第一章  总  则

第一条  为全面加强湖南石油化工职业技术学院网络与信息安全管理，健全学校网络安全保障体系，提高网络安全保护能力和水平，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等国家法律法规、国家有关标准和技术规范，结合学校实际，制定本办法。

第二条 本办法所称机关各处（部）室、各二级学院（中心）（以下简称“校属各单位”）指学校党政管理机构、教辅机构、教学机构、其他党群团组织等；校园网个人用户指在校园网或学校各类信息系统实名注册的自然人。

第三条  本办法适用于非涉密计算机网络、信息系统及其附属设施、信息终端等信息资产的网络与信息安全管理。

第四条  本办法所称网络安全工作，是指由校属各单位建设和管理，服务于学校各项事业的校园网、信息系统及其附属设施、信息终端、存储介质、数据资源，以及校园网个人用户的软硬件系统及其数据资源等信息资产不被破坏，其机密性、完整性、可用性等得到保障的预防和防御等相关管理和技术工作。

第五条  学校按照“谁主管，谁负责；谁建设，谁负责；谁运维，谁负责；谁发布，谁负责”的原则建立健全安全责任体系，校属各单位、校园网个人用户均有履行网络安全的责任和义务。

第六条  学校在年度财务预算中设立网络安全专项经费，用于网络安全防护能力建设、安全设施运行和维护、信息安全等级保护、检查评估、安全教育和培训等费用的支出。

第二章  组织机构与职责

第七条 学校成立网络安全和信息化工作领导小组，负责贯彻落实国家和省市关于网络安全和信息化的部署要求，统一领导、统一谋划、统一部署全校网络安全和信息化发展工作，统筹制定网络安全和信息化发展战略、宏观规划和政策，研究解决网络安全和信息化重要问题。学校党委书记、校长是学校网络安全工作第一责任人；分管图书与信息资源中心工作的副校长为第一副组长；校党委副书记、副校长、党委委员为副组长。

第八条  领导小组下设办公室，办公室设在图书与信息资源中心，图书与信息资源中心是学校网络安全与信息化建设的具体负责部门，承担全校网络安全与信息化建设和管理职责。具体职责包括：

（一）负责学校网络安全和信息化的总体规划、建设建议；

（二）制订网络安全管理规章制度和学校信息化应用相关标准、规范；

（三）负责网络安全的日常管理，落实网络安全风险管控措施；

（四）做好网络安全应急管理工作，在紧急情况下经学校网络安全与信息化领导小组负责人批准，采取非常措施以保证学校的网络与信息安全；

（五）组织开展信息安全等级保护工作；

（六）负责网络安全的专业技术培训、监督和检查工作，开展网络安全宣传和教育工作；

（七）做好上级主管部门安排的其他工作。

第九条 校属各单位履行本单位网络安全主体责任，各单位主要负责人是本单位信息化建设与管理工作负责人，同时也是网络安全的第一责任人，信息化工作应列入部门年度工作计划，按照本办法负责本单位信息化建设的需求调研、可行性分析、立项申请、可行性论证、项目审批等管理流程，监督本单位严格按照学校相关规章制度执行信息化建设工作，项目采购工作严格按照上级和学校的财务管理、项目审批、招标采购等相关管理规定和办法执行。

第十条 校属各单位应设置一名信息化专员，负责本单位相关业务信息系统数据的采集、更新和维护，保证信息的准确性、实时性、完整性和安全性。负责本单位信息化基础设施的日常管理，学校信息化相关工作通告发布后，各单位应按时响应并反馈。校属各单位应加强信息化专员的管理，人员发生变化时应及时调整其信息系统管理权限。

第三章  校园网安全管理

第十一条 湖南石油化工职业技术学院校园网是指由学校管理的连接各信息系统及信息终端的计算机网络。校园网由图书与信息资源中心负责规划、建设、运行、维护和管理。

第十二条  校园网与互联网以及其他公共信息网络实行逻辑隔离，由图书与信息资源中心负责统一出口、统一防护和统一管理。图书与信息资源中心应采取访问控制、安全审计、入侵防范、恶意代码防范等技术措施加强校园网络边界防护。学校任何单位和个人不得自行建立或者使用其他信道进行国际联网。

