十八条 有下列情形之一者,减轻或不追究责任主体的责任:
(一)因不可抗力导致发生的网络安全事件。
(二)有充分证据证明完全落实了相关网络安全要求,由其他原因导致网络安全事件发生的。
(三)责任主体主动承认过错,整改态度积极并及时修补管理或技术漏洞,减少损失、挽回影响的。
第四章 附 则
第十九条 大庆校区、各直属附属医院要根据本制度制定或修订本单位网络安全责任追究办法实施细则,具体组织落实。
第二十条 本制度由学校网信办负责解释。
第二十一条 本制度自发布之日起执行。
