第一章 总则

第一条 为贯彻落实习近平总书记关于网络安全和信息化工作的重要讲话精神，进一步强化学校网络安全工作，提升网络安全防护能力，教育引导广大师生树立正确的网络安全观，建立健全网络安全责任体系，层层压实工作责任。根据《中华人民共和国网络安全法》《中华人民共和国计算机信息系统安全保护条例》《中华人民共和国计算机信息网络国际互联网管理暂行规定》《江西省计算机信息系统安全保护管理规定》《江西省计算机信息系统安全保护管理规定实施细则（试行)》精神，结合我校工作实际，制定本实施细则。

第二条 网络与信息系统安全关系到学校的安全稳定和广大师生的切身利益，关系到学校教学、科研和管理等各项工作的稳定运行，关系到学校信息化建设健康、持续发展，具有十分重要的战略意义。各部门（单位)应全面提高对网络与信息系统安全重要性的认识和防范意识，切实把网络与信息系统安全作为日常工作的一项重要内容。

第二章 责任划分

第三条 学校党委书记是学校网络安全与和信息化领导小组（以下简称“领导小组”）组长，是网络安全第一责任人，对学校网络安全工作负总的领导责任，同时负有组织、管理、监督、检查、奖惩的权力和责任。

第四条 学校党委副职是学校网络安全工作的直接责任人，是由南昌健康职业技术学院委员会网络安全与和信息化领导小组副组长，分管网络安全与信息化工作的学校党政副职对学校总体网络安全工作负有直接领导责任，学校其他党政副职对其管辖部门和分管工作的网络安全负有领导责任。

第五条 各部门（单位）主管信息化工作领导担任本部门（单位）网络与信息系统安全责任人，并指定专人担任网络与信息系统安全管理员，负责本部门（单位）网络与信息系统安全管理工作。

第六条 各部门（单位）网络与信息系统安全责任人应签订《南昌健康职业技术学院网络与信息系统安全承诺书》，明确各部门（单位）网络与信息安全相关重点岗位人员，如网站系统管理员、信息系统安全管理员等，并送信息中心登记备案。

第七条 各部门（单位）信息系统安全管理人员访问中心机房等重要区域，须经过信息中心网络安全管理员批准，并做好进出登记。

第三章 资产和采购

第八条 信息中心按照国家法律法规及学校有关管理制度要求，为存放在机房的服务器与网络设备提供动力、物理环境与网络接入。

第九条 各信息系统建设和管理部门（单位）应重视信息化资产的管理工作，遵守国家相关法律法规，以及学校关于资产管理的相关规定和制度，指定专人负责信息化资产管理工作。

第十条 各部门（单位）信息化相关软硬件设备的采购须严格遵守国家相关法律法规，以及南昌健康职业技术学院采购管理相关规定和制度,选择经过国家有关权威部门的安全测评和认证的产品。

第十一条 各部门（单位）信息化相关软硬件应在测试环境下经过运行测试，必须通过有国家专业资质认证的检测公司进行网络安全风险评估，检测完毕后需向信息中心提交测试合格报告，未提交测试合格报告的不得交付使用。

第四章 外包管理

第十二条 各部门（单位）采取信息系统技术外包的单位，应重视外包服务的信息系统安全管理工作，选择具有国家专业资质认证的外包服务提供商，必须在外包服务合同中明确信息系统网络安全与保密责任。

第十三条 各部门（单位）外包服务原则上不得采用远程在线方式，确需远程服务时须采取书面申请并报送至信息中心。现场服务过程中各部门（单位）须安排专人管理，并记录服务过程。外包开发的系统、软件必须通过有国家专业资质认证的检测公司进行网络安全风险评估，信息中心审核该报告有效后方可上线。

第五章 教育培训

第十四条 各部门（单位）应加强网络与信息系统安全教育，信息系统管理人员应主动参加信息中心组织的安全类专业培训。

第十五条 信息中心每年组织网络与信息系统安全管理人员和技术人员专业培训，不定期邀请专家开展网络与信息系统安全讲座。

第十六条信息中心不定期面向校园网全体师生用户开展网络安全形势与警示教育、基本技能培训等活动。

第六章 安全等级保护

第十七条 学校各网络信息系统的建设管理部门（单位）作为安全等级保护的责任主体，应当按照国家等级保护相关管理规范、技术标准确定网络信息系统的安全等级，以及各级别安全和管理的内容。涉密信息系统应当根据国家涉密信息保护的基本要求，按照学校保密工作部门有关涉密信息系统分级保护管理规定和技术标准进行保护。

