第一章 总则

第一条 为规范和加强学院校园网管理，提升网络管理及安全防护能力，保障校园网安全可靠运行，依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国密码法》《信息安全等级保护管理办法》《关键信息基础设施安全保护条例》《党委（党组）网络安全工作责任制实施办法》《职业院校数字校园规范》（教职成函〔2020〕3号）等相关法律法规，并结合学院实际情况，特制定本办法。

第二条 学院校园网是指在校园范围内，为教学、科研、管理和服务等工作提供资源共享、信息交流和协同工作的计算机网络，由网络基础设施、各类网站及信息系统、服务器、终端设备以及其他为学院网络应用目标和规范服务的软硬件集成系统等网络信息资产构成。

学院网络信息安全是指学院校园网及其承载信息内容的机密性、完整性、可用性、可控性和不可否认性等得到有效保护，不被网络攻击或恶意破坏。

第三条 在校园网范围内建设、运营、维护和使用的网络信息资产，在互联网上以学院名义建设、运营、维护和使用的网站及信息系统，以及学院网络信息安全的监督管理，适用本办法。

第二章 管理体制与职责

第四条 学院网络安全与信息化工作领导小组是校园网与网络信息安全的领导机构，负责统一领导、统一谋划、统一部署全校网络安全和信息化发展战略、宏观规划和重大政策，研究解决网络安全和信息化重要问题。

第五条 学院按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，实行分级管理，确保网络信息安全责任层层落实。学院党委对学院网络信息安全工作负主体责任，领导班子主要负责人是第一责任人，主管网络安全的领导班子成员是直接责任人。各二级单位主要负责人是本单位网络信息安全工作的第一责任人，履职期间须签署《菠菜导航担保网网络安全责任承诺书》（附件1）。

第六条 现代教育数字中心是校园网与网络信息安全管理的职能部门，应设立合理的校园网管理岗位与网络信息安全管理岗位，并配备符合要求的技术管理人员，负责校园网与网络信息安全的建设、运营、维护和管理，为学院各二级单位网络信息安全工作提供技术支持，开展网络信息安全的实时监测和定期检查，发现并核实网络信息安全隐患与问题，提供整改建议并跟踪整改进展。

宣传部负责校园网络信息内容的审核管理、校园网络舆情监测、校园网站建设审批、校园新媒体建设与管理等方面的工作。

第七条 各二级单位如有网络信息资产，须指派至少一名网络信息运维人员负责本单位网络信息资产运行维护、问题整改、措施落实等。

第八条 各二级单位须指派一名网络安全与信息化联络员，负责管理本单位网络与信息资产，配合有关部门开展网络信息安全检查，组织本单位网络信息安全自查，督促本单位网络信息运维人员按时完成网络信息安全问题整改等。

第九条 各二级单位网络安全与信息化联络员、网络信息运维人员岗位变动时，须及时办理相关工作交接手续，包括网络信息资产管理的访问权限、管理账户/密码、管理策略与操作规范、资产台账、运维记录文档等。相关人员名单和变动须及时报送现代教育数字中心备案。

第十条 各二级单位要及时准确做好所属网络信息资产台账的建档、维护工作，确保本单位的网络信息资产台账准确、清晰、用途明确。

第十一条 各二级单位一旦发生网络信息安全事件，须第一时间作断网处置，并及时报告党政办公室及现代教育数字中心。

第三章 网络及信息服务设施建设与管理

第十二条 网络设施是指校园内与网络相关的软硬件资源，包括校园有线网络、无线网络、运营商移动网络等，涉及弱电管网、综合布线、网络设备、安全设备、数据中心机房、域名资源、IP地址、校园网认证计费系统等。信息服务设施包括实体服务器、虚拟化服务器、云计算及存储设备、物联网设备、LED显示屏、网络打印机、联网终端设备等。

