第一章  总则

第一条 为保证学校信息系统的安全，根据《中华人民共和国计算机信息系统安全保护条例》和《中华人民共和国网络安全法》，结合学校信息系统建设实际情况，特制定本制度。

    第二条 本制度中所称的信息系统是指学校各级部门建设的信息系统，包括各类应用系统、网站（含非学校域名，非学校IP）等。

    第三条 学校信息系统总体依照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则进行管理，同时必须有专人负责系统日常管理和维护。

第二章  系统建设、管理和使用

    第四条 信息系统建设部门根据工作需要,在学校统一规划下开展信息系统建设工作。要对系统的安全风险进行专业评估，确保系统自身安全。

第三章  物理安全

    第六条 学校网络信息化部门、后勤部门和安全保卫部门负责保障校园信息网络基础设施的物理安全。

    第七条 物理安全主要涉及到信息系统所需网络基础设施和硬件的电磁安全、介质安全、设备安全、动力安全、环境安全等。

    第八条 物理安全主要采取的安全措施包括电磁屏蔽（例如：防雷击、防辐射）、容灾备份（例如：数据双机热备份、远程备份等）、设备防护、可靠供电（包括UPS）等。

第四章  系统安全

    第九条 学校网络信息化部门全面负责学校信息系统安全体系建设与管理。部署入侵检测、入侵防御、漏洞扫描、病毒防护网关、流量监控、网络设备运行监控等系统进行实时监测，实时掌握系统运行状况，一旦发现异常，根据安全事件级别启动相应应对方案。

    第十条 为确保信息系统安全稳定运行，系统建设部门承担着所辖系统的服务器操作系统（OS）、信息系统自身的安全管理与维护责任，主要包括：

1、每月对服务器操作系统和信息系统进行安全漏洞扫描，及时发现最新安全问题，通过升级、打补丁或加固等方式解决。敏感期或重大病毒爆发期，要酌情提高漏洞扫描的频率。

2、根据系统需要，对信息系统的文件和数据做好备份策略，保障系统故障时能快速恢复并避免数据丢失。建立系统故障时应急恢复预案。

    3、加强密码管理。系统用户使用的口令应满足以下要求：1）8个字符以上；2）使用以下字符的组合：a-z、A-Z、0-9，以及!@#$%^&*()- +；3）口令每三个月至少修改一次。

    4、服务器操作系统安装防病毒软件和开启防火墙，关闭不需要的服务端口。

第五章  内容安全

    第十一条 学校宣传部门总体负责信息内容的安全管理工作，网络信息化部门提供技术支持，信息系统的建设、管理与使用部门负责所辖系统的内容安全管理。

    第十二条 内容安全主要实现对校园信息内容的隐藏、发现、分析和管理等，主要采取的措施包括信息检索、数据挖掘、特定信息过滤（例如色情、暴力等不良网络信息）、网络舆情信息分析与处理等。

第六章  系统变更与注销

第十三条 在信息系统相关内容（比如系统名称、系统功能、系统管理员、关键产品的使用、系统安全情况等）发生变化时，系统建设部门需在变更后一周内向网络信息化部门登记备案。

第十四条 如果信息系统不再提供相关服务，需要关闭停止的，系统建设部门需向网络信息化部门提出书面申请，待审核通过后，立即予以注销。如因长时间无人管理致使系统产生安全漏洞，造成的损失由建设部门承担法律后果。

第七章  惩处

    第十五条违反本管理制度，将提请学校视情节给予相应的批评教育、通报批评、行政处分或处以警告、以及追究其他责任。触犯国家法律、行政法规的，依照有关法律、行政法规的规定予以处罚；构成犯罪的，依法追究刑事责任。

第八章  附则

    第十六条 本制度由信息中心负责解释。

    第十七条 本制度自印发之日起施行