信息系统安全漏洞整改通知书.docx

山东石油化工学院网络信息中心 管理制度汇编 山东石油化工学院网络信息中心 2022 年 2 月 目 录 第一部分 网络安全管理篇.............................................................1 网络安全等级保护管理规定........................................................1 校园网络安全管理制度...............................................................7 网络维护工作制度 ......................................................................9 网络安全定期巡查制度.............................................................10 网络安全教育和培训管理办法 ..................................................12 网络安全漏洞整改流程.............................................................14 网络安全责任追究制度.............................................................18 校园网用户上网守则 ................................................................21 学校域名管理办法 ....................................................................23 账号使用登记和操作权限管理规定...........................................26 网络违法案件报告和协助查处制度...........................................28 病毒检测和网络安全漏洞检测制度...........................................30 网络安全事件应急响应综合预案 .................................................31 网站建设管理办法 ......................................................................6 网络信息中心值班制度...............................................................9 电子邮箱使用管理规定.............................................................10 网络文明建设管理制度.............................................................14 第二部分 信息系统及安全管理篇 ................................................18 信息安全工作总体规定.............................................................18 信息安全制度管理规定.............................................................26 信息系统建设管理办法.............................................................34 信息系统运维安全管理办法......................................................44 信息系统“三员”管理规定......................................................49 信息系统安全检查规定.............................................................52 人员信息安全管理规定.............................................................60 信息安全教育和培训管理规定 ..................................................62 信息系统运行维护管理办法......................................................64 信息系统设备管理规定.............................................................67 移动存储介质管理规定.............................................................71 信息系统恶意代码防范与软件补丁分发管理规定 .....................78 信息系统安全审计管理规定......................................................82 第三部分 多媒体管理篇 ..............................................................83 多媒体教学管理员岗位职责......................................................83 多媒体教室设备管理制度 .........................................................85 多媒体教室使用管理规定 .........................................................86 多媒体设备借出制度 ................................................................87 公共机房使用管理规定.............................................................88 录播教室使用管理规定.............................................................89 第四部分 法律法规篇....................................................................91 《中华人民共和国网络安全法》 ..............................................91 中华人民共和国计算机信息系统安全保护条例.......................111 公共互联网网络安全突发事件应急预案..................................117 中华人民共和国个人信息保护法 ............................................130 第一部分 网络安全管理篇 网络安全等级保护管理规定 第一章 总 则 第一条 为加强学校网络安全管理，确保学校网络信息系统（以下 简称“信息系统”）安全，依据《中华人民共和国网络安全法》和《信 息安全技术 网络安全等级保护基本要求》（GB/T22239-2019）的相关 要求，结合工作实际，制定本规定。 第二条 网络安全管理遵循“确保安全、注重防范、分工负责、规 范管理”的原则，以确保网络运行安全和网络信息安全为核心，以抓好 安全防范为重点，各部门分工负责、协同配合、责任到人，认真遵守有 关网络安全的法律法规和制度规定，共同做好网络安全管理工作。 第三条 按照国家有关网络安全的政策要求，结合实际，制定并完 善安全策略、安全管理制度、日常操作规程和记录表单，构建学校网络 安全管理制度体系。 第四条 本规定适用于信息系统的安全管理。 第五条 本规定所指信息系统是山东石油化工学院规划和建设范围 内的计算机信息系统，包括所有非涉密信息系统。 第二章 组织机构和职责 第六条 在网络安全和信息化领导小组（以下简称“领导小组”） 领导下，网络信息中心负责信息系统的统一规划、责任分工和资源分 配，按照“谁主管谁负责、谁使用谁负责”的原则，由网络信息中心负 责信息系统的建设管理和运行维护。 第七条 网络信息中心是学校信息化工作安全管理和运行维护的部 门，负责指定信息系统的系统管理员、安全管理员和安全审计员。系统 管理员主要负责系统的日常运行维护，安全管理员主要负责系统的日常 安全管理工作，安全审计员主要负责对系统管理员和安全管理员的操作 进行审计和评估。安全管理员和安全审计员不得为同一人。 第八条 各部门、各单位负责所属信息系统的建设管理和运行维护 工作，负责指定本单位信息化联络员。信息化联络员负责协调本单位在 信息系统运维、网络信息安全、信息化建设等方面与网络信息中心的沟 通与配合工作。 第九条 各部门、各单位应结合具体情况，制定信息系统安全管理 的相关制度，建立健全保障信息安全的工作机制，采取措施落实有关安 全要求，确保信息系统与信息的安全。 第三章 规划建设和测评审批 第十条 信息系统按照国家网络安全等级保护要求确定保护等级， 进行规划、设计、建设和运行维护管理，并采取相应安全保护措施。 第十一条 网络信息中心统一负责信息系统的定级工作，并报公安 局备案。 第十二条 信息系统应根据其等保定级、行政级别、地域分布、连 接范围等合理划分安全域，安全域之间应采取必要的隔离措施。 第十三条 信息系统安全体系的规划、建设由网络信息中心负责， 统一采用防火墙、防病毒系统、入侵防御系统等安全措施。信息安全体 系应与信息系统同步规划、同步建设、同步使用。 第十四条 信息系统的设计、建设须选择具有相应信息系统集成资 质的单位承担设计、开发、建设和运行维护任务。信息系统建设工程的 监理、检测工作应选择具有相应信息系统工程监理、检测资质的单位承 担。 