第一章 总则

第一条 为做好我校网络与信息技术安全工作，提高网络与信息技术安全防护能力和水平，保障我校各项事业健康有序发展，根据《教育部关于加强教育行业网络与信息安全工作的指导意见》、《中华人民共和国计算机信息系统安全保护条例》等文件，结合学校实际，制定本办法。

第二条 本办法所称网络与信息技术安全工作，是对于由学校建设或管理，服务于我校教学、科研或管理的校园信息网络、数据中心、应用系统和互联网站，为防止发生网络攻击、信息破坏、有害程序入侵、信息化设备设施故障等发生而开展的预防和防御工作。

第三条 学校按照国家有关网络安全和信息化政策法则，制定网络与信息技术安全总体规划，加强安全管理与技术研究，建立完善相关规章制度，并在实际工作中予以落实。

第四条 包括但不限于校园网建设、应用系统建设以及涉及接入校园网的软件、设备，在采购、建设中应遵循国产化原则，严格遵守国家网络与信息安全有关政策。

第二章 管理体制与责任

第四条 学校网络安全和信息化领导小组负责统一领导、统一谋划、统一部署全校网络安全和信息化发展，统筹制定网络安全和信息化发展战略、宏观规划和重大政策，研究解决网络安全和信息化重要问题。

第五条 网络安全和信息化领导小组下设网络安全和信息化领导小组办公室（以下简称“网信办”，由现代教育技术中心负责日常职责），负责网络与信息技术安全管理与监督工作。

现代教育技术中心是网络与信息安全技术支撑单位，负责学校网络与信息安全防护体系的建设与运行维护，负责为全校各部门网络与信息技术安全工作提供技术指导与服务支持。

第六条 学校各部门是本部门网络安全和信息化工作的责任主体，各部门主要负责人是本部门网络安全和信息化工作第一责任人，负责按本办法落实网络与信息技术安全工作，推进本部门信息化发展。

各部门应明确指定本部门各应用系统和互联网站的运行维护责任人，并将责任人名单报备网信办，人员变动时应及时调整并报备。

第七条 按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，全校各部门及全体师生员工应依照本办法及其相关标准规范履行网络与信息技术安全的义务和责任。

第三章 校园信息网络建设管理

第八条 校园信息网络包括校园计算机网络、公用通信网络和专用通信网络，统一归口网络安全和信息化领导小组管理。

第九条 校园信息网络管道由网络安全和信息化领导小组负责需求制定和使用管理；校园规划管理和建设部门负责在学校地下管网统一管理的原则下，进行规划、建设和运行维护。

第十条 校园计算机网络包括校园有线网络和无线网络，涉及光缆、网络机房、网络设备、域名管理、安全防护、用户认证、网络接入与运维等，由现代教育技术中心负责建设和运行维护管理。

网络接入部门负责提供本部门所需的网络设备间和电源保障，协助解决网络布线和设备安装所需空间，负责安防和消防安全管理。

第十一条 校园计算机网络接入互联网遵循“统一出口、统一管理”的规定，由现代教育技术中心负责实施。学校各部门在校园内不得擅自通过社会网络资源接入互联网。

第十二条 师生员工接入校园计算机网络，实行实名注册、认证上网的制度。网络接入实名制由现代教育技术中心负责实施。

第十三条 学校所有基建、修缮工程应将工程范围内校园计算机网络建设纳入工程设计、实施和竣工验收范畴。

第十四条 严禁任何部门和个人利用校园计算机网络及其网络设施开展经营活动。

第四章 数据中心建设管理

第十五条 数据中心主要包括支撑各类应用系统运行的软硬件基础设施、学校基础数据库、统一数据交换平台、统一身份认证系统及统一信息门户。现代教育技术中心负责数据中心的建设和运行维护管理。

