(2026版)校园网络信息安全和保密管理制度

(2026版)校园网络信息安全和保密管理制度本2026版校园网络信息安全与保密管理制度，依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国保守国家秘密法》《教育系统网络安全和信息化工作管理办法》及2025年修订的《中华人民共和国个人信息保护法》配套规定制定，适用于全国各级各类公办、民办普通高等学校、中等职业学校、幼儿园及其他教育教学机构的校园网络系统、信息平台、数据资源、终端设备及所有涉及校园网络信息活动的主体，包括在校师生员工、校外合作单位、来访人员等。学校应当成立由校长担任组长，分管信息化建设、保密工作的校领导担任副组长，信息化建设与管理部门、保密办公室、党委宣传部、教务处、学生处、科研处、财务处、后勤处、法律顾问室及各二级单位网络安全联络员为成员的校园网络安全与保密工作领导小组，统筹全校网络信息安全与保密管理工作。领导小组下设办公室，挂靠信息化建设与管理部门，负责日常协调、监督检查及应急处置工作。各二级单位应当明确本单位网络安全与保密工作责任人，落实专人负责本单位网络、信息系统及数据资源的日常管理工作，确保责任到人、管理到位。校园网络基础设施包括主干光纤网络、无线局域网、物联网接入网络、数据中心、私有云平台、公共云托管资源等，所有基础设施的建设、运维均需符合国家网络安全等级保护制度的最新要求，核心系统需达到三级等保标准，涉密系统需严格按照保密行政管理部门的要求进行隔离建设。校园网络应当部署零信任访问控制系统，基于用户身份、设备状态、访问场景实施动态权限管控，禁止默认信任任何终端或用户。应当部署AI驱动的网络威胁检测与响应系统，实时监测异常流量、恶意代码、未授权访问等安全事件，对高危威胁自动触发阻断并告警。无线校园网需强制采用WPA3加密协议，禁止开放无加密或WEP加密的公共无线网络，访客无线网络需与内部教学科研网络物理隔离，仅允许访问公开互联网资源。物联网设备接入校园网络需完成身份认证与安全加固，智慧教室摄像头、校园门禁、智能充电桩等设备需关闭不必要的远程控制端口，定期更新固件补丁，严禁未经过安全评估的物联网设备接入内部网络。网络运维人员应当每周开展一次全量漏洞扫描，每月开展一次渗透测试，及时修复发现的安全漏洞，关键设备的补丁更新需在72小时内完成，涉密网络设备的补丁更新需经保密办公室审批后方可实施。校园内各类信息系统包括教学管理系统、学生学籍管理系统、科研项目管理系统、财务收费系统、智慧校园门户、AI辅助教学平台、在线考试系统、教务资源库等，均需实行上线审批与下线备案制度。新系统上线前，开发或采购单位需提交安全评估报告、保密审查意见及数据保护方案，经信息化建设与管理部门、保密办公室、法律顾问室联合审核通过后方可部署上线。第三方合作开发的信息系统，需签订明确的安全与保密协议，明确双方的安全责任，禁止第三方系统未经授权访问校内敏感数据。在线考试系统需部署身份核验、防切屏、AI作弊检测等功能，考试数据需全程加密存储，考试结束后立即封存，未经审批不得擅自导出。AI辅助教学平台的训练数据需严格筛选，不得包含师生的敏感个人信息，训练过程需进行审计，确保数据使用符合保密要求。停用的信息系统需完成数据清理、权限回收及系统下线备案，敏感数据需进行安全销毁，不得残留于服务器或存储介质中。校园数据资源按照密级与敏感程度分为公开数据、内部数据、敏感数据、涉密数据四类，实行分类分级管理。公开数据包括学校招生简章、公开科研成果、校园新闻等，可通过公开渠道发布；内部数据包括教职工考勤信息、学生平时成绩、校内通知等，仅限校内授权人员访问；敏感数据包括学生学籍信息、身份证号、家庭住址、健康状况、科研未公开项目数据、教职工工资信息、职称评审材料等，需采用加密存储与传输，访问需经过多级审批，日志留存期限不少于180天；涉密数据包括国家秘密级、机密级、绝密级的教育教学与科研数据，如未启用的国家教育考试试题、涉密国防教育项目数据等，需严格按照保密法律法规进行管理，仅限在涉密网络与涉密终端中处理。