全校各部门、单位：

《武汉大学网络与信息技术安全管理办法》已经学校2020年第十次校长办公会议审议通过，现印发给你们，请遵照执行。

特此通知

武 汉 大 学

2020年9月24日

武汉大学网络与信息技术安全管理办法

第一章 总则

第一条 为做好我校网络与信息技术安全工作，提高网络与信息技术安全防护能力，保障我校教育事业健康有序发展，根据国家有关法律法规和教育部相关文件精神，结合我校实际，特制定本办法。

第二条 本办法所称网络与信息技术安全工作，是指对于由校内单位建设或管理，服务于我校教学、科研和管理的信息化基础设施、校园网、数据中心、网站和信息系统（含移动应用），为防止发生信息化设备设施故障、网络攻击、有害程序入侵、信息破坏和窃取等发生而开展的预防和整治工作。

第三条 按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，全校各单位及全体师生员工应依照本办法及其相关标准规范履行网络与信息技术安全的责任和义务。

第二章 机构与职责

第四条 信息中心是学校网络与信息技术安全工作的归口管理部门，负责学校网络与信息技术安全管理与监督工作，承担网络与信息技术安全防护体系的建设与运行维护，为全校各单位网络与信息技术安全工作提供技术指导与服务，组织开展网络安全等级保护工作。

第五条 党委宣传部负责网络信息内容的安全监管,负责校园网络舆情信息的监控和管理，协同相关单位开展网上疏导和正面宣传工作。

第六条 二级单位是本单位网络与信息技术安全工作的责任主体，主要负责人是本单位网络安全工作第一责任人，负责按本办法落实网络与信息技术安全工作。各单位应明确指定本单位网络、网站和信息系统的运行维护责任人，并将责任人名单报备信息中心，人员变动时应及时调整并报备。

第三章 校园网安全管理

第七条 校园网是指校园范围内连接各种信息系统及信息终端的计算机网络，包括校园有线网、无线网和各种专网。校园网接入互联网遵循“统一出口、统一管理”的规定，校内各单位不得擅自通过其他渠道接入互联网。

第八条 信息中心负责校园网的规划、建设、管理和运维，负责部署安全设备和采取技术措施加强校园网安全防护。网络接入单位负责提供本单位所需的网络设备间和电源保障，协助解决网络布线和设备安装所需空间，并做好安全管理。

第九条 学校所有基建、修缮工程应将工程范围内校园网建设纳入工程设计、预算、实施和竣工验收范畴，并由后勤保障部会同信息中心共同审核建设方案和设计图纸。校园网管道纳入学校地下管网统一管理，由信息中心会同后勤保障部确定规划、建设和运维方案。

第十条 师生员工接入校园网，实行“实名注册、认证上网”制度。校园网用户应文明上网，规范网络行为，并做好个人网络信息安全维护。校园网用户的上网行为不得危害到学校整体网络信息安全，严禁利用校园网从事任何无授权的探测、破坏、信息窃取等互联网攻击活动。

第四章 数据中心安全管理

第十一条 数据中心主要包括支撑各类应用系统运行的软硬件基础设施、基础数据库、数据交换平台、身份认证系统及信息门户。信息中心负责制定使用数据中心的技术规范和标准，网站和信息系统上线前必须按照技术规范标准进行安全检测，通过检测的方可上线运行。

第十二条 全校各单位应依托学校数据中心实施本单位信息化建设，涉及学校基础数据、个人信息或敏感信息的网站（信息系统），严禁部署在校外。数据中心的使用单位应遵循数据中心相关管理制度和技术标准，不得利用数据中心资源从事任何与建设项目无关或危害信息系统安全的活动。

第十三条 信息中心负责数据中心的物理安全、网络安全和主机安全，负责基础数据库和数据交换平台的建设和安全管理。各单位负责本单位业务数据库的系统、数据及所申请的共享数据的安全。

