总则
第一条 制定目的与依据。 为应对开源智能体、新型工具软件等新兴技术快速应用带来的网络安全、数据安全、隐私保护新挑战,补齐原有制度对新技术、新应用、新风险覆盖不足的短板,保障学院教学、科研、管理工作平稳有序开展,依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国职业教育法》《网络安全等级保护条例》《生成式人工智能服务管理办法》《三门峡职业技术学院网络与信息安全管理制度》等法律法规及校内规章制度,结合学院实际,制定本办法。
第二条 适用范围。本办法适用于全校办公网络、教学科研网络、校内服务器、办公电脑、教学设备、实训室设备、实训平台,以及接入校园网络的各类终端与相关主体,覆盖全体在校教职工、学生、校企合作派驻人员、外来入校服务人员及其他使用校园网络资源的单位和个人。
第三条 核心管理原则。
( 一)安全优先、审慎使用。先评估、后使用;先备案、再部署,严控风险底线。
(二)谁主管、谁负责; 谁使用、谁负责。明确使用人直接责任、所在单位主体责任、管理部门监管责任。
(三)分级分类、场景适配。按风险等级对应用实施差异化管控,兼顾安全合规与教学科研合理需求,杜绝“一刀切”。
(四)公私隔离、数据可控。办公环境与个人环境严格隔离,校内数据全流程可管可控。
第四条 术语定义。本办法所指核心术语定义如下:
( 一)新兴技术应用:包括但不限于生成式 AI 工具、AI 智能体框架、开源大模型、新型第三方工具软件、未知来源插件、境外在线 AI 平台、未经安全评估的系统与应用、教学实训用 AI模块、虚拟仿真实训 AI 系统、产教融合合作 AI 应用等。
(二)境外 AI 平台:指服务器部署在中华人民共和国境外,或由境外主体运营、数据出境不受我国法律法规监管的在线 AI服务平台。
(三)高风险应用:指未通过国家网络安全审查、无合规运营资质、存在数据泄露风险、夹带恶意代码的应用与服务。
(四)校内分级分类数据:严格遵照《教育系统数据分类分级指南》划分,核心数据包括师生身份敏感信息、学籍财务数据、科研涉密数据、学院核心业务数据;重要数据包括教学资源、实训数据、内部管理文件; 一般数据指公开可查的非敏感信息。
第二章 职责分工
第五条 牵头管理部门职责。 网络信息中心为本办法牵头实施部门,履行以下职责:
(一)建立新兴技术安全评估标准;
(二)负责校内服务器、办公终端、网络边界的安全监测、漏洞扫描、违规应用核查与技术处置;
(三)受理新兴技术应用安全评估申请,出具评估结论,完成备案管理;
(四)提供安全咨询、应急响应、技术支撑与常态化培训教育;
(五)对高风险应用及时发布预警、限期清理、全校通报;
(六)负责本办法的解释、修订与落地督导。
第六条 协同管理部门职责。各相关职能部门按职责分工履行管理责任:
(一)教务处。负责教学场景下新兴技术应用的教学合规审核,统筹各专业 AI 工具的规范使用,将 AI 伦理与安全纳入人才培养方案与实训教学要求;
(二)科研处。负责科研项目中新兴技术应用的科研合规与数据安全审核,管理 AI 生成内容的知识产权与学术规范;
(三)学生处、校团委。负责学生群体的宣传教育、行为管理与违纪处置,将 AI 安全规范纳入新生入学教育、学生日常管理与创新创业指导;
(四)人事处。负责将本办法执行情况、违规行为纳入教职工年度考核、职称评定、岗位晋升管理,配合落实相关处置要求;
(五)纪检监察室。负责违规行为责任追究的监督执纪,对制度执行不力的单位与个人依规处置。
(六)保卫处: 负责配合网络安全事件的应急处置、涉法涉警事件的对接处置。
第七条 二级单位主体责任。各院部、各部门负责人为所在院部、部门网络安全第一责任人,须严格落实网络安全主体责任,及时将本办法传达至全体师生, 常态化开展安全警示教育,严格执行学院各项管理要求,切实筑牢校园网络安全防线。