第十五条 重要信息系统投入使用前，有关风险评估、安全方案设 计、论证、等级保护测评和密码评估等所需经费，应由系统建设使用单 位在系统规划时，按照一定比例统一纳入系统建设经费预算。 第十六条 信息系统中使用的安全设备、系统软件、应用软件须采 用国家主管部门认定或认可的产品和设备，优先选用国产设备和系统。 第十七条 信息系统设计方案必须通过论证以后方可实施。网络信 息中心参与设计方案的论证、审查。设计方案中涉及密码技术产品的， 须报东营市密码管理局审批。 第十八条 信息系统应要求有完善的鉴别和认证、访问控制、日志 审计功能和数据验证功能，杜绝木马和后门，建立源代码控制和软件版 本控制机制。 第十九条 重要信息系统建成后，选择网络安全等级保护测评机构 开展测评。网络安全等级保护测评机构应根据“中国信息安全等级保护 网”提供的《全国等级保护测评机构推荐目录》进行选择。测评前应与 测评机构签订工作协议和保密协议，对测评机构和测评人员的测评活动 进行严格的监督与管理。信息系统通过测评后方可投入使用。 第二十条 信息系统不再使用时，网络信息中心负责废止管理工 作。密码设备退装、销毁等必须符合密码设备管理的有关规定。 第二十一条 网络信息中心负责规范对服务提供商的安全管理工 作，代表学校与服务提供商签订相关协议，明确整个服务供应链各方需 履行的网络安全相关义务，定期监督、评审和审核服务供应商提供的服 务，并对其变更服务内容加以控制。 第四章 使用管理与运行维护 第二十二条 做好统筹联动，加强各类管理人员、各部门、院系之 间在网络安全工作方面的合作与沟通，定期召开协调会议，共同协作处 理网络安全问题。 第二十三条 建立对外联系机制，拓展与外联单位的沟通与合作渠 道。外联单位包括供应商、业界专家、专业的安全公司、安全组织、上 级主管部门、安全服务机构、电信运营部门、执法机关等。 第二十四条 信息系统应具备文档化的系统安全管理策略，每 6 个 月对系统安全管理策略进行审核，如果系统、环境等发生较大变化时， 应及时更新安全管理策略。 第二十五条 信息系统应当处于安全可控环境中，其机房建设应符 合与网络安全等级相对应的标准要求，具有防火、防水、防雷、防静 电、防盗监控和供电、温控保障设施。服务器和交换设备应放置在安全 可控的区域，建立相关制度进行环境和设备的运维管理。 第二十六条 信息系统所有计算机应及时升级病毒库，进行病毒查 杀；及时安装操作系统、数据库和应用系统补丁程序。 第二十七条 信息系统应当采取身份鉴别、访问控制、安全审计、 违规外联监控等技术保护措施。审计日志记录至少保存 1 年。 第二十八条 建立系统备份与恢复策略，对关键系统、关键设备和 关键数据至少每 3 个月进行一次全量备份。 第二十九条 基于可信根对通信设备的系统引导程序、系统程序、 重要配置参数和通信应用程序等进行可信验证，在检测到其可信性受到 破坏后进行报警，并将验证结果形成审计记录。 第三十条 通过信息系统发布信息，按照“谁发布、谁负责”的原 则进行严格审批，建立审批程序，明确责任单位和责任人，做好发布信 息的记录工作。 第三十一条 严格限制通过互联网直接向重要信息系统复制信息， 确需复制的应采取严格的技术防护措施，防止病毒、木马等的导入传 播。 第三十二条 在信息系统中，对用户的授权应按照最小授权原则， 只授予其满足开展工作所需的最小访问权限，不得随意扩大用户的访问 范围或提高权限等级。安全审计员应做好对授权管理和访问控制策略的 监督、审核工作。 第三十三条 提升数据安全防护能力，确保数据完整性、保密性和 可用性，加强个人信息保护和剩余信息保护。 第五章 监测预警与应急处置 第三十四条 建立网络安全监测预警和信息通报制度，通报内容包 括网络安全态势与风险预警情况、重要漏洞告警及处置措施建议、重大 网络安全事件、信息系统高危安全隐患等，按照国家相关规定及省、市 有关主管部门的要求，报送网络安全监测预警信息，并及时发现和处理 网络攻击和异常行为等。 第三十五条 信息系统安全监测是网络安全检查的重要内容。网络 信息中心结合不同时期的工作需要，组织开展信息系统安全监测预警。 对存在安全漏洞隐患的信息系统责任单位通报监测预警信息，限期整 改。 第三十六条 网络信息中心协调有关部门建立健全网络安全风险评 估和应急工作机制。制定网络安全事件应急预案，并定期组织演练。网 络安全事件应急预案应当按照事件发生后的危害程度、影响范围等因素 对网络安全事件进行分级，并规定相应的应急处置措施。 第三十七条 网络安全事件发生的风险增大时，网络信息中心应当 按照规定的权限和程序，根据网络安全风险的特点和可能造成的危害， 采取下列措施： （一）要求有关部门和人员及时收集、报告有关信息，加强对网络 安全风险的监测。 （二）组织有关部门和专业人员，对网络安全风险信息进行分析评 估，预测事件发生的可能性、影响范围和危害程度。 （三）在全校范围发布网络安全风险预警，发布避免、减轻危害的 措施。 第三十八条 发生网络安全事件，应当立即启动网络安全事件应急 预案。网络信息中心办公室对网络安全事件进行调查和评估，要求相关 部门采取技术措施和其他必要措施，消除安全隐患，防止危害扩大，并 及时发布有关的警示信息。 第六章 安全教育与培训 第三十九条 网络信息中心通过多种形式在全校范围内开展网络安 全知识培训和网络安全形势教育，不断增强广大师生网络安全防护意 识。网络安全教育注重发挥校园网络的传播媒介作用，充分利用校园网 传播网络安全知识和相关法律法规等。 第四十条 各部门、各单位要加强人员在录用、调岗和离岗环节的 网络安全教育和管理。 第四十一条 信息系统安全管理人员包括系统管理员、安全管理员 及安全审计员，须进行安全培训，经考核合格后方可上岗。 第四十二条 信息系统安全管理人员应定期参加网络信息中心组织 的专业培训，了解网络安全形势，学习最新网络安全知识，不断提高安 全防护意识，增强做好网络安全工作的能力。 第七章 评价与惩戒 第四十三条 网络信息中心负责对学校信息系统的等级保护工作进 行监督，每年组织一次考核评价，将结果纳入单位的年度绩效考核。 第四十四条 对违反有关规定，造成信息安全隐患的部门，应责令 其限期整改；情节严重的，按照有关规定处理。 第八章 附 则 第四十五条 本规定由山东石油化工学院网络信息中心负责解释。 第四十六条 本规定自发布之日起施行。 校园网络安全管理制度 第一条 为了保护我校校园网络系统的安全、促进学校计算机网络的 应用和发展、保证校园网络的正常运行和网络用户的使用权益，制定本 安全管理制度。 第二条 本管理制度所称的校园网络系统，是指由学校投资购买、由 网络信息中心负责维护和管理的校园网络主、辅节点设备、配套的网络 线缆设施及网络服务器、工作站所构成的、为校园网络应用及服务的硬 件、软件的集成系统。 第三条 校园网系统的安全运行和系统设备管理维护工作由网络信 息中心负责，未经学校批准、不得擅自安装、拆卸或改变网络设备。 第四条 任何单位和个人、不得利用联网计算机从事危害校园网及本 地局域网服务器、工作站的活动，不得危害或侵入未授权的（包括 cernet 或其它互联网在内的）服务器、工作站。 第五条 除校园网负责人，其他个人不得以任何方式对校园网网站进 行修改、设置、删除等操作；任何人不得以任何借口盗窃、破坏网络设 施。 第六条 网络使用者不得利用各种网络设备或软件技术从事用户账 号及口令的侦听、盗用活动，该活动被认为是对网络用户权益的侵犯。 第七条 校园内从事施工、建设，不得危害计算机网络系统的安全。 第八条 校园网主、辅节点设备及服务器等发生案件、以及遭到黑客 攻击后，校园网负责单位必须在二十四小时内向有关部门及公安机关报 告。 第九条 严禁在校园网上使用来历不明、引发病毒传染的软件；对于 来历不明的可能引起计算机病毒的软件应使用公安部门推荐的杀毒软件 检查、杀毒。 第十条 任何人不得在校园网及其联网计算机上传送危害国家安全 的信息(包括多媒体信息)、录阅传送淫秽、色情资料。 第十一条 学校各部门负责人为网络安全负责人。学校微机室一律不 准对社会开放。不允许外来人员进入微机室。 网络维护工作制度 第一条 网络维护人员严格履行岗位职责，按时上下班，不得无故离 岗。 第二条 电话接线人员认真做好电话或咨询、报修的接待工作，并认 真填写报修记录。 第三条 对所有报修需在 2 工作小时内到达现场，24 小时内解决，如 遇特殊情况无法按时达到现场，必须向报修人员解释说明，同时向主管 领导汇报。 第四条 对教室、一卡通端口报修后立即到达现场，对一般的网络维 护可以直接进行，但是对于网络教室，一卡通的网络维护需在教室，一 卡通的确认下进行，不得随意修改网络插口，如遇特殊情况无法达到必 须向办公室或主管领导汇报。 第五条 维修过程仔细认真，如遇无法立即排除的故障，应向用户耐 心解释；遇到不能处理的一些网络故障，及时向领导汇报。 第六条 每项技术支持工作需进行详细记录，维修后要求报修人员向 电话接线人员填写维修结果意见，电话接线人员需问询用户的反馈意见， 并做仔细记录。 第七条 每个工作日开始时检查每个网关、网络设备的工作状态，如 遇故障及时排除并向领导汇报，同时填写工作记录。 第八条 做好设备的管理工作，用完或替下后的设备要妥善保管,及 时上缴。 第九条 如遇设备维修、更新需中断网络服务，必须至少提前一天通 知用户。 网络安全定期巡查制度 为规范我校网络安全的方式，现制定如下网络安全定期巡查制度： 一、实体及人员安全巡查内容： 第一条 学校网络的建设、改造，是否仍然符合国家标准或行业标准， 是否使用经国家认定的设备器材。工程竣工后，是否通过相关部门组织 验收方投入使用。 第二条 学校网络的设计、安装施工，是否由持有对应许可证的单位 承担。 第三条 学校网络线路是否采用管道、直埋、隐蔽方式，尽可能避免 明线敷设，以便切实保障网络安全。 第四条 学校网络实体是否严格按照国家制定的要求存放、使用，是 否会有什么安全隐患，发现的安全隐患是否进行了整改等。 第五条 学校网络是否具备用户管理、系统监测、适时报警等功能， 是否进行最新软件更新、升级等。 二、网络信息安全巡查内容： 为维护我校网络信息安全，网络安全定期巡查小组人员必须定期对 我校网络信息安全进行巡查工作，对如下信息进行删除并追究当事人责 任： 第一条 反对宪法所确定的基本原则的。 第二条 危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统 一的。 