第一章 總 則

第一條  為依法規范學校網絡與信息服務，提升學校網絡與信息服務水平，保障學校事業健康發展，保護師生個人信息，明確學校、用戶（教職工、學生及其他人員）在學校網絡與信息服務過程中的權責與義務，根據《中華人民共和國網絡安全法》、《西南財經大學章程》、《西南財經大學網絡安全責任制實施細則》、《西南財經大學數據管理辦法（試行）》等規定，特制定本服務管理辦法。

第二條  西南財經大學為校內單位、全校教職工、學生提供的網絡與信息服務，包括但不限于校園網內網（以下簡稱校園網）服務、互聯網接入服務、電子郵箱、校園網數據中心機房（以下簡稱“IDC”）、云計算、校外訪問校內等校園網基礎應用服務。信息與教育技術中心負責網絡服務工作并為承載于校園網絡之上的信息服務提供技術支撐。

第三條  有權利享受本辦法指定的網絡與信息服務的校內單位、教職工和學生（以下簡稱“全校師生”）受學校本科學生教務管理信息系統、研究生管理信息系統和組織與人力資源管理信息系統所定義的學籍、職籍、機構代碼管理和限定。其他人員使用學校網絡與信息服務的權限由服務提供的部門依本規定執行，包括但不限于繼續教育類學生、臨時來校人員或短期培訓學員等。

第四條  校內信息服務提供單位（特別是涉及學校重要數據和師生個人信息存儲、處理和發布的信息系統及其主管單位）、網絡及信息服務技術支持部門應配備必要的技術人員和管理人員（以下簡稱網絡及信息服務人員）。各單位應規范網絡及信息服務人員的錄用，對被錄用人員的身份、背景和專業資格等進行審查，對其所具有的技術技能進行考核； 應與從事關鍵崗位的人員簽署保密協議；人員離崗應辦理嚴格的調離手續，及時終止其網絡和信息系統的所有管理權限；應定期對網絡及信息服務人員進行全技能和安全認知方面的考核，對其進行安全意識教育、職業操守教育、崗位技能培訓和相關安全技術培訓。

第五條  學校為全校師生和其他人員（以下統稱“用戶”）、校內單位及相關人員提供的網絡與信息服務實行實名認證制。學校各類信息系統均按信息系統安全等級保護管理辦法及其要求進行定級、測評和分級保護，包括但不限于學校主頁網站系統及其基礎設施、各類業務管理信息系統和服務信息系統。未通過信息系統安全等級保護定級和測評的信息系統，將不得上線運行和提供服務。

第六條  校內單位申請校園網基礎光網業務承載、互聯網專線接入、服務器帶寬保障、特殊網絡協議/端口開放、單位郵箱服務和臨時上網服 務等非常規網絡與信息服務業務，由信息與教育技術中心在保證學校網 絡安全和信息技術安全的前提下按國家及行業有關規定和規范受理。

第二章 個人信息及個人信息保護

第七條  為保證向用戶提供全面、準確的網絡與信息服務，學校相 關單位依《互聯網個人信息安全保護指南》有限度地補充搜集用戶資料。 用戶個人信息的采集按“誰采集誰負責”和“一數一源”的原則歸口管 理，原則上用戶基本資料均來自教職工入職、學生招生和學籍注冊、業 務申請的相關業務管理信息系統。信息與教育技術中心負責采集提供網 絡服務、信息服務和統一消息服務所需的用戶手機號碼、彩色近照電子 版等身份信息。為保證服務驗證可信，用戶應保證所留手機號碼有效、 身份信息的真實性。用戶有責任和義務提供真實和完整的個人信息資料， 以確保安全可靠的獲得學校網絡與信息服務。學校及學校授權單位不得 為未提供真實有效個人信息的用戶提供網絡和信息服務。

第八條  學校依法對用戶個人信息進行嚴格的管理及保護，并禁止  過度采集用戶個人信息的行為。學校將使用相應的必要的技術和制度措  施，防止用戶個人資料丟失、被盜用或遭篡改。在未得到用戶許可之前，  學校不會把用戶的任何個人信息提供給無關的第三方（包括公司或個人）。學校及授權單位有責任和義務保護這些資料不外泄，保證用戶個人信息僅用于為用戶提供網絡與信息服務等校內公共服務和學校管理需要。下列情況不屬于學校未經許可向第三方提供用戶個人信息的情形：

