第一章 总 则

第一条  为依法规范学校网络与信息服务，提升学校网络与信息服务水平，保障学校事业健康发展，保护师生个人信息，明确学校、用户（教职工、学生及其他人员）在学校网络与信息服务过程中的权责与义务，根据《中华人民共和国网络安全法》、《西南财经大学章程》、《西南财经大学网络安全责任制实施细则》、《西南财经大学数据管理办法（试行）》等规定，特制定本服务管理办法。

第二条  西南财经大学为校内单位、全校教职工、学生提供的网络与信息服务，包括但不限于校园网内网（以下简称校园网）服务、互联网接入服务、电子邮箱、校园网数据中心机房（以下简称“IDC”）、云计算、校外访问校内等校园网基础应用服务。信息与教育技术中心负责网络服务工作并为承载于校园网络之上的信息服务提供技术支撑。

第三条  有权利享受本办法指定的网络与信息服务的校内单位、教职工和学生（以下简称“全校师生”）受学校本科学生教务管理信息系统、研究生管理信息系统和组织与人力资源管理信息系统所定义的学籍、职籍、机构代码管理和限定。其他人员使用学校网络与信息服务的权限由服务提供的部门依本规定执行，包括但不限于继续教育类学生、临时来校人员或短期培训学员等。

第四条  校内信息服务提供单位（特别是涉及学校重要数据和师生个人信息存储、处理和发布的信息系统及其主管单位）、网络及信息服务技术支持部门应配备必要的技术人员和管理人员（以下简称网络及信息服务人员）。各单位应规范网络及信息服务人员的录用，对被录用人员的身份、背景和专业资格等进行审查，对其所具有的技术技能进行考核； 应与从事关键岗位的人员签署保密协议；人员离岗应办理严格的调离手续，及时终止其网络和信息系统的所有管理权限；应定期对网络及信息服务人员进行全技能和安全认知方面的考核，对其进行安全意识教育、职业操守教育、岗位技能培训和相关安全技术培训。

第五条  学校为全校师生和其他人员（以下统称“用户”）、校内单位及相关人员提供的网络与信息服务实行实名认证制。学校各类信息系统均按信息系统安全等级保护管理办法及其要求进行定级、测评和分级保护，包括但不限于学校主页网站系统及其基础设施、各类业务管理信息系统和服务信息系统。未通过信息系统安全等级保护定级和测评的信息系统，将不得上线运行和提供服务。

第六条  校内单位申请校园网基础光网业务承载、互联网专线接入、服务器带宽保障、特殊网络协议/端口开放、单位邮箱服务和临时上网服 务等非常规网络与信息服务业务，由信息与教育技术中心在保证学校网 络安全和信息技术安全的前提下按国家及行业有关规定和规范受理。

第二章 个人信息及个人信息保护

第七条  为保证向用户提供全面、准确的网络与信息服务，学校相 关单位依《互联网个人信息安全保护指南》有限度地补充搜集用户资料。 用户个人信息的采集按“谁采集谁负责”和“一数一源”的原则归口管 理，原则上用户基本资料均来自教职工入职、学生招生和学籍注册、业 务申请的相关业务管理信息系统。信息与教育技术中心负责采集提供网 络服务、信息服务和统一消息服务所需的用户手机号码、彩色近照电子 版等身份信息。为保证服务验证可信，用户应保证所留手机号码有效、 身份信息的真实性。用户有责任和义务提供真实和完整的个人信息资料， 以确保安全可靠的获得学校网络与信息服务。学校及学校授权单位不得 为未提供真实有效个人信息的用户提供网络和信息服务。

第八条  学校依法对用户个人信息进行严格的管理及保护，并禁止  过度采集用户个人信息的行为。学校将使用相应的必要的技术和制度措  施，防止用户个人资料丢失、被盗用或遭篡改。在未得到用户许可之前，  学校不会把用户的任何个人信息提供给无关的第三方（包括公司或个人）。学校及授权单位有责任和义务保护这些资料不外泄，保证用户个人信息仅用于为用户提供网络与信息服务等校内公共服务和学校管理需要。下列情况不属于学校未经许可向第三方提供用户个人信息的情形：