第十六条 现代教育技术中心负责数据中心的物理安全、网络安全和主机安全。数据中心的资源使用部门负责所使用的操作系统、业务数据库系统、应用系统和数据的安全。

第十七条 现代教育技术中心负责学校基础数据库和统一数据交换平台的建设和安全管理，负责各部门业务数据库与基础数据库之间完成数据交换和共享。

各部门负责建设、维护本单位业务应用系统所配套的业务数据库；对本部门业务数据库的系统安全、数据安全及所申请的共享数据的安全负责。

第十八条 统一身份认证系统为校内信息系统提供统一的身份管理、安全的认证机制、审计及标准接口。校内各部门建设面向师生服务的应用系统时，应与统一身份认证系统进行认证集成并备案系统信息。

现代教育技术中心负责统一身份认证系统的安全，各部门负责本部门应用系统的权限管理及安全。

第十九条 全校各部门应依托校内数据中心实施本部门信息化建设（包括建设应用系统或互联网站），需要使用校外数据中心的须报现代教育技术中心审批；严禁使用设置在境外的数据中心。涉及学校基础数据、师生个人信息或敏感信息的应用系统和互联网站，严禁放置在校外数据中心（含云计算平台）。

第二十条 现代教育技术中心对学校信息中心的使用实施准入管理。

现代教育技术中心负责制定使用数据中心的技术规范和标准，在系统上线前进行安全检测。符合技术规范标准并检测通过的系统方可上线运行。

第二十一条 各数据中心的使用部门应做好以下工作。

（1）遵循数据中心相关管理制度和技术标准，按需申请、有序使用。

（2）规范本部门数据中心资源的使用和管理，不得利用数据中心资源从事任何与申请项目无关或危害计算机信息系统安全的活动。

第五章 应用系统建设管理

第二十二条 鼓励优先采购安全、成熟和售后服务优良的商业软件或优秀软件开发商用于应用系统建设。

没有相应商业软件，或商业软件不适应我校实际需求的，可以按照学校采购与招标相关办法委托资质和信誉良好的软件开发商进行开发。

对于应用管理部门具有应用系统开发维护能力并能保证其信息安全的，可在学校顶层设计和软硬件配置框架内自行组织开发。

第二十三条 软件的采购、开发与维护管理。

业务管理部门根据本部门业务需要撰写需要分析报告，明确详细的功能和性能需求。

现代教育技术中心负责软件所需的数据中心资源，包括硬件、运行平台软件和基础数据等，协助制定技术方案，并确定拟建应用系统信息安全保护等级。

网信办组织对技术方案进行论证和审批，并确定拟建应用系统信息安全保护等级；按照学校采购与招标相关办法进行采购。

业务管理部门为应用系统的主管部门，应指定专门人员负责系统的建设、运行维护和安全管理，组织软件提供商并会同现代教育技术中心制定应用系统运维和安全管理方案。应用系统原则上由业务管理部门运维，特殊情况可委托现代教育技术中心运维。

第二十四条 应用系统移动客户端软件视同应用系统，参照第二十三条执行。

第二十五条 应用系统投入试运行后，由业务管理部门初步验收，出具初步验收报告，并向网信办申请开展信息安全保护等级测评。

网信办组织开展信息安全保护等级测评，形成测评报告。

第六章 信息技术安全事件报告与处置流程

第二十六条 信息技术安全事件的定义。根据《信息安全事件分类指南》（GB/Z 20986-2007，以下简称《指南》，摘录部门见附件1），本流程中所称的信息技术安全事件（以下简称安全事件）是指除信息内容安全事件以外的有害程序事件、网络攻击事件、信息破坏事件、设备设施故障、灾害事件和其它信息安全事件，详见附件1。

第二十七条 适用范围。本流程适用于我校各部门发生的信息技术安全事件的报告与处置工作。涉及信息内容安全事件的报告与处置工作按其相关规定执行。

第二十八条 安全事件等级划分。根据《指南》，将安全事件划分为四个等级：特别重大事件（Ⅰ级）、重大事件（Ⅱ级）、较大事件（Ⅲ级）和一般事件（Ⅳ级），详见附件1.

