辽宁开放大学(辽宁装备制造职业技术学院)网络安全和信息化建设管理办法
辽开大字〔2026〕18号
第一章 总则
第一条 为科学、规范、高效推进学校网络安全和信息化建设工作,明确管理体制与职责分工,提高网络安全防护和信息化建设管理水平,根据国家相关法律法规及政策要求,结合我校实际,制定本办法。
第二条 本办法适用于学校网络安全和信息化建设的组织机构及职责分工、技术管理规范要求、全过程管理等事项。
网络安全工作是指为了保护由学校建设或管理的各类信息化网络硬件设施、软件平台及业务系统,防止发生网络攻击、信息破坏、有害程序入侵、信息化设备设施故障等而开展的相关管理和技术工作,不包括信息内容安全管理、网络舆情安全管理、涉密信息系统安全管理等工作。
信息化建设工作是指以信息技术为主要手段,为支撑学校教学、科研、管理等工作,依托校园网、学校域名或校内计算机设备,建设与运维信息化硬件设施、软件平台、业务系统,提供相关技术服务,实现学校工作的信息化、智能化、一体化的系统性工作。
学校信息化建设项目分为基础性、通用性信息化项目和业务性、专用性信息化项目两类。其中基础性、通用性信息化项目是指学校网络基础设施(校园网、数据中心等网络设施)、公共计算机房、校级数字资源建设设施、网络安全设施、基础软件系统和通用软件平台建设项目,以及重要业务系统的建设和集成对接项目;业务性、专用性信息化项目是指各部门为开展部门负责的业务而进行的各类信息化设施及业务系统软件、网站等建设项目。
第三条 学校网络安全和信息化建设遵循“统一领导、统筹规划、归口管理、分级负责、共建共享”的原则。建立学校网络安全和信息化领导小组(以下简称“领导小组”)统一决策,网络安全和信息化领导小组办公室(以下简称“网信办”)统筹协调,信息技术部门提供技术支持,业务部门分工负责,多部门协同联动的工作机制。
第二章 组织机构与分工
第四条 学校网络安全和信息化领导小组是学校网络安全和信息化工作的领导与决策机构。其工作职责如下:
(一)战略规划与决策部署
1.全面贯彻落实国家、上级主管部门关于网络安全和信息化工作的法律法规、方针政策、战略规划和重大决策部署。
2.负责制度学校网络安全和信息化工作的中长期发展战略、总体规划和重大改革方案。
3.负责统筹协调学校网络安全和信息化建设中的重大建设项目、重要资源配置、关键政策制定等事项。
(二)统筹协调与机制建设
1.统筹协调学校网络安全和信息化建设全局性工作,明确校内各职能部门、教学单位、直属机构在网络安全和信息化工作中的责任分工、协作关系和任务要求。
2.协调解决网络安全和信息化工作推进过程中出现的跨部门、跨领域重大问题和矛盾。
(三)安全保障与风险管控
1.领导学校网络安全体系建设,制定学校网络安全管理办法、应急预案和重大安全防护措施。
2.对学校重大网络安全事件的处置与应对进行决策指挥,并根据相关法律法规进行信息安全事件的责任认定。
3.推动网络安全宣传教育与培训工作,提升全校师生员工的网络安全意识和防护技能。
第五条 网信办是领导小组的日常办事机构,负责学校网络安全和信息化建设的综合协调和归口管理,网信办主任由分管信息化工作的校领导兼任,网信办副主任由信息技术部门负责人兼任,网信办主要职责如下:
(一)综合协调管理
1.负责处理领导小组的日常事务,筹备组织领导小组工作会议,落实会议决议。
2.承担领导小组与校内各单位、上级网信部门之间的日常联络与协调工作。
(二)网络安全管理
1.负责落实领导小组关于网络安全工作的决策部署,具体组织实施网络安全防护体系建设、日常监测、漏洞排查、风险评估和整改加固。