    1.学校根据国家法律规定要求提供用户个人信息；

    2.用户对学校提供给本人的网络与信息服务密码保护不当导致用户个人信息泄漏；

    3.用户在上网过程中使用个人信息不当导致信息泄漏。

第三章 网络与信息服务内容

第九条  校园网内网服务。学校为全校师生提供校内业务管理信息系统、电子文献图书资源、网上教学平台和校园管理及服务所需的服务器、业务系统、自助服务系统等信息服务资源的高速可靠访问或连接， 包括但不限于校内和校外、有线和无线连接、IPV4 和IPV6 连接等。各信息服务资源的可使用权限由相关部门约定，各信息系统访问日志和安全措施由服务提供单位依国家有关规定管理和执行。

第十条  校外访问校内服务。校外访问校内服务主要通过反向代理、https 证书和VPN（虚拟专用网络）技术实现。反向代理服务、SWUFE-VPN 服务为全校师生提供普遍的图书馆数字资源访问和业务信息系统使用； https 证书为全校师生提供业务信息系统使用、正版软件下载等服务。学校业务信息系统外包公司需要远程维护系统的，可由业务信息系统主管 单位向信息与教育技术中心申请专用 VPN 服务。全校师生不得以任何理由转借自己的账号给其他个人或组织使用校外访问校内服务，更不得利 用技术手段擅自建立校外访问校内服务的通道向他人或组织提供校外访 问校内服务。学校保留追究由于上述情形给学校造成损失的责任人的权 利。

第十一条  互联网接入服务。学校为用户提供校园公共区域互联网有线和无线接入服务，按照国家法律法规，学校有义务且必须保留用户上网日志。学校承诺，非经公安机关批准，用户上网日志不透露给第三方。学校根据管理需要，可对上网日志进行分析和统计。有关校内网络和互联网接入服务的详细规定参见《西南财经大学网络接入服务条款》。校内单位因教学科研特殊需要建立互联网专线（包括 VPN 专线，特别是接入境外的专线），应依国家有关规定向学校报批。未向学校报批和核准， 校内任何单位不得使用私自设立、租用或由第三方提供的互联网专线接 入服务，包括虚拟专线服务。

第十二条  IDC（互联网数据中心机房）服务。IDC 服务包括服务器托管服务、虚拟服务器服务、网站站群服务等。IDC 服务针对校内单位提供，不针对任何个人。IDC 服务由单位在OA 系统中提出申请，单位的主要负责人应是申请事项的第一责任人。申请单位应明确申请事项的技术 责任人、技术支撑人或单位，由信息与教育技术中心提供 IDC 不间断电源、网络接入、运行监控等统一服务。服务器托管服务的使用单位不得 超申请范围使用托管资产，如在托管资产上利用虚拟化技术向其他单位 和个人提供虚拟主机服务等。托管单位应随时监测托管资产的运行状态， 托管服务器出现软硬件故障应及时处理（一般情形下不超过 12 小时）。托管服务器和虚拟服务器使用单位都应定期做好托管资产安全（包括系 统补丁升级、查杀病毒和自身数据资料的备份等）维护，避免系统漏洞 给本单位和学校造成损失。网站集群服务依托的服务器软硬件维护、系 统安全维护由信息与教育技术中心负责。所有 IDC 服务使用单位都应遵守《西南财经大学校内网站和域名管理办法（修订）》《西南财经大学网 络安全事件应急预案（修订）》。

第十三条 云计算服务。云计算服务包括学校自建或由学校统一购置云计算资源（包括私有云、公有云和混合云形式）提供给校内单位和 个人使用的虚拟桌面、云盘、教师空间、云计算等服务。学校云计算服 务由校内单位、在职教职工因工作需要实名制申请使用；单位撤销、教 职工离职或退休后云计算服务自动停止，在云上的 IT 资产归学校所有。云计算服务的使用者必须遵守国家有关法律和规章，不得利用云计算服 务从事违反国家法律法规和学校规章制度的行为。

第十四条 电子邮箱服务。学校为校内单位和全校师生统一提供官方电子邮箱服务。教职工在履行工作职责内的邮件、信息交换或存储等 应用，原则上应使用学校邮箱系统或协同办公信息系统。用户在遵守《西 南财经大学电子邮件服务条款》的条件下接受学校提供的电子邮箱服务。未经学校允许，校内单位一律不得申请或使用校外邮箱（包括云邮箱），也不得使用任何个人邮箱作为单位邮箱。