第二十九条 安全事件判定。我校各部门一旦发生安全事件，应根据《指南》，视信息系统重要程度、损失情况以及对工作和社会造成的影响迅速自主判定安全事件等级。现代教育技术中心在接到报告后，根据事件情况，进一步做出判定。必要时，现代教育技术中心组织专家进行判定或报告学校网络安全和信息化领导小组判定。

第三十条 Ⅰ至Ⅲ级信息安全事件的报告与处置。报告与处置分为三个步骤：事发紧急报告与处置、事中情况报告与处置和事后整改报告与处置。

（1）事发紧急报告与处置

① 网络与信息系统运维操作人员一旦发现上述安全事件，应根据实际情况第一时间采取断网等有效措施进行处置，将损害和影响降到最小范围，保留现场，并报告本部门安全责任人和主要负责人。

② 本部门安全责任人接到报告后，应立即组织相关人员赶赴现场进行紧急处置，同时以口头通信的方式将相关情况通报至现代教育技术中心，并书面记录安全事件发现过程及口头汇报过程。涉及人为主观破坏事件应同时报告学校保卫部门。

③ 现代教育技术中心接到报告后，应做好书面记录，并进一步判定安全事件等级，对确认属Ⅰ至Ⅲ级安全事件的，应报告网络安全和信息化领导小组相关领导。

④ 紧急报告内容包括：A.时间地点；B.简要经过；C.事件类型；D.影响范围；E.危害程度；F.初步原因分析；G.已采取的应急措施。

⑤ 对确认属Ⅰ至Ⅲ级安全事件的，现代教育技术中心应立即组织相关技术力量赶赴现场进行协助处置工作。

涉及人为主观破坏事件的，学校保卫部门应组织人员赴现场协助处置，并协助公安机关做好相关取证和处置工作。

⑥ 各部门应及时跟进事件发展情况，出现新的重大情况应及时补报。

（2）事中情况报告与处置

① 事中情况报告应在安全事件发现后6小时以书面报告的形式进行报送，报送内容和格式见附件2.

② 事中情况报告由部门安全负责人组织编写，由本部门主要负责人审核后，签字并加盖章公章报送网信办。

涉及人为主观破坏事件的，事中情况报告应抄送给保卫部门。

③ 安全事件的事中处置包括：及时掌握损失情况，查找和分析事件原因，修复系统漏洞，恢复系统服务，尽可能减少安全事件对正常工作带来的影响。如果涉及人为主观破坏的安全事件应由保卫部门联系、配合公安部门和学校保卫部门开展调查。

（3）事后整改报告与处置

① 事后整改报告应在安全事件处置完毕后4个工作日内以书面报告的形式进行报送，报送内容和格式见附件3。

② 事后情况报告由部门安全负责人组织编写，由本部门主要负责人审核后，签字并盖公章报送网信办。

③ 安全事件事后处置包括：进一步总结事件教训，研判安全现状、排查安全隐患，进一步加强制度建设，提升安全防护能力。如涉及人为主观破坏的安全事件应继续配合公安部门和学校保卫部门开展调查。

第三十一条 一般安全事件（Ⅳ）报告与处置。各部门发生一般安全事件，应及时、自主组织应急处置工作；需要现代教育技术中心协助的，联系现代教育技术中心予以协助。在事件处置完毕后6天内向网信办报送整改报告，报告内容和格式见附件3.

第三十二条 预警类信息的报告与处置。

各部门要按时、按要求完成国家、地方有关信息安全部门以及现代教育技术中心等部门通报的预警类信息的处置工作，并按要求形成书面报告，报送网信办。

第三十三条 人事变更报告。为保障联络通畅，各部门的信息技术安全工作主管领导、联络员、联络方式发生变更的，应及时向网信办报备。

第三十四条 相关配套机制。各部门应根据实际建立本部门的值守制度，做到安全事件早预警、早发现、早报告、早控制、早解决。各部门应建立健全本部门安全事件应急处置机制，制定安全事件应急预案，定期组织应急演练。

第三十五条 整改落实机制。发生Ⅰ至Ⅲ级安全事件后，要认真做好整改落实工作，坚持做到事故原因不查清不放过、整改措施未落实不放过、责任人未受到教育或处理不放过，尽快杜绝类似事件再次发生。

