第一章 总 则
第一条 为进一步加强暨南大学网站建设、运行和管理的规范化和制度化,促进网站健康发展,依据《中华人民共和国网络安全法》《中华人民共和国计算机信息系统安全保护条例》《信息安全等级保护管理办法》等相关法律法规,结合学校实际情况,制定本办法。
第二条 本办法所称网站是指暨南大学各单位建立的或与合作机构以暨南大学名义建立的网站和以网页(Web)形式提供服务的各类业务系统。
第三条 暨南大学网站的建设、运行和管理实行“统一领导、统筹规划、分工协作、各负其责”的原则。
第四条 本办法适用于暨南大学各单位(含附属机构)。
第二章 定义和分类
第五条 根据网站运行位置不同,主要分为以下二类:
(一)校园网站,指在学校拥有管理权、处置权的环境内运行、使用学校官方域名和互联网地址(IP)的网站。即域名和互联网地址(IP)均属于学校管理范畴的网站;
(二)“双非”网站,指在学校管理范畴之外建设运行、不使用学校官方域名、不使用学校所属互联网地址(IP)但归属权属于学校的网站。即由各单位自主建设或委托建设,内容与单位业务相关,但域名和互联网地址(IP)均不属于学校管理范畴的网站;
各类新媒体帐号自建后端服务的,其后端系统同样属于校园网站或“双非”网站。
第六条 根据网站功能定义不同,主要分为以下二类:
(一)信息发布类网站,指用于发布信息以实现形象展示和宣传的网站;
(二)业务系统类网站,指根据单位业务及工作开展需要,采用动态语言及数据库技术,能对信息进行收集、传递、存储、加工、维护和使用的网站。
第七条 根据网站服务对象不同,主要分为以下二类:
(一)面向师生服务类网站,指服务对象为学校师生员工,不需要校外人员浏览或登录使用的网站;
(二)面向社会服务类网站,指服务对象为学校师生员工及社会组织、企业、机构或人员,允许非本校人员浏览或登录使用的网站。
第八条 每个网站根据运行位置、功能定义及服务对象确定唯一类别。
第三章 管理机构与职责
第九条 暨南大学各网站管理遵循“谁主管谁负责、谁使用谁负责,谁运营谁负责”的原则,网站所属单位为网站主管单位,网站主管单位党政主要负责人为网络安全第一责任人。
第十条 网站的建设、运行和管理由暨南大学网络安全与信息化领导小组统一领导。暨南大学网络安全与信息化领导小组办公室负责统筹规划,组织网站审批、建设管理、内容监管、安全防护的分工协作。
基层单位网络安全与信息化领导小组负责下属单位网站的管理协调,网站主管单位负责网站的申报建设和日常维护。
第十一条 学校网站群系统由网络与教育技术中心负责底层维护与技术保障,各单位负责网站内容建设与管理。
第四章暨南大学中英文官方网站职责分工
第十二条 暨南大学中英文官方网站的建设、管理和维护由党委宣传部、党政办公室、网络与教育技术中心共同负责。
第十三条 暨南大学中英文官方网站规划及建设方案、栏目设置和版面设计方案由网络与教育技术中心制订,由党委宣传部和党政办公室共同审核;学校其他单位根据官方网站栏目设置情况提供本单位业务和服务对应的素材。
第十四条 党委宣传部对暨南大学中英文官方网站行使以下职责:
(一)审核与发布中文官方网站动态新闻栏目的内容;
(二)审核英文官方网站的内容,并提供动态新闻栏目里的中文素材;
(三)提供官方网站的图片素材,并审定形象设计方案。
第十五条 党政办公室对暨南大学中英文官方网站行使以下职责:
(一)审核中文官方网站的校情信息;
(二)审核英文官方网站的校情信息。
第十六条 网络与教育技术中心对暨南大学中英文官方网站行使以下职责:
(一)制订暨南大学中英文官方网站的建设方案,拟定栏目设置和版面设计方案;
(二)审核学校公告、校园专题等栏目内容,负责官方网站的技术支持和保障工作;
(三)协调学校相关部门提供官方网站各栏目所需的内容。
第五章 审批及上线
第十七条 各单位在规划建设校园网站时应当向网络安全与信息化领导小组办公室咨询和报批,并应在签订合同前3个工作日向网络安全与信息化领导小组办公室提出正式申请。未经报批和申请的网站不得上线运营。
