为加强我院网络安全监督管理，保障学院信息化资产安全，保护全院师生个人信息安全，根据《中华人民共和国网络安全法》《信息安全技术网络安全等级保护基本要求》（GBT22239-2019）等国家法律法规以及我校《信息化工作管理办法》（北航信字〔2018〕2号）、《北京航空航天大学网络安全工作责任制实施办法》（北航信字〔2020〕1号）、《北京航空航天大学网络安全管理规定》（北航信字〔2020〕2号）等制度，结合我院实际，制定本办法。

第一章网络安全工作责任

第一条 全院师生使用校园网络应当遵守宪法法律，遵守公共秩序，尊重社会公德，不得危害校园网络安全，不得利用网络从事危害国家安全和违法犯罪活动。

第二条 学院网络安全管理遵循统一领导、分级管理原则，实行主管领导负责制，按照“谁主管谁负责，谁运营谁负责”的原则，层层落实学院各级和个人网络安全管理责任。

第三条 学院对本院网络安全工作负主体责任，学院分党委书记是第一责任人，学院党政办公室主任是学院网络安全工作的分管领导，由学院党政办公室主任指定专人担任学院网络安全管理员。网络安全管理员负责学院网络办公环境的正确使用和安全性管理，规范网络办公环境的人员行为，督促师生加强个人终端电脑的安全防范管理等。学院各信息系统（包括但不限于网站、APP和小程序等在网络上运行的应用系统）具体负责管理和维护的教师是该系统的直接责任人（管理员），分管该系统业务的学院领导或所在系的负责人是该系统的安全责任人。

第四条 学院主要承担的网络安全责任是：

（一）认真贯彻落实党中央、上级党组织和学校党委关于网络安全工作的重要指示精神和决策部署，贯彻落实网络安全法律法规，执行各上级单位网络安全任务要求，明确学院网络安全的主要目标、基本要求、工作任务、保护措施；

（二）建立和落实网络安全责任制，把网络安全工作纳入重要议事日程，明确工作机构、职责分工、具体办法，建立学院网络安全管理制度和日常操作规程，定期执行网络安全检查，加大对网络安全工作的投入保障；

（三）指定学院网络安全责任人和网络安全管理员，建立学院信息化资产台账，指定对应管理员，采用第三方服务的，做好第三方安全管理；

（四）统一组织领导学院网络安全保护和重大事件处置工作，研究解决重要问题；

（五）采取有效措施，为相关执法单位来校开展工作提供必要支持和保障；

（六）组织开展经常性网络安全宣传教育工作；

（七）组织做好学院所属各单位、团队及个人的网络安全工作；

（八）发生、发现网络安全事件，及时将情况通报学校信息化办公室。

第二章网络安全管理

第五条 本办法所称网络安全管理，不包含涉密相关工作。涉密信息遵循“涉密不上网，上网不涉密”原则，按照保密管理相关规定执行。

第六条 学院所属各单位及师生有义务维护校园网基础设施安全，对辖区内的有线网和无线网接入设施妥善保管，做好供电、防火、防潮、防盗管理，发现问题及时向学校信息化办公室汇报。应遵循校园网基础设施相关管理制度和技术标准，按需申请、有序使用，不得利用校园网基础设施资源从事任何与申请项目无关或危害校园网安全的活动。

第七条 学校禁止使用盗版软件，操作系统、中间件和数据库等软件必须使用正版软件或（检测）合格的开源软件。服务器、桌面计算机及便携式计算机必须安装正版的计算机防病毒软件，确保防病毒软件库及时更新至最新版本，定期进行病毒查杀，否则不允许接入校园网络和处理工作。

第八条 学校全面实施网络安全等级保护制度。学校信息化办公室统筹学校网络安全等级保护工作，组织开展信息系统定级、备案、测评、建设整改工作。信息系统业务所属单位是网络安全等级保护的责任主体，具体负责系统定级、建设整改、安全自查，协助系统备案、等级测评并接受有关部门监督检查。学院及所属各单位的新建信息系统（包括但不限于网站、APP和小程序等在网络上运行的应用系统）需在立项阶段到学校信息化办公室办理备案手续，确定安全保护等级，明确网络安全责任人，备案信息发生变化应及时更新。