第七章 信息技术安全漏洞整改流程

第三十六条 信息技术安全漏洞的定义。根据《信息安全技术安全漏洞等级划分指南》(GB/T 302792013，以下简称《指南》，摘录部分见附件4），本流程中所称的信息技术安全漏洞（以下简称信息安全漏洞）是指计算机信息系统在需求、设计、实现、配置、运行等过程中，有意或无意产生的缺陷。这些缺陷以不同形式存在于计算机信息系统的各个层次和环节之中，一旦被恶意主体所利用，会对计算机信息系统的安全造成损害，从而影响计算机信息系统的正常运行。

第三十七条 适用范围。本流程适用于我校各类网站、信息系统（包含承载其运行的服务器操作系统、中间件软件和数据库管理系统等）以及网络交换机、网络路由器、服务器、网络打印机、视频监控、大屏发布等其他计算机信息系统（以下均统称为信息系统）信息安全漏洞的发现、处置与整改。

第三十八条 责任体系。根据《中华人民共和国网络安全法》第二十五条要求，网络运营者应当及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险。网信办负责学校各类信息安全漏洞的通知、应急处置和整改督促等。现代教育技术中心负责学校核心数据中心内的虚拟服务器的操作系统、中间件系统和数据库系统级别信息安全漏洞技术处置，负责学校网站群平台的操作系统及平台级信息安全漏洞的处置，校内其他各系统信息安全漏洞的扫描和技术支持。学校各部门负责本部门所管理的各类信息系统的信息安全漏洞自查、堵塞整改、复查复测和处置情况报告等。

第三十九条 信息安全漏洞等级划分。根据《指南》，信息安全漏洞等级划分要素包括访问路径、利用复杂度和影响程度三方面。根据危害程度从低至高，将信息安全漏洞划分为四个等级，依次为低危、中危、高危和超危。根据相关机构或相关安全软件有明确定义安全等级的漏洞按照其标准确定等级；没有明确级别的，现代教育技术中心安全管理员负责对信息安全漏洞的危险等级进行评估，确定漏洞的危害等级。对不同等级的信息安全漏洞，将采取不同的处置措施。

第四十条 信息安全漏洞发现。学校信息安全漏洞主要包含：

（1）上级有关部门或其他机构通报的信息安全漏洞；

（2）学校通过网络安全扫描发现的信息安全漏洞；

（3）信息系统管理员自己发现的信息安全漏洞。

第四十一条 超危与高危信息安全漏洞的处置。对于超危和高危信息安全漏洞，现代教育技术中心应立刻采取断网措施，根据信息系统的登记备案信息，向信息系统责任部门发出《信息安全漏洞整改通知》（以下简称整改通知）。

第四十二条 中危与低危信息安全漏洞的处置。对于中危和低危信息安全漏洞，现代教育技术中心发送电子邮件并电话通知责任部门进行整改，限定十个工作日内完成整改。部门整改完成后直接通过邮件回复现代教育技术中心要求重新扫描，现代教育技术中心对整改结果进行检查，确认部门是否已完成整改。对于未按期完成整改的部门，采取断网措施，同时向责任部门发出整改通知。

第四十三条 信息安全漏洞整改。信息系统责任部门收到整改通知后，可根据实际情况直接整改，或指定信息系统负责人完成整改。整改完成后，填写《信息安全漏洞整改报告》（以下简称整改报告）。整改报告的主要内容包括：信息系统基本信息、漏洞说明、整改情况说明、整改结果及部门审核，具体内容和格式见附件5。整改报告由本部门主要负责人审核，签字并加盖公章后报送网信办。