第十八条 如无特殊需求,信息发布类网站统一使用学校网站群系统,采取自主建设或委托建设两种方式。确有特殊需求的,须向网络安全与信息化领导小组办公室提出申请,经学校网络安全与信息化领导小组批准后再予建设。
第十九条 如无特殊需求,原则上不得建设“双非”网站。确需建设运营的,须向网络安全与信息化领导小组办公室提出申请、签署《“双非”信息系统(网站)网络安全承诺书》,经学校网络安全与信息化领导小组批准后再予建设。网站上线前,须向学校网络安全与信息化领导小组办公室提供域名注册及服务器托管、ICP备案、互联网站备案、采购服务合同等相关材料。
第二十条 网站上线前应当经过信息系统安全评估,存在安全漏洞和隐患的由主管单位负责整改,整改完成后再次提请审批,评估合格的方准予上线服务。
第二十一条 各单位应当根据国家法律法规规定,完成其主管网站的信息系统安全等级保护定级、备案、测评、整改和验收等各项工作。该项工作由暨南大学网络安全与信息化领导小组负责,领导小组办公室具体实施。
第二十二条 各单位具有党政功能的网站及面向师生服务类的网站禁止以“双非”网站形式进行部署。
第六章 域名管理
第二十三条 学校官方域名不得指向校外互联网地址(IP),非学校官方域名不得指向学校互联网地址(IP),不得以无域名形式对校内外提供信息服务。
第二十四条 学校官方域名由学校统一管理和维护运行,未经允许,严禁私自建设域名服务系统。
第二十五条 “双非”网站域名由网站主管单位负责管理,并向学校网络安全与信息化领导小组办公室报备。
第七章 内容管理
第二十六条 网站页面设计应与学校官方主页设计风格保持一致,应规范使用学校标识,所引用的学校信息应与学校官方信息保持一致。
第二十七条 各单位应明确个人信息数据的使用权边界,保护个人信息不泄露,并遏制非法使用个人信息数据的行为。
第二十八条 各网站产生的业务数据须纳入学校数据中心统一管理。需要使用其他单位数据的,应向学校网络安全与信息化领导小组办公室申请。
第二十九条 各网站上网信息必须经主管单位审核同意才能发布,审核记录存档不低于180天。
第三十条 上网信息遵循“谁发布,谁负责”的原则。网站内容须与本单位工作及业务相关,发布和转载其他媒体新闻须标注来源,并符合国家法律法规和学校相关规定。任何单位和个人不得有以下行为:
(一)利用网站传播国家有关涉密信息;
(二)泄露学校机密和师生个人隐私信息;
(三)利用网站散布含有危害国家安全和社会稳定的信息;
(四)利用网站宣扬、发布暴力、色情等内容;
(五)发布违背法律、法规的信息。
第三十一条 网站应当做到信息及时更新,重大新闻应及时向学校新闻中心报送。
第三十二条 网站内容发布权限仅授予学校教职工,用户账号和密码不得泄露。因个人原因泄露密码所造成的后果由个人负责。
第三十三条 各单位应当对本单位已上网信息进行定期检查,开设交互式论坛和其他交互式信息服务平台的单位应当实行实名制认证,并每天监控。在大型节假日、重大会议和活动期间应当实行24小时不间断监控。
第八章 运行管理
第三十四条 网站及其域名、管理帐号等采用年审制管理,各单位应按时完成年审工作。未完成年审工作的,属于校园网站的,学校有权收回相关域名,并关停网站;属于“双非”网站的,将被认定为非法假冒网站,关闭校内访问权限,并按国家相关规定进行处理。
第三十五条 网站主管单位应采用主流先进技术对网站操作系统、中间件、关键组件、网站程序和数据库等进行设计部署,并及时修复安全漏洞。
第三十六条 学校对官方域名的数字证书进行统一申请和使用管理,并对网站数据的传输过程进行加密。网站需要部署数字证书的,应向学校网络安全与信息化领导小组办公室申请;已部署非学校官方数字证书的,应及时更换为学校数字证书。
第三十七条 各单位应当做好数据定期备份工作,包括用户信息、业务数据、网站程序以及系统运行日志的备份等,系统日志保存时间须符合国家相关规定。
第三十八条 校园网站服务器统一在学校数据中心机房运行,其管理采用申请使用虚拟服务器及自购托管两种方式。
