第一章 总 则

第一条 为保证网络安全工作顺利进行，提高学校网络安全防护能力和水平，构筑学校良好网络安全生态，保障学校各项事业平稳有序发展，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国保守国家秘密法》及中共中央办公厅发布的《党委（党组）网络安全工作责任制实施办法》等相关法律法规要求，结合学校实际，制定本办法。

第二条 本办法是学校网络安全相关工作开展的基本准则和指导，学校各单位关于网络安全的制度、条例、细则和规定等均须遵循本办法。

第三条 本办法适用于学校建设、运行、管理、使用校园网及信息系统（服务）的各单位、全体师生员工及其他相关人员。

第四条 本办法所称网络安全包括校园信息基础设施安全、系统安全和数据信息安全。信息基础设施安全是指校园网络、数据中心、算力等基础设施和物理环境的安全；系统安全是指承载信息系统的软硬件运行环境以及应用系统的安全；数据信息安全是指各业务系统产生的数据、通过信息服务方式发布的信息内容的安全。

第五条 校园网络安全管理工作遵循“谁主管谁负责、谁主办谁负责、谁运营谁负责、谁使用谁负责”的原则，严格落实网络安全责任制。

第二章 机构与职责

第六条 学校设立燕山大学网络安全和信息化建设工作领导小组（以下简称领导小组），由学校主要领导担任组长，分管网络安全工作的校领导担任副组长，学校主要领导是第一责任人，分管校领导是直接责任人，负责网络安全有关重大事项的研究决策，指挥网络安全重大突发事件的应急处置。领导小组下设办公室和专家咨询委员会。

第七条 领导小组办公室设在信息技术中心，负责推进网络安全责任制落实，建设校园网络安全体系，贯彻落实网络安全等级保护制度，做好网络安全日常监测、运维管理，开展网络安全检查、隐患整改及应急处置，配合上级机关对网络违规行为进行技术调查、取证、处理，统筹开展网络安全事件应急处置等工作。

第八条 专家咨询委员会由校内外网络安全和信息化领域资深专家兼任，对学校网络安全有关重大事项提供咨询和论证服务。

第九条 学校各单位应在本单位内部相应成立网络安全工作小组，对本单位网络安全工作负主体责任，领导班子主要负责人是第一责任人，主管网络安全的领导班子成员是直接责任人。

学校各单位指定专人担任网络安全管理员，负责本单位的网络安全工作。

第三章 网络安全体系建设

第十条 学校坚持网络安全和信息化发展并重，以安全保发展，以发展促安全，按照依法管理、统筹规划、积极利用、科学发展、确保安全的方针，建立健全一体化网络安全保障体系。

第十一条 建立网络安全条件保障机制。落实网络安全人员、经费、技术、设备等方面的支持与保障措施，确保网络安全工作的有效开展。

第十二条 健全网络安全防御体系。统筹推进学校网络安全边界、网络、业务、终端等一体化防护能力建设，统一制定并按需调整网络安全防护策略，提升网络安全防御能力。

第十三条 建立网络安全监测机制。统筹推进学校网络安全态势感知技术监测机制建设，及时发现并处置网络安全风险，保障安全运行。

第十四条 建立网络安全检查巡查机制。定期组织开展网络安全检查，建立网络安全风险台账，及时整改风险隐患，杜绝“带病运行”。

第十五条 建立网络安全内容审查机制。严格审核信息系统（服务）内容发布，定期对信息系统（服务）发布的内容开展合规性检查，确保涉密信息、重要敏感信息、个人隐私信息不上网。

第十六条 建立网络安全应急处置机制。制定网络安全应急处置预案，定期开展网络安全攻防演练，提升常态化应急响应及突发网络安全事件追踪溯源和应急处置能力。

第十七条 落实网络安全等级保护制度和国家密码应用管理要求，按照有关标准规范开展定级备案、等级测评等工作，落实安全建设整改加固措施，防范化解网络安全风险。

第十八条 各单位应参照学校网络安全体系做好本单位网络安全体系建设。

第四章 网络和系统（服务）安全管理

第十九条 校园网络及关键信息系统（服务）由学校统一规划、统一建设、统一管理。未经批准，各单位不得自行建设、改造校园网络及关键信息系统（服务）。

第二十条 校园网络基础设施由信息技术中心统一管理。未经批准，任何单位和个人不得调整、修改、破坏校园网络线路及设备；进入机房、设备间等重要区域实行审批制度，外部人员进入时须有专人现场陪同，并留存记录。