第十八条 各部门（单位）对新建、改建、扩建的信息系统，建设管理单位应当在规划、设计阶段确定信息系统的安全等级，并同步建设符合该安全等级要求的信息安全设施。

新建的网络与信息系统，其建设管理部门（单位）应当在系统投入运行后7日内到信息中心办理备案手续。已运行的网络信息系统，其建设管理部门（单位）应当至信息中心补办理备案手续并确定安全等级。对于二级及以上的计算机信息系统由信息中心统一上报至公安等相关部门。

第十九条 各部门（单位）信息系统建设管理单位应当建立信息系统安全状况日常检测工作台账，定期对信息系统安全状况、安全制度及措施的落实情况进行自查，信息中心将定期开展信息系统安全检查。对于信息系统安全状况未达到安全等级要求的，各建设管理部门（单位）应当制定方案进行整改。

第二十条 各部门（单位）信息系统建设管理单位应当落实以下安全技术措施：

1.系统重要数据管理、备份、容灾恢复措施；

2.计算机病毒等破坏性程序的防治措施，防范网络入侵、攻击破坏等危害网络安全行为的措施；

3.系统运行和用户使用日志备份并保存60日以上的措施；

4.密钥、密码安全管理措施；

5.国家和江西省规定的其他安全技术措施。

第七章 隐患排查

第二十一条 信息中心定期对校园网出口对外发送大量报文的服务器或终端进行分析，发现异常将通知各部门（单位）进行处理。定期对我校应用服务器进行漏洞扫描，发现安全漏洞将及时通知并指导各部门（单位）尽快进行修复。

第二十二条 信息中心负责跟踪各类安全漏洞平台公布的涉及我校的安全漏洞及安全问题，第一时间封闭网站的外网访问及出校访问权限，通知并指导各部门（单位）进行紧急处理。

第八章 其 他

第二十三条 任何部门（单位）或者个人不得从事下列危害网络与信息系统安全的行为：

1.擅自进入、使用他人计算机信息网络；

2.擅自增加、修改、删除、复制、利用他人计算机信息网络的数据；

3.擅自增加、修改、删除、干扰、利用他人计算机信息网络的功能；

4.擅自接入、安装、拆卸或改变计算机信息网络运行环境、设备设施；

5.窃取、盗用、篡改、破坏他人网络资源；

6.故意制作、传播、使用计算机病毒、恶意软件等破坏性程序，或者制作、发布、复制、传播含破坏性程序或其机理、源程序的信息；

7.故意阻塞、阻碍、中断计算机信息网络的信息传输，恶意占用网络资源；

8.利用网络大量或者多次发送电子邮件、短信息等，干扰他人正常生活秩序或者网络秩序；

9.利用网络违背他人意愿、冒用他人名义发布信息；

10.明知本部门（单位)或本人的网络地址、主机空间等资源已被他人利用，从事可能危害网络信息安全的活动而不予制止；

11.擅自利用网络收集、使用、提供、买卖学校公共数据和他人专有信息；

12.其他危害网络与信息系统安全的行为。

第二十四条 任何部门（单位）或者个人不得利用网络制作、发布、传播含有下列内容的信息：

1.反对宪法基本原则的；

2.危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的；

3.损害国家荣誉和利益的；

4.煽动民族仇恨、民族歧视，破坏民族团结，或者侵害民族风俗习惯的；

5.破坏国家宗教政策，宣扬邪教、封建迷信的；

6.散布谣言，扰乱社会秩序，破坏社会稳定的；

7.鼓动公众恶意评论他人、公开发布他人隐私或者通过暗示、影射等方式对他人进行人身攻击的；

8.公然侮辱他人或者捏造事实诽谤他人的；

9.以非法社团名义活动的；

10.买卖法律、法规禁止流通的物品的；

11.非法买卖法律、法规限制流通的物品，对公共安全构成威胁的；

12.含有淫秽、色情、赌博、暴力、欺诈等内容，或者教唆犯罪、传授犯罪方法的；

13.含有法律、法规禁止的其他内容的。

第二十五条 学校对违反本办法的部门（单位）及个人可根据情况作以下处理：

1.警告、勒令改正；

2.中断网络3至60天；

3.关闭信息系统；

4.给予相应的行政和纪律处分；

5.对情节严重的，学校向公安部门报告，追究其法律责任。

第九章 附 则

第二十六条 本实施细则自印发之日起实施，由信息中心负责解释。