2.建立健全学校网络安全监测预警、信息通报、应急响应和处置恢复的工作机制与流程,并具体执行。
3.负责学校网络与业务系统(网站)的登记备案、安全检测、等级保护定级备案与测评整改工作的具体管理。
(三)信息化项目管理
1.根据领导小组批准的发展规划,牵头拟定具体实施方案并组织实施。
2.负责学校信息化项目的统筹管理,包括项目审核、过程监督、技术协调,并参与项目验收。
3.为全校各部门和单位信息化建设与应用提供技术指导、咨询服务和必要的支持。
4.组织研究制定或修订学校信息化相关技术标准、数据标准和管理规范,并推动实施。
5.推进学校数字资源的整合、共享、开放与利用,促进数据治理和服务创新。
(四)宣传与培训
1.组织开展网络安全和信息化建设相关宣传教育活动,普及网络安全知识,推广信息化应用成果。
2.关注网络安全和信息化建设技术发展动态,开展校内外调研交流,为领导小组决策提供信息支持。
第六条 学校设立网络安全和信息化专家组,聘请高校信息技术部门、网络安全和信息化技术主流厂商等相关领域副高级以上人员,负责对学校网络安全和信息化建设规划、项目、技术方案和标准等提供技术咨询、论证与审核。专家由网信办负责聘任,聘请专家报酬按学校《专家报酬发放管理办法(试行)》执行。
第七条 学校信息技术部门负责网信办日常工作,负责学校基础性、通用性网络安全和信息化项目的建设工作。
第八条 学校各部门是本部门网络安全和信息化工作的责任主体,是部门网络安全工作的日常管理机构,是学校信息化建设落地实施、应用推广的执行机构,工作职责如下:
(一)遵循“谁主管谁负责,谁使用谁负责”原则,负责牵头开展本部门职责范围内业务所对应的信息化建设工作,包括信息化建设项目的需求调研、规划编制、立项申报、采购实施、应用与管理、日常运维等工作,并对信息化项目的建设质量、应用成效及网络安全负责。
(二)负责提供规范、准确、完整的业务系统数据,并配合信息技术部门开展系统互联互通、数据共享交换工作。
(三)负责建立本部门网络安全和信息化工作责任体系,确定一名中层干部负责本部门网络安全和信息化工作,确定一人担任部门网络安全员,具体负责部门网络安全和信息化日常工作,并负责与学校信息技术部门对接联络,落实相关工作要求。
第三章 网络安全建设与管理
第九条 学校网络基础设施(校园网、数据中心等网络设施)由信息技术部门统一规划、建设和管理,各部门及个人不允许建设、更改、损毁、挪用学校网络基础设施;校园网由信息技术部门统一提供网络出口;各部门和个人不允许私自连接外网出口,不允许与运营商、互联网服务提供商订立相关协议。
第十条 学校各部门改变校园内现有楼宇或房间用途进行改造装修,涉及网络线路或设备的,应在设计、施工前与信息技术部门进行沟通协商,以统筹学校网络基础设施建设,保障校园网安全畅通。
第十一条 校园网入网实行实名制,学校用户必须通过学校统一身份认证系统接入校园网,不允许单独建立用户认证系统,未经登记不允许私自接入校园网,严禁盗用账号使用校园网。
第十二条 信息技术部门负责学校数据中心的建设、运行、维护和管理,负责数据中心的物理安全、网络安全和主机安全;各部门负责本部门申请使用的服务器和人工智能算力资源及其软件的安全管理,负责本部门管理的业务系统数据的定期备份、恢复测试及敏感信息的安全管理;各部门应规范本部门人员对服务器和人工智能算力资源的使用和管理,不允许利用申请的服务器和人工智能算力资源从事任何与申请项目无关或危害网络系统安全的活动。
