河北大学网络安全管理办法（试行）

第一章 总 则

第一条 为了加强学校对网络安全工作的组织管理，提高校园网络安全防护能力和水平，保障各项事业健康有序发展，根据国家、教育部有关网络安全文件要求，依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》等相关法律法规要求，结合学校工作实际，制定本办法。

第二条 本办法所称网络安全，是指由学校建设、运行、维护或管理的校园网络、信息系统及数据的安全。

第三条 按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，建立健全网络安全责任体系，学校各单位、全体师生员工应依照本办法要求及相关标准规范履行网络安全的义务和责任。

第二章 组织机构与职责

第四条 学校网络安全与信息化工作领导小组负责全校网络安全工作的统筹规划和监督指导，领导小组下设办公室（以下简称网信办），负责落实领导小组各项决策部署。

第五条 各二级单位负责人为本单位网络安全第一责任人，各单位明确网络安全责任人和联系人，负责本单位网络安全工作。

第三章 校园网运行安全

第六条 校园网统一出口、统一管理和统一防护。未经批准，各单位不得通过其他渠道接入互联网及其他公共信息网络。

第七条 校园网采取访问控制、安全审计、完整性检查、入侵防范、恶意代码防范等措施加强校园网边界防护。

第八条 校园网实行实名认证制。所有用户必须经过真实身份核验，由学校统一分配上网账号。用户不得转借、转让账号给他人使用。

第九条 公共网络机房、实验室、电子阅览室等联网场所必须安装管理软件，网络日志存储时间不得少于6个月。

第十条 校园网接入单位负责提供本单位联网所需的网络设备间和电源保障，负责网络接入设备的安防和消防安全管理。

第四章 信息系统及数据安全

第十一条 信息系统建设执行网络安全等级保护制度。新建系统在规划设计阶段应同步确定安全保护级别，并按照相应安全保护级别的要求进行建设和备案。重要信息系统须按照相关规定开展网络安全等级保护定级备案及测评工作。

第十二条 信息系统的主管单位是数据安全管理的责任主体，应当落实数据安全管理和技术措施，规范数据的收集、存储、传输和使用，确保数据安全。

 第十三条 信息系统数据收集应遵循“最少够用”原则，不得收集与信息系统业务服务无关的个人信息。按照“谁收集，谁负责”的原则，收集个人信息的单位是个人信息保护的责任主体，应当对其收集的个人信息严格保密，并建立健全相关保护制度。

第十四条 重要信息系统须定期进行数据备份，制定备份与恢复计划，并确保备份数据和备用资源的有效性。

第十五条 需要开设联网信息服务的单位，须向学校网信办提出书面申请，经技术评估、备案后对外提供服务。

第十六条 接入互联网的服务器及应用系统，应该采取必要的网络安全防护措施、安装防护软件。服务器日志记录存储时间不得少于6个月。

第十七条 各单位服务器和应用系统须接受定期和不定期的安全检查和评测，对达不到安全要求的，关闭内外网服务。

第五章 网站安全

第十八条 学校各单位开通网站，应使用学校域名和IP地址，并遵守相关管理要求。

第十九条 学校统一规划建设网站群平台，并负责平台的技术安全。未入驻学校网站群平台的网站及系统，其技术安全由主办单位负责。

第二十条 各单位开通网站应优先选择学校网站集群平台，集群平台不能满足需求的经审批可自行建设，通过安全检查后正式上线。

第二十一条 网站运行维护单位应建立值守制度，对网站进行监测，制定应急处置流程，发现网站异常及时处置。

第二十二条 网站的内容安全由网站开办单位负责。网站开办单位应建立完善网站信息发布与审核制度，明确审核与发布流程，留存相关操作记录。

第二十三条 各单位开通公众号、企业号等交互式网络服务须经批准、备案。提供交互式网络服务的单位承担内容管理的主体责任，并按国家有关规定落实专项安全管理和技术措施。

第六章 电子邮件安全

第二十四条 学校为各单位和教职工提供电子邮件服务，信息技术中心负责电子邮件系统的安全管理。学校采取必要的技术和管理措施，加强电子邮件系统安全防护，定期清理或停用僵尸账号，减少垃圾邮件、病毒邮件侵袭。