第二十一条 信息系统（服务）实行审批备案制度，需要在校园网上开办信息系统（服务）的，必须履行审批手续。未经许可，任何单位和个人不得使用“燕山大学”或“燕大”等中外文字样开通信息发布、BBS、论坛、聊天室、博客、微博、微信等信息系统（服务）。

第二十二条 信息系统（服务）建设原则上应依托校园网开展，并符合学校网络安全标准。涉及学校重要数据、敏感数据、大量个人信息的系统，不得部署在校外。因特殊情况，需要在校外开办信息系统（服务）的，应提前办理审批手续，并独立承担网络安全责任。

第二十三条 信息系统（服务）接入校园网前，需由信息技术中心进行网络安全技术检测，并做好安全防护措施后，方可发布运行。未通过网络安全技术检测的，不得接入校园网。原则上学校公共区域LED显示屏不得联网使用。

第二十四条 信息系统（服务）的数据管理应按照学校数据资源管理相关规定，明确数据管理主体责任，规范数据生产、存储、使用、传输等管理流程，保障学校重要数据、敏感数据及师生个人信息安全。

第二十五条 信息系统（服务）发布时，应使用学校IP地址和域名，原则上不得使用校外域名指向校内资源，如有特殊需要，必须经学校审批同意后方可实施。

第二十六条 各单位应建立本单位职责范围内的网络和信息系统（服务）等信息资产台账，按照要求报送信息技术中心，并采取技术措施和其他必要措施，保障信息资产安全，按需调整安全策略，保障安全稳定运行。

第二十七条 各单位应加强对信息资产的管理，定期进行安全检查和运行维护，信息系统（服务）服务器及应用程序必须具备日志记录功能，日志保存时间不少于180天，并定期检查日志，及时发现异常行为。

第二十八条 各单位应建立信息资产备份与恢复管理机制，对重要信息系统和重要数据进行定期备份，并验证数据恢复机制有效性，确保重要信息系统和数据安全。

第二十九条 信息系统（服务）维护涉及采用外包服务方式的，主办单位必须与外包服务单位签订网络安全与保密协议，明确网络安全与保密责任，并做好监管和监督检查。

第三十条 信息系统（服务）的内容安全由所属单位负责，严格执行“先审后发”制度，明确审核与发布流程，保存操作记录。不得将个人隐私信息或敏感信息公开展示，若确需公开，应进行必要的脱敏处理。对历史内容定期开展安全检查，防范不良信息向互联网传播扩散。

第三十一条 各单位对退出使用的信息系统（服务），应及时办理注销手续，系统下线前应留存系统文件、配置和数据。对暂时存在网络安全隐患、无业务加载、无人运维、安全防护措施不到位及长期不更新的信息系统（服务），应及时关停。

第三十二条 信息技术中心统筹规划建设校园网络安全防护措施，对学校网络、信息系统（服务）实施统一边界安全防护，针对性进行安全策略管控，开展网络安全实时监测，开展网络安全渗透测试，对发现的网络安全风险隐患下发整改通知并监督整改落实。

第三十三条 各单位应主动配合学校网络安全检查，及时落实学校下发的网络安全风险隐患整改，对未能及时有效整改的信息系统（服务），信息技术中心将采取措施对其进行访问控制、隔离直至关停，对于发现存在重大安全风险隐患的信息系统（服务），先关停后整改。

第三十四条 各单位应加强对本单位终端计算机的安全管理，开展宣传教育，监管本单位师生合法合规安全使用终端计算机，安装使用正版软件，保障终端计算机安全。

第五章 用户行为安全管理

第三十五条 本办法所称校园网用户是指使用校园网络和信息系统（服务）的单位和个人。校园网用户有责任和义务维护校园网络安全良性生态。

第三十六条 校园网用户应遵守国家有关法律法规要求、学校各项规章制度、公共秩序和社会公德，合法使用校园网络和信息系统（服务），自觉接受并配合国家有关部门依法进行的监督、检查及采取的其他必要措施。

