苏州大学网站建设管理规定
第一章 总则
第一条依据《中华人民共和国网络安全法》和相关法律法规,落实《苏州大学网络安全管理条例》,进一步加强学校网络与信息安全管理,确保学校各级各类网站与应用系统的安全稳定运行,结合学校实际情况,制定本规定。
第二条本规定中的网站指配置苏州大学校园网IP地址或配置苏州大学域名的网站,包括各类用于信息发布的动态或静态网站,以及用于某个特定事务的应用系统。网站除了应用软件本身外,还包括相应的服务器及其系统软件。
第三条根据公安部《信息安全等级保护管理办法》,学校对各类网站与应用系统开展安全等级保护工作。
第四条按照“谁主管谁负责,谁运营谁负责”的原则,各部门、直属单位、学院(部)(以下简称单位)对本单位管辖下的网站在信息内容和运行安全等方面负监督和管理责任,网站开设主体负责网站的制作、维护和信息发布,对网站的信息内容和运行安全负主要责任。根据“主要负责人总负责,分管负责人牵头抓”的领导责任制,单位一把手是第一责任人。
第五条网络安全与信息化工作领导小组负责学校网站建设与安全管理工作。网络安全与信息化工作领导小组办公室负责组织监测网站的运行安全,负责督促网站安全隐患的整改。宣传部总体负责审核网站发布的信息。信息化建设与管理中心(以下简称信息化中心)负责制订网站建设技术规范,并对网站的建设和维护提供必要的技术支持。
第二章 网站开设
第六条网站开设基本资格:
长期网站的开设主体应为校内具有相对独立职能或功能的组织或团体,包括二级单位、系所、教研室、科研团队、学生社团等。
短期网站的开设主体一般是学校主办或承办的国内国际学术会议的组委会,学校主办或承办的重大活动的组委会。
网站开设主体申请开设网站必须获得所属单位的同意,网站需要具有明确的负责人和管理员,并且负责人和管理员必须是学校在职在编的教职工。
第七条网站原则上使用苏州大学二级域名,并且二级域名需符合命名规范。
第八条网站开设申请流程:
(1)网站开设主体向所属单位提出开设网站申请,说明网站的功能、栏目和开设期限(长期和短期);
(2)所属单位对下属网站开设主体的申请提出初步意见;
(3)校长办公室复核网站域名;
(4)由校长办公室对学校新增单位的官网提出复核意见,由宣传部对校内各类新闻类网站、具有信息交互功能的网站或栏目提出复核意见,由科学技术研究部或人文社会科学处对科研机构、研究团队的网站提出复核意见,由团委对学生社团的网站提出复核意见;
(5)网络安全与信息化工作领导小组给出审批意见;
(6)信息化中心对同意开设的网站进行登记备案。
第九条信息发布类网站原则上基于学校统一的网站群平台制作和发布。对有特殊要求的网站,由网络安全与信息化工作领导小组办公室提出意见,报网络安全与信息化工作领导小组同意后方可独立于学校统一网站群平台。
第十条根据网站开设审批意见,信息化中心对部署就绪的网站进行安全检查,对符合安全要求的网站和规范的域名实施开通工作。如果网站存在安全隐患,网站开设主体必须对网站进行整改,直至网站符合安全要求后方可开通。
网站开设主体应及时申请关闭不需要的网站。
第三章 网站信息发布
第十一条各网站开设主体需要安排专门人员负责信息的制作、审核、发布和监督,并且明确人员分工,责任到人;网站开设主体需制订所属网站的信息发布管理流程,并认真执行。
第十二条网站内容须遵守相关法律、法规,不得侵犯他人知识产权、署名权、肖像权等合法权益。禁止发布涉密信息。网站在引用学校发布的信息时,须与学校保持一致,保证其准确性。
第十三条依照《中华人民共和国国家通用语言文字法》的相关规定,中文网站名称、标题、正文等必须使用国家通用语言文字数字和标点符号用法,必须执行国家标准,杜绝错字、别字和异型字。
第十四条网站开设主体不得制作、复制、发布、传播含有下列内容的信息:
(1)反对宪法所确定的基本原则的;
(2)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
(3)损害国家荣誉和利益的;
(4)煽动民族仇恨、民族歧视,破坏民族团结的;
(5)破坏国家宗教政策,宣扬邪教和封建迷信的;
(6)散布谣言,扰乱社会秩序,破坏社会稳定的;