第十三条 主要网络设施，除特定子网外，由现代教育数字中心负责统一建设、运维管理，并承担网络安全管理责任。有特定子网（如实训室、教室内部网络、物联网等）的二级单位，其子网（包括室内综合布线、网络设备、终端设备）由接入单位负责建设、运维管理，并承担网络安全管理责任，现代教育数字中心负责提供校园网接入和入网技术规范指导。信息服务设施由相应主管单位负责统一建设、运维管理，并承担安全管理责任。在校园范围内，任何单位及个人未经现代教育数字中心批准不得私自架设无线网络设备。未经现代教育数字中心审核备案投入使用的，主管单位承担主要责任，并负责拆除违规设备。

第十四条 现代教育数字中心负责学院中心机房的网络运行维护。未经批准，各二级单位原则上不得单独建设机房、存储资源、计算资源等基础设施。各二级单位已建的独立数据中心机房应迁移至学院数据中心机房托管，并由各主管单位负责运维管理。经批准未迁移的自建机房由各主管单位负责管理、运行和维护，承担网络安全管理的主体责任。可纳入学院统一管理的存储资源、计算资源应按“按需申请、有序弹性扩展”的原则统一建设、管理和运维，各二级单位原则上不再分散建设通用计算和存储资源。

第十五条 学院实行校内互联网接入审批报备制度，接入单位和个人均应自觉遵守国家有关互联网的法律法规。校园网接入的设施、终端及个人用户必须执行实名制上网认证。申请接入的单位或个人应预先申请托管资源、IP 地址、域名及访问权限等。严禁任何单位或个人使用他人账户或擅自将账户转借他人，禁止使用未经审批的IP地址或网络端口，严禁私自通过搭接线缆或设置网络设备等方式非法扩展校园网。现代教育数字中心负责留存用户注册信息及上网活动记录，子网接入单位负责留存内部运行日志，保留六个月以上。

第十六条 校内所有基础建设、修缮工程、弱电管网工程应将校园网络设施纳入方案设计、建设内容和竣工验收范畴。凡涉及网络设施的项目，方案设计须由现代教育数字中心参与及审核，项目建设完成后现代教育数字中心应参与验收，相关施工图纸和文档资料应提交现代教育数字中心备案，未经现代教育数字中心审核或验收不合格的不予接入校园网。

第十七条 道路施工、管道施工、旧楼改造等工程，凡涉及到网络设施的，主管单位应提前书面通知现代教育数字中心，施工过程中应采取必要措施保护，不得危害校园网的畅通和安全。因施工对网络设施造成损坏或影响的，项目主管单位负主要责任，须责令施工方按照现代教育数字中心要求限期修复，并赔偿因此带来的损失。

第十八条 各运营商线缆及相关运营业务进驻校园，须由现代教育数字中心在学院授权下统筹规划、建设和管理，任何其他单位或个人无权与校外网络服务供应商开展谈判与合作。

第十九条 校内网络设施是学院资产，其使用和管理受国家相关法律和学院有关规定的保护。未经允许，任何单位和个人不得擅自改造、迁移、拆除和非法操作。各单位（个人）须对部署在本单位（个人）办公区（宿舍）内的网络设施的物理安全负责，后勤管理处及安全保卫处对部署在辖区公共区域内的网络设施的物理安全负责。因违反有关规定而造成网络设施损坏，责任单位或个人应负责赔偿。对恶意破坏校内网络设施的行为，交由执法部门依法处理。

第四章 信息系统安全管理

第二十条 信息系统是指除硬件设施外的各类软件及应用，包括但不限于各类信息化支撑平台、网站、应用平台、管理系统等。

第二十一条 信息系统应符合网络安全等级保护制度要求。现代教育数字中心负责统筹学院信息系统的网络安全等级保护工作，指导、协助及监督、检查各二级单位开展信息系统网络安全等级保护定级、备案、测评、整改、复测、自查等工作。

第二十二条 各二级单位应严格执行网络安全等级保护和涉密信息系统分级保护的相关规定,加强信息系统的网络信息安全工作。各二级单位必须确保应用系统数据的准确性、及时性、完整性和安全性。