第九条 学校域名（buaa.edu.cn；bhu.cn；buaa.cn；beihang.cn）和接入互联网接口及IP地址由学校信息化办公室统一管理。学院及所属各单位建设内部局域网或专用网络应向学校信息化办公室提交网络安全部署方案，未通过评审的自建网络，不得接入校园网。应依托学校数据中心（学校机房）开展信息系统建设，使用学校域名和IP地址，信息发布网站还应在学校统一的网站群平台基础上建设。需使用校外数据中心进行数据同步或者备份的，应报学校信息化办公室审批；涉及学校基础数据、师生员工个人信息或敏感信息的信息系统，不得部署在校外数据中心；未经批准，严禁使用境外数据中心。对于托管到校外数据中心或未使用学校IP地址或未使用学校域名的信息系统（“双非网站”）应予以全部关停。

第十条 学院及所属各单位的信息系统建设应优先采购安全可靠、技术成熟和服务优质的成品软硬件，没有相应成品软硬件或成品软硬件不适应实际需求的，可委托资质和信誉良好的开发商进行开发。新建、改建、扩建的信息系统，应在规划、设计阶段同步建设安全保障措施，预留安全渗透测试费用。应做好系统开发环境、测试环境和运行环境的隔离管理，严禁在运行环境开发或测试。系统建设应符合相关软件开发管理制度和标准规范要求，指定专人负责实施过程管理，严格控制测试验收和系统交付，存档测试方案、测试报告、交付清单及其他系统建设过程文档。系统上线运行前需经有资质的第三方安全检测机构检测（由第三方开发的，应在交付前完成恶意代码检测），无安全风险且符合相应网络安全等级保护要求才可以上线运行，并应按照规范接入学校建设的统一认证系统实现用户身份识别。

第十一条 学院及所属各单位管理的信息系统应制定系统使用与维护的管理制度，规范系统使用者和维护者的操作行为。针对系统变更、重要操作、物理访问、系统接入和数据收集使用等事项建立授权审批程序，对重要活动经相应负责人、学院分管领导逐级审批后方可进行相关操作。应制定账户管理策略，严格口令管理，规定最小长度、复杂度及定期更换要求。使用密码技术的，应遵循相关国家标准或行业标准，并使用经认证核准的密码技术和产品。采用生物技术的，应加强对生物信息的安全管理。

第十二条 学院及所属各单位管理的信息系统应采取必要的安全措施，严防入侵、篡改、泄露等事件发生。应建立值班值守制度，制订应急处置流程，组织专人对应用系统进行监测，发现信息系统运行异常及时处置。由第三方运维的，应与服务商签订安全协议，明确整个服务供应链各方需履行的安全责任、义务和违规责任。无人管理、无力维护或长期不更新的信息系统应关停以降低安全风险。

第十三条 学院及所属各单位在使用信息系统进行数据收集时，应遵循“最少够用，知情同意”原则，不得收集与单位业务服务无关的数据及个人信息，确需收集个人信息的，应公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。按照“谁收集，谁负责”的原则，收集数据及个人信息的单位是数据安全管理和个人信息保护的责任主体，应对其收集的数据及个人信息严格管理，防止泄露、毁损、丢失，同时做好数据备份和恢复管理；其工作人员须对履行职责中知悉的数据及个人信息严格保密，不得泄露、出售或者非法向他人提供，并做好公示信息的脱敏处理。

第十四条 学院及所属各单位如自建机房，应建立机房安全管理制度，对机房管理人员、供配电、空调及温湿度控制、消防及机房环境安全、物理访问、外来人员访问、物品带进带出和日常巡检等方面的管理做出规定。应建立外来人员访问学院机房等重要区域的审批制度，并安排工作人员现场陪同，对访问活动进行记录和保存。应对外来人员带来的安全风险定期评估，防范外来人员带来的安全风险，包括但不限于：物理访问导致设备、资料失窃；误操作导致各种软硬件故障；资料、信息外传导致泄密；对业务系统的滥用和越权访问；给主机系统、软件留下后门；对系统的恶意攻击。外来人员包括为学院提供服务的软件开发商、产品供应商、系统集成商、设备维护商和服务提供商等非北航人员。

第十五条 学院及所属各单位应加强人员离岗、离职管理，严格规范人员离岗、离职过程，及时终止相关人员的所有网络访问权限，收回校内身份证件、钥匙（密钥）等以及学院提供的软硬件设备。

第三章安全检查与监督

第十六条 学院及所属各单位应积极配合上级网络执法部门和学校信息化办公室的安全监督、检查和指导，提供有关安全保护的信息、资料及数据文件，协助查处通过互联网进行的违法犯罪活动。

