第一章范围及职责

第一条本制度适用于信息系统用户的管理，包括：岗位配置原则、人员录用及调（离）岗、授权管理、安全培训教育、第三方人员管理。

第二条信息化办公室负责信息系统用户管理制度的制定和修订。

第二章岗位配置原则

第三条根据信息系统职能要求，结合部门实际情况进行人员配备，权限、职能不同的角色必须分离，避免权责不清、责任不明确的现象发生。

第四条重要岗位实施角色备份制度，在合理设置工作岗位、完善工作职责的基础上，在相近岗位之间，实行顶岗或互为备岗制，以便能及时处理紧急任务。

第五条为确保网络安全工作的顺利开展，保障信息系统的正常运行，须设置安全管理员和网络信息员并明确其工作职责，各处室具体完善落实各处室的安全制度。

第三章人员录用及调离

第六条相关信息安全职责在岗位说明书中予以明确，各部门负责人根据已批准的岗位说明书和部门人员配置要求，填写相关申请，统一招调。

第七条所有信息系统相关岗位均要签署保密协议，关键岗位人员必须从内部人员中选拔。

第八条对被录用人的身份、背景、专业资格和资质等进行审查，当人员处理涉密信息或涉及高敏感性的信息或担负重要岗位时，应进行更严格的政审。

第九条人员调离时必须更换或归还之前发放的单位提供的软硬件设备及文档资料等资产，并办理详尽的交接手续。

第十条人员调离时必须终止其所有的访问权限，涉及相关信息系统账号、口令时，先采取更换密码或冻结账号的措施，避免直接删除账号。

第十一条人员调（离）岗时必须签署保密承诺书，承诺在调（离）岗后根据保密承诺书的内容履行相关的保密责任和义务，涉密人员实行脱密期管理制度。

第十二条对未办理正常交接手续离岗的人员，及时进行信息安全风险评估并由专人跟进处理，保证信息系统的安全和业务连续性。

第十三条建立完善的奖惩机制。对违反信息安全策略或规定的人员，给予正式纪律处理；对网络安全工作表现优异的人员，给予适当激励。

第十四条与上级信息安全管理部门、信息系统服务商和宽带提供商（如电信、联通等）保持适当联系，确保在发生信息安全事故和查处危害内部信息安全的违法犯罪行为时能够得到及时响应和必要帮助。

第四章授权管理

第十五条权限的分级应遵循以下原则：

1.符合业务安全需求；

2.遵循最小权限原则；

3.系统管理员分配超级权限，一般用户则分配普通权限；

第十六条所有账号注册都必须通过申请才能开放。申请人提出权限申请，通过OA系统IT服务申请给网络中心审批，审批同意后才能开通相应的权限；每个用户必须被分配唯一的账号，账号名不能透露用户的权限信息，不允许共享账号。

第十七条人员调职、离职时，亦需到网络中心办公室进行审批。该员工的所有账号必须在最后上班日之前注销或修改，当注销账号时，必须确保已取消其相关的系统权限。

第十八条每3个月对重要系统特权用户及权限进行审计，每6个月对各系统的普通用户及权限进行审计（权限审计将重点关注权限与岗位是否匹配、权限的分配、变更、注销记录是否完整）。在权限审计完成后，填写《权限审查表》；对审查过程发现的问题责成改进。

第十九条每3个月提交权限变更汇总记录，网络中心负责人对提交的报表数据进行审核，对审查过程发现的问题责成改进。

第五章安全培训教育

第二十条各岗位人员必须清楚自己的安全职责，了解各自的工作职能范围和责任义务。

第二十一条信息化办公室负责制定安全教育和培训计划、记录培训具体内容和培训结果以及参加培训人员，在培训结束后把培训相关记录材料整理归档。

第二十二条根据各个岗位的业务应用、安全意识和保密意识需求制定培训计划，定期组织安全教育和培训。

第二十三条针对不同岗位制定不同的培训计划，对安全基础如识、岗位操作规程等进行培训。

第二十四条各岗位人员要积极参与单位组织的内、外部信息安全交流和培训，提升信息安全意识和专业水平。

第二十五条定期对各岗位人员进行安全理论知识和安全技能水平的考核。

第六章 信息安全管理

第二十六条校园网信息安全工作由学校信息化领导小组负责。

第二十七条校园网用户必须对提供的信息负责，不得利用校园网从事危害国家安全、泄露国家机密等犯罪活动，不得制作、查阅、复制和传播以下信息：

1.煽动分裂国家、破坏国家统一和民族团结、推翻社会主义制度；

2.煽动抗拒、破坏宪法和国家法律、行政法规的实施；

3.捏造或者歪曲事实、故意散布谣言、捏造事实诽谤他人，扰乱社会秩序；

4.宣扬封建迷信、淫秽、色情、暴力、凶杀和恐怖等。

第二十八条学校各二级单位对上网信息要进行严格的把关，上网内容须经本单位主管领导审批后方可上传。凡涉及国家及学校秘密的信息严禁上网。

第二十九条校园网用户发现违法犯罪行为和有害的、不健康的信息应及时报告学校党委宣传部、院办公室和保卫处。

第三十条严禁制造和输入计算机病毒以及有害数据危害计算机信息系统的安全。

第三十一条严禁各部门及教师在互联网上传、外泄及贩卖师生个人信息。严禁个人更换计算机时，未对计算机内信息进行脱敏处理。

第七章 处 罚

第三十二条有违反第二十八条规定的，将直接提交学校行政部门或有关司法部门处理。

第三十三条有以下行为的，网络中心有权停止其使用网络。对影响了学校声誉或者造成极大损害等情节严重的，将提交学校行政部门或者有关司法部门处理：

1.未经学校信息中心批准，私自连接集线器、交换机等设备；

2.未经批准，私自切断学校有关部门或者他人网络连接的；

3.通过各种不正当的手段获取他人信息；

4.冒充他人名义从事网上活动者。

第三十四条 故意制作、传播计算机病毒，造成学校计算机网络系统阻塞、资源异常消耗甚至瘫痪的，网络中心有权停止其使用网络。情节严重者，将提交学校行政管理部门或者有关司法部门处理。

第三十五条对盗用网络资源造成经济损失的，提交相关行政部门给予行政处分。因此造成学校声誉受损的，学校将追究其相关责任。

第三十六条有违反三十二条规定的，学校将追究部门主要负责人及操作者的责任。造成严重后果的，提交有关司法部门处理。

第三十七条对本细则未涉及的其他违反国家以及学校有关规定的行为，将参照本细则的有关条款给予处罚。

第八章附则

第三十八条本制度由信息化办公室负责解释。