第三十九条 原则上不允许各单位自建数据中心机房。需新建数据中心机房的,须向学校网络安全与信息化领导小组办公室提出申请,并经学校网络安全与信息化领导小组审批;已建数据中心机房的,必须符合国家相关标准,设置专职管理员,制定管理制度,并按信息系统等级保护标准采取相应安全措施。
第四十条 “双非”网站在选择校外数据中心时,应遵循信息系统等级保护标准,综合考虑服务商基础设施配备情况、安全防护情况、人员技术能力、运维服务水平等因素,择优选择,并采购相关服务。
第九章 网站下线
第四十一条 不再使用的网站必须由主管单位向学校网络安全与信息化领导小组办公室提出下线申请,并完成域名注销、数据清理、服务器关停及撤离等工作。
第十章安全管理与访问控制
第四十二条 学校对网站实行分类管理。根据主管部门工作要求和学校管理策略,学校有权对网站实行临时管控措施。
第四十三条 学校有权对存在安全漏洞以及发生网络安全事件的校园网站执行限制校外访问和停止服务等措施;有权对“双非”网站开展远程或本地安全检测;有权向网站主管单位发出风险提示及限期整改通知。
第四十四条 各网站主管单位收到风险提示及限期整改通知后,应采取临时措施杜绝隐患,并按流程限期完成整改工作。
第四十五条 各单位必须按学校管理要求提供网站运行数据及制定安全防护策略,并接受学校对网站的安全检查。
第四十六条 各类网站发生网络安全事件时,主管单位应立即切断网络访问,保留系统及应用日志,通知学校网络安全与信息化领导小组办公室并配合开展应急处置工作。
第四十七条 校园网站原则上不直接面向互联网提供服务,需要面向互联网提供服务的,由学校统一进行访问控制:
(一)建设在学校站群系统上的信息发布类网站可面向互联网直接提供服务。站群系统后台仅支持校内访问,网站管理员在校外可通过暨南大学VPN系统访问系统管理后台。
(二)业务系统类网站分以下情况进行访问控制:
1.属于面向师生服务类的,由学校统一实施访问控制;
2.属于面向社会服务类的,在完成信息系统安全等级保护相关工作后开放互联网相应访问权限。
业务系统同时存在面向师生与面向社会服务功能模块的,应将功能进行分离,分别进行访问控制。
第四十八条 “双非”网站由网站主管单位负责网站的访问控制:信息发布类网站应采取前后端分离措施,前端采用静态页面技术;信息系统类网站及信息发布类后台应采取白名单制度,最小化开放互联网地址(IP)、端口和协议,并根据用户属性授予最小权限。
第十一章 人员管理
第四十九条 各校区应当设立网络安全专岗,由专人负责校区内网站的网络安全工作,接受学校网络安全与信息化领导小组办公室指导。
第五十条 网络安全与信息化领导组织体系人员、网站主管单位负责人及网站管理人员应当根据学校工作安排参加网络安全专项培训并完成考核,考核结果纳入网站安全综合指标。
第五十一条 各单位应指定专人负责网站建设和管理工作,并设置网站建设专项经费以保障网站的建设及运行维护工作的顺利、持续开展。
第五十二条 网站管理人员发生变更时,网站主管单位应及时指定他人接任管理工作,并向基层单位网络安全与信息化领导小组及学校网络安全与信息化领导小组办公室报备。
第十二章 责任追究
第五十三条 有下列行为之一的,按照学校相关规定处理;给学校造成负面影响的,学校有权追究相关单位和个人的法律责任;涉嫌犯罪的,交由司法机关依法追究刑事责任:
(一)未按规定履行相应报批和申请手续的;
(二)将学校官方域名指向校外互联网地址,或将非学校官方域名指向学校互联网地址的;
(三)违反规定发布信息的;
(四)造成数据泄漏的;
(五)利用学校网站从事违法行为的;
(六)收到风险提示通知后不采取措施、不按规定进行整改的;
(七)因管理不善或技术措施不到位,导致发生网络安全事件的;
(八)有其他违反国家法律法规和学校相关规定行为的。
第十三章 附 则
第五十四条 各单位官方新媒体服务按照学校有关规定执行。
第五十五条 本办法由暨南大学网络安全与信息化领导小组办公室负责解释。
第五十六条 本办法自发布之日起施行。《暨南大学网站管理办法》(暨通〔2017〕22号)同时废止。