第十五条  凡涉及或可能涉及下列事项，学校有权收回、停用用户的邮箱使用权，也可能暂停邮箱部分使用功能；触犯国家相关法律、法规或造成严重后果的，将被注销邮箱，同时学校保留进一步追究责任的权利：使用学校提供的邮箱进行非法活动的；发送垃圾邮件造成学校域名被反垃圾邮件组织加入黑名； 违反实名制规定非本人使用的；所发邮件内容违反法律法规的禁止性规定的； 邮箱超过 6 个月没有使用记录的；其他根据实际情况需要的。

第十六条 校园一卡通服务。学校为全校师生提供校园一卡通服务（以下简称校园卡服务）。除食堂就餐、超市购物等消费功能外，校园卡服务还具备学生公寓门禁、图书馆门禁、借取图书、开启教室电子讲台、查询消费记录等身份认证功能。学校相关部门为临时来校人员、非全日制学生提供的以食堂消费、图书馆管理为目的其他电子卡片服务由相关部门自行管理。

第十七条  学校为全校师生初次使用校园卡提供免费服务，校园卡遗失补办需要支付成本费。校园卡具有消费功能和身份认证功能，校园卡丢失后，用户需及时办理挂失并补办，由于不及时挂失导致的经济损失或其他损失由本人负责；校园卡不得转借他人，由于转借导致的用户损失学校不承担责任，学校保留追偿由于校园卡转借可能给学校造成损失的责任人相关责任的权利。

第十八条 用户在离职或离校后等，校园卡门禁和消费功能将注销。学校根据管理需要，可对校园卡刷卡日志进行统计分析；经有关部门授权，可以调取用户的校园卡日志记录。

第十九条 除学校提供的网络与信息服务外，校内单位申请与使用校外提供的网络与信息服务（包括微信公众号、QQ 群、APP、网站或网站空间等公有云服务）必须经学校网信办核准和备案，明确服务管理责任人和服务责任人。

第四章 技术保障和其他

第二十条  西南财经大学校园网及其数据中心机房为学校网络与信息服务主要的物理设施，是网络与信息服务的物理载体；学校互联网出口通道、互联网专线出口及建立于其上的 VPN（虚拟专用网络，下同）通道和校外访问校内代理服务承担补充设施职能。学校有责任和义务保证校园网及其数据中心机房的物理安全，保证互联网出口通畅，保证信息系统和存储数据安全，保障 VPN 和校外访问校内代理服务正常运行，满足师生不断增加的互联网应用和教育技术应用需求。因不可抗力导致的网络中断、服务中断或数据丢失除外。

第二十一条  统一身份认证账户及数字证书是提供用户网络与信息服务的逻辑载体，学校及校内各单位根据统一身份认证账户及其相应权限提供用户相应的信息服务；个别现阶段未纳入统一身份认证的信息服务和业务系统由相应管理部门为用户提供身份标识；学校将逐步减少统一身份认证系统之外的信息系统数量，直至全部取消。统一身份认证账户的分配和管理详见《西南财经大学统一身份认证服务条款》。

第二十二条  未经学校批准，校内任何单位和个人不得利用校园网及其基础设施私自设立提供普遍服务的身份认证、域名解析、电子邮箱、网络代理等信息系统或网站。学校网络安全与信息化工作领导小组办公室负责网络与信息服务安全和管理。

第二十三条   全校师生和其他人员有责任和义务保护校内上网场所物理设施，比如但不限于室内网线、墙面网络端口、无线网设施等。学校允许用户带自己的设备接入校园网和接受网络与信息服务。用户自行负责校外场所上网条件及到我校网络的畅通，自行负责本人持有上网终端设备的可用。

第二十四条  本办法及附属服务条款依据《信息系统安全等级保护基本要求》国家标准（GB/T 22239-2008）、《公共及商用服务信息系统个人信息保护指南》国家标准化技术指导文件（GB/Z 28828-2012）和《信息安全管理体系要求》国家标准（GB/T22080-2008/ISO/IEC27001）而制 定，由本办法及其引用的国家和学校相关的制度、规定和办法组成。《西 南财经大学统一身份认证服务条款》、《西南财经大学网络接入服务条款》和《西南财经大学电子邮件服务条款》三个附属服务条款由信息与教育 技术中心依本办法制订。办法与国家相关规定、制度和办法冲突的，以 国家为准；学校以前的相关规定、制度和办法与本办法及附属服务条款 冲突的，以本办法及附属条款为准。

第二十五条  本办法的解释权在学校网络安全与信息化工作领导小组办公室。本办法自发布之日起施行。