第四十四条 整改落实机制。各部门收到整改通知后，要认真做好整改工作，坚持做到查清信息安全漏洞原因、按时整改，尽力杜绝类似信息安全漏洞再次发生。

第四十五条 整改结果验证。责任部门提交整改报告后，现代教育技术中心对信息系统进行整改结果检测，确认整改完成后才能开放网络连接。

第四十六条 人事变更报告。为保障联络通畅，各部门分管信息化负责人、信息化联络员、信息系统负责人、联络方式等发生变更的，应及时向网信办报备。

第八章 监测与处置

第四十七条 我校各应用系统和互联网站，由网信办按照国家信息安全等级保护机制要求确定安全保护等级，由现代教育技术中心按相关规定对信息安全等级状况开展等级评测。

经测评，信息安全状况未达到安全保护等级要求的，应用系统或互联网站的主管部门应制定整改方案并落实到位。

第四十八条 各部门定期对本部门应用系统、互联网站安全状况、安全保护制度及措施的落实情况进行自查，并配合有关部门的信息安全检查、信息内容检查、保密检查与审批等工作。

第四十九条 各部门应按照我校信息技术安全事件报告与处置流程，做好事发紧急报告与处置、事中情况报告与处置和事后整改报告与处置工作。

第五十条 各部门应建立本部门信息安全值守制度，做到安全事件早发现、早报告、早控制、早解决。各部门应建立健全本部门安全事件应急处置机制，制定安全事件应急预案，定期组织应急演练。

第五十一条 网信办联合相关部门对全校各部门网络与信息技术安全工作落实情况进行检查，对发现的问题下达限期整改通知书，对网络与信息技术安全事件进行调查处理。

第九章 保障措施

第五十二条 学校保障网络安全与信息化发展所需的人员编制，采取有效措施建立高水平的网络与信息技术安全管理专职队伍和技术支撑专业队伍。

第五十三条 学校保障网络安全与信息化发展的经费投入和物理空间需求。

第五十四条 学校切实开展人员培训和安全教育工作。各部门制定网络与信息安全教育培训规划，开展面向全员的普及型培训和宣传教育，提高安全和防范意识，培养良好的媒介素养和规范的网络行为。现代教育技术中心组织开展信息化管理和技术人员专业培训，逐步实行信息化管理和技术人员持证上岗。

第五十五条 学校建立完善的网络与信息技术安全工作检查考核、责任追究和倒查机制。

第十章 责任追究

第五十六条 有关部门在收到网络与信息技术安全限期整改通知书后，整改不力的，学校给予通报批评；玩忽职守、失职渎职造成严重后果的，依纪依法追究相关人员的责任。

第五十七条 各部门应按照信息技术安全事件报告与处置流程及时、如实地报告和妥善处置信息技术安全事件。如有瞒报、缓报、处置和整改不力等情况，由网信办联合纪检、监察部门对相关单位进行约谈或通报。

第五十八条 师生员工违反网络与信息安全相关管理规定，造成不良后果时，视情节轻重，分别由教职工人事管理部门或学生管理部门按相关规定给予批评教育或纪律部门分；触犯法律时，由相关国家机关依法追究法律责任。

第五十九条 各部门应按照流程及时、如实地报告和妥善处置安全事件。如有瞒报、缓报、处置和整改不力等情况，网络安全和信息化领导小组将对相关部门进行约谈或通报；情况严重的，根据本办法的责任追究条款问责处理。

第六十条 各部门应按照流程及时地完成信息安全漏洞整改。如有接到整改通知后不整改或整改不力等情况的，网信办将进行通报；情节严重的，根据本办法的责任追究条款问责处理。

第十一章 附则

第六十一条 对于涉及国家秘密的信息系统，按照国家保密工作部门的相关规定和标准进行保护，接受党委保密委员会部门监督指导。

第六十二条 紧急情况下，经学校网络安全和信息化领导小组批准，现代教育技术中心等单位可以采取特别措施以维护学校网络与信息安全。

本办法自发布之日起实施，由网络安全和信息化领导小组负责解释。《西安铁路职业技术学院网络与信息安全管理办法》（西铁院〔2017〕52号）自本办法实施后即时废止。学校此前发布的相关管理规定，凡与本办法不一致的，均按本办法执行。