第十三条 信息技术部门对学校数据中心的使用实施准入管理,在学校数据中心运维的软件平台及业务系统应按照国家信息安全等级保护要求完成测评;各部门新建的软件平台及业务系统应进行网络安全定级备案并通过相应级别的等级保护测评才能上线运行;未通过测评的软件平台和业务系统须经网信办批准才能上线运行,并在要求期限内完成测评和整改。
第十四条 学校各类软件平台及业务系统应依托学校数据中心运行,使用学校IP地址及域名,并进行登记备案,不得采取校外云服务方案;对于需要使用校外云服务建设的信息化项目,须经网信办批准,由项目建设部门协调云服务商开展网络安全管理并承担相应网络安全责任。
第十五条 学校网站群平台由信息技术部门统一建设和运维;网站群平台的技术安全由信息技术部门负责,网站群平台内各站点的管理及其内容安全由网站管理部门负责;未通过网站群平台建设的网站,其技术安全及内容安全均由网站管理部门负责。
第十六条 各部门应按照学校“信息技术安全事件报告与处置流程”(见附件1)的要求,做好信息技术安全事件的报告与处置工作,及时公布和更新本部门网络安全和信息化管理人员和联系方式。
第十七条 信息化建设中所涉及的个人信息,必须按照国家相关法律法规进行严格保护,任何部门及个人不允许违法违规采集、存储、使用和处理各类个人信息。
第十八条 信息技术部门负责组织开展学校网络安全技术培训工作,各部门应安排相关人员参加,并在本部门开展培训,共同提高全校教职工的网络安全防范意识和水平,培养良好的网络安全素养。
第四章 信息化项目建设与管理
第十九条 项目申报
(一)项目申报部门根据学校信息化发展规划和自身业务需求,编制项目申报材料并提交至学校项目管理部门,由学校项目管理部门根据项目归口管理分工,将信息化项目划分给信息技术部门初审。各部门在申报信息化项目时还需提交《信息化项目申报内容确认表》(见附件2)。
(二)信息技术部门根据信息化项目审核内容与要求,
对申报项目进行初审,并将通过初审的项目提交网信办审核。
(三)网信办根据信息化项目审核内容与要求,对申报项目进行审核,对通过审核的项目进行排序,将相关材料上报领导小组审批。
(四)网信办将领导小组审批通过的项目及排序情况提交学校项目管理部门,纳入学校项目总体安排。
第二十条 项目采购与实施
(一)项目建设部门根据《辽宁开放大学(辽宁装备制造职业技术学院)招标采购管理办法(试行)》要求进行采购与实施,经网信办审核后,由项目建设部门部门开展招标采购。
(二)项目建设部门负责项目的具体实施管理。
第二十一条 项目验收
网信办安排人员参与学校信息化项目的验收,根据《辽宁开放大学(辽宁装备制造职业技术学院)采购项目履约验收管理办法(试行)》进行实施,负责审核信息化项目相关要求的落实情况。
第二十二条 审核内容与要求
(一)战略规划符合性审核
信息化项目应符合国家教育系统及学校信息化发展规划要求,未列入学校信息化发展规划的项目原则上不列入建设计划。
(二)项目建设重复性审核
申报项目的建设内容如与学校已有或在建项目的内容类似,需说明与上述项目的关系,避免功能重叠或重复投资。
(三)技术架构符合性审核
项目技术方案须明确能够实现与学校统一身份认证中心、主数据平台、统一门户等公共技术平台的对接,原则上业务系统不得另行建立身份认证体系;涉及电子审批流程的,应优先通过学校统一服务大厅实现,不得另行建设或应用审批系统;移动应用须集成至学校官方移动平台,原则上不得另行建设APP;采取的软硬件架构应与学校已有架构匹配,不得采用学校尚未建设但需要大量基础设施支持才能运行的技术架构。
(四)技术标准统一性审核