    1.學校根據國家法律規定要求提供用戶個人信息；

    2.用戶對學校提供給本人的網絡與信息服務密碼保護不當導致用戶個人信息泄漏；

    3.用戶在上網過程中使用個人信息不當導致信息泄漏。

第三章 網絡與信息服務內容

第九條  校園網內網服務。學校為全校師生提供校內業務管理信息系統、電子文獻圖書資源、網上教學平臺和校園管理及服務所需的服務器、業務系統、自助服務系統等信息服務資源的高速可靠訪問或連接， 包括但不限于校內和校外、有線和無線連接、IPV4 和IPV6 連接等。各信息服務資源的可使用權限由相關部門約定，各信息系統訪問日志和安全措施由服務提供單位依國家有關規定管理和執行。

第十條  校外訪問校內服務。校外訪問校內服務主要通過反向代理、https 證書和VPN（虛擬專用網絡）技術實現。反向代理服務、SWUFE-VPN 服務為全校師生提供普遍的圖書館數字資源訪問和業務信息系統使用； https 證書為全校師生提供業務信息系統使用、正版軟件下載等服務。學校業務信息系統外包公司需要遠程維護系統的，可由業務信息系統主管 單位向信息與教育技術中心申請專用 VPN 服務。全校師生不得以任何理由轉借自己的賬號給其他個人或組織使用校外訪問校內服務，更不得利 用技術手段擅自建立校外訪問校內服務的通道向他人或組織提供校外訪 問校內服務。學校保留追究由于上述情形給學校造成損失的責任人的權 利。

第十一條  互聯網接入服務。學校為用戶提供校園公共區域互聯網有線和無線接入服務，按照國家法律法規，學校有義務且必須保留用戶上網日志。學校承諾，非經公安機關批準，用戶上網日志不透露給第三方。學校根據管理需要，可對上網日志進行分析和統計。有關校內網絡和互聯網接入服務的詳細規定參見《西南財經大學網絡接入服務條款》。校內單位因教學科研特殊需要建立互聯網專線（包括 VPN 專線，特別是接入境外的專線），應依國家有關規定向學校報批。未向學校報批和核準， 校內任何單位不得使用私自設立、租用或由第三方提供的互聯網專線接 入服務，包括虛擬專線服務。

第十二條  IDC（互聯網數據中心機房）服務。IDC 服務包括服務器托管服務、虛擬服務器服務、網站站群服務等。IDC 服務針對校內單位提供，不針對任何個人。IDC 服務由單位在OA 系統中提出申請，單位的主要負責人應是申請事項的第一責任人。申請單位應明確申請事項的技術 責任人、技術支撐人或單位，由信息與教育技術中心提供 IDC 不間斷電源、網絡接入、運行監控等統一服務。服務器托管服務的使用單位不得 超申請范圍使用托管資產，如在托管資產上利用虛擬化技術向其他單位 和個人提供虛擬主機服務等。托管單位應隨時監測托管資產的運行狀態， 托管服務器出現軟硬件故障應及時處理（一般情形下不超過 12 小時）。托管服務器和虛擬服務器使用單位都應定期做好托管資產安全（包括系 統補丁升級、查殺病毒和自身數據資料的備份等）維護，避免系統漏洞 給本單位和學校造成損失。網站集群服務依托的服務器軟硬件維護、系 統安全維護由信息與教育技術中心負責。所有 IDC 服務使用單位都應遵守《西南財經大學校內網站和域名管理辦法（修訂）》《西南財經大學網 絡安全事件應急預案（修訂）》。

第十三條 云計算服務。云計算服務包括學校自建或由學校統一購置云計算資源（包括私有云、公有云和混合云形式）提供給校內單位和 個人使用的虛擬桌面、云盤、教師空間、云計算等服務。學校云計算服 務由校內單位、在職教職工因工作需要實名制申請使用；單位撤銷、教 職工離職或退休后云計算服務自動停止，在云上的 IT 資產歸學校所有。云計算服務的使用者必須遵守國家有關法律和規章，不得利用云計算服 務從事違反國家法律法規和學校規章制度的行為。

第十四條 電子郵箱服務。學校為校內單位和全校師生統一提供官方電子郵箱服務。教職工在履行工作職責內的郵件、信息交換或存儲等 應用，原則上應使用學校郵箱系統或協同辦公信息系統。用戶在遵守《西 南財經大學電子郵件服務條款》的條件下接受學校提供的電子郵箱服務。未經學校允許，校內單位一律不得申請或使用校外郵箱（包括云郵箱），也不得使用任何個人郵箱作為單位郵箱。