第三条 损害国家荣誉和利益的。 第四条 煽动民族仇恨、民族歧视，破坏民族团结的。 第五条 破坏国家宗教政策，宣扬封建迷信的。 第六条 散布谣言，扰乱社会秩序，破坏社会稳定的。 第七条 散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的。 第八条 侮辱或者诽谤他人，侵害他人合法权益的。 第九条 含有法律、行政法规禁止的其他内容的。 三、网络运行安全巡查内容： 第一条 学校网络设备进行安全检查，是否具有安全隐患，已查出的 安全隐患是否已经排除等等。 第二条 网络运行是否正常，是否具有较大的安全隐患，如果存在， 则必须根据具体情况进行整改，甚至停网进行整顿等。 网络安全教育和培训管理办法 第一章 总 则 第一条 为了规范学校网络安全教育和培训工作，进一步提高对网络 安全重大意义的认识，促进工作人员培训工作的日常化、全员化、制度 化，确保各项工作顺利进行，结合学校实际，制定本办法。 第二条 本办法适用于学校全体师生。 第三条 网络安全教育包括网络安全政策法规、安全意识、岗位职 责、基础知识、操作规程等。 第四条 网络安全教育应坚持以人为本、预防为主的原则，结合实际 工作，分层次、有重点、有针对性地进行。 第二章 组织机构和职责 第五条 网络信息中心负责学校网络安全教育和培训的规划、指导工 作，负责学校信息化联络员的网络安全教育和培训组织工作。 第六条 各部门、各单位（以下简称“各单位”）负责本单位师生的 网络安全教育和培训工作。 第三章 培训和考核 第七条 新生入学后应进行网络安全培训并接受考核，内容包括学校 规章制度、上网方式及方法、网络安全常识及信息安全培训等。 第八条 各单位应定期对师生进行网络安全意识教育，了解网络安全 法律法规、网络安全重要性以及网络安全最新动态。 第九条 新入职的教师和工作人员在正式上岗前，应进行网络安全方 面的培训，明确岗位所要求遵守的本单位网络安全制度和技术规范。 第十条 针对系统维护人员和管理员应定期开展安全技术教育培训， 明确如何安全地使用有关系统，包括各业务应用系统、主机操作系统、 内部网站以及联网设备等。 第十一条 针对安全管理员和系统管理员应根据实际情况进行相关的 培训，并参加认证考试，以提高网络安全管理人员的理论和实践能力。 第十二条 网络安全培训所采用的形式包括举办安全知识讲座、报告 会、座谈会，观看安全教育片，参观安全教育展览，以及参加网络安全 演练等。 第十三条 各单位应对培训进行签到、记录和内容审定等工作，通过 网上签到或者现场签名等方式对培训过程进行记录。 第十四条 应对培训对象进行考核，考核的方式可根据培训内容、时 间、要求，通过多种形式进行考核和评估；考核内容包括网络安全知 识、安全技能、操作行为等。 第十五条 各单位的工作人员应自觉接受安全教育和安全监督检 查。 第四章 附 则 第十六条 本办法由山东石油化工学院网络信息中心负责解释。 第十七条 本办法自发布之日起施行。 网络安全漏洞整改流程 第一章 总 则 第一条 为了规范学校信息系统安全漏洞整改流程，确保尽早发现 安全漏洞，及时消除安全隐患，加快安全处置响应时间，保障信息资产 安全，根据《中华人民共和国网络安全法》《信息安全技术安全漏洞划 分指南（GB/T30279-2013）》《信息安全技术信息安全漏洞管理规范 （GB/T30276-2013）》等法律法规，结合学校实际，特制定本流程。 第二条 本流程适用于学校信息系统、操作系统、数据库、中间 件、网络设备和安全设备的漏洞预防、发现、处置和跟踪等流程。 第三条 安全漏洞主要指信息系统在需求、设计、实现、配置、运 行等过程中，有意或无意产生的缺陷，这些缺陷以不同形式存在于计算 机信息系统的各个层次和环节之中，一旦被恶意主体利用，就会对信息 系统的安全造成损害，影响信息系统的正常运行。 第二章 组织机构与职责 第四条 网络信息中心工作职责： （一）负责学校信息安全漏洞的检测、评估、通报、应急处置和整 改督办工作。 （二）为学校各部门、各单位（以下简称“各单位”）信息系统的 漏洞整改工作提供建议和技术支持。 第五条 按照“谁主管、谁负责，谁使用、谁负责”的原则，各单 位负责对本单位所建设、管理、使用的信息系统的信息安全漏洞进行自 查、整改、验证、跟踪、报告等工作。 第三章 级别定义和处理时间 第六条 根据潜在危害、重复利用的可能性、利用的困难程度、影 响的用户范围和发现的难易程度进行评估，根据评估的风险等级从低至 高，将信息安全漏洞划分为四个等级，依次为低、中、高和紧急漏洞。 第七条 根据相关机构或相关安全软件有明确定义安全等级的漏洞 按照其标准确定等级，没有明确级别的，网络信息中心依据 DREAD 模型 负责对信息安全漏洞的危险等级进行评估，确定漏洞的危害等级，对不 同等级的信息安全漏洞采取不同的处置措施。 第八条 依据信息系统部署的方式和级别，以及发现的安全漏洞级 别，明确安全漏洞整改时效。 第四章 漏洞处理流程 第九条 根据安全漏洞生命周期中漏洞所处的不同状态，将漏洞管 理行为对应为预防、发现、评估、修补、验证、跟踪等阶段。 （一）漏洞的预防 信息系统所属单位应依据已发布的安全配置标准，对计算机操作系 统进行安全加固、及时安装补丁、关闭不必要的服务、安装安全防护产 品和开启相应的安全配置等。 （二）漏洞的发现 1. 来自教育主管部门、公安部门以及相关主管部门的安全漏洞和 安全威胁通报。 2. 来自信息安全服务厂商等的安全漏洞通知，渗透测试结果及风 险评估报告。 3. 学校自查发现的信息安全漏洞。 （三）风险的评估 1. 网络信息中心应在规定时间内验证通报、自行发现或收集到的 漏洞是否真实存在，并依据 DREAD 模型，确定漏洞的风险等级。 2. 根据风险等级判断是否需要对风险进行处理，可接受风险不处 理，不可接受风险需要处理。 3. 网络信息中心把需要处理的安全漏洞通知到相关的负责人并发 出《山东石油化工学院网络安全隐患整改通知书》，在漏洞未整改完成 前，仅发送给信息系统涉及的管理人员和需要进行配合的厂商，对敏感 信息进行屏蔽。 4. 网络信息中心应依据确定的风险等级，采取必要的安全保护管 控措施，限制访问区域。 （四）漏洞的修补 1. 安全漏洞所涉及的单位应根据本制度的要求，在规定时间内修 复安全漏洞，整改完成后填写《网络安全隐患整改情况反馈表》。 2. 修补方式包括：及时更新厂商官方提供的漏洞修复补丁；正确 配置相关应用、系统和口令等策略；开发人员修正代码中的安全漏洞或 功能缺陷。 3. 系统管理人员在安装厂商发布的操作系统及应用软件补丁时， 应保证补丁的有效性和安全性，并在安装之前进行测试，避免因更新补 丁而对产品或系统带来影响或新的安全风险。 4. 在无法安装补丁或更新版本的情况下，各部门应共同协商安全 漏洞的解决措施。 （五）结果验证 由网络信息中心对修复结果进行测试和检查、确保漏洞成功修复。 （六）漏洞的跟踪 1. 网络信息中心应建立漏洞跟踪机制，对曾经出现的漏洞进行归 档，并定期统计漏洞的修补情况，以便确切地找出信息系统的短板，为 安全策略的制定提供依据。 2. 网络信息中心应定期对安全漏洞的管理情况、安全漏洞的解决 措施和实施效果进行检查和审计，包括预防措施是否落实到位，漏洞是 否得到有效预防，已发现的漏洞是否得到有效处置，漏洞处理过程是否 符合及时处理和安全风险最小化原则等。 第十条 如因特殊原因，系统管理人员或厂商不能按照规定的时效 要求完成漏洞修复的，可申请延期； 不能进行修复的漏洞，需采取可 实行的补救措施，报网络信息中心负责人审批。 第十一条 各单位应按照流程及时完成漏洞整改，如有接到整改通 知后不整改或整改不力等情况，网络信息中心将进行通报，情节严重的 按有关规定处理。 第五章 附 则 第十二条 本流程由山东石油化工学院网络信息中心负责解释。 第十三条 本流程自发布之日起施行。 网络安全责任追究制度 第一章 总 则 第一条 为明确网络与信息安全事故责任主体（以下简称“责任主 体”），做好网络与信息安全事故的责任认定和追究工作，结合学校实 际情况，制定本制度。 第二条 责任主体的范围包括各部门、单位或个人等。山东石油化 工学院网络安全和信息化领导小组（以下简称“领导小组”）负责追究 责任主体的事故责任，称为“责任追究主体”。 第三条 网络与信息安全事故的责任认定实行“谁主管谁负责、谁 使用谁负责”的原则，由领导小组组织实施。 第四条 发生网络与信息安全事故后，应根据安全事件造成的影响 及相关责任主体的处置态度，作出如下处理： （一）批评教育。包括责令责任主体检查、诫勉谈话等。 （二）通报批评。在事发部门、单位范围内对责任主体发文通报， 责令整改，并由责任主体向学校主管领导作出书面检查。 （三）问责追责。将事故纳入责任主体的年度考核，取消当年年度 考核评优资格，降低或扣除责任主体的年度绩效；依照发生网络与信息 安全事故的严重程度，对责任主体和相关责任人处以罚款、赔偿事故损 失、降职，直至解聘等。 （四）报警处理。严重损坏社会或国家利益的，上报当地公安部门 处理。 第五条 责任追究应当坚持公平公正、有责必究、过罚相当、教育 与惩戒相结合的原则。 第二章 责任追究范围和适用 第六条 责任主体未按规定落实相关网络与信息安全管理制度及技 术规范，导致一般安全事件发生的，应对其进行批评教育。 第七条 责任主体未按规定落实相关网络与信息安全管理制度及技 术规范，导致较大安全事件发生的，应对其进行通报批评。 第八条 责任主体未按规定落实相关网络与信息安全管理制度及技 术规范，导致重大或特别重大安全事件发生的，应当予以问责追责，情 况十分严重的应报警处理。 第九条 有下列情形之一者，减轻或不追究责任主体的责任： （一）因不可抗力导致发生的网络与信息安全事故。 （二）有充分证据证明完全落实了相关安全要求，由未知原因导致 网络与信息安全事故发生的。 第十条 责任主体主动承认过错并及时修补管理或技术漏洞，视减 少损失、挽回影响程度，予以从轻或减轻责任追究。 第三章 责任追究程序和实施 第十一条 责任追究程序包括调查、对调查报告审核、作出责任追 究决定等。 第十二条网络信息中心负责对网络与信息安全事故的调查和对事故 责任的初步定性，并对调查报告进行审核。 第十三条 调查报告的审核重点： （一）事故的事实是否清楚； （二）证据是否确实、充分； （三）性质认定是否准确； （四）责任划分是否明确。 