第十七条 学院及所属各单位管理的信息系统应主动接受学校信息化办公室的年检，不允许未备案或未参加年检或年检审核未通过的信息系统接入网络。

第十八条 学院不定期组织全院的网络安全检查，主要检查所属各单位落实学校及学院网络安全管理制度情况及信息系统安全保护措施情况。

第十九条 学院及所属各单位管理的信息系统应进行定期检查，每季度至少1次，填写检查台账。检查内容主要包括：

（一）系统升级和补丁安装情况；

（二）检查网页和重要数据的备份情况；

（三）检查SQL注入和跨站脚本等安全漏洞；

（四）检查网页内容，及时清除无关网页和暗链；

（五）查杀病毒，清除木马、后门等恶意程序；

（六）定期更改口令，清理不必要的管理账户；杜绝空口令、弱口令和默认口令；

（七）检查服务器安全策略，关闭不必要的端口和服务；

（八）检查系统日志留存情况，留存日志不少于六个月。

第四章应急响应与处置

第二十条 学院及所属各单位应及时响应学校发布的网络安全监测预警，做好网络与信息安全事件的风险评估和隐患排查工作，及时采取有效措施避免和减少网络安全事件的发生。

第二十一条 学院及所属各单位管理的信息系统应制定应急处置预案，针对可能发生的意外事件并可能导致业务混乱、服务中断、系统崩溃等灾难制定应对策略和措施。应急处置预案包括应急组织机构、启动预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容。应定期组织有针对性的应急处置预案培训和演练，根据变化情况及时更新和修订应急处置预案，确保预案的有效性和灾难发生时的可行性。

第五章 违规处置和责任追究

第二十二条 学院将网络安全管理工作纳入年底评估考核内容。对未能履行学院网络安全管理责任、违反网络安全管理规定或者存在信息系统安全隐患未及时整改的直接责任人员，学院将根据情节轻重给予教育提醒、通报批评等处分，情节严重的还应“一票否决”，取消其当年评奖评优资格以及绩效。对于造成重大网络安全事故或给他人造成损害的，依法追究其民事、刑事等责任，并按照学校相关规定对学院相关责任领导逐级进行问责。

第二十三条 从事下列危害校园网络安全活动的，学校将直接对当事人员予以校内通报批评、行政处分、扣发奖金和严重时取消晋升资格等惩罚措施。

（一）未经允许，进入校园网络或者使用校园网络资源的；

（二）未经允许，对校园网络功能进行删除、修改或者增加的；

（三）未经允许，对校园网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的；

（四）故意制作、传播计算机病毒等破坏性程序的；

（五）其他危害计算机信息网络安全的行为。

第二十四条 存在以下行为之一的，学校将当事人员直接移交公安机关依法依规处理。

（一）利用国际联网危害国家安全、泄露国家秘密，侵犯国家、社会、集体利益和公民合法权益从事违法犯罪活动的。

（二）利用国际联网制作、复制、查阅和传播下列信息：

1.破坏宪法和法律、行政法规实施的；

2.煽动颠覆国家政权，推翻社会主义制度的；

3.煽动分裂国家，破坏国家统一的；

4.煽动民族仇恨、民族歧视，破坏民族团结的；

5.捏造或者歪曲事实，散布谣言，扰乱社会秩序；

6.宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪的；

7.违反法律规定，利用国际互联网侵犯用户的通信自由和通信秘密的；

8.公然侮辱他人或者捏造事实诽谤他人的；

9.损害国家机关信誉的；

10.其他违反宪法和法律、行政法规的。

第二十五条 有下列情形之一的，学院实施逐级倒查，配合学校追究直接责任人和相关责任领导的责任。

（一）所属网络平台被攻击篡改，导致违法有害信息大量面积扩散，且没有及时报告和组织处置的；

（二）所属重要网络平台被攻击后没有及时组织处置，瘫痪6个小时以上，且造成严重影响的；

（三）对所属网络平台监管不力，对重大网络安全和信息化问题领导和处置不力，导致网络意识形态安全出现严重问题的；

（四）发生国家秘密泄露、大面积个人信息泄露或者大量地理、人口、资源等国家基础数据泄露的；

（五）重要信息基础设施遭受网络攻击，没有及时处置导致大面积影响师生员工工作生活，或者造成重大经济损失，或者造成严重不良社会影响的；

（六）封锁、瞒报网络安全事件情况，拒不配合学校有关部门依法开展调查、处置工作，或者对学校有关部门通报的问题和风险隐患不及时整改并造成严重后果的；

（七）阻碍上级单位来校开展工作，或拒不提供支持和保障的；

（八）发生其他严重危害网络安全行为，且造成恶劣影响的。

第六章附则

第二十六条 本办法自发布之日起施行，由集成电路科学与工程学院“平安学院”建设工作领导小组负责解释。