第一章 总 则

第一条 为深入贯彻习近平总书记网络强国战略思想，贯彻 落实《中华人民共和国网络安全法》，扎实推进我校网络安全和信 息化工作，根据学校网络安全管理工作需要，特制定本办法。

第二条 本办法所指网络（以下简称校园网）包括重庆大学 教学办公区、学生宿舍区和部分由学校建设管理的教师住宅区网 络，不包括由电信运营商自主建设运营的住宅区网络。

第三条 本办法所指信息系统指由学校及各二级单位建设管 理各类业务系统和网站。

第四条 涉密网络和涉密系统根据国家及学校的相关管理规 定单独管理，不适用本管理办法。

第二章 机构及职责

第五条 重庆大学网络安全和信息化领导小组（以下简称领 导小组）是学校网络安全管理的决策机构，领导小组办公室是领 导小组的办事机构。领导小组办公室设在党委办公室，党委办公 室主要负责人任办公室主任，党委保卫部、信息化办公室主要负责人任办公室副主任。

第六条 宣传部主要职责包括：

（一） 学校主页内容审核、发布及安全管理；

（二） 学校新闻网内容审核、发布及安全管理；

（三） 民主湖论坛舆情监控及内容管理；

（四） 校园网舆情监控及内容管理。

第七条 保卫处主要职责包括：

（一） 校园网上网行为审计；

（二） 网络安全违法违纪事件的调查；

（三） 网络安全事件处理中的对外联络与接洽。

第八条 信息化办公室负责网络安全管理和技术支撑，主要 职责包括：

（一） 校园网出口安全基础设施的建设和管理；

（二） 学校数据中心安全基础设施建设和管理；

（三） 校园网络接入安全管理；

（四） 网站群系统安全管理；

（五） 校园网络安全日常监控管理；

（六） 定期组织实施网络安全漏洞扫描及安全预警；

（七） 定期组织实施网络安全等级测评；

（八） 跨部门协调、与网络安全服务公司协调；

（九） 组织网络安全培训和教育。

第九条 虎溪校区管委会具体负责虎溪校区网络安全管理， 主要职责包括：

（一） 虎溪校区校园网出口安全基础设施建设和管理；

（二） 虎溪校区校园网络接入安全管理；

（三） 虎溪校区网络信息中心机房的网络安全管理；

（四） 虎溪校区门户及各信息系统内容及系统安全管理。

第十条 图书馆主要职责：

（一） 民主湖论坛的系统安全管理；

（二） 图书馆网络（有线部分）接入安全管理；

（三） 图书馆信息系统及网站的安全管理。

第十一条 学工部、研工部主要职责：

（一） 学工、研工信息系统及网站安全管理；

（二） “易班”系统信息安全管理；

（三） 民主湖论坛内容安全管理；

（四） 协助进行舆情监控及内容管理。

第十二条 其它二级单位主要职责包括:

（一） 本单位局域网和校园网接入安全管理；

（二） 本单位联网计算机审核（有线部分）；

（三） 本单位上网信息审核，网页内容的审核、发布及安全 管理；

（四） 本单位信息系统及网站的安全管理。

第三章 校园网安全管理

第十三条 信息化办公室总体负责校园网安全管理工作，虎 溪校区管委会具体负责虎溪校区校园网安全管理工作。

第十四条 校园网（有线部分）由信息化办公室负责在校园 网出口处实施实名上网认证，各二级单位负责接入端安全管理； 校园网（无线部分）由信息化办公室负责实施实名接入上网认证。

第十五条 信息化办公室负责学校数据中心网络安全设施建 设和管理。

第十六条 接入校园网的各单位和用户必须严格遵守执行 《中华人民共和国计算机信息网络国际联网管理暂行规定》和国 家有关法律法规，严格执行信息安全及保密相关制度。

第十七条 二级单位根据国家有关规定对上网信息进行审 查，凡涉及国家秘密的信息严禁上网。使用校园网的相关单位和 用户必须对所提供的信息负责。不得利用校园网从事危害国家安 全、泄露国家秘密等犯罪活动，不得制作、查阅、复制和传播有 碍社会治安、社会稳定的信息。