第十四条 对责任主体的追究决定由领导小组作出，相关部门实 施。 第四章 附 则 第十五条 本制度由山东石油化工学院网络信息中心负责解释。 第十六条 本制度自发布之日起施行。 校园网用户上网守则 第一条 为加强对校园网的管理，保障校园网的正常运行和健康发 展，维护相关方的正当权益，更好地为广大上网师生（以下简称“用 户”）提供服务，依据学校实际情况，制定本守则。 第二条 本守则适用于全校师生，包括外籍教师和计划外用工。 第三条 用户必须遵守《中华人民共和国计算机信息系统安全保护 条例》《中华人民共和国计算机信息网络国际联网管理暂行规定》《中 华人民共和国网络安全法》和国家、山东省及学校有关计算机、互联网 等方面的法律法规和制度。 第四条 用户必须接受校园网络安全和信息化领导小组对校园网络 资源的统一分配，对有意干扰网络资源分配者，网络信息中心将撤消其 端口的使用权。 第五条 在校园网络上严禁制作、查阅、复制或传播下列信息： （一）反对宪法所确定的基本原则的。 （二）危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统 一的。 （三）损害国家荣誉和利益的。 （四）煽动民族仇恨、民族歧视，破坏民族团结的。 （五）破坏国家宗教政策，宣扬邪教和封建迷信的。 （六）散布谣言，扰乱社会秩序，破坏社会稳定的。 （七）散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪 的。 （八）侮辱或者诽谤他人，侵害他人合法权益的。 （九）含有法律、行政法规禁止的其他内容的。 第六条 在校园网络上严禁下列行为： （一）破坏、盗用、篡改计算机网络中的信息资源。 （二）故意泄露、窃取、篡改个人电子信息，擅自利用网络收集、 使用个人电子信息，出售或者非法向他人提供个人电子信息。 （三）违背他人意愿、冒用他人名义发布信息。 （四）攻击、入侵、破坏计算机网络、信息系统及设备设施。 （五）故意阻塞、中断校园网络，恶意占用网络资源。 （六）故意制作、传播、使用计算机病毒、木马、恶意软件等破坏 性程序。 （七）故意大量发送垃圾电子邮件、垃圾短信等，干扰正常网络秩 序。 （八）盗用他人账号、盗用他人 IP 地址。 （九）私自转借、转让用户账号造成危害。 （十）私自开设二级代理和路由接纳网络用户。 （十一）上网信息审查不严, 造成严重后果。 （十二）以端口扫描和私搭 DHCP 服务器等方式，破坏网络正常运 行。 （十三）私自将外网串接到校园网络。 （十四）其它违反法律法规或危害网络与信息安全的行为。 第七条 对于私自占用网络资源，破坏网络和信息系统，违反网络 用户行为规范的行为，由网络信息中心根据事件的涉及范围、严重程度 进行查处，并按学校有关规定处理。 第八条 本守则由山东石油化工学院网络信息中心负责解释。 第九条 本守则自发布之日起施行 学校域名管理办法 第一章 总 则 第一条 为规范学校互联网络域名管理，推进学校信息化建设， 根据《互联网信息服务管理办法》《中国互联网络域名管理办法》及有 关法规政策和学校管理制度，结合学校实际，制定本办法。 第二条 本办法适用于各部门、各单位（以下简称“各单位”） 网站。 第三条 各单位设立互联网站，应使用学校互联网络域名。除以 下情况外，各单位不得申请非学校互联网络域名或者解析到非校园网所 属 IP 地址： （一）上级主管部门要求使用非学校互联网络域名或 IP 地址。 （二）因国际交流合作，需要使用非学校互联网络域名或 IP 地 址。 第四条 以下本文所指“域名”， 如无特殊说明均特指学校互联 网络域名。 第五条 网络信息中心负责域名注册、注销和管理工作。 第二章 域名管理 第六条 网络信息中心为各单位网站提供域名服务。 第七条 域名服务遵循“先注册先使用”原则，为维护学校利益 和公众利益，网络信息中心可对部分保留字进行必要保护。 第八条 学校校园网域名的解析由网络信息中心负责技术实现。 网络信息中心依法设立域名服务器，未经网络信息中心授权，校内其他 任何单位不得设立域名服务器。 第九条 每个备案的网站，只能申请注册一个域名，学校域名不接 受个人申请注册。 第十条 域名使用单位应当遵守国家有关互联网络的法律、行政 法规和规章。因注册或使用域名而侵害他人合法权益的责任，由域名使 用单位承担。 第十一条 网络信息中心有义务配合国家主管部门开展网站检查工 作，必要时按要求暂停或中止相关的解析服务。 第十二条 学校不对任何单位及个人提供组织机构代码证复印件及 其他资质文件用于非学校互联网络域名的登记和注册。 第三章 域名注册 第十三条 学校一级域名由网络信息中心向有关域名注册管理机构 办理申请、注册手续。 第十四条 学校一级域名之下的域名，各单位应详细填写《域名申 请表》（见附件），由主管领导签字盖章后，提交到网络信息中心，网 络信息中心将根据实际情况反馈审核意见。 第十五条 各单位或组织可以因以下用途申请注册使用学校互联网 络二级及以下域名： （一）各单位，部省级及以上科研机构、教学基地，以学校名义参 加的国际合作科研机构，学校批准设立的研究院（所）、委员会、中心 等组织，设立单位网站。 （二）各单位经批准建设的学校主要信息系统。 （三）经学校批准开展的重要活动（会议），其主办方设立活动 （会议）专门网站。 （四）其他需要申请域名的情况。 第十六条 申请注册的域名名称应使用组织机构名称、信息系统业 务名称、活动（会议）主题的汉语拼音首字母组合。 第十七条 域名注册申请单位应当提交真实、准确、完整的域名注 册信息，域名注册完成后，该域名即可由注册单位使用。 第十八条 域名注册信息发生变更的，域名使用单位应当在变更后 30 日内，向网络信息中心提交《域名申请表》，申请变更注册信息。 第四章 域名注销 第十九条 出现下列情形之一时，域名使用单位应提交《域名申请 表》向网络信息中心申请注销所注册域名： （一）域名对应的网站或信息系统不再设立。 （二）因活动（会议）注册使用域名，活动（会议）已经结束。 （三）域名使用部门不再使用所注册域名。 第二十条 已注册的域名出现下列情形之一时，网络信息中心应当 予以注销，并视需要以书面形式通知域名使用部门： （一）域名使用部门申请注销域名的。 （二）域名使用部门提交的域名注册信息不真实、不准确、不完整 的。 （三）域名对应的信息系统/网站未按学校规定履行备案手续的。 （四）依据人民法院、仲裁机构或域名争议解决机构作出的裁判， 应当注销的。 （五）违反相关法律、行政法规及本办法规定的。 第五章 附 则 第二十一条 本办法由山东石油化工学院网络信息中心负责解 第二十二条 本办法自发布之日起施行。 释。 账号使用登记和操作权限管理规定 为了保护我校校园网络系统的安全、促进学校计算机网络的应用和 发展、保证校园网络的正常运行和网络用户的使用权益，特制定本规定。 一、校园网络计算机入网申请制度 第一条 凡学校工作场所的计算机，因工作需要，均可申请计算机入 网。 第二条 申请入网的计算机需指定负责人，报经单位批准，由学校网 络中心负责开通网路。 二、校园网络用户申请制度 第一条 凡学校在职教职工及全日制在校学生，均可免费申请为校园 网络用户。 第二条 申请校园网络用户的教职工和学生要认真填写账户申请表， 并保证其资料的真实性。 第三条 教职工入网用户名使用个人姓名实名制的规则，若有重名现 象，由学校网络中心负责另行设定用户名。 三、校园网 ip 地址管理制度 第一条 学校网络用户的 ip 地址，由网络信息中心负责统一管理和 分配。 第二条 每位老师使用的电脑应使用固定 ip 地址并进行绑定，使用 真实姓名对计算机进行命名。 第三条 未经申请批准入网的计算机，不得私自占用其它计算机的 ip 地址或私自乱设 ip 地址，不得私自连接其它入网计算机。网络信息中心 有权切断乱设的 ip 地址入网，以保证校园网络的正常运行。 四、网络账户和操作权限管理制度 第一条 校园网内各主要网络设备、计算机服务器系统由网管中心统 一管理，除网络信息中心工作人员以外，其他任何人不得擅自操作网络 设备，修改网络设置； 第二条 校园网内各主要网络设备、计算机服务器系统应当正确分配 权限，并加口令予以保护，口令应定期修改，任何非系统管理员严禁使 用、猜测各类管理员口令。 第三条 对于网络系统应做好备份工作，确保在系统发生故障时能及 时恢复。 第四条 对于网络系统的设置、修改应当做好登记、备案工作。 第五条 网络账户申请通过后将根据其日常工作要求设定固定的权 限，严禁具有网络授权的管理人员私自提高个别用户的权限。 第六条 具有对网络内容进行添加、删除、修改等等权限的用户需保 护好自己的账户和密码，不得随意出借账户给其他用户。 网络违法案件报告和协助查处制度 为规范学校网络违法案件报告和协助查处的方式，现制定如下制度： 发现以下行为之一的，学校将及时向公安机关计算机安全监察机构进行 报告。 一、校园网使用用户利用国际联网危害国家安全、泄露国家秘密， 侵犯国家的、社会的、集体的利益和公民的合法权益，从事违法犯罪活 动。 二、校园网使用用户利用国际联网制作、复制、查阅和传播下列信 息： 第一条 破坏宪法和法律、行政法规实施的。 第二条 煽动颠覆国家政权，推翻社会主义制度的。 第三条 煽动分裂国家，破坏国家统一的。 第四条 煽动民族仇恨、民族歧视，破坏民族团结的。 第五条 捏造或者歪曲事实，散布谣言，扰乱社会秩序。 第六条 宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教 唆犯罪的。 第七条 公然侮辱他人或者捏造事实诽谤他人的。 第八条 损害国家机关信誉的。 第九条 违反宪法和法律、行政法规的。 三、校园网使用用户从事下列危害计算机信息网络安全的活动： 第一条未经允许，进入计算机信息网络或者使用计算机信息网络资 源的。 第二条 未经允许，对计算机信息网络功能进行删除、修改或者增加 的。 第三条 未经允许，对计算机信息网络中存储、处理或者传输的数据 和应用程序进行删除、修改或者增加的。 第四条 故意制作、传播计算机病毒等破坏性程序的。 第五条 其他危害计算机信息网络安全的。 四、校园网使用用户违反法律规定，利用国际互联网侵犯用户的通 信自由和通信秘密等。 病毒检测和网络安全漏洞检测制度 为保证我校校园网的正常运行，防止各类病毒、黑客软件对我校联 网主机构成的威胁，最大限度地减少此类损失，特制定本制度： 第一条 各接入单位部门计算机内应安装公安部认证的防病毒软件、 防黑客软件及垃圾邮件消除软件，并对软件定期升级。 