第十五條  凡涉及或可能涉及下列事項，學校有權收回、停用用戶的郵箱使用權，也可能暫停郵箱部分使用功能；觸犯國家相關法律、法規或造成嚴重后果的，將被注銷郵箱，同時學校保留進一步追究責任的權利：使用學校提供的郵箱進行非法活動的；發送垃圾郵件造成學校域名被反垃圾郵件組織加入黑名； 違反實名制規定非本人使用的；所發郵件內容違反法律法規的禁止性規定的； 郵箱超過 6 個月沒有使用記錄的；其他根據實際情況需要的。

第十六條 校園一卡通服務。學校為全校師生提供校園一卡通服務（以下簡稱校園卡服務）。除食堂就餐、超市購物等消費功能外，校園卡服務還具備學生公寓門禁、圖書館門禁、借取圖書、開啟教室電子講臺、查詢消費記錄等身份認證功能。學校相關部門為臨時來校人員、非全日制學生提供的以食堂消費、圖書館管理為目的其他電子卡片服務由相關部門自行管理。

第十七條  學校為全校師生初次使用校園卡提供免費服務，校園卡遺失補辦需要支付成本費。校園卡具有消費功能和身份認證功能，校園卡丟失后，用戶需及時辦理掛失并補辦，由于不及時掛失導致的經濟損失或其他損失由本人負責；校園卡不得轉借他人，由于轉借導致的用戶損失學校不承擔責任，學校保留追償由于校園卡轉借可能給學校造成損失的責任人相關責任的權利。

第十八條 用戶在離職或離校后等，校園卡門禁和消費功能將注銷。學校根據管理需要，可對校園卡刷卡日志進行統計分析；經有關部門授權，可以調取用戶的校園卡日志記錄。

第十九條 除學校提供的網絡與信息服務外，校內單位申請與使用校外提供的網絡與信息服務（包括微信公眾號、QQ 群、APP、網站或網站空間等公有云服務）必須經學校網信辦核準和備案，明確服務管理責任人和服務責任人。

第四章 技術保障和其他

第二十條  西南財經大學校園網及其數據中心機房為學校網絡與信息服務主要的物理設施，是網絡與信息服務的物理載體；學校互聯網出口通道、互聯網專線出口及建立于其上的 VPN（虛擬專用網絡，下同）通道和校外訪問校內代理服務承擔補充設施職能。學校有責任和義務保證校園網及其數據中心機房的物理安全，保證互聯網出口通暢，保證信息系統和存儲數據安全，保障 VPN 和校外訪問校內代理服務正常運行，滿足師生不斷增加的互聯網應用和教育技術應用需求。因不可抗力導致的網絡中斷、服務中斷或數據丟失除外。

第二十一條  統一身份認證賬戶及數字證書是提供用戶網絡與信息服務的邏輯載體，學校及校內各單位根據統一身份認證賬戶及其相應權限提供用戶相應的信息服務；個別現階段未納入統一身份認證的信息服務和業務系統由相應管理部門為用戶提供身份標識；學校將逐步減少統一身份認證系統之外的信息系統數量，直至全部取消。統一身份認證賬戶的分配和管理詳見《西南財經大學統一身份認證服務條款》。

第二十二條  未經學校批準，校內任何單位和個人不得利用校園網及其基礎設施私自設立提供普遍服務的身份認證、域名解析、電子郵箱、網絡代理等信息系統或網站。學校網絡安全與信息化工作領導小組辦公室負責網絡與信息服務安全和管理。

第二十三條   全校師生和其他人員有責任和義務保護校內上網場所物理設施，比如但不限于室內網線、墻面網絡端口、無線網設施等。學校允許用戶帶自己的設備接入校園網和接受網絡與信息服務。用戶自行負責校外場所上網條件及到我校網絡的暢通，自行負責本人持有上網終端設備的可用。

第二十四條  本辦法及附屬服務條款依據《信息系統安全等級保護基本要求》國家標準（GB/T 22239-2008）、《公共及商用服務信息系統個人信息保護指南》國家標準化技術指導文件（GB/Z 28828-2012）和《信息安全管理體系要求》國家標準（GB/T22080-2008/ISO/IEC27001）而制 定，由本辦法及其引用的國家和學校相關的制度、規定和辦法組成。《西 南財經大學統一身份認證服務條款》、《西南財經大學網絡接入服務條款》和《西南財經大學電子郵件服務條款》三個附屬服務條款由信息與教育 技術中心依本辦法制訂。辦法與國家相關規定、制度和辦法沖突的，以 國家為準；學校以前的相關規定、制度和辦法與本辦法及附屬服務條款 沖突的，以本辦法及附屬條款為準。

第二十五條  本辦法的解釋權在學校網絡安全與信息化工作領導小組辦公室。本辦法自發布之日起施行。