第十四条 身份认证系统为校内信息系统提供统一的身份管理、安全的认证机制和标准接口。校内各单位建设面向师生的网站（信息系统）时，应与身份认证系统进行认证集成并向信息中心备案系统信息。信息中心负责身份认证系统的安全，各单位负责本单位信息系统的权限管理及安全。

第五章 网站、信息系统安全管理

第十五条 学校各单位建设网站、信息系统（含移动应用），必须按网络安全等级保护的要求进行建设并落实网络安全防护措施。网站、信息系统（含移动应用）必须使用学校IP地址和域名。凡未经学校登记审核备案的网站和信息系统，学校将关停并注销相应IP地址和域名。

第十六条 学校网站群平台由信息中心统一建设，其技术安全由信息中心负责，各单位原则上应依托学校网站群平台建设网站；因具有特别技术要求、网站群平台无法满足功能需求等原因，需脱离网站群平台建设独立网站的，需经信息中心审批同意并落实安全措施；运行在网站群平台上的网站的内容安全由网站主管单位负责，未运行在网站群平台上的网站的技术和内容安全由网站主管单位负责。

第十七条 对于安全等级第二级以上（含第二级）的信息系统，信息中心将定期组织开展等级测评，查找、发现并及时整改安全问题、漏洞和隐患。业务管理部门作为网站、信息系统（含移动应用）的主管单位，应指定专人负责建设、运维和安全管理，并会同信息中心制定运维和安全管理方案。

第十八条 各网站、信息系统（含移动应用）的主管单位应建立值守制度，规范应急处置流程，发现运行异常及时处置。对于使用频度不大、阶段性使用的，可采取非工作时间或寒暑假、节假日关闭的方式运行。

第六章 人员安全管理

第十九条 学校各单位应建立健全本单位的岗位信息安全责任制度，明确岗位及人员的信息安全责任。关键岗位的计算机使用和管理人员应签订信息安全与保密协议，明确信息安全与保密要求和责任。

第二十条 学校各单位应加强人员离岗、离职管理，严格规范人员离岗、离职过程，及时终止相关人员的所有访问权限。

第二十一条 信息技术外包服务需求单位应与外包服务提供商签订服务合同和信息安全与保密协议，明确信息安全与保密责任，要求服务提供商不得将服务转包，不得泄露、扩散、转让服务过程中获知的敏感信息，不得占有服务过程中产生的任何信息资产。

第二十二条 信息中心负责远程在线运维管理设备的统一购置、运维和管理。信息系统运维如需采用远程方式进行，必须通过远程在线运维管理设备统一进行管理。

第二十三条 学校各单位应建立外部人员访问机房等重要区域的审批制度，外部人员须经审批后方可进入，并安排工作人员现场陪同，对访问活动进行记录和保存。

第七章 监测与处置

第二十四条 各单位定期对本单位网站（信息系统）安全状况、安全制度及防护措施的落实情况进行自查，并配合有关部门开展网络安全检查。各单位应按照学校网络和信息安全类突发事件应急预案要求，做好事发紧急报告与处置、事中情况报告与处置和事后整改报告与处置工作。

第二十五条 信息中心联合相关单位对全校各单位网络与信息技术安全工作落实情况定期进行检查，对发现的问题下达限期整改通知书。

第八章 保障措施

第二十六条 学校切实保障网络安全等级保护评测、网络安全监测和检测评估、信息系统安全升级改造和预防加固、网络安全教育培训、网络安全事件处置和安全运维等工作经费。

第二十七条 组织开展人员培训和安全教育工作。信息中心组织开展信息化管理人员和技术人员专业培训，逐步实行网络安全管理和技术人员持证上岗。各单位结合实际，积极开展面向全员的培训和宣传教育，提高安全和防范意识。

第九章 责任追究

第二十八条 学校各单位应按照信息技术安全事件报告与处置流程及时、如实地报告和妥善处置信息技术安全事件。如有瞒报、缓报、处置和整改不力等情况，学校将依法依规依纪追究相关人员责任。

第十章 附则

第二十九条 本办法自印发之日起实行，由学校网络安全和信息化领导小组办公室负责解释。