关于印发《湖南农业大学

网络与信息安全管理办法》的通知

校属各单位：

《湖南农业大学网络与信息安全管理办法》已经学校审定，现印发给你们，请遵照执行。

特此通知。

                               湖南农业大学

                              2025年1月9日

湖南农业大学网络与信息安全管理办法

第一章  总  则

第一条  为加强湖南农业大学网络与信息安全管理，健全学校网络安全保障体系，提高网络安全保护能力和水平，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等国家法律法规、国家有关标准和技术规范，结合学校实际，制定本办法。

第二条  本办法所称校属各单位指学校党政管理机构、群团组织、直属单位、教学机构等；校园网个人用户指在校园网或学校各类信息系统实名注册的自然人。

第三条  本办法适用于非涉密计算机网络、信息系统及其附属设施、信息终端等信息资产的网络与信息安全管理。

第四条  本办法所称网络安全工作，是指由校属各单位建设和管理，服务于学校各项事业的校园网、信息系统及其附属设施、信息终端、存储介质、数据资源，以及校园网个人用户的软硬件系统及其数据资源等信息资产不被破坏，其机密性、完整性、可用性等得到保障的预防和防御等相关管理和技术工作。

第五条  学校按照“谁主管，谁负责；谁建设，谁负责；谁运维，谁负责；谁发布，谁负责”的原则建立健全安全责任体系，校属各单位、校园网个人用户均有履行网络安全的责任和义务。

第六条  学校在年度财务预算中设立网络安全专项经费，用于网络安全防护能力建设、安全设施运行和维护、信息安全等级保护、检查评估、安全教育和培训等费用的支出。

第二章  组织机构与职责

第七条  湖南农业大学网络安全与信息化领导小组是学校网络安全工作的领导机构，全面负责学校网络安全工作的指导、协调和监督。学校党委书记是学校网络安全工作第一责任人，分管信息化工作的校领导协助学校主要负责人履行学校网络安全职责。

第八条  信息与网络中心（信息化工作办公室）（以下简称“信息中心”）是学校网络安全工作的主要负责单位和技术保障部门，具体职责包括：

（一）制订网络安全总体规划并组织实施；

（二）制订网络安全管理规章制度和学校信息化应用相关标准、规范；

（三）负责网络安全的日常管理，落实网络安全风险管控措施；

（四）做好网络安全应急管理工作，紧急情况下经学校网络安全与信息化领导小组负责人批准，采取非常措施以保证学校的网络与信息安全；

（五）组织开展信息安全等级保护工作；

（六）负责网络安全的专业技术培训、监督和检查工作，开展网络安全宣传和教育工作；

（七）做好上级主管部门安排的其他工作。

第九条 校属各单位履行本单位网络安全主体责任，各单位主要负责人是本单位网络安全工作第一责任人，负责按照本办法落实各项网络安全保障措施，确保本单位网络与信息系统及其附属设施的安全。

第十条 校属各单位应建立健全本单位网络安全岗位责任制，明确指定本单位的信息安全联络员，及时报送信息中心备案，并签订网络与信息安全责任状。信息安全联络员对所管理的网站和信息系统的安全运行承担直接责任。校属各单位应加强信息安全联络员的管理，人员发生变化时应及时调整其信息系统管理权限。

第三章  校园网安全管理

第十一条  湖南农业大学校园网是指由学校管理的连接各信息系统及信息终端的计算机网络。校园网由信息中心负责规划、建设、运行、维护和管理。

第十二条  校园网与互联网以及其他公共信息网络实行逻辑隔离，由信息中心负责统一出口、统一防护和统一管理。信息中心应采取访问控制、安全审计、入侵防范、恶意代码防范等技术措施加强校园网络边界防护。学校任何单位和个人不得自行建立或者使用其他信道进行国际联网。