校园数据的备份应当实行本地备份与异地备份相结合的方式，全量备份每周开展一次，增量备份每日开展一次，备份数据需加密存储，备份介质需专人保管，定期进行可用性检测。数据销毁需根据介质类型采取不同方式，电子存储介质需进行多次数据覆盖或物理消磁，纸质涉密资料需交由具备资质的单位进行粉碎销毁，严禁擅自丢弃或转卖废弃存储介质。个人信息处理需严格遵循最小化原则，仅收集实现业务功能所必需的信息，未经师生本人明确同意不得向第三方提供，确需出境的个人信息或数据，需按照国家数据出境安全评估相关规定完成审批程序。校园内所有网络用户需通过统一身份认证平台进行账号注册与登录，账号实行实名管理，每个用户仅可拥有一个本人专属账号，禁止转借、共享账号。账号密码需符合复杂度要求，长度不少于12位，包含字母、数字及特殊字符，每90天需更换一次，支持人脸识别、指纹识别等多因素认证方式。教职工、学生的账号权限需根据岗位与角色进行配置，离职、毕业或岗位调整的用户，其账号需在3个工作日内完成权限回收或注销。校园内的终端设备包括计算机、服务器、移动终端等，需安装终端检测与响应（EDR）系统、病毒防护软件及数据泄露防护（DLP）系统，禁止安装未经审核的软件或插件。涉密终端需与互联网物理隔离，仅可处理涉密数据，严禁连接无线网卡、外接U盘等非授权设备。外来人员或校外合作单位的终端接入校园网络，需提前向信息化建设与管理部门申请临时账号，经身份核验与安全评估后，授予仅允许访问指定资源的权限，使用结束后需立即注销账号。全体师生员工需遵守网络行为规范，不得发布违法违规、损害学校声誉的信息，不得窃取他人账号、传播恶意软件、从事网络攻击等危害网络安全的行为，不得使用AI工具处理涉密或敏感数据，不得通过网络泄露学校保密信息。学校实行保密审查制度，所有拟发布的校内信息、对外合作的科研信息、涉密项目相关材料均需经过保密办公室的审查，未经审查不得对外发布。涉密信息需标注明确的密级、保密期限及知悉范围，严格控制知悉人员范围，不得超出工作需要的最小范围。涉密人员需经过保密培训、保密审查并签订保密协议，核心涉密人员的脱密期为3年，重要涉密人员为2年，一般涉密人员为1年，脱密期内不得擅自出境或到境外机构任职。涉密会议、活动需在符合保密要求的场所举办，涉密资料需统一编号、登记管理，会议结束后需当场回收涉密资料，不得留存。涉密载体包括纸质资料、电子存储介质等，需专人保管，定期盘点，严禁私自携带涉密载体出境或在无保密措施的场所存储。学校应当制定完善的校园网络安全与保密事件应急响应预案，明确一般、较大、重大、特别重大四级事件的响应流程与处置措施。发现网络安全事件或泄密事件后，运维人员需在1小时内完成初步排查，切断感染源或阻断泄露渠道，保存完整的日志与证据材料，并立即上报校园网络安全与保密工作领导小组。发生重大或特别重大网络安全事件、泄密事件时，需在24小时内上报当地保密行政管理部门、网信部门及教育主管部门。学校每半年需开展一次桌面应急演练，每年开展一次实战应急演练，检验应急队伍的响应能力与预案的可行性。应急处置所需的加密设备、备份介质、应急通信工具等物资需定期检查、及时更新，确保处于可用状态。事件处置结束后，需开展复盘分析，总结经验教训，完善管理制度与技术防护措施。校园网络安全与保密工作应当纳入各二级单位的绩效考核体系，考核权重不低于10%，对工作成效显著的单位与个人给予表彰与奖励，对违反本制度的单位与个人，视情节轻重给予相应处理。轻微违规行为，如未按要求更新终端软件、未及时报告网络异常等，由所在单位给予批评教育并责令限期整改；一般违规行为，如擅自共享账号、未经审核发布内部信息等，给予警告处分，扣除当月绩效奖金；严重违规行为，如泄露敏感数据、擅自接入涉密网络、从事网络攻击等，给予记过以上处分，暂停或撤销相关权限，情节特别严重造成重大损失或涉嫌犯罪的