第二十五条 邮件用户应遵守学校电子邮件管理相关规定，不得利用电子邮件进行病毒传播、发送垃圾邮件等恶意行为。

第二十六条 邮件用户须对其电子邮件账号开展的所有活动负责，妥善保管本人使用的账号和密码，确保密码具有一定强度并定期更换。教职工如发现本人邮箱异常，应立即报告。

第二十七条 个人及单位邮箱如不再使用时，应及时办理邮箱注销手续。单位邮箱如有业务调整或人员变更等情况，应及时办理邮箱注销或变更等相关手续。

第七章 网络终端安全

第二十八条 网络终端使用人按照“谁使用，谁负责”的原则，对其终端负有保管和安全使用的责任。

第二十九条 网络终端设备应安装、运行正版软件。在网络终端上使用盗版软件带来的安全和法律责任由终端使用人承担。

第三十条 网络终端应当设置系统登录账号和密码，登录密码应具有一定强度并定期更改。网络终端使用人应做好数据日常管理和保护，定期进行数据备份。

第三十一条 网络终端使用人应做好网络终端的安全防范，发现网络终端出现可能由病毒或攻击导致的系统异常行为或其他安全问题，应立即断网进行处置。

第三十二条 非涉密网络终端不得存储和处理涉密信息。

第八章 存储介质安全

第三十三条 存储重要数据的存储阵列、磁带库等大容量介质应托管在学校数据中心，并应采取必要技术措施防范数据泄露风险，确保存储数据安全。

第三十四条 移动存储介质在接入网络终端和信息系统前，应当查杀病毒、木马等恶意代码。

第三十五条 介质使用人应注意移动存储介质的内容管理，对送出维修或销毁的存储介质应先清除敏感信息。

第三十六条 非涉密移动存储介质不得用于存储涉密信息，不得在涉密计算机上使用。

第九章 人员安全管理

第三十七条 各单位应建立健全本单位的网络安全责任制度，明确相关岗位及人员的网络安全责任。关键岗位人员应签订网络安全承诺书，明确网络安全与保密责任。

第三十八条 各单位加强人员离岗、离职管理，及时终止相关人员的访问权限，收回学校提供的软硬件设备，并签署安全保密承诺书。

第三十九条 各单位定期组织网络安全相关人员参加专业技能培训。

第四十条 各外包服务需求单位应与网络信息系统开发和运维服务提供商签订网络安全与保密协议，明确网络安全与保密责任，不得泄露、扩散、转让服务过程中获知的敏感信息和各类数据。

第十章 网络安全应急管理

第四十一条 网信办负责完善和健全网络安全事件应急工作机制，规范网络安全事件工作流程，提升学校网络安全应急处置能力。

第四十二条 网信办负责组织信息技术中心、业务系统主办单位、系统厂商以及专业安全机构建设网络安全应急队伍，提高网络安全事件的预防、预警和应对能力。

第四十三条 网信办负责组织相关单位开展或参加各级网络安全应急演练活动。

第四十四条 师生员工均有义务及时报告网络安全事件，不得在未授权情况下对外公布、尝试或利用所发现的安全漏洞。

第十一章 网络安全检查

第四十五条 各单位定期对本单位网络安全状况、安全保护制度及措施的落实情况进行自查。

第四十六条 网信办对网络安全工作落实情况进行检查，对发现的问题下达网络安全整改通知，责成相关单位制定整改方案并落实到位。

第四十七条 网络安全相关问题的责任追究与倒查按照学校网络安全工作责任制的相关规定执行。

第十二章 其 他

第四十八条 涉密计算机及信息系统按国家及学校保密工作的相关规定执行。

第四十九条 本办法由网络安全和信息化工作领导小组办公室负责解释。

      第五十条 本办法自发布之日起施行。

2024年7月26日