郑州电力职业技术学院网络安全和信息化建设与管理规范（办法）

第一章 总则

第一条 为加强和规范学校网络安全与信息化建设工作，促进信息资源的整合、共享与有效利用，保障网络与信息系统安全稳定运行，充分发挥信息化对学校教学、科研、管理、服务的支撑作用，根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等相关法律法规及上级部门指导意见，结合学校实际，制定本办法。

第二条 本办法适用于学校所有网络与信息系统的规划、建设、运维、使用及安全管理活动。

第三条 学校网络安全与信息化工作遵循“统一领导、统筹规划、集中管理、分级负责”的原则，实行“谁主管谁负责、谁运维谁负责、谁使用谁负责”的安全责任制。

第二章 管理机构与职责

第四条 网络安全与教育信息化工作领导小组负责审定学校网络安全与信息化的发展战略、总体规划、重大政策、技术标准和年度计划，协调解决重大问题。

第五条 教育信息化中心为学校网络安全与信息化工作主要责任部门，具体负责：

（一） 拟定学校网络安全与信息化发展规划、规章制度与标准规范；

（二） 统筹管理学校信息化项目的立项、审批、建设、验收与备案；

（三） 负责校园网络、数据中心、统一身份认证平台、数据共享平台等基础设施的建设、运维与安全防护；

（四） 组织开展信息系统安全等级保护、网络安全监测、应急响应与安全教育培训；

第六条 学校各单位（部门）主要负责人是本单位网络安全与信息化工作第一责任人，应明确分管领导与信息管理员，负责：

（一） 落实学校相关规章制度，将网络安全与信息化工作纳入本单位年度计划；

（二） 负责本单位业务信息系统的建设需求提出、应用推广、内容更新、数据维护与安全管理；

（三） 配合教育信息化中心完成信息系统备案、等级测评、安全检查及数据对接等工作；

（四） 负责本单位人员的网络安全教育和管理。

第三章 信息化项目建设与管理

第七条 信息化项目建设应遵循“硬件集群、数据集中、应用集成、安全集控”的原则，优先纳入学校统一平台管理。

第八条 所有信息化项目均须向教育信息化中心申报立项。信息化项目包含各单位信息业务系统、教学信息管理系统、科研信息管理系统等，由教育信息化中心组织需求论证和技术审核，报领导小组审批后实施。项目应明确安全保护等级，并同步规划、同步建设、同步运行安全防护措施。

第九条 项目承建方须符合学校资质要求，并签订安全保密协议。项目验收需通过中心组织的安全检测。项目建成后，所有成果及数据归学校所有。

第十条 学校建立统一数据共享平台。各单位已有或新建业务系统须按学校标准规范接入平台，确保数据权威统一、互联共享。原则上各单位不得独立建设机房、私自购置核心网络设备或服务器。

第四章 网络与信息系统安全管理

第十一条 校园网络实行统一出口、统一管理、实名认证接入。任何单位和个人不得擅自接入其他网络或利用校园网络从事经营性活动。

第十二条 教育信息化中心负责学校网络基础设施、数据中心环境及学校核心平台的安全防护。各单位负责本单位主管信息系统的应用安全、权限管理和数据安全。

第十三条 全面实施信息安全等级保护制度。中心统筹定级备案、等级测评和监督检查，各单位是所属信息系统等级保护的责任主体。

第十四条 学校网站原则上应纳入学校网站群平台统一管理。网站内容安全由开办单位负责，建立信息发布审核制度。

第十五条 终端计算机用户应落实安全防护措施，及时更新补丁、查杀病毒，妥善保管账号密码，不得处理涉密信息。教育信息化中心提供技术支持和安全检查。

第十六条 加强外包服务安全管理，签订安全保密协议，明确安全责任，规范服务过程。

第五章 数据安全与应急管理

第十七条 数据收集遵循“最少够用”原则，数据所有者是数据安全责任主体，应确保数据在全生命周期的安全。

第十八条 教育信息化中心负责制定和实施数据备份与恢复策略，定期开展演练。

第十九条 教育信息化中心负责制定学校级网络安全事件应急预案，并定期组织演练。各单位应制定本单位应急预案并报备。

第二十条 发生网络安全事件，须立即报告中心，并按照应急预案流程进行处置，做到早发现、早报告、早处置。

第六章 教育培训与责任追究

第二十一条 教育信息化中心定期组织开展面向全校师生及专业技术人员的网络安全意识教育和技能培训。

第二十二条 教育信息化中心定期对各单位网络安全工作进行检查，对发现的问题下达整改通知。

第二十三条 对违反本办法规定，造成网络安全事故或隐患的单位和个人，视情节轻重给予通报批评或纪律处分；构成犯罪的，依法移送司法机关处理。

第七章 附则

第二十四条 本办法由教育信息化中心负责解释。

第二十五条 本办法自颁发之日起施行。学校此前发布的相关规定与本办法不一致的，以本办法为准。