第二十三条 信息系统上线前，必须通过第三方网络安全检测，完成漏洞修复与安全措施加固。各二级单位网络安全与信息化联络员应将本单位所有信息系统（含网站）登记台账提交现代教育数字中心备案。现代教育数字中心定期开展安全风险评估工作，对评估工作中发现的问题及时通报并协助完成整改、复测等工作，各二级单位应配合现代教育数字中心开展整改工作。

第二十四条 各二级单位应制定信息系统使用与维护的管理制度，规范和记录信息系统使用者和维护者的操作行为。信息系统应启用安全审计功能，监测并记录系统运行状态、操作行为及安全事件，并按照规定留存相关日志不少于六个月。

第二十五条 信息系统的相关服务设施、运维设施以及使用终端，均须配备针对网络非法入侵、病毒感染等安全威胁的防范手段与措施。信息系统运维管理应遵循“最小权限、最少服务”的原则，操作系统按需安装组件和应用程序，仅开放必要的端口与服务，及时更新系统补丁。服务主机应安装部署具有国家许可的正版计算机防病毒软件，并及时更新软件版本和病毒特征库。信息系统版本升级、补丁更新等操作应有记录文档。

第二十六条 信息系统涉及重要变更事项时，应事先制定完善的变更方案，并做好系统和数据备份，明确回退程序和应急预案，并通过相关审批流程后方可实施。

第二十七条 信息系统应制定网络安全应急保障预案，针对系统软硬件故障、人为操作失误、遭受攻击破坏等紧急情况采取相应应急处置措施，最大限度地降低负面影响。

第二十八条 各二级单位须对所属信息系统的知识产权负责，应主动使用正版软件或选用免费及开源软件，避免使用未经合法授权的软件。定制开发或以成品形式购买的信息系统，应由承建单位提供软件源代码审计证明或合法的产品使用授权证明。

第二十九条 各二级单位须对所属的信息系统服务内容的合法性、安全性负责，不得提供任何存有政治性、涉密性、完整性问题或未经合法授权的信息资源，包括但不限于数据、图片、软件、影视、音乐、融媒体作品等。

第三十条 信息系统的停用应按要求办理关停手续，妥善处置数据，回收信息资产。涉及网络安全等级保护二级以上信息系统的关停事宜，还需由现代教育数字中心向公安机关申请撤销对应的网络安全等级保护备案。

第五章 网络安全事件应急处置

第三十一条 网络安全事件是指因人为因素、软硬件缺陷故障、自然灾害等，对网络和信息系统或其中的数据造成危害，对社会造成负面影响的事件。此类事件包括但不限于有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件以及其他信息安全事件。

第三十二条 网络安全事件的应急处置按《菠菜导航担保网网络安全应急预案（试行）》的要求执行。各相关二级单位应制定并完善本单位的专项网络信息安全事件应急预案，建立并完善定期演练机制，并负责组织预防网络信息安全事件的宣传教育及培训活动。

第三十三条 各二级单位应按照相关规定及流程，及时、准确地报告网络安全事件，并采取适当措施妥善处置。若有瞒报、缓报、处置或整改不力等情况，学院将追究相关人员的责任。情节特别严重构成犯罪的，交由司法机关依法处理。

第六章 附则

第三十四条 本办法由现代教育数字中心负责解释。

第三十五条 本办法自发布之日起施行，学院原有相关规定与本办法不一致的，按本办法执行。原《菠菜导航担保网关于网络信息服务的有关规定》（闽农高职综〔2011〕30号）《菠菜导航担保网校园计算机网络管理规定》（闽农高职综〔2011〕31号）《菠菜导航担保网计算机网络安全管理暂行规定》（闽农高职综〔2011〕32号）《菠菜导航担保网学生违反计算机网络安全管理规定行为处分暂行规定》（闽农高职综〔2011〕32号）《菠菜导航担保网校园网管理制度（试行）》（闽农院综〔2021〕30 号）与《菠菜导航担保网校园网络系统安全管理制度（试行）》（闽农院综〔2021〕32 号）同时废止。