总则
第一条 学校网站与信息系统安全管理工作在党政办公室统筹协调下,由网络信息中心会同保卫与校园管理处和相关部门具体开展执行。
第二条 学校网站与信息系统采取备案管理,严格执行问题网站退出机制。
第三条 学校网站与信息系统安全管理由立项评级、上线前安全审查、日常监测评估、年审、用户安全培训等环节组成。
第四条 校内网站与信息系统的网络互联情况分为不联网、业务专网、校园网、互联网。对于联网系统,使用学校二级域名访问和校内地址段IP地址访问的网站和信息系统,原则上必须在网络信息中心备案。
第一章 立项评级
第五条 依照国家等级保护政策规定,校内网站与信息系统在立项时应确立安全保护级别。以网站和信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据来评定安全保护级别。
第六条 网站与信息系统的定级标准严格遵照国家等级保护政策和教育部指导文件进行,并按相关规定进行立项和建设。
第七条 网站与信息系统在规划设计和建设时,应按照所处等级保护级别同步进行安全规划设计和建设,在选购信息安全技术产品时应选择通过国家信息安全认证的产品。
第八条 校内网站与信息系统在委托第三方进行开发时,应注重对运维和安全修复方面条款的要求,确保使用中出现问题时能迅速解决。
第二章 上线审查
第九条 校内网站与信息系统在投入使用前应向网络信息中心提交备案材料,申请上线发布。
第十条 网络信息中心对申请上线系统的备案材料进行审查,检查备案材料中的负责人和管理员信息、物理机房安全措施、运维措施等是否合规。对于不合规的系统不予上线,修改后重新申请。
第十一条 网络信息中心对申请上线的网站和信息系统进行安全检查,使用漏洞扫描设备对网站和信息系统进行主机服务器和web应用服务安全扫描。对于存在安全风险的系统不予上线,修改后重新申请。
第十二条 申请上线的系统应标明系统的使用期限,对于短期使用的网站和信息系统,在使用期限到期后将自动关闭。
第三章 监测评估
第十三条 网络信息中心在接收到上级安全监管部门的检测问题通知后,联系该问题网站负责人和管理员,转告问题通知。管理员须在要求的时间内解决问题。
第十四条 对于出现严重安全事件的网站和信息系统,将立刻关闭,并通知负责人和管理员,责令整改并需提交整改报告。
第十五条 网络信息中心对校内网站和信息系统进行日常安全管理,根据网站和信息系统的安全防护级别,定期进行安全扫描和风险评估,并将评估报告发送给管理员。
第十六条 对于存在高风险的网站和信息系统,将停止其互联网访问,通告负责人和管理员,并责令在15个工作日内修复,过期未修复的网站和信息系统将被关闭。
第十七条 校内网站和信息系统的备案信息发生变动时,管理员应主动报告并修订备案信息。
第十八条 对于出现问题的网站和信息系统,无法联系到负责人和管理员时,将视为无人维护,进行关闭处理。
第四章 年审
第十九条 校内网站和信息系统实行年审制,每年定期对网站和信息系统备案情况进行核查修订。
第二十条 年审期间管理员应检查所管理网站和信息系统的各项备案信息是否有变更,重点确认负责人和管理员的联系信息是否准确,并提交修改或确认。
第二十一条 在年审过程中,超过规定期限没有进行备案信息确认的网站和信息系统,将视为无人维护,进行关闭处理。
第五章 安全培训和技术支持
第二十二条 网络信息中心不定期举行面向校内网站管理员和相关人员的信息安全培训,通报校内信息安全形势,进行信息安全管理指导和技术培训。
第六章附则
第二十三条 本办法自印发之日起施行,由党政办公室、网络信息中心共同负责解释。