各院部、各部门须履行以下具体职责:
(一)负责本办法在所属院部、部门的传达贯彻、组织落实;
(二)组织开展所属院部、部门新兴技术应用的自查、报备、整改工作,严格落实零报告制度;
(三)督促所属院部、部门师生严格遵守本办法各项规定,常态化开展安全警示教育;
(四)对所属院部、部门违规使用行为承担管理责任,配合学院完成网络安全事件处置工作。
第三章 禁止与限制行为
第八条 绝对禁止行为。凡接入校园网络的终端、设备、服务器,一律严禁实施以下行为:
(一)安装、运行、部署国家相关主管部门通报的高风险应用、恶意程序、夹带非法程序的非可信软件与衍生版本;
(二)将校内核心数据、重要数据、敏感信息上传至境外 AI平台、未备案公共大模型、不明在线服务;
(三)利用 AI 工具从事学术不端、编造数据、代写论文、违规采编信息、侵犯版权与隐私等违法违规行为;
(四)利用 AI 工具批量爬取、生成、泄露师生个人信息、学籍信息、财务信息、门禁日志、一卡通数据等敏感内容;
(五)私自搭建、运行非法代理服务、内网穿透服务,违规开放外联端口,造成校园网络受控风险;
(六)其他违反国家法律法规、教育行业监管要求及校内规章制度的行为。
第九条 限制性行为。 以下行为未经安全评估与正式备案,一律严禁实施:
(一)在校内办公、教学、科研环境安装、运行、部署 AI工具、智能体框架、开源模型、第三方插件及相关应用;
(二)在校内服务器、实训平台、教学设备上搭建 AI 服务、模型推理服务、开源模型部署环境;
(三)其他可能带来网络安全、数据安全风险的新兴技术应用部署行为。
第四章 分场景使用规范与安全要求
第十条 数据安全底线要求。本条款为校内所有新兴技术应用使用场景的通用安全底线,是各院部、各部门开展相关工作的刚性约束,必须严格遵守、坚决执行,不得突破。
(一)学院核心数据、重要数据严禁上传至任何公共 AI 平台、境外服务平台,仅可在学院私有化部署、已通过安全评估并完成备案的合规系统、指定校内工作终端内处理;
(二)严禁通过个人电脑、手机等个人自有设备,将校内核心数据、重要数据及敏感涉密信息上传、输入、提交至各类 AI工具、公共云平台及境外服务,严禁利用个人自有设备开展涉及上述数据的 AI 模型训练、数据分析等操作;
(三)使用新兴技术应用, 仅限用于权限范围内的教学、科研、管理等合规工作场景,严禁利用 AI 工具违规处理、分析涉密科研数据、核心业务数据、师生敏感个人信息;
(四)任何单位与个人不得违规授权 AI 工具访问校内业务系统、数据库、存储设备,不得批量导出、爬取校内数据用于 AI模型训练,不得违规泄露、传播校内敏感数据。
第十一条 部门应用评估备案管理规范。 各院部、各部门是本部门管辖范围内校内工作终端、集体应用使用的第一责任主体,在教学、实训、科研、管理、产教融合等所有工作场景下,集体使用、部署、组织推广新兴技术应用,管理校内工作终端,须严格遵守本办法核心管理原则,全面落实部门主体责任。
各院部、各部门集体使用、部署新兴技术应用,须统一履行以下申请与评估备案流程: 由所在院部、部门提交《部门新兴技术应用安全评估申请表》,经业务归口部门(教务处、科研处或其他对应职能部门)审核通过后,报网络信息中心开展安全评估;网络信息中心在收到申请后 7 个工作日内完成评估,评估通过后,统一报请学院主管院长审批;全部流程办结并完成备案后, 方可按规定使用。备案有效期最长不超过 1 年,有效期届满需继续使用的,应提前 7 个工作日重新履行备案手续;应用版本、使用场景、用途发生重大变更的,须重新履行评估备案流程。
(一)校内工作终端通用使用规范。