第十三条  校园网接入实行实名制管理。任何人不得私自转借、转让、盗用校园网账号和口令，不得私接路由器，由此引起的一切后果由用户自行承担。

第十四条  学校的任何单位和个人未经批准，不得将校园网及其设施等承包、租赁或者变相承包、租赁给外单位及个人从事营利性活动。

第十五条  学校任何单位及个人使用计算机网络、访问或使用信息系统（数据资源）应当遵守国家有关法律、行政法规的规定，不得从事危害计算机网络与信息安全的活动。任何单位及个人均不得利用互联网、信息系统和信息终端复制、发布、传播国家法律、行政法规禁止的信息内容，学校互联网新闻以及信息内容服务按照《关于进一步提升新闻宣传质量的实施意见（试行）》（党发〔2025〕29号）文件管理。

第四章  数据中心安全管理

第十六条  数据中心是学校的重要信息化基础设施，支撑学校的关键信息系统及服务。图书与信息资源中心负责学校数据中心的运行、维护、管理和安全，采取分区、分域等安全防护措施，提供可信、可控、可查的网站和信息系统集中部署环境。

第十七条 图书与信息资源中心负责校级中心数据库、数据交换平台的数据安全管理。校属各单位负责本单位信息系统配套的业务数据库安全，必须采取相应的管理和技术措施，规范数据的收集、存储、传输和使用，对本单位业务数据库的安全负责。

第十八条  校属各单位个人信息的收集、共享和安全管理应遵守《湖南石油化工职业技术学院数据管理办法（试行）》。图书与信息资源中心负责学校数据中心数据库的备份与恢复管理，确保备份数据和备用资源的有效性。

第十九条  校属各单位使用数据应遵守《湖南石油化工职业技术学院数据管理办法》和技术标准，遵循“最少够用”原则，按需申请、有序使用。校属各单位须对获得的数据严格保密，不得收集与信息系统业务和服务无关的个人信息，不得利用数据资源从事任何与本单位信息系统应用无关或危害网络与信息安全的活动。

第二十条  校属各单位应依托学校数据中心开展信息系统建设。涉及学校基础数据、师生员工个人敏感信息的信息系统，未经图书与信息资源中心批准，不得部署在校外。

第五章  网站和信息系统安全管理

第二十一条  校属各单位的网站和信息系统接入校园网，实行审批、备案登记管理制度。

第二十二条 校属各单位在建设本单位的网站和信息系统之前，须向图书与信息资源中心申请备案。校属各单位网站和面向全校的重要信息系统应使用学校IP地址和学校域名（以“hnshzy.cn或hnshzy.com”为后缀的域名），遵守学校网站管理相关规定。已备案的网站和信息系统在下线停止运行前，须向图书与信息资源中心申请注销备案。

第二十三条 校属各单位的网站和信息系统建设因特殊情况确需使用非学校IP地址或非学校域名的，责任单位须书面报告图书与信息资源中心，并按照国家《互联网信息服务管理办法》办理备案手续，责任单位和用户基本信息及变更情况等备案材料的扫描件或复印件须报送图书与信息资源中心存档。任何单位和个人，不得私自设立互联网服务器或自建联网的信息系统对外提供服务。

第二十四条 图书与信息资源中心负责统一建设学校网站集群平台，负责入驻网站集群平台上各单位网站的网络安全。校属各单位建设本单位的网站，应选择在学校网站集群平台上部署。未入驻学校网站集群平台的网站，其网络安全由网站责任单位负责。

第二十五条 校属各单位负责本单位信息系统的权限管理及安全，各单位建设校级信息系统，应对接学校统一身份认证平台。图书与信息资源中心负责学校统一身份认证平台的建设、运维和安全管理。

第二十六条  校属各单位在规划、建设、运行网站和信息系统时，严格隔离信息系统开发环境、测试环境和运行环境，采取必要的网络安全防护措施，落实信息系统安全等级保护制度。

第二十七条  校属各单位采购信息系统或服务，应当符合相关国家标准的强制性要求，要求服务商提供相关安全保密承诺，所签订合同须明确约定持续提供项目生命周期内的系统升级、更新及漏洞修复等网络安全服务的相关条款。

第二十八条  须进行一段时间的试运行并进行安全渗透测试，通过后由项目组所在单位组织项目验收，验收通过方可正式上线运行。

第二十九条  信息化项目通过验收后，即进入运维阶段。校属各单位应根据学校的网站和信息系统安全管理、运行与维护制度，规范系统操作流程，定期备份数据，做好安全防护，安排专人监控网站和信息系统的运行状况，发现异常情况应及时向单位责任人和图书与信息资源中心报告。