项目所采用的数据编码、接口规范须符合学校相关技术标准或与学校技术标准对接,确保系统能够互联互通。
(五)数据共享性审核
软件及平台类项目应要求供应商提供详尽的数据字典并配合进行数据对接和共享;原则上业务系统应通过学校数据共享平台获取数据,杜绝重复采集或系统独立形成数据孤岛。
(六)信息化设施集约使用性审核
学校信息化项目所需的服务器、存储、网络等基础设施由信息技术部门统一采购并提供服务;业务系统原则上均应部署于学校数据中心并使用数据中心虚拟化资源,未经网信办和领导小组批准不得采取校外云服务方案。
(七)网络安全合规性审核
项目申报单位须根据项目应用范围和数据情况,在项目招标时明确要求中标方产品须满足国家网络安全等级保护相应级别要求,并须免费配合学校完成信息系统网络安全定级备案、等级保护测评与整改工作,确保系统符合国家网络安全规定要求。
(八)运维保障持续性审核
项目预算中须包含不低于三年的软件和硬件的维保费用,维保范围至少涵盖故障修复、性能优化、安全漏洞修补、系统升级等技术服务;信息化项目须在立项时明确系统管理员。
(九)自主研发适用性审核
对于功能相对简单、业务流程明确、不涉密的业务系统建设需求,适合采用校内自有开发平台或站群系统开发的,优先采用学校自主开发方式建设。
第二十三条 项目运维与终止
(一)业务系统管理部门须安排人员及时更新软件系统与服务器补丁,定期做好数据备份与内容更新,并按学校要求做好运维保障工作。
(二)因技术淘汰、业务变更等原因停止使用的软硬件系统,系统管理部门须做好必要的数据迁移或备份,及时关闭系统,通知信息技术部门回收相关资源,并按学校相关规定进行资产处置。
第五章 附则
第二十四条 本办法由网信办负责解释。
第二十五条 本办法自发布之日起施行。原《辽宁开放大学(辽宁装备制造职业技术学院)信息化建设管理办法(试行)》(辽开大字〔2021〕99号)、《辽宁开放大学(辽宁装备制造职业技术学院)网络安全管理办法》(辽开大字〔2023〕63号)同时废止。
附件1:信息技术安全事件报告与处置流程(试行)
附件2:信息化项目申报内容确认表
附件1
信息技术安全事件报告与处置流程(试行)
为了加强学校网络安全工作,及时掌握和处置信息安全事件,协调相关力量做好应急响应处理,降低安全事件带来的损失与影响,维护正常工作秩序和营造健康的网络环境,根据国家相关文件,结合学校实际,制定本流程。
第一章 总则
第一条 信息技术安全事件的定义。根据《信息安全事件分类分级指南》(GB/Z209862007,以下简称《指南》),本流程中所称的信息技术安全事件(以下简称安全事件)是指《指南》中除信息内容安全事件以外的有害程序事件、网络攻击事件、信息破坏事件、设备设施故障、灾害事件等信息安全事件。
第二条 适用范围。本流程适用于在我校管理的软硬件设施中发生的信息安全事件的报告与处置工作。
第二章 安全事件等级划分与判定
第三条 安全事件等级划分。根据《指南》,将安全事件划分为四个等级:特别重大事件(I级)、重大事件(Ⅱ级)、较大事件(Ⅲ级)和一般事件(Ⅳ级)。
第四条 安全事件判定。我校各部门一旦发生安全事件,应根据《指南》,视信息系统重要程度、损失情况以及对工作和社会造成的影响自主判定安全事件等级并报告学校信息技术部门网络安全联系人(具体联系方式见相关通知)。
信息技术部门在接到报告后,根据事件情况做出进一步判定,必要时应及时报告网信办和领导小组判定。
第三章 安全事件的报告与处置
第五条 Ⅰ至Ⅲ级安全事件的报告与处置。报告与处置分为三个步骤:事发紧急报告与处置、事中情况报告与处置和事后整改报告与处置。