附件：

1.信息技术安全事件分类与等级划分

2.信息技术安全事件情况报告

3.信息技术安全事件整改报告

4.信息技术安全漏洞等级划分指南

5.信息安全漏洞整改报告

附件1

信息技术安全事件分类与等级划分

《信息安全事件分类分级指南》（GB/Z 20986-2007）根据信息技术安全事件的起因、表现、结果等，将信息技术安全事件分为有害程序事件、网络攻击事件、信息破坏事件、设备设施故障、灾害事件和其他信息安全事件6个基本分类，每个基本分类分别包括若干个子类；根据信息系统重要程度、系统损失和社会影响，将信息技术安全事件划分为4个等级。

一、信息技术安全事件分类

1.有害程序事件有害程序事件是指蓄意制造、传播有害程序，或是因受到有害程序的影响而导致的信息安全事件。有害程序事件包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其他有害程序事件等7个子类。

2.网络攻击事件网络攻击事件是指通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。网络攻击事件包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件等7个子类。

3.信息破坏事件信息破坏事件是指通过网络或其他技术手段，造成信息系统中的信息被篡改、假冒、泄露、窃取等而导致的信息安全事件。信息破坏事件包括信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事信息丢失事件和其他信息破坏事件等6个子类。        

4.设备设施故障设备设施故障是指由于信息系统自身故障或外围保障设施故障而导致的信息安全事件，以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的信息安全事件。设备设施故障包括软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障等4个子类。

5.灾害性事件灾害性事件是指由于不可抗力对信息系统造成物理破坏而导致的信息安全事件。灾害性事件包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的信息安全事件。

6.其他事件其他事件是指不能归为以上基本分类的信息技术安全事件。

二、信息技术安全事件等级划分

1.特别重大事件（Ⅰ级）特别重大事件是指能够导致特别严重影响或破坏的信息安全事件，包括以下情况：

（1）会使特别重要信息系统遭受特别严重的系统损失；

（2）产生特别重大的社会影响。

2.重大事件（Ⅱ级）重大事件是指能够导致严重影响或破坏的信息安全事件，包括以下情况：

（1）会使特别重要信息系统遭受严重的系统损失，或使重要信息系统遭受特别严重的系统损失；

（2）产生的重大的社会影响。

3.较大事件（Ⅲ级）较大事件是指能够导致较严重影响或破坏的信息安全事件，包括以下情况：（1）会使特别重要信息系统遭受较大的系统损失，或使重要信息系统遭受严重的系统损失、一般信息信息系统遭受特别严重的系统损失；（2）产生较大的社会影响。

4.一般事件（Ⅳ级）一般事件是指不满足以上条件的信息安全事件，包括以下情况：

（1）会使特别重要信息系统遭受较小的系统损失，或使重要信息系统遭受较大的系统损失，一般信息系统遭受严重或严重以下级别的系统损失；

（2）产生一般的社会影响。

附件2

信息技术安全事件情况报告

部门名称：　　　　　（公章）　事发时间：　　年　月　日　分

附件3

信息技术安全事件整改报告

部门名称：　　　　　（公章）报告时间：　年　月　日

附件4

信息安全技术 安全漏洞等级划分指南

《信息安全技术安全漏洞等级划分指南》（GB/T 302792013）规定了信息系统安全漏洞（简称安全漏洞）的等级划分要素和危害程度级别。

一、安全漏洞等级划分要素

安全漏洞等级划分要素包括访问路径、利用复杂度和影响程度三方面。

访问路径的赋值包括本地、邻接和远程，通常可被远程利用的安全漏洞危害程度高于可被邻接利用的安全漏洞，可本地利用的安全漏洞次之。

利用复杂度的赋值包括简单和复杂，通常利用复杂度为简单的安全漏洞危害程度高。影响程度的赋值包括完全、部分、轻微和无，通常影响程度为完全的安全漏洞危害程度高于影响程度为部分的安全漏洞，影响程度为轻微的安全漏洞次之，影响程度为无的安全漏洞可被忽略。

影响程度的赋值由安全漏洞对目标的保密性、完整性和可用性三个方面的影响共同导出。

二、安全漏洞等级划分

安全漏洞的危害程度从低至高依次为低危、中危、高危和超危，具体危害等级划分方法见下表。

安全漏洞危害等级划分表

附件5

信息安全漏洞整改报告