本条款为学院所有校内工作终端的通用底线要求,各院部、各部门均须严格遵守:
1.校内工作终端仅限安装、使用已按本办法规定完成安全评估备案的新兴技术应用,任何单位与个人严禁私自安装、运行、部署未完成备案的应用;
2.校内工作终端上的新兴技术应用仅限在申报的指定场景、指定终端、指定用途范围内使用,不得超范围转借、传播、部署;
3.校内工作终端上的新兴技术应用仅限处理对应权限范围内的一般数据与公开信息,严禁处理校内核心数据与敏感涉密信息;
4.校内工作终端的日常运维与管理责任, 由终端所属院部、部门承担,实际使用人承担直接使用责任。
(二)重点场景专项要求。
1.教学实训场景。各院部、各部门因教学实训确需使用开源模型、AI 工具的,按本条前款规定的统一流程履行申请、评估、审批、备案手续后,在封闭实训环境、受控网络区间内使用;
2.产教融合场景。校企合作项目引入的新兴技术应用,由牵头院部、部门按本条前款规定的统一流程完成评估、审批与备案,明确校企双方数据安全责任,严禁合作方通过 AI 应用违规采集校园数据;校企合作派驻人员终端接入校园网,由项目牵头院部、部门负责督促其完成终端安全自查,统一办理接入备案手续,落实全流程管理责任,确保其终端符合本办法安全要求后,方可接入校园网。
第十二条 个人应用评估备案管理规范。 教职工在教学、科研、办公等工作场景下,使用校内工作终端安装、使用新兴技术应用,或使用个人自有电脑、手机等设备安装、使用新兴技术应用且存在接入校园网络、处理校内数据行为的,均须严格遵守“先评估、后使用;先备案、再使用”的核心原则, 落实使用人直接责任。
已通过所在院部、部门统一备案的应用,个人无需重复履行申请备案流程,仅需严格遵守本办法及本条款的使用规范。教职工个人因工作确需使用新兴技术应用,须提前 7 个工作日履行以下评估备案流程:本人完整填写《教职工新兴技术应用安全评估申请表》,经所在院部、部门审核通过后,报网络信息中心开展安全评估; 网络信息中心在收到申请后 7 个工作日内完成评估并出具明确结论,评估通过并完成备案后,方可在申报的指定设备、指定场景、指定用途范围内规范使用,不得超范围安装、转借、传播给其他未备案人员使用。备案有效期最长不超过 1 年,有效期届满需继续使用的,应提前 7 个工作日重新履行备案手续;应用版本、使用场景、用途发生重大变更的, 须重新履行评估备案流程。个人使用新兴技术应用,还须严格遵守以下安全底线要求:
(一)个人自有设备安装高风险、未完成安全评估备案应用的,严禁接入校园有线、无线、 VPN 网络,严禁访问校内业务系统、共享校内存储、连接校内办公设备,严禁通过该设备处理、存储、传输校内核心数据、重要数据及敏感涉密信息;
(二)严禁将校内任何涉密、敏感数据传入未备案 AI 平台、境外平台及高风险应用;
(三)使用终端须开启正版杀毒软件、系统防火墙与安全更新,严禁使用破解版、修改版、未知来源的插件与应用,严禁私自规避校园网安全管控措施;
(四)使用过程中出现设备异常卡顿、外联可疑 IP、数据泄露等风险情况,须立即停用、卸载相关应用,第一时间上报网络信息中心,并配合做好后续应急处置、溯源追责工作;
第五章 备案、自查与排查
第十三条 常态化备案。各院部、各部门须于每学期开学后 7个工作日内,完成本单位新兴技术应用全面自查工作,对已部署、在用的 AI 工具、新型软件、模型服务等应用,统一向网络信息中心报备,确保底数清晰、应报尽报、无遗漏、无隐瞒。学期中间新增、变更新兴技术应用的,须严格遵守“先评估、后使用”原则,按要求提交安全评估申请,完成备案后方可使用,严禁先用后报。
第十四条 专项排查。 网络信息中心根据国家预警、漏洞通报、安全态势,不定期启动新兴技术应用专项治理,各单位须按要求完成排查、整改、上报工作。