第十八条 在校园网上不允许进行任何干扰网络用户、破坏 网络服务和网络设备的活动，不得在网络上散布计算机病毒，未 经授权不得使用校园网。

第十九条 接入校园网的各二级单位需指定一名主管领导负 责本单位的网络安全工作，设立网络管理员具体负责相应的网络安全技术工作。

第二十条 校园网上所有单位和用户有义务向学校网络安全 相关部门报告网络违法犯罪行为和网上有害信息情况。

第二十一条 与校园网相关的所有单位和用户必须接受并配 合国家有关部门依法进行的监督检查。

第四章 信息系统安全管理

第二十二条 各二级单位是信息系统安全管理的责任主体， 对本单位信息系统安全负责。

第二十三条 信息系统安全遵循“同步规划、同步建设、同 步运行”的原则，信息系统的立项采购、测试验收、交付使用、 升级改造必须符合国家对网络安全等级保护的相关要求。

第二十四条 二级单位负责制定本单位信息系统安全管理策 略，加强人员安全能力与安全意识培训，落实学校网络安全要求； 确定本单位信息系统数据安全要求，明确数据访问权限，制定数 据备份机制，接入学校统一容灾备份体系。

第二十五条 二级单位负责本单位信息系统的安全运行维护 工作，按照国家关于等级保护的相关标准中规定的基本技术要求 规定，做好系统安全、角色权限、口令增强等系统管理工作，定 期进行安全检查、漏洞修补、系统升级、数据备份等安全管理工 作；信息系统一旦出现网络安全事件，二级单位应及时查处整改对多次出现安全事件的信息系统由信息化办公室暂停其网络连接 及服务。

第二十六条 信息系统的开发和运维服务外包的，应当明确 外包服务管理的部门、人员及其职责；对相关责任部门、人员应 当采取科学有效的安全管理措施，对外包服务全过程实行严格监 督和管理，确保信息安全；应与外包服务方签订安全保密协议或 合同，明确网络安全与保密责任，不得将外包服务转包，不得泄 露、扩散、转让服务过程中获知的敏感信息，不得占有服务过程 中产生的任何信息资产。

第五章 网络安全等级保护

第二十七条 根据“自主定级、自主保护”的原则，由学校 “网络安全和信息化领导小组”确定我校信息系统安全等级保护 定级方案。

第二十八条 学校“网络安全和信息化领导小组”根据主管 部门要求确定现有信息系统的具体定级等级，定级确定后按要求 报公安机关审核备案并定期开展等级测评。

第二十九条 网络安全等级保护定级、变更须由学校“网络 安全和信息化领导小组”审定，各二级单位负责准备相关备案材 料，信息化办公室负责报公安机关审核备案并组织等级测评。

第三十条 信息化办公室负责对定级为二级、三级的信息系 - 8 - 统定期进行安全检测、风险评估，并指导整改。

第六章 安全事件查处

第三十一条 网络安全事件（以下简称安全事件）包括有害 程序、网络攻击、信息破坏、信息内容安全、信息设施故障、灾 害性事件及其它危害网络及信息安全的事件。

第三十二条 校园网上所有单位和用户有义务向学校网络信 息安全相关部门报告安全事件。

第三十三条 二级单位发现安全事件或接到安全事件报告后 应在第一时间将相关情况报学校保卫处和信息化办公室。

第三十四条 学校保卫处负责安全事件的调查取证，信息化 办公室负责技术支撑，二级单位负责配合举证。

第三十五条 发生安全事件后相关部门应首先留存相关证 据，中断网络连接以减小安全事件扩散影响，在调查取证结束以 前不执行数据删除、系统恢复等操作，避免影响调查取证。

第三十六条 二级单位应建立安全事件应急处理机制，制定 应急预案，定期实施应急测试、演练和培训。

第三十七条 网络安全和信息化领导小组办公室负责对一般 安全事件责任人和责任单位进行处理，对造成重大影响和重大损 失的安全事件报请网络安全和信息化领导小组处理。若事件中存在违法违纪行为的，按照有关法律法规移送相关部门依法依规处理。

第七章 附则

第三十八条 本管理办法由学校授权网络安全和信息化领导 小组办公室负责解释。

第三十九条 本管理办法自公布之日起执行。