第一章 总则

第一条 学校信息系统安全管理工作在学校网络安全和信息化领导小组协调下，由信息化处和相关单位具体开展执行。

第二条 学校信息系统采取备案管理机制，严格执行信息系统安全测评机制和问题系统退出机制。

第三条 学校信息系统安全管理由立项评级、上线审查、安全评测、问题退出、年审、用户安全培训等环节组成。

第四条 校内信息系统的网络互联情况分为不联网、业务专网、校园网、互联网。对于联网系统，使用学校二级域名和校内地址段IP地址访问的信息系统，原则上必须在信息化处备案。

第二章 立项评级

第五条 依照《信息安全技术 网络安全等级保护基本要求》，学校各信息系统需要进行定级保护，根据安全保护等级划分，学校各业务信息系统原则上定级为二级。

第六条 信息系统的定级标准严格遵照国家网络安全等级保护制度和教育部指导文件进行，并按相关规定进行立项和建设。

第七条 信息系统在规划设计和建设时，应按照该系统所定等级保护级别同步进行安全规划设计和建设，在选购信息安全技术产品时应选择通过国家信息安全认证的产品。

第八条 校内信息系统在委托第三方进行开发时，应注重对运维和安全修复方面条款的要求，确保使用中出现问题时能迅速解决。

第三章 上线审查

第九条 校内信息系统在投入使用前应向信息化处提交备案材料，申请上线发布。

第十条 信息化处对申请上线系统的备案材料进行审查，检查备案材料中的负责人、网络安全和信息化联络员、系统管理员信息、硬件资源、系统指纹信息、必要安装的安全插件（日志代理软件、终端安全软件等）、开放的服务端口、访问范围等是否正确合规。对于不合规、信息有误的系统不予上线，修改后重新申请。

第十一条 信息化处对申请上线的信息系统进行通用安全基线配置检查，使用漏洞扫描设备对信息系统进行主机和web应用服务安全扫描。对于存在高风险的系统暂时不予上线，修复后重新申请。

第十二条 申请上线的系统应标明系统的使用期限，对于短期使用的信息系统，在使用期限到期后将自动下线关闭。

第四章 安全评测

第十三条 信息化处在接收到上级安全监管部门的事件通报后，联系该问题信息系统主管单位负责人和网络安全和信息化联络员，转告事件详情。系统管理员须在要求的时间内解决问题。

第十四条 信息系统在上线运行期间，发现威胁告警和攻击行为，由信息化处通报至负责单位，系统管理员需及时采取相应措施进行应对。

第十五条 信息化处对校内信息系统制定统一的安全管理和防护策略，定期进行通用安全基线检查、安全漏洞扫描和风险评估，重点业务系统还需接受渗透测试，代码审计等安全测评工作，并将相关安全报告发送给各相关单位网络安全和信息化联络员进行处置。

第十六条 重要信息系统由信息化处统筹规划安排等保备案和测评工作，相关负责人和系统管理员要积极配合备案和测评工作的开展，及时整改不满足等保要求的问题项。

第五章 问题退出

第十七条 对于出现重大安全事件的信息系统，立刻关停，并通告负责人和网络安全和信息化联络员，责令限期整改并需提交整改报告。

第十八条 发现存在高风险的信息系统，或不满足上线要求的，将停止其互联网或校园网访问，通告负责人和网络安全和信息化联络员，在3个工作日内修复，过期未修复的或多次整改不达标的信息系统将采取暂缓部署或下线关闭。

第十九条 出现问题的信息系统，无法联系到负责人和网络安全和信息化联络员时，视为无人维护，采取下线关闭处理。

第六章 年审

第二十条 校内信息系统实行年审制，每年定期对信息系统备案情况进行核查修订。

第二十一条 日常校内信息系统的备案信息发生变动时，系统管理员应主动报告并修订备案信息，

第二十二条 年审期间系统管理员应检查所管理信息系统的各项备案信息是否有变更，重点确认负责人、网络安全和信息化联络员、系统管理员的联系信息是否准确，并提交修改或确认。

第二十三条 在年审过程中，超过规定期限没有确认备案信息的信息系统，视为无人维护，进行下线关停处理。

第七章 安全培训和技术支持

第二十四条 信息化处定期举行网络信息安全培训，通报学校网络安全态势，进行信息安全管理指导和技术支持。

第八章 附则

第二十五条 本办法自印发之日起施行，由网络安全和信息化领导小组负责解释。