(一)事发紧急报告与处置
1.学校教职工一旦发现上述安全事件,应根据实际情况第一时间采取断网等有效措施进行处置,将损害和影响降到最小范围,保留现场,并报告本部门网络安全管理人员(各部门网络安全管理人员包括部门负责人、部门负责网络安全的中层干部和网络安全员,联系方式由各部门负责通知本部门全体人员)。
2.各部门网络安全管理人员接到报告后,应立即组织相关人员赶赴现场进行紧急处置,同时以口头通信的方式将相关情况报告信息技术部门,并书面记录安全事件发现过程及口头汇报过程,涉及人为主观破坏事件应同时报告学校保卫部门。
3.信息技术部门接到报告后,应做好书面记录,并进一步判定安全事件等级,对确认属Ⅰ至Ⅲ级安全事件的,应报告网信办,并由网信办确定是否报告领导小组。
4.紧急报告内容包括:①时间地点;②简要经过;③事件类型与分级;④影响范围;⑤危害程度;⑥初步原因分析;⑦已采取的应急措施。
5.对确认属Ⅰ至Ⅲ级安全事件的,信息技术部门应立即组织相关技术力量赶赴现场进行协助处置工作。
涉及人为主观破坏事件的,学校保卫部门应组织人员赴现场协助处置,并协助公安机关做好相关取证和处置工作。
6.各部门应及时跟进事件发展情况,出现新的重大情况应及时补报。
(二)事中情况报告与处置
1.事中情况报告应在安全事件发现后6小时内以书面报告的形式进行报送(具体内容见附件1.1)。
2.事中情况报告由事件发生部门组织编写,由部门负责人签字并加盖公章报送信息技术部门。涉及人为主观破坏事件的,事中情况报告应抄送给保卫部门。
3.安全事件的事中处置包括:及时掌握损失情况,查找和分析事件原因,修复系统漏洞,恢复系统服务,尽可能减少安全事件对正常工作带来的影响。如果涉及人为主观破坏的安全事件应由保卫部门联系、配合公安部门和学校保卫部门开展调查。
(三)事后整改报告与处置
1.事后整改报告(具体内容见附件1.2)应在安全事件处置完毕后4个工作日内以书面报告的形式进行报送。
2.事后整改报告由事件发生部门组织编写,由部门负责人审核后,签字并加盖公章报送信息技术部门。
3.安全事件事后处置包括:进一步总结事件教训,研判安全现状、排查安全隐患,进一步加强制度建设,提升安全防护能力。如涉及人为主观破坏的安全事件应继续配合公安部门和学校保卫部门开展调查。
第六条 一般安全事件(Ⅳ级)报告与处置。各部门发生一般安全事件,应及时、自主组织应急处置工作;需要信息技术部门协助的,联系信息技术部门予以协助。在事件处置完毕后6天内向信息技术部门报送整改报告。
第七条 预警类信息的报告与处置。
各部门要及时完成国家、地方信息安全部门以及学校信息技术部门通报的预警类信息的处置工作。
第四章 配套制度与机制
第八条 人事变更报告。为保障联络通畅,各部门负责网络安全工作的中层干部、网络安全员及联络方式发生变更的,应及时向信息技术部门报备。
第九条 相关配套机制。各部门应根据实际建立本部门的值守制度,做到安全事件早预警、早发现、早报告、早控制、早解决。各部门应建立健全本部门安全事件应急处置机制。
第十条 问责制度。各部门应按照流程及时、如实地报告和妥善处置安全事件。如有瞒报、缓报、处置和整改不力等情况,学校将进行问责处理。
第十一条 整改落实机制。发生安全事件后,要认真做好整改落实工作,坚持做到事故原因不查清不放过、整改措施未落实不放过、责任人员未受到教育或处理不放过,尽力杜绝类似事件再次发生。
第五章 附则
第十二条 本流程自发布之日起施行,由网信办负责解释。
附件1.1:信息技术安全事件情况报告
附件1.2:信息技术安全事件整改报告
