关于印发《华中科技大学财务网络与数据安全管理暂行办法》的通知

财字〔 2018〕16号

全校各单位：

      现将《华中科技大学财务网络与数据安全管理暂行办法》印发给你们，请遵照执行。

                                                                                                                财务处

                                                                                                        2018年11月6日

第一章 总则

第一条 为进一步强化学校财务信息安全，规范学校财务信息安全管理，保障学校正常财务工作秩序，确保为师生提供优质安全的财务服务，根据《华中科技大学网络与信息技术安全管理办法》（校信息化〔2015〕7 号）、《华中科技大学校园计算机网络管理办法》（校信息化〔2018〕1 号）、《华中科技大学基础数据库建设与使用管理暂行办法》（校信息化〔2016〕6号）等文件，结合财务网络安全与信息化工作实际，制定本办法。

第二条 本办法所称网络安全工作，是指为防止网络攻击、信息破坏、有害程序入侵、学校财务核心数据泄露等，对于服务于我校财务管理的软硬件环境（主要包括财务网络、财务服务器及存储、数字化校园财务办公平台、财务软件系统、财务数据等）开展的各项预防和防御工作。

第三条 本办法所称财务数据，是指与财务网络与信息系统有关的所有数据资料（包含纸质和移动存储设备资料）。

第二章 管理机构职责及总体原则

第四条 财务处内设管理机构。财务处处长全面负责财务网络与信息安全，是第一责任人，分管网络与信息安全的副处长具体负责财务网络与信息安全管理，财务处信息管理科负责财务网络与数据安全的具体业务管理，财务处各科室负责人负责本科室人员财务管理系统用户身份和权限初审等工作。

第五条 财务数据调阅与使用单位职责。需调阅和使用财务网络与数据的校内外单位和人员应明晰查阅范围和使用期限及用途，明确财务网络与数据安全责任，严格履行财务保密义务，只能将获取的财务数据用于经审批指定的业务范围，未经授权不得擅自将财务数据公开披露或提供第三方使用。

第六条 总体原则。按照“谁运维谁负责、谁使用谁负责”的原则，所有使用财务网络和数据的相关单位和人员必须与财务处签订相关责任协议，严格按照本办法及其相关标准规范履行网络与数据安全的义务和责任。

第三章 财务处内部安全管理要求

第七条 人员管理。严禁非财务处工作人员进入财务处内部办公区域，如因工作需要必须进入，需按规定事先报批，并应确保财务信息安全。

第八条 账号安全管理。所有财务人员应妥善保管本人的财务系统账号和密码，严禁转借他人使用。按照“谁的账号，谁负责”的原则，账号所属人员承担该账号所有操作带来的一切后果。

第九条 财务终端安全管理。财务终端是指用于财务信息管理或服务的财务人员电脑或自助服务终端。所有财务人员应保证本人的财务电脑网络安全，由财务处信息管理科负责指导和管理安装杀毒、防护软件和定期升级系统等工作，为防止病毒传播，禁止使用外来的移动存储设备，严禁非财务处工作人员使用财务人员电脑。

财务人员电脑的操作系统和财务系统用户均必须设置密码，财务人员电脑应同时设置开机密码和屏保密码，密码不得过于简单（密码长度不能少于8位、必须由数字、字母和特殊字符共同组成）且必须经常更换。财务人员在短时间内离开电脑时，必须退出财务系统或者启动屏幕保护；设置的屏保密码间隔时间不得大于五分钟。

财务自助服务终端的安全设置由财务处信息管理科负责，按照学校自助服务终端相关规定做好建设、维护和安全工作。

第十条 信息系统建设和后台数据库管理。财务信息系统建设由财务处牵头规划，网络环境由学校建设，财务处信息管理科负责财务服务器及存储、财务专网、网络安全、财务系统的管理与维护。针对财务后台数据库的管理，财务技术人员应严格执行数据定时备份和异地备份。

第十一条 财务数据安全管理。财务人员要严格遵守财务保密规定，不得以任何形式擅自将财务资料提供或泄露给校内、校外各单位和人员，因工作需要确需提供的，必须按照规定程序书面逐级报批。

第十二条 财务数据存储管理。所有财务数据资料（包括纸质资料和移动存储设备），必须专柜专屉放置并进行妥善保管。如遇工作交接，必须严格执行工作交接制度，严格遵守保密纪律，确保有序衔接、平稳过渡、绝无泄密。

第十三条 财务网络安全故障应急管理。切实加强日常财务网络与数据安全管理，做好网络安全故障应急处理预案。发生一般故障时，财务技术人员应在第一时间赶赴信息系统故障现场及时处理，确保各项财务业务的正常运行，并立即向具体事项负责人汇报。如发生财务数据大规模泄露等重大信息安全事件时，应第一时间切断内部网络与互联网的联系，及时上报校网络与信息化办公室并按学校相关规定进行处理，避免事件影响范围的进一步扩大。

第四章 财务数据调阅与使用要求

第十四条 入网及数据调阅管理。严格履行相关审批手续，未经审批，校内外单位和个人不得接入财务内部网络或随意调阅财务数据。因工作需要必须调阅、共享财务数据或与财务系统做接口，校内单位和个人需根据学校数据共享相关管理规定，按照“最少够用”的原则，明确数据字段的用途，通过网上办事大厅相应流程进行申请和审批；校外单位和个人查阅财务相关数据必须事前书面报校内经办单位分管校领导或学校财务分管校领导审批，否则财务处不得擅自提供相关服务。

第十五条 财务数据使用管理。为保证工作需要，又不影响师生正常的网上业务办理，经审批通过的校内外单位和个人，可由财务处在非工作时间提供所需的财务数据或信息推送。临时急用数据，需经财务处处长批准。

第十六条 财务数据保护。校内外任何单位和个人只能将获取的财务数据用于经审批指定的业务范围，不得私自扩大使用范围或作为他用，不得私自泄露财务数据。

第五章 责任追究

第十七条 所有使用财务网络和数据的相关单位和人员应明确财务网络与数据安全责任，发生人为原因导致数据泄露、窃取、破坏等信息安全事件的，或因疏于管理、违反相关责任书酿成安全事故的，报送学校主管部门，视情节轻重程度依据学校相关管理规定给予相应处理处罚，情节严重的，保留追究其法律责任的权利。

第六章 附则

第十八条 本办法自发布之日起执行，由财务处负责解释。