第三十七条 校园网用户不得利用校园网络和信息系统（服务）侵犯国家、学校及个人的合法权益，不得从事违法犯罪活动，不得从事商业或其他盈利性活动。

第三十八条 校园网用户不得从事下列危害校园网络安全的活动：

（一）非法对网络及计算机系统开展扫描、探测、渗透等网络安全攻击活动；

（二）非法入侵网络设备或计算机系统；

（三）非法或不当获取、使用校园网资源或非法控制网络设备及信息系统（服务）；

（四）窃取他人账号、密码或其他个人信息，或者擅自向第三方公开他人账号、密码或个人信息；

（五）制作、传播计算机病毒或其他破坏程序；

（六）其他危害网络和信息系统（服务）运行和安全的活动。

第三十九条 校园网用户应加强对本人接入校园网的计算机终端的安全检查，及时进行安全升级和更新，定期进行病毒清查，避免下载和使用未经测试或来历不明的软件。

第四十条 校园网用户应妥善管理个人及工作相关的账号和密码信息，按照学校要求妥善处置接触的学校重要数据，确保数据安全，不得私自泄露、扩散、转让工作过程中获知的重要网络信息数据。

第四十一条 校园网用户有义务及时向学校报告发现的网络安全事件或风险，不得在未经授权的情况下对外公布或利用发现的校园网络安全漏洞等信息。

第六章 监测预警与事件处置

第四十二条 学校建立网络安全监测预警和事件处置制度，按照事件发生后的危害程度、影响范围等因素建立网络安全事件分级处置预案，并定期组织演练。

第四十三条 信息技术中心对学校网络、信息系统（服务）及相关设施设备的安全态势、网络行为、运行状况进行实时监测，发布安全预警信息，按照有关预案开展事件技术处置，并有权直接对相关网络、信息系统（服务）及相关设施设备采取断网、限制访问、停止服务等措施。

第四十四条 各相关单位应积极配合开展网络安全应急演练、监测预警、信息通报工作，按期完成整改，并按照学校统一指挥开展网络安全事件追踪溯源、调查取证、上报等应急处置，未经授权，不得擅自发布网络安全事件相关信息。

第四十五条 各单位应制定本单位网络安全应急预案，建立网络安全监督检查机制，定期对本单位信息系统（服务）开展安全自查，及时发现风险隐患并落实整改。发现网络安全事件时应立即报告，并保留现场，配合学校及上级有关部门开展相关处置工作。

第四十六条 发生网络安全事件时，应立即启动网络安全事件应急预案，对网络安全事件进行调查和评估，采取技术措施和其他必要措施，消除安全隐患，防止危害扩大，并按要求上报。

第四十七条 对于重大网络安全事件，应立即上报领导小组组长、副组长，统筹开展事件研判和处置工作，最大限度降低网络安全事件造成的损失和危害。

第四十八条 学校执行网络安全重要保障时期值班值守制度，各单位相应建立值班值守机制，落实值班值守和应急响应专人，加强对本单位信息系统（服务）的监测，按照学校统一部署开展网络安全保障工作。

第七章 责任追究

第四十九条 用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定，利用校园网侵犯用户的通信自由和通信秘密。

第五十条 任何单位和个人利用校园网络从事危害国家安全、泄露国家秘密的行为，造成危害网络安全等严重后果的，根据有关规定给予纪律处分。违反国家刑事法律的，交由相关国家机关，依法处置。

第五十一条 学校各单位应及时、如实处置网络安全事件，发生迟报、谎报、瞒报和漏报突发网络安全事件重要情况，造成严重后果的，提交学校研究处置。

第五十二条 相关单位收到网络安全限期整改通知后，整改不力或拒不整改的，给予通报批评；因整改不力导致发生重大网络安全事件或造成严重后果的，依纪依法追究相关人员责任。

第五十三条 对其他违反本办法的行为，按学校有关规范性文件处理或处分；违反法律法规的，同时移送有关部门依法处理。

第八章 附 则

第五十四条 涉密信息管理按照学校保密管理体系文件要求执行。

第五十五条 本办法由信息技术中心负责解释。

第五十六条 本办法自发布之日起施行，学校原有相关规定与本办法不一致的，按本办法执行。