第二条 各接入单位部门计算机内严禁安装病毒软件、黑客软件，严 禁攻击其它联网主机，严禁散布黑客软件和病毒。 第三条 网络信息中心应定期发布病毒信息，检测校园网内病毒和安 全漏洞，并采取必要措施加以防治。 第四条 校园网内主要服务器应当安装防火墙系统，加强网络安全管 理。 第五条 网络信息中心定期对网络安全和病毒检测进行检查，发现问 题及时处理。 网络安全事件应急响应综合预案 第一章 总则 第一条 编制目的 为了切实做好学校信息安全事件的防范和应急响应工作，进一步提 高本学校预防和控制信息安全事件的能力和水平，减轻或消除信息安全 事件的危害和影响，保障校园网平稳、安全、有序运行，结合学校工作 实际，制定本预案。 第二条 编制依据 根据《中华人民共和国突发事件应对法》《中华人民共和国网络安全 法》 《信息安全事件分类分级指南（GB/Z20986-2007）》等法律法规和《国 家突发公共事件总体应急预案》《国家网络安全事件应急预案》《教育信 息化“十三五”规划》等相关规定制定本预案。 第三条 适用范围 本预案适用于校园网运行及网络信息方面发生的有可能影响学校、 社会和国家安全稳定的网络与信息安全突发事件，包括攻击事件、故障 事件、灾害事件和其他类事件。 第四条 工作原则 校园网运行与网络信息安全事件的处理原则： 依法管理：《中华人民共和国突发事件应对法》《中华人民共和国网络 安全法》《信息安全事件分类分级指南》《国家突发公共事件总体应急预 案》 《国家网络安全事件应急预案》《教育信息化“十三五”规划》等文 件精神。 分级负责、责任到人：学校一级由网络安全和信息化建设领导小组 （简称“领导小组”）负责，各部门、各单位（以下简称“各单位”）二 级由各单位主要领导负责，切实做到“责任落实，层层负责”。 谁主管、谁负责，谁使用、谁负责：网络信息中心负责网络安全和系统 安全，保障校园网的畅通运行和各服务器的正常运转；各单位负责其主 管网站上的内容安全、业务系统的权限管理安全和系统内的数据安全， 营造健康文明的网络环境，将有害信息造成的不良影响减小到最低限度。 第二章 组织机构与职责 第五条 学校应急响应工作机构按照角色划分为 3 个功能小组：领导 小组，应急响应实施小组，应急响应专家小组。信息安全事件发生后， 在领导小组的统一部署下，工作人员各司其职，并严格按照应急响应预 案组织实施应急响应工作。 （一）领导小组 对学校的信息安全工作进行全面的分析研究，制定工作方案，提供 人员和物质保障，指导和协调各单位实施信息安全工作预案，处置各类 危害校园信息安全的突发事件。具体职责包括： 1．制定工作方案，提供人员和物质保障。 2．审核批准应急响应策略、应急响应预案，批准和监督应急响应预 案的执行。 3．指导学校各单位的应急处置工作。 4．启动定期评审、修订应急响应预案。 5．组织协调有关部门查处利用计算机网络泄密的违法行为。 6．负责组织的外部协作，牵头组织重大敏感时期、重要活动、重要 会议期间发生的信息安全事件的协调处置。 （二）应急响应实施小组 当由于系统崩溃、病毒攻击、非法入侵等原因造成校园网运行异常 或瘫痪时，根据信息安全事件的发展态势和实际控制需要，具体负责现 场应急处置工作，尽快恢复学校网络的正常运行，具体职责包括： 1．负责校园基础网络系统安全。 2．负责计算机病毒疫情和大规模网络攻击事件的处置。 3．负责校级网络与信息系统安全事件处置的技术支持。 （三）应急响应专家小组 聘任校内外专家组成，主要职责是对网络安全中可能遇到的重大问 题提供技术咨询，具体职责包括： 1．对重大信息安全事件进行评估，提出启动应急响应的建议。 2．研究分析信息安全事件的相关情况及发展趋势，为应急响应提供 咨询或提出建议。 3．分析信息安全事件原因及造成的危害，为应急响应提供技术支持。 第三章 事件分级分类 第六条 事件分类 校园网络与信息安全事件可分为三类： 1．攻击事件：指校园网络与信息系统因病毒感染、非法入侵等造成 学校网站或各单位网站主页被恶意篡改、交互式栏目和邮件系统发布有 害信息；应用服务器与相关应用系统被非法入侵，应用服务器上的数据 被非法拷贝、篡改、删除；在网站上发布的内容违反国家的法律法规、 侵犯知识版权并造成严重后果等，由此导致的业务中断、系统宕机、网 络瘫痪等。 2.故障事件：指校园网络与信息系统因网络设备和计算机软硬件故 障、人为误操作等导致业务中断、系统宕机、网络瘫痪等。 3.灾害事件：指因洪水、火灾、雷击、地震、台风等外力因素导致 网络与信息系统损坏，造成业务中断、系统宕机、网络瘫痪等。 4.其他类事件：指不能归为以上分类的网络安全事件。 第七条 事件分级 依照《信息安全事件分类分级指南（GB/Z20986-2007）》，根据安全 突发事件的可控性、严重程度、影响范围和校园网络与信息系统的实际 情况，安全事件分为四级：特别重大（Ⅰ级）、重大（Ⅱ级）、较大（Ⅲ 级）和一般（Ⅳ 级） 。 第四章 监测与预警 第八条 学校的网络通信平台、应用平台和信息系统，参照国家有关 信息安全等级保护的要求，按照最终确定的保护等级采取相应的安全保 障措施。不断完善网络安全防御系统，包括防火墙、堡垒机、上网行为 管理、日志审计系统等，并对网络设备的安全性进行合理配置，根据实 际需要做好升级更新工作。 第九条 建立健全安全事件预警预报体系，严格执行网络安全管理制 度，加强对学校网络、网站、重要信息系统的监测、监控和安全管理， 做好相关数据日志记录，设立内容过滤系统，确定合理规则，对校园网 络进出信息实行过滤及预警。 第十条 做好服务器及数据中心的数据备份及登记工作，建立灾难性 数据恢复机制。一旦发生校园网络与信息安全事件，根据事件影响范围 和损失程度综合确定预警等级，并采取相应措施。特殊时期，可根据领 导小组的统一要求和部署，由应急响应实施小组进行统一安排，组织专 业技术人员对校园网络和信息数据采取加强性保护措施，进行不间断的 监控。 第五章 应急处置 第十条 基本流程 （一）应急启动 特别重大（Ⅰ级）以及重大（Ⅱ级）事件发生时，直接启动的应急 处置程序。 较大（Ⅲ级）发生时，首先由应急响应实施小组进行处理，必要时 联系维护支撑单位协助处理。 一般（Ⅳ级）事件发生时，由应急响应实施小组人员进行处理。 （二）启动响应（Ⅰ级、Ⅱ级响应） 1.启动应急指挥体系 进入应急状态，领导小组履行应急处置工作的统一领导、指挥、协 调职责，开展应急处置工作。 2.掌握事件动态 应急响应实施小组了解校园网受到事件波及或影响情况，及时将事 态发展变化情况和处置进展情况上报领导小组。 3.决策部署 领导小组、应急响应专家小组和应急响应实施小组研究对策，对处 置工作做出决策部署。 4.处置实施 领导小组组织应急响应专家小组和应急响应实施小组采取各种技术 措施、管控手段，最大限度地阻止和控制事态发展，根据信息安全事件 的分类，初步确定应急处置方式，区别对待。 对于能力范围内不能解决的，应立即邀请具备条件的单位进行技术 协助。 应急处置人员在应急处置过程中应保留、收集相关证据。相关信息 通告由领导小组决定，并组织网络安全事件的应急新闻发布和舆论引导 工作。未经批准，部门或人员不得擅自发布相关消息。 （三）事件级别调整 在应急处置过程中，各专项工作组监控事件动态变化，当认为需要 调整事件级别时，按有关流程上报并调整事件响应级别。 （四）结束响应 通过应急处置成功解决信息安全事件后，尽快组织相关人员进行网 络信息系统恢复，同时对信息安全事件应急响应进行总结。对事件发生 原因、性质、影响、后果、责任及应急处置能力、恢复重建等问题进行 全面调查评估，形成网络与信息安全事件处理报告。报告内容包括： 1.问题或故障。 2.原因分析。 3.采取的应急措施或应急方案。 4.结果评价。 5.建议应采取的后续措施或需进一步考虑的解决方案。 6.总结经验教训。 事件的调查处理和总结评估工作原则上在应急响应结束后 30 天内完 成。 第十一条 专项应急处理 （一）非法言论 1.信息确认：确认网站上出现不良信息（或者网页被篡改） ，将被篡 改的页面进行拍照、截图或导出。 2.通知人员：通知领导小组和应急响应实施小组，报告事件发现时 间、位置、内容、处理等。 3.关闭网站：立刻关闭网站。 4.保留日志和截图：将相关日志保存并导出，包括安全设备日志、 系统日志、异常情况截图、各时间点记录等。 5.确定攻击源：请有关厂商、网警协助确定网络攻击或信息破坏行 为信息，确定攻击源。 6.消除恶意程序：查找攻击源计算机，更新特征库，使用防病毒客 户端或使用针对网络攻击或信息破坏程序的专杀工具查杀程序，如果网 络攻击或信息破坏程序依旧不能清除恶意程序，则重新安装操作系统并 安装防病毒客户端。 7．加固系统：清除网络攻击、信息破坏程序或安装完操作系统后， 应立即修改系统密码，更新系统补丁，升级防病毒客户端程序。 8.网站恢复：恢复网站页面重新投入使用。 9.总结汇报：对事件发生原因、性质、影响、后果、责任及应急处 置能力、恢复重建等问题进行全面调查评估，形成网络与信息安全事件 处理报告，在调查工作结束后一日内书面报告领导小组。 （二）黑客攻击 1．信息确认：确认网络被非法入侵、网页内容被篡改，应用服务器 上的数据被非法拷贝、修改、删除，或黑客正在进行攻击，将被攻击的 计算机、服务器进行拍照、截图或导出。 2.断开网络：断开网络，并将受影响计算机、服务器的从网络中隔 离出来。 3.通知人员：确定事件类型，通知领导小组或应急响应实施小组， 报告事件发现时间、位置、内容、处理等。 4.报警：领导小组会商后，认为情况严重，则立即向公安部门或上 级机关报告。 5.保留日志和截图：将相关日志保存并导出，包括安全设备日志、 系统日志、异常情况截图、各时间点记录等。如果部份日志已经被黑客 清除，可以通过日志恢复等方法，尽量找到更多的日志。 6.确定攻击源：请有关厂商、网警协助确定黑客攻击信息，确定攻 击源。 7.阻断攻击途径：封锁或删除被攻破的登录账号，阻断可疑用户进 入网络的通道。 8.消除有害程序：更新特征库，使用防病毒客户端或使用针对有害 程序的专杀工具查杀有害程序，如有害程序依旧不能清除，则重新安装 操作系统并安装防病毒客户端。 9.加固系统：清除病毒或安装完操作系统后，应立即更新系统补丁， 升级防病毒客户端程序，恢复或加固核心交换机、防火墙设置。 10.