第十五条 零报告制度。专项排查期间,各单位须按时限要求报送统计表,无相关使用情况也须执行“零报告”,确保全覆盖、无死角。
第六章 监督、处置与责任追究
第十六条 常态化监测。 网络信息中心对办公电脑、服务器、网络出口持续开展安全监测,发现违规安装、违规外联、高风险行为,立即采取断网隔离、风险封堵等技术措施,并同步通知相关单位与个人限期整改。
第十七条 梯度化处置。
本条款按照“谁违规、谁担责,分级管控、过罚相当”的原则,区分个人违规、部门违规两类主体,设置差异化梯度处置措施,所有处置结果均同步纳入学院对应考核管理体系。
(一)个人违规梯度处置
按违规情节轻重,实施六级梯度处置:
1.首次轻微违规、未造成风险后果的,由学院网络安全和信息化领导小组办公室予以提醒约谈、限期整改;
2.逾期未整改、整改不到位,或再次发生同类违规的,由学院网络信息中心采取终端断网、校园网权限限制等技术管控措施,相关违规记录纳入个人年度考核负面清单;
3.多次违规、隐瞒违规行为不报的,由学院网络安全和信息化领导小组予以全校通报批评,取消个人年度评优评先资格;
4.违规使用导致病毒入侵、数据泄露、系统受控等网络安全事件,由学院网络安全和信息化领导小组统筹核查,纪检、人事等相关部门配合,依规追究当事人责任,相关情节与个人职称评定、岗位晋升直接挂钩;
5.违规情节严重、造成重大安全事件或恶劣影响的,依规给予党纪政务处分、岗位调整等处理,对个人评优评先、职称评定、岗位晋升实行一票否决;
6.造成特别严重后果或触犯法律法规的,移交公安、网信等相关部门依法处理。
(二)部门违规梯度处置
按违规情节轻重,实施四级梯度处置:
1.首次出现管理失职、未造成风险后果的, 由学院网络安全和信息化领导小组办公室对部门主要负责人予以提醒约谈、限期整改;
2.逾期未整改、整改不到位,或部门内多人次发生同类违规的,由学院网络安全和信息化领导小组予以全校通报批评,相关记录纳入部门年度考核负面清单;
3.部门集体违规使用、未履行备案审批流程,或因管理失职导致发生网络安全事件的,依规追究部门主要负责人、直接责任人责任,与部门年度绩效考核直接挂钩,对部门年度评优评先实行一票否决;
4.造成特别严重后果或触犯法律法规的, 移交纪检、公安、网信等相关部门依规依法处理。
第十八条 学生违规处置。 学生使用新兴技术应用的管理要求,参照本办法及《三门峡职业技术学院学生违纪处分规定》执行,由学生处、所在院部落实教育管理、日常监督与违规处置责任。
第十九条 容错纠错。严格遵照本办法执行, 因技术迭代不可预见的风险、非主观故意导致的安全事件,且当事人第一时间主动上报、积极配合处置、未造成数据泄露、系统瘫痪等严重后果的,可予以容错,免于追责。
第七章 培训与应急响应
第二十条 新兴技术培训。 网络信息中心牵头负责新兴技术安全培训工作,将新兴技术安全纳入校园网络安全常态化培训体系,分层分类开展专项培训,全面提升师生对 AI 应用风险、开源工具风险、钓鱼攻击与恶意软件的识别防范能力与安全合规意识。
第二十一条 应急响应。 网络信息中心建立新兴技术应用安全预警与快速响应机制,发现高风险安全漏洞、突发安全事件后,第一时间按流程发布预警、启动应急处置, 最大限度防范化解安全风险、降低事件危害影响。
第八章 附则
第二十二条 本办法未尽事宜,严格遵照国家网络安全、数据安全相关法律法规及教育行业监管要求执行,与学院既有网络安全、数据安全、保密制度一并执行。
第二十三条 本办法由学院网络信息中心负责解释。
第二十四条 本办法自发布之日起施行,设置 30 日整改过渡期( 2026 年 4 月 15 日至 2026 年 5 月 14 日),过渡期内执行相关自查报备要求,过渡期结束后全面执行本办法
网络信息中心
2026年4月14日