第十三条  校园网接入实行实名制管理。任何人不得私自转借、转让、盗用校园网账号和口令，不得私接路由器，由此引起的一切后果由用户自行承担。

第十四条  学校的任何单位和个人未经批准，不得将校园网及其设施等承包、租赁或者变相承包、租赁给外单位及个人从事营利性活动。

第十五条  学校任何单位及个人使用计算机网络、访问或使用信息系统（数据资源）应当遵守国家有关法律、行政法规的规定，不得从事危害计算机网络与信息安全的活动。任何单位及个人均不得利用互联网、信息系统和信息终端复制、发布、传播国家法律、行政法规禁止的信息内容，学校互联网新闻以及信息内容服务按照《湖南农业大学信息发布管理办法》管理。

第四章  数据中心安全管理

第十六条  数据中心是学校的重要信息化基础设施，支撑学校的关键信息系统及服务。信息中心负责学校数据中心的运行、维护、管理和安全，采取分区、分域等安全防护措施，提供可信、可控、可查的网站和信息系统集中部署环境。

第十七条  信息中心负责校级中心数据库、数据交换平台的数据安全管理。校属各单位负责本单位信息系统配套的业务数据库安全，必须采取相应的管理和技术措施，规范数据的收集、存储、传输和使用，对本单位业务数据库的安全负责。

第十八条  校属各单位个人信息的收集、共享和安全管理遵守《湖南农业大学数据管理办法（试行）》。信息中心负责学校数据中心数据库的备份与恢复管理，确保备份数据和备用资源的有效性。

第十九条  校属各单位使用数据应遵守数据中心管理制度和技术标准，遵循“最少够用”原则，按需申请、有序使用。校属各单位须对获得的数据严格保密，不得收集与信息系统业务和服务无关的个人信息，不得利用数据资源从事任何与本单位信息系统应用无关或危害网络与信息安全的活动。

第二十条  校属各单位应依托学校数据中心开展信息系统建设。涉及学校基础数据、师生员工个人敏感信息的信息系统，未经信息中心批准，不得部署在校外。

第五章  网站和信息系统安全管理

第二十一条  校属各单位的网站和信息系统接入校园网，实行审批、备案登记管理制度。

第二十二条  校属各单位在建设本单位的网站和信息系统之前，须向信息中心申请备案。校属各单位网站和面向全校的重要信息系统应使用学校IP地址和学校域名（以“hunau.edu.cn”为后缀的域名），遵守《湖南农业大学网站管理办法（试行）》的相关规定。已备案的网站和信息系统在下线停止运行前，须向信息中心申请注销备案。

第二十三条  校属各单位的网站和信息系统建设因特殊情况确需使用非学校IP地址或非学校域名的，责任单位须书面报告信息中心，并按国家《互联网信息服务管理办法》办理备案手续，责任单位和用户基本信息及变更情况等备案材料的扫描件或复印件须报送信息中心存档。任何单位和个人，不得私自设立互联网服务器或自建联网的信息系统对外提供服务。

第二十四条  信息中心负责统一建设学校网站集群平台，负责入驻网站集群平台上各单位网站的网络安全。校属各单位建设本单位的网站，应选择在学校网站集群平台上部署。未入驻学校网站集群平台的网站，其网络安全由网站责任单位负责。

第二十五条  校属各单位负责本单位信息系统的权限管理及安全，各单位建设校级信息系统，应对接学校统一身份认证平台。信息中心负责学校统一身份认证平台的建设、运维和安全管理。

第二十六条  校属各单位在规划、建设、运行网站和信息系统时，严格隔离信息系统开发环境、测试环境和运行环境，采取必要的网络安全防护措施，落实信息系统安全等级保护制度。

第二十七条  校属各单位采购信息系统或服务，应当符合相关国家标准的强制性要求，要求服务商提供相关安全保密承诺，所签订合同须明确约定持续提供项目生命周期内的系统升级、更新及漏洞修复等网络安全服务的相关条款。