客户端、服务器恢复到日常状态。 11.恢复核心交换机、防火墙设置。 12.总结汇报：对事件发生原因、性质、影响、后果、责任及应急处 置能力、恢复重建等问题进行全面调查评估，形成网络与信息安全事件 处理报告，在调查工作结束后一日内书面报告领导小组。 （三）网络病毒 1.信息确认：确认计算机、服务器感染有害程序，将被攻击的计算 机、服务器进行拍照、截图或导出。 2.隔离系统：将受影响计算机、服务器的网络断开，拔出网线，使 计算机、服务器保持单机状态。 3.数据备份：对该设备的硬盘进行数据备份。 4.通知相关人员：确定事件类型，通知领导小组或应急响应实施小 组，报告事件发现时间、位置、内容、处理等。 5.保留日志和截图：将相关日志保存并导出，包括安全设备日志、 系统日志、异常情况截图、各时间点记录等，如果部份日志已经被黑客 清除，可以通过日志恢复等方法，尽量找到更多的日志。 6.确定问题：请有关厂商协助确定有害程序信息，包括有害程序类 型、来源、感染途径、感染范围、已遭受的损失等。 7.消除有害程序：更新病毒库，使用防病毒客户端或使用针对有害 程序的专杀工具查杀有害程序，如有害程序依旧不能清除，则重新安装 操作系统并安装防病毒客户端。 8．清查其他系统：利用病毒检测软件对其他机器进行病毒扫描和清 除工作。 9.加固系统：清除病毒或安装完操作系统后，应立即更新系统补丁， 升级防病毒客户端程序。 10.客户端、服务器恢复到日常状态。 11.总结汇报：对事件发生原因、性质、影响、后果、责任及应急处 置能力、恢复重建等问题进行全面调查评估，形成网络与信息安全事件 处理报告，在调查工作结束后一日内书面报告领导小组。 （四）服务器软件系统故障 1.信息确认：确认软件遭到破坏性攻击，将软件故障情况进行拍照、 截图或导出。 2.启动备份服务器系统：由备份服务器接管业务应用，将故障服务 器脱离网络。 3.转移数据：取出系统镜像备份磁盘，保持原始数据。 4.通知相关人员：通知领导小组或应急响应实施小组，报告事件发 现时间、位置、内容、处理等。 5.保留日志和截图：将相关日志保存并导出，包括安全设备日志、 系统日志、异常情况截图、各时间点记录等，如果 6.部份日志已经被黑客清除，可以通过日志恢复等方法，尽量找到 更多的日志。 7.重新启动故障服务器系统：重启系统成功，则检查数据丢失情况， 利用备份数据恢复；若重启失败，立即联系相关厂商，请求技术支援， 作好技术处理。 8.服务器软件系统恢复到日常状态。 9.总结汇报：对事件发生原因、性质、影响、后果、责任及应急处 置能力、恢复重建等问题进行全面调查评估，形成网络与信息安全事件 处理报告，在调查工作结束后一日内书面报告领导小组。 （五）业务数据损坏 1．信息确认：确认业务数据遭到损坏。 2.备份数据：备份业务系统当前数据。 3.通知相关人员：通知领导小组或应急响应实施小组，报告事件发 现时间、位置、内容、处理等。 4.备份数据恢复：调用备份服务器备份数据进行修复，若备份数据 损坏，调用异地备份数据。若短期内（<2 小时）无法恢复数据，立即向 有关厂商请求紧急技术支援，并及时通知业务部门以手工方式开展业务 或者暂缓上传上报数据。 5.检查数据：检查历史数据和当前数据的差别，由相关系统运行负 责人员补录数据。 6.重新备份数据：备份业务系统当前数据。 7.总结汇报：对事件发生原因、性质、影响、后果、责任及应急处 置能力、恢复重建等问题进行全面调查评估，形成网络与信息安全事件 处理报告，在调查工作结束后一日内书面报告领导小组。 （六）核心设备硬件故障 1.信息确认：确认核心设备硬件发生故障。 2.通知相关人员：通知领导小组或应急响应实施小组，报告事件发 现时间、位置、内容、处理等。 3.确定问题：查找、确定故障设备及故障原因，若故障设备在短时 间内无法修复，系统管理员应启动备份设备，保持系统正常运行；将故 障设备脱离网络，进行故障排除工作。 4.设备修复：能够自行处理，应立即用备件替换受损部件，如果不 能自行处理的，立即与设备提供商联系，请求派维修人员前来维修。 5.总结汇报：对事件发生原因、性质、影响、后果、责任及应急处 置能力、恢复重建等问题进行全面调查评估，形成网络与信息安全事件 处理报告，在调查工作结束后一日内书面报告领导小组。 （七）通信网络故障 1.信息确认：确认通信线路故障（例如：中断、路由故障、流量异 常、域名系统故障等） 。 2.通知相关人员：通知领导小组或应急响应实施小组，报告事件发 现时间、位置、内容、处理等。 3.确定问题：查清通信网络故障位置，隔离故障区域，并通知相关 通信网络运营商查清原因；同时及时组织相关技术人员检测故障区域， 逐步恢复故障区与服务器的网络联接。 4.通知业务部门：若短期内（<2 小时）无法恢复，及时通知相关部 门。 5.恢复通信网络：恢复通信网络，通知相关部门网络恢复，保证正 常运转。 6.总结汇报：对事件发生原因、性质、影响、后果、责任及应急处 置能力、恢复重建等问题进行全面调查评估，形成网络与信息安全事件 处理报告，在调查工作结束后一日内书面报告领导小组。 （八）中心机房断电 1.启用备用电源：启用 UPS 设备当前的蓄电能力。 通知相关人员：通知领导小组或应急响应实施小组，报告事件发现 时间、位置、内容、处理、供电时间等。 2.通知业务部门：通知所有使用部门，抓紧完成信息处理工作、停 止应用。 3．温度控制：实时检测中心机房的室内温度，空调停止运行的情况 下，立即采取其它措施降温，如开门通风等。根据相关情况关闭非重要 设备，如机房内温度过高，应立即通知应用部门停止应用并关闭所有设 备。 4.咨询及供电规划：立即向供电部门询问何时恢复供电，并实时检 测 UPS 的储存电能，并有计划地使用，如 UPS 电能不足以维持所有设备 的运转，酌情关闭相关设备，保证关键设备的运作。 5.电力恢复：开启设备，系统恢复到日常状态，通知相关部门系统 恢复。 6.总结汇报：对事件发生原因、性质、影响、后果、责任及应急处 置能力、恢复重建等问题进行全面调查评估，形成网络与信息安全事件 处理报告，在调查工作结束后一日内书面报告领导小组。 第六章 预防工作 第十二条 日常管理 各部门按职责做好网络安全事件日常预防工作，制定、完善相关专 项应急处理方案，做好网络安全检查、隐患排查、风险评估和灾难备份， 健全网络安全信息通报机制，及时采取有效措施，减少和避免网络安全 事件的发生及危害，提高应对网络安全事件的能力。 （一）建立健全应急保障体系。采用多种技术手段监控和保障单位 信息系统安全，不断完善网络安全管理制度。 （二）全面落实网络安全等级保护基本要求。按照网络安全等级保 护基本要求制定防护策略，设计防护方案，落实防护措施，检查防护效 果，修补防护漏洞，保障网络安全。 （三）有效落实网络安全风险评估制度。在新系统上线、系统升级、 网络改造、设备更新等关键信息技术资源发生重大变更及业务发生重大 变化时，应重新识别、分析、控制风险。 （四）建设灾难备份系统。完善灾难备份相关制度、操作规范，对 重要业务系统数据进行灾难备份，并定期开展灾备恢复演练。 （五）健全网络安全信息报告机制。各专项工作组应建立网络安全 信息报告有关工作机制，公布信息报告流程和联系方式。各部门或个人 发现校园网网络安全风险隐患和事件，均须及时向应急响应实施小组报 告。各专项工作组收到网络安全信息报告后，应认真研判并及时发布预 警和响应通知。 第十三条 应急演练 网络信息中心指导各部门组织应急演练，检验和完善预案，提高实 战能力。 各部门每年至少组织一次预案演练，并根据演练结果对应急预案进 行评审和修订。 发生应急事件并处理完成后，各部门应当对事件进行分析总结，进 行风险评估，改进不足，弥补漏洞。 在应急预案更新后或遇有可预见的网络安全事件时，应及时开展应 急演练，检验应急预案的可行性，提高有关人员的应急响应熟练程度。 应急演练以应急预案为基础，在演练前应确定演练的目标、范围及 方式，制定详细、严谨的应急演练方案，避免对正常业务造成不必要的 影响。应急演练如涉及上级部门或其他部门，应事先做好沟通协调工作， 避免干扰其正常工作。 第十四条 宣传培训 各单位应充分利用各种媒介和其他有效宣传形式，加强突发网络安 全事件预防和应急处置的有关法律、法规、政策和应急响应预案的宣传， 开展网络安全级别知识和技能的宣传活动。 网络信息中心将网络与信息安全突发事件的应急管理、工作流程等 作为网络安全培训内容，增强应急处置工作中的组织能力，加强网络安 全特别是网络安全应急预案的培训，提高防范意识和技能。 各单位应当在网络信息中心指导下，每年至少组织一次安全应急培 训，对各级应急成员、各专项工作组成员和相关的业务、技术人员进行 应急知识培训。 第十五条 重要活动期间的预防措施 在国家重要活动、会议等重要敏感时期，要加强网络安全事件的防 范和应急响应，确保网络安全。领导小组统筹协调网络安全保障工作， 各专项工作组加强网络安全监测和分析，及时预警可能造成重大影响的 风险和隐患，重点部门、重点岗位保持 24 小时值班，及时发现和处置网 络安全事件隐患。 第七章 保障措施 第十八条 责任落实 要落实网络安全应急工作责任制，建立健全网络安全应急工作机制， 压实领导责任，把责任落实到具体部门、具体岗位和个人。 对网络安全突发事件工作中做出突出贡献的先进集体和个人给予表 彰或奖励。 对不按照规定制定应急预案和组织开展演练，迟报、谎报、瞒报和 漏报突发事件重要情况，或在预防、预警和应急工作中有其他失职、渎 职行为的部门或个人，领导小组将给予约谈、通报或依法、依规给予问 责或处分。 第十九条 人力保障 加强学校信息安全人才培养，强化信息安全宣传教育，培养和建立 一支高素质、高技术的信息安全核心人才和管理队伍，提高信息安全防 御意识。 第二十条 技术保障 加强学校网络安全管理平台建设，建立预警与应急处理的技术平台， 进一步提高信息安全事件的发现和分析能力。从技术上逐步实现发现、 预警、处置、通报等多个环节和不同的网络、系统、部门之间应急处理 的联动机制。 第二十一条 物资保障 根据全省高校乃至全国网络信息系统安全防治工作所需经费情况， 将本年度信息安全应急响应经费纳入年度财政计划和预算，建立校园网 专项资金用于校园网安全事件的处置，购买相应的应急设施，避免时间 拖延造成不必要的损失，保证应急响应技术装备的及时更新，以确保应 急响应工作的顺利进行。 