第三十条  学校电子邮箱用户应遵守学校电子邮件系统管理的相关规定，妥善保管本人使用的电子邮箱账号和密码。用户对其电子邮箱账号下的所有行为负完全责任，如发现他人未经许可使用其电子邮箱，应立即报告图书与信息资源中心。

第三十一条  未经批准，任何单位和个人不得提供电子公告或论坛等交互性服务。

第三十二条  校属各单位对于使用频度低、阶段性使用的网站和信息系统，可采取非工作时间或寒暑假、节假日关闭的方式运行。对于无人管理、无力维护、长期不更新的网站和信息系统，责任单位应将其关闭以降低安全风险。

第三十三条 项目执行过程中，如因需求或环境变化需变更，项目责任单位须向图书与信息资源中心提交申请，由该中心组织评估后，按学校规定执行；如因故需终止项目，项目申请部门须在总结执行情况并制定善后方案后，报经分管校领导同意并提请学校网络安全与信息化工作领导小组审议，通过后按学校采购招标等规定办理终止手续。

第六章  信息终端安全管理

第三十四条  信息终端是指学校师生员工从事学校教学、科研、管理和服务等活动所使用的各类终端计算机及其附属设备。信息终端的使用者负有保管和安全使用的责任。图书与信息资源中心对信息终端的安全使用提供技术指导。

第三十五条  信息终端的使用人在没有获得授权的情况下，不得安装、运行需要授权才能使用的软件。安装、运行未经授权的软件带来的一切安全和法律责任由信息终端使用人承担。

第三十六条  校属各单位和个人应定期对所管理、使用的各类信息终端及其附属设备进行安全检查，采取定期备份数据、安装杀毒软件、及时更新系统补丁或升级应用软件等安全管理措施，确保信息终端的安全。信息终端使用人如发现由病毒或网络攻击导致的信息终端系统异常等安全问题，应立即切断网络连接后妥善处置，必要时向图书与信息资源中心报告。

第三十七条  学校任何单位及个人不得将涉密信息终端接入校园网或互联网，不得在连接校园网或互联网的信息终端上存储、处理、传输和发布涉密信息。

第七章  安全事件应急管理

第三十八条 学校网络和信息化工作小组是学校网络与信息安全应急工作的领导机构。图书与信息资源中心负责学校网络与信息安全应急工作的组织协调和技术保障，校属各单位负责及时处置本单位发生的网络安全事件。

第三十九条 网络安全事件实行统一报告和归口管理，校属各单位和个人发现网络安全事件应立即报告图书与信息资源中心。

第四十条 图书与信息资源中心负责制定学校网络安全事件应急预案，组建学校网络与信息安全工作应急响应技术保障队伍，提高网络安全事件的预防、预警和处置能力，预防和减轻网络安全事件造成的损失和危害。

第四十一条 图书与信息资源中心应定期组织网络安全应急演练，校属各单位应积极配合。

第八章  监督检查与责任追究

第四十二条 校属各单位和个人应当接受并配合上级网络与信息安全有关管理或执法部门依法对学校网络与信息安全工作开展的监督和检查工作。

第四十三条 图书与信息资源中心应采取技术手段对校属各单位的网站和信息系统等定期进行安全检测，对存在安全风险的责任单位和个人下达限期整改通知书，消除安全隐患。责任单位和个人未按照要求予以整改或整改不力的，图书与信息资源中心可采取关停或断网等技术手段进行处理。

第四十四条  校属各单位和个人存在未及时报告、隐瞒不报、处置不力等情况，造成非法信息传播、信息泄露等危害网络与信息安全后果的，学校将严肃追责。

第四十五条  任何单位和个人利用网络从事危害国家安全、泄露国家秘密等活动的，由国家执法机关依照国家有关法律法规处理。

第九章  附  则

第四十六条 紧急情况下，经学校网络安全和信息化工作领导小组批准，图书与信息资源中心可以采取特别技术措施以维护学校网络与信息安全。

第四十七条 本办法根据国家现行法律法规、行业政策制定，未尽事宜按上级最新规定执行；若与后续出台的国家层面政策冲突，以国家政策为准。

第四十八条本办法由图书与信息资源中心负责解释和修订，自发布之日起施行。

湖南石油化工职业技术学院

一审 陈雅菲

二审 彭奥

三审 熊伟