(7)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;
(8)侮辱或者诽谤他人,侵害他人合法权益的;
(9)损害学校声誉和利益的;
(10)含有法律、行政法规以及学校规章制度禁止的其他内容的。
第十五条网站原则上不允许开设具有信息交互功能的栏目,包括未经审核即发布的论坛、评论等。确实需要开设的,必须向宣传部提出申请,经批准后方可按相关要求开设。
第四章网站安全管理
第十六条各网站开设主体应制定网站安全管理制度,在网站开通上线前,报请网络安全与信息化工作领导小组办公室审核通过。安全管理制度至少包括人员分工职责、信息发布流程、升级维护措施、网站备份方案、应急处置预案。网站开设主体应定期开展应急处置演练。信息化中心提供网站安全管理的技术指导和协助。
第十七条网站备份是保障网站及时恢复的重要措施。基于学校网站群平台的网站备份由信息化中心负责。其他网站的备份由网站开设主体自行负责,信息化中心提供网站备份的技术指导和协助。
第十八条为保障网站安全运行,督促落实安全管理制度,学校对网站执行年度审核和日常安全抽检制度,由网络安全与信息化工作领导小组办公室组织实施。年度审核的内容包括网站安全性的检测,网站管理制度落实情况的检查,网站负责人和管理员的再确认等。年度审核的时间一般在每年五、六月份。日常安全抽检指不定期的网站安全性检测。
第十九条年度审核过程中如果发现网站开设主体没有切实落实网站安全管理制度,由网络安全与信息化工作领导小组办公室督促网站开设主体限期整改。对未明确责任人和管理员的网站,暂停网站校外访问权限。
第二十条对存在安全漏洞的网站,包括WEB应用漏洞、主机系统漏洞、中间件漏洞等,按以下流程处置:
(1)由网络安全与信息化工作领导小组办公室通知网站负责人和管理员,要求限期整改。对安全级别较高的漏洞,暂停网站校外访问权限;
(2)网站开设主体及时进行整改,并将整改情况书面向网络安全与信息化工作领导小组办公室报告;
(3)网络安全与信息化工作领导小组办公室组织对整改后的网站进行复查。对暂停校外访问权限的网站,复查通过后恢复其访问权限。
第二十一条下列事件对网站安全产生严重影响:
(1)网站发布的信息明显涉及第十四条所列内容;
(2)网站页面被篡改;
(3)网站受到攻击,影响正常运行;
(4)网站存在可能造成师生隐私信息泄露、丢失、损坏的重大漏洞;
(5)其他影响校园网络运行安全的事件。
对以上安全事件,按以下流程处置:
(1)信息化中心采用技术手段,获取事件截图等相关证据,保存相关记录和日志;暂时关闭事件相关网站访问权限,降低影响;
(2)网络安全与信息化工作领导小组办公室通知网站负责人和管理员;并视情况上报网络安全与信息化工作领导小组或苏州市公安局网监支队;
(3)网络安全与信息化工作领导小组办公室组织分析事件原因,给出修复意见或建议,督促网站开设主体限期整改;
(4)网站开设主体及时进行整改,并将整改情况书面向网络安全与信息化工作领导小组办公室报告;
(5)网络安全与信息化工作领导小组办公室组织对整改后的网站进行复查,复查通过后恢复其访问权限;
(6)网络安全与信息化工作领导小组办公室将整个处置过程的资料留存归档。
第二十二条当出现重大紧急的安全事件或其他特殊情况时,由信息化中心即刻关闭相关网站访问权限,并向校网络安全与信息化工作领导小组报告。随后的处置流程参照第二十条。
第二十三条对上级部门和公安机关,或者中国教育科研网等外部单位对学校网站的安全通报,处置流程参照第十九条、第二十条和第二十一条。
第二十四条对要求整改的网站,如果网站开设主体逾期不整改,由网络安全与信息化工作领导小组办公室报请网络安全与信息化工作领导小组批准后,关闭网站访问权限。
第二十五条如果网站负责人和管理员不落实网站安全管理制度或者网站安全整改意见,导致网站出现安全事件,造成恶劣影响,学校将视情况追究相关人员责任。
第二十六条如果校园网用户违反信息安全法规,由学校视情况追究责任;对触犯法律的,可交由国家及地方相关部门依法依规追究责任。
第五章 附则
第二十七条本管理规定由网络安全与信息化工作领导小组办公室负责解释。
第二十八条本规定自发布之日起施行。