第八章 附则 第二十二条 预案管理 在领导小组领导下，各部门应做好应急预案的维护工作，确保应急 预案的完整性、实用性、可行性，有效指导应急响应工作。 （一）将应急预案最新版本分发给相关人员。 （二）根据信息基础设施、人员、业务变动情况及时更新应急预案。 （三）在应急响应或演练结束后，分析评估应急预案的执行效果， 根据需要对应急预案进行修订、完善。 （四）原则上应急预案应每年进行评估、修订，发布更新，以确保 应急预案的准确性和有效性。 第二十三条 预案解释 本预案由网络信息中心负责解释。 第二十四条 预案实施时间 本预案自发布之日起施行。 附件 附件 1：应急处置基本流 附件 2：应急组织机构联系人清单 联络方式 应急小组名称 姓名 所在部门 工作职责 手机 紧急联系人 及电话 网络安全和信 息化领导小组 应急响应实施 小组 应急响应专家 小组 附件 3：网络安全事件报告表 单位名称：（需加盖单位公章）报告时间：年月日时分 网络安全事件报告表 发生事件的时间：年月日时分 发现事件的时间：年月日时分 报告人： 联系电话： 传真： 电子邮件： 通讯地址： 发生网络安全事件的信息系统（设备、网络）或事项名称及用途： 负责部门： 负责人： 网络安全事件的简要描述（如以前出现过类似情况也应加以说明）： 网络安全事件的类型： □攻击事件 □故障事件 □灾害事件 □其他类事件 网络安全事件的级别： □特别重大（Ⅰ级）□重大（Ⅱ级） □较大（Ⅲ） □一般（Ⅳ） 初步判定的事故原因： 受影响的资产： □信息/数据 . □硬件 . □软件 . □通信设施 . □其他 . 影响范围和严重程度： 已经采取的措施： 计划采取的措施： 附件 4：网络安全事件应急响应结果报告表 单位名称：（需加盖单位公章）报告时间：年月日时分 网络安全事件应急响应结果报告表 报告人 联系电话 传真 通讯地址 电子邮件 系统名称 主要用途 信息系统的基本情况（如涉及请填写） 系统网址和IP地址： 系统主管单位/部门： 系统运维单位/部门： 系统使用单位/部门： 是否定级□是□否，所定级别： 是否备案□是□否，备案号： 是否测评□是□否 是否整改□是□否 网络安全事件描述 最终判定事件原因及责任人（可加页附文字、图片以及其他文件） 事件影响状况评估 事件级别 □特别重大（Ⅰ级）□重大（Ⅱ级）□较大（Ⅲ）□一般（Ⅳ） 影响时间 影响范围 事件后果 主要处理过程及结果 存在问题及建议 网络信息中心处理意见 签字： 日期： 年 月 日 领导小组审批意见 签字： 日期： 年 月 日 网站建设管理办法 为进一步规范学校网站建设，充分体现统筹规划、统一标准、统一管 理、资源共享的建设思想，确保学校网站的正常运行和健康发展，特制定 本管理办法。 第一章 总 则 第一条 学校校园网是中国教育科研网（CERNET）的接入单位和组成 部分。校内网站需严格遵守国务院《互联网信息服务服务管理办法》、教 育部《教育网站和网校暂行管理办法》的各项规定，依法开展教育类互联 网信息服务。 第二条 学校信息化建设领导小组负责推进学校信息化工作，网络信 息中心负责学校网络的规划、建设、维护和安全，为学校各单位和教职员 工提供网站空间服务，负责网站建设的申请、审核、停用及日常管理工 作，确保学校网站的安全有效运行。 第三条 学校网站的单位用户必须是学校下属二级单位。各单位要依 据本管理办法进行网站建设和管理，并接受学校相关职能部门的指导和监 督。 第四条 未经学校批准，学校的任何单位和个人均不得以“山东石油 化工学院”在公网注册域名和开办网站，发现有违反规定学校将做严肃处 理，必要时将追究法律责任。 第五条 网站信息内容须严格遵守国家有关政策、法律和法规。 第二章 网站的申请与终止 第六条 单位网站申请 1．所在单位的网站负责人需填写网站申请表，并由本单位分管网络 信息工作的领导签字，单位盖章，一式两份。 2．所在单位的信息管理人员需携带申请表到网络信息中心办理注 册、审批手续。经审核，在网站建设符合本管理办法的前提下，在一个工 作日内完成网站空间分配、域名解析和 FTP 服务。 第七条 网站的终止 1．各网站在建设与管理过程中，如违背本管理办法或违反国家有关 计算机网络管理的法律、法规，学校有权终止提供服务，并依法追究其法 律责任。 2．因国家政策法规调整、校内部门变更造成的网站终止，学校将作 为自动终止处理。 3．各网站不得从事任何商业活动，一旦发现网站从事商业活动，学 校将终止该网站的所有服务。 4．网站存在严重安全隐患，没有在规定时间内进行整改，学校有权 终止其运行，直到整改完毕。 第三章 网站备案 第八条 网站备案 1．遵循“谁主管、谁负责，谁主办、谁负责”的原则，以《非经营 性互联网信息服务备案管理办法》（信息产业部令第 33 号）和中华人民 共和国信息产业部《ICP/IP 地址信息备案管理系统》的有关规定为依据， 坚持依法管理。 2．所有域名的网站都必须向网络信息中心备案，网络信息中心统一 进行登记备案。 第四章 网站的管理与维护 第九条 学院网站由分管院长负责，部门网站要明确指定一名部门领 导负责。每个单位指定一名网站管理员，并报学校网络信息管理中心备 案。网络管理员根据工作需要设立数名栏目信息员，并负责信息员的账号 管理和必须培训。 第十条 网站信息内容必须严格遵守国家有关政策、法律和法规。不 得发布任何教唆他人构成犯罪行为的资料，不得发布涉及国家安全的资 料，不得发布内容不宜公开的资料。加强网站安全建设,禁止在网站中储 存、传输木马、病毒等恶意程序。 第十一条 为保证信息发布的及时、准确、真实、可靠，各单位应加 强对信息资源、信息员的管理，做好信息的收集、归类、整理，并对需要 发布的信息进行时效性、安全性、保密性把关。各单位主要负责人为本单 位网站信息发布的责任人，对本单位提交的信息内容的准确性、合法性负 责。 第十二条 各单位网络管理员需对其网站数据进行定期备份。 第十三条 网络信息中心负责对各网站的计算环境进行日常维护及每 月和每季度的例行维护。 第五章 附 则 第十四条 本管理办法由山东石油化工学院网络信息中心负责解释 第十五条本办法自发布之日起施行。 网络信息中心值班制度 为进一步加强对网络中心值班工作的管理，规范值班人员行为，确保 值班工作的有效进行，特制定本规定。 一、值班人员的主要职责 1．负责接听电话，解决校园网络用户报修问题； 2．负责保障各项网络服务的正常运行； 3．负责中心机房的安全检查工作； 4．负责领导交办的其它工作。 二、值班人员应提前做好值班准备工作，不得迟到，早退；当日不能 值班者经网络信息中心主任批准可提前自行调换，并由网络信息中心主任 做好调换记录。 三、值班人员要认真受理和解答校园网用户来电，及时解决反映的问 题并做好记录。 四、值班人员必须严格遵守各项规章制度，不得擅离职守，不得占用 值班电话拨打私人电话，不得做与值班工作无关的事项。 五、值班人员要保持值班室环境整洁，物品摆放整齐。 六、网络中心主任负责组织值班人员做好值班工作，值班过程中确保 值班人员全部到岗，并负责检查值班人员的到岗情况。 电子邮箱使用管理规定 第一章 总则 第一条 为适应网络安全和信息化发展需要，规范电子邮件系统使 用与管理，保证其安全高效地运行，根据国家有关法律法规和有关部门 规定，结合网络信息中心工作实际，制定本办法。 第二条 电子邮件系统是学校为全体在校师生免费提供电子邮件服 务，不向社会提供服务。 第三条 电子邮件系统是学校信息化建设的重要体现之一，与全校 信息化平台统一运行、管理和维护。邮箱的使用必须遵守国家有关政策 法规及规定，严禁利用学校邮箱传递涉密信息和不宜向社会公开的内部 信息。 第四条 电子邮件系统的日常管理由网络信息中心具体负责。 第二章 邮箱类型 第五条 电子邮箱实行实名制方式管理。邮箱用户分为个人用户和 单位用户两类，其中个人用户为在校教职工和在校学生；单位用户要求 申请开通、专号专用、专人负责。 第六条 个人邮箱用户的开通和维护由网络信息中心根据相关职能 部门的权威数据，如教职工在职在岗数据、各类学生的在校在籍数据 等，自动在后台进行相关的管理和调整。个别数据不准确的用户，可根 据网络信息中心的电话进行单独处理。 第七条 单位邮箱用户的开通通过一站式服务大厅线上申请流程的 方式，手续符合规定经备案后由网络信息中心开通。 第八条 个人邮箱用户对应的主账号为教职工工号或学生学号，单 位邮箱对应的主账号为申请单位自定义。个人邮箱和单位邮箱均可设置 一个别名，别名由用户根据个人喜好自己命名，命名规则为字母开头的 字母数字串，但不能与其它已有用户邮箱重名。 第三章 邮箱的使用和管理 第九条 电子邮箱是运行在互联网上的通用邮箱，无论因公或因私 使用，均必须遵守国家各种政策法规，并与用户的真实身份相适宜。邮 箱账号仅限本人使用，禁止将本人账号转借他人或借用他人账号。 第十条 首次使用邮箱时应立即修改初始密码，密码一般是数字、 英文大小写字母混合的形式,及其他合法符号组合而成。同时，用户还 应定期更新密码并妥善保管。如遗忘密码，可通过各部门信息管理人员 找回密码；也可以联系网络信息中心找回密码。 第十一条 邮箱的容量具有一定的限制，用户应尽量下载保存重要 的邮件内容。用户应正确设置和维护反垃圾邮件规则，避免忽略了被系 统误认为是垃圾邮件的正常邮件。 第十二条 各单位为开展管理业务或科研业务工作而临时或长期开 通、向社会或特定群体公布的公共邮箱必须指定专人负责日常收发与管 理。如废弃，应及时通知网络信息中心予以注销，避免因长期缺少正常 维护而被盗用或其他安全事件的发生。 第四章 邮箱的安全管理 第十三条 邮箱用户对自己的邮箱密码安全负全部责任，并对以该 邮箱进行的所有活动负责。 第十四条 邮箱用户有责任及时向网络信息中心举报邮箱被滥用或 盗用情况，报告系统安全漏洞或其他任何不正常状况。大量发送垃圾邮 件以及长时间不登录的用户，将会为被系统自动锁定。用户需提供合法 证件信息，核验身份并采取整改措施后方可解锁。 第十五条 邮箱用户应自觉遵守所有相关法律法规，不得利用学校 邮箱作连锁邮件、分发垃圾邮件或商业邮件，不得干扰网络服务，自觉 维护学校邮箱的严肃性。 