第二十八条  校属各单位建设的信息系统需通过安全检测后方可上线。

第二十九条  校属各单位应制订本单位的网站和信息系统安全管理、运行与维护制度，规范系统操作流程，定期备份数据，做好安全防护，安排专人监控网站和信息系统的运行状况，发现异常情况应及时向单位责任人和信息中心报告。

第三十条  学校电子邮箱用户应遵守学校电子邮件系统管理的相关规定，妥善保管本人使用的电子邮箱账号和密码。用户对其电子邮箱账号下的所有行为负完全责任，如发现他人未经许可使用其电子邮箱，应立即报告信息中心。

第三十一条  未经批准，任何单位和个人不得提供电子公告或论坛等交互性服务。

第三十二条  校属各单位对于使用频度低、阶段性使用的网站和信息系统，可采取非工作时间或寒暑假、节假日关闭的方式运行。对于无人管理、无力维护、长期不更新的网站和信息系统，责任单位应将其关闭以降低安全风险。

第六章  信息终端安全管理

第三十三条  信息终端是指学校师生员工从事学校教学、科研、管理和服务等活动所使用的各类终端计算机及其附属设备。信息终端的使用者负有保管和安全使用的责任。信息中心对信息终端的安全使用提供技术指导。

第三十四条  信息终端的使用人在没有获得授权的情况下，不得安装、运行需要授权才能使用的软件。安装、运行未经授权的软件带来的一切安全和法律责任由信息终端使用人承担。

第三十五条  校属各单位和个人应定期对所管理、使用的各类信息终端及其附属设备进行安全检查，采取定期备份数据、安装杀毒软件、及时更新系统补丁或升级应用软件等安全管理措施，确保信息终端的安全。信息终端使用人如发现由病毒或网络攻击导致的信息终端系统异常等安全问题，应立即切断网络连接后妥善处置，必要时向信息中心报告。

第三十六条  学校任何单位及个人不得将涉密信息终端接入校园网或互联网，不得在连接校园网或互联网的信息终端上存储、处理、传输和发布涉密信息。

第七章  安全事件应急管理

第三十七条  学校网络与信息安全领导小组是学校网络与信息安全应急工作的领导机构。信息中心负责学校网络与信息安全应急工作的组织协调和技术保障，校属各单位负责及时处置本单位发生的网络安全事件。

第三十八条  网络安全事件实行统一报告和归口管理，校属各单位和个人发现网络安全事件应立即报告信息中心。具体职责分工按照《湖南农业大学安全生产与消防工作“一岗双责”管理规定》（湘农大党发〔2021〕52号）执行。

第三十九条  信息中心负责制订学校网络安全事件应急预案，组建学校网络与信息安全工作应急响应技术保障队伍，提高网络安全事件的预防、预警和处置能力，预防和减轻网络安全事件造成的损失和危害。

第四十条  信息中心应定期组织网络安全应急演练，校属各单位应积极配合。

第八章  监督检查与责任追究

第四十一条  校属各单位和个人应当接受并配合上级网络与信息安全有关管理或执法部门依法对学校网络与信息安全工作开展的监督和检查工作。

第四十二条  信息中心应采取技术手段对校属各单位的网站和信息系统等定期进行安全检测，对存在安全风险的责任单位和个人下达限期整改通知书，消除安全隐患。责任单位和个人未按照要求予以整改或整改不力的，信息中心可采取关停或断网等技术手段进行处理。

第四十三条  校属各单位和个人存在未及时报告、隐瞒不报、处置不力等情况，造成非法信息传播、信息泄露等危害网络与信息安全后果的，学校将严肃追责。

第四十四条  任何单位和个人利用网络从事危害国家安全、泄露国家秘密等活动的，由国家执法机关依照国家有关法律法规处理。

第十章  附  则

第四十五条  本办法由信息与网络中心负责解释。

第四十六条  本办法自发布之日起施行，原《湖南农业大学网络与信息安全工作实施方案》（湘农大通〔2017〕76号）同时废止。

湖南农业大学党政办公室                       2025年1月9日印发