第十六条 任何单位或者个人不得利用学校邮箱制作、复制、发 布、传播含有下列内容的信息：反对宪法所确定的基本原则的；危害国 家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的；损害国家荣 誉和利益的；煽动民族仇恨、民族歧视，破坏民族团结的；破坏国家宗 教政策，宣扬邪教和封建迷信的；散布谣言，扰乱社会秩序，破坏社会 稳定的；散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的； 侮辱或者诽谤他人，侵害他人合法权益的；涉密或内部敏感资料的；具 有干扰、破坏或限制任何计算机软件、硬件或通讯设备功能的软件病毒 或其他计算机代码、资料的；进行商业活动的；含有法律、行政法规禁 止的其他内容的。 第十七条 邮箱管理人员不得对外透露邮箱用户的个人资料，严禁 私开用户邮箱，严禁私自查阅用户邮件内容。法律、法规另有规定者从 其规定。 第十八条 网络信息中心应采取技术措施对电子邮件系统所收发的 各类邮件进行数据备份，除用于系统恢复外，可根据国家安全机构、公 安、保密部门的要求，配合进行系统安全管理和分析问题、查找原因、 追查责任等。 第五章 附则 第十九条 凡违反本办法者，终止其使用邮箱的权限，进行内部通 报；触犯相关法律造成严重后果的，移交司法机关处理。 第二十条 本管理办法由山东石油化工学院网络信息中心负责解 释。 第二十一条 本管理办法自发布之日起施行。 网络文明建设管理制度 为进一步加强我校网络文化建设和管理，实现网络文化建设与管理 工作的规范化和制度化，充分发挥校园网络在学校信息服务、学习交 流、宣传教育和形象塑造等方面的积极作用，根据《中共中央办公厅、 国务院办公厅关于加强网络文化建设和管理的意见》等规定，结合学校 的实际情况和发展规划，特制定本办法。 第一章 目标与要求 第一条 校园网络文化是校园文化的重要组成部分，它以网络为载 体，通过加强网络内容建设、强化舆论引导、提供网络文化产品、组织 网络文化活动，传播先进文化，弘扬主旋律，宣传学校，服务师生。 第二条 校园网络文化建设和管理的总体目标是：努力把校园网建 设成为集思想性、知识性、趣味性、服务性为一体的校园文化建设良好 平台和基地，使其成为传播先进文化和宣传学校的重要阵地、加强师生 思想政治教育的重要渠道和服务师生的重要平台。 第三条 校园网络文化建设和管理的总体要求是：坚持马克思主义 在意识形态领域的主导地位，坚持社会主义先进文化的前进方向；坚持 党委对网络文化建设与管理工作的统一领导，统筹规划、集中管理、分 级负责、以管促建；坚持围绕学校的中心工作，以服务教书育人、科学 研究、人才培养和教育管理为中心，充分发挥校园网的宣传、服务与教 育功能；坚持正确的舆论导向，坚持监控与引导相结合、教育与服务相 结合、网上与网下相结合，用科学思想和先进文化占领网络文化阵地。 第二章 管理体制 第四条 学校成立网络安全与信息化工作领导小组，统一规划和指 导学校的网络文化建设。网络安全与信息化领导小组负责学校网络文化 的总体规划，审定学校主页的年度改版更新方案，定期研究校内各单位 网页建设情况，评比表彰优秀网页，责令建设情况不好的单位进行整 改。 第五条 网络信息中心是学校网络文化建设与管理的牵头部门，主 要负责学校网络文化建设与管理工作的统一规划、组织协调、综合管理 和督查督办工作。主要任务是按照学校网络安全与信息化领导小组的要 求，负责学校的主页建设、策划网络文化活动；对校内各单位网页的新 建情况进行指导、督促和检查。 第六条 网络信息中心是校园网络文化建设的技术保障部门，主要 负责学校网络信息服务平台的建设、运行和安全管理；负责学校网站 （网页）以及相关专题网站（网页）的技术工作；为校内各单位网络建 设提供技术指导、培训和服务；为网络舆情监控及舆论引导提供技术支 持。 第七条 网络信息中心积极网络信息安全防范，参与网络舆情监 控，负责校园网络违规、违法事件的调查处理。 第三章 校园网站的建设与管理 第八条 学校主页是展示学校形象、对外宣传的重要窗口，是服务 教学和科研的重要平台。学校主页应以展示学校建设发展状况和重要新 闻信息为主，着重反映学校改革与发展取得的新成就、新经验、新面貌 以及师生关注的热点内容，为办公和信息服务提供便捷入口。学校主页 的规划、栏目设置和内容更新由宣传部负责。 第九条 各单位网页是全校网站建设体系的重要组成部分。网页设 计要科学，栏目设置要清晰，内容要规范，链接要准确。 第十条 各单位网页应全面展示建设与发展状况，栏目设置原则上 应包括单位简介、人员设置、主要职责、特色工作和动态信息等。学校 鼓励各单位网页设置个性化栏目。 第十一条 校园网内容必须及时更新。各单位要落实专人负责网站 内容更新，宣传部应对校内各处室网页的更新情况每月进行不定期的抽 查和每学期一次的学期审查，并将检查结果及时上报学校网络安全与信 息化领导小组，通报校内各单位。 第十二条 要加强办公系统、信息平台、教务系统、电子资源、精 品课程、在线服务等信息平台建设，整合网络资源，提高工作效率，为 师生提供便捷的信息服务。 第十三条 要加强校园贴吧等交互式平台建设，提高校园交互式平 台的健康参与度。交互式栏目要严格实行用户实名注册制度。 第四章 信息安全 第十四条 网络文化建设工作必须严格遵守党的路线、方针、政策 及国家有关法规，任何部门和个人不得利用校园网制作、复制、查阅和 传播下列信息：煽动分裂国家，破坏国家统一和民族团结，推翻社会主 义制度的言论；煽动抗拒、破坏宪法和国家法律、行政法规实施的言 论；泄漏国家机密，危害国家安全等违法犯罪活动；捏造或歪曲事实， 故意散布谣言，扰乱学校秩序；公然侮辱他人或者捏造事实诽谤他人； 宣传封建迷信、淫秽、色情、暴力、凶杀、恐怖等。 第十五条 严禁制造和输入计算机病毒以及其他有害数据，危害计 算机信息系统的安全。 第五章 校园网络文化建设的保障与考核 第十六条 网络信息中心要根据《中华人民共和国计算机信息网络 国际互联网管理暂行规定》、《教育网站和网校暂行管理办法》和《中 国教育和科研计算机网管理办法（试行）》等相关规定，结合本管理办 法，进一步完善校园网络文化建设与管束各项制度，强化校园网站（网 页）建设的管理。 第十七条 各单位做好网络文化建设与管理工作的制度保障和工作 队伍保障。要依照本《办法》制定各部门的网络文化建设与管理细则， 做好建设规划，明确管理职责。 第十八条 学校网络安全与信息化领导小组对各单位网络文化建设 情况进行阶段检查和年度考评，考评结果纳入各单位宣传思想文化工作 年度考核。 第十九条 学校对在校园网络文化建设和管理中工作突出、成绩显 著的处室和个人予以表彰奖励；对管理不规范、更新不及时、建设效果 差、错误信息多、存在重大失误的信息责任部门予以通报批评并责令整 改。 第六章 校园网络文化建设机构设置 第二十条 学校网络安全与信息化领导小组。领导小组由校党委书 记、校长任组长，全体中层正职任组员。工作组由分管校级领导任组 长，网络信息中心相关人员负责具体监督与维护。 第二十一条 本办法由山东石油化工学院网络信息中心负责解释。 第二十二条 本办法自发布之日起实施。 第二部分 信息系统及安全管理篇 信息安全工作总体规定 第一章 总 则 第一条 为加强和规范山东石油化工学院信息系统安全工作，提高 信息系统整体安全防护水平，实现信息安全的可控、能控、在控，依 据国家有关法律法规规定，结合学校工作实际，制定本规定。 第二条 本规定适用于山东石油化工学院信息系统的安全保护总 体方针、策略制定和规划方面的工作。 第二章 方针、目标和原则 第三条 山东石油化工学院信息安全工作应坚持“积极预防、全面 保障、动态管理、持续改进”的总体方针，实现信息系统安全可控、 能控、在控。依照“分区、分级、分域”总体安全防护策略，执行信 息系统安全等级保护制度。 第四条 山东石油化工学院信息安全工作的总体目标是确保信息 系统持续、稳定、可靠运行和确保信息内容的机密性、完整性、可用 性，防止因 信息系统本身故障导致信息系统不能正常使用和系统崩 溃，抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏， 防止数据丢失，防止系统对外服务中断和由此造成的系统运行事故。 第五条 信息安全工作的总体原则 （一）需求导向原则 根据其信息系统承载的业务，信息资产的重要性，可能受到的威胁及 面临的风险分析安全需求，平衡安全投入与效果。 （二）领导负责原则 一把手负总责，分管领导在职责范围内各负其责的信息安全管理。 （三）全员参与原则 信息系统所有相关人员须参与信息系统的安全管理，共同保障信息系 统安全。 （四）标准化原则 按照信息安全等级保护相关标准的要求，采用管理和技术结合的方法， 实现信息安全目标。 （五）同步实施原则 新建信息系统时，应充分考虑信息化发展趋势，遵循信息化建设 与信息安全建设同步规划、同步建设、同步实施的原则，确保信息化 建设与信息安全建设同步进行。 （六）管理与技术并重原则 第六条 坚持积极防御和综合防范，全面提高信息系统安全防护能 力，采用管理与技术相结合，管理科学性和技术前瞻性结合的方法， 保障信息系统的安全性达到所要求的目标。 第三章 总体安全策略 第七条 物理安全策略 （一）机房和办公场地选择在具有防震、防风和防雨等能力的建筑内， 机房场地避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。 （二）机房出入口安排专人值守，重要区域应配置电子门禁系统，控 制、鉴别和记录进入的人员。 （三）需进入机房的来访人员经过申请和审批流程，并限制和监控其 活动范围。 （四）对机房划分区域进行管理，区域和区域之间设置物理隔离装置， 在重要区域前设置交付或安装等过渡区域。 （五）机房内部署基础防护系统和设备，如电子门禁系统、监控报警 系统、防雷设备、消防系统、防水监控系统、温湿度控制系统和 UPS 供电 系统。 第八条 网络安全策略 （一）保证主要网络设备的业务处理能力具备冗余空间，保证网络各 个部分的带宽，以满足业务高峰期需要。 （二）根据各部门的工作职能、重要性和所涉及信息的重要程度等因 素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网 段分配地址段。 （三）应避免将重要网段部署在网络边界处且直接连接外部信息系统， 重要网段与其他网段之间采取可靠的技术隔离手段。 （四）应在网络边界部署访问控制设备，根据实际安全需求设置访问 控制策略启用访问控制功能。 （五）对网络系统中的网络设备运行状况、网络流量、用户行为等进 行审计，并对审计记录数据进行分析，生成审计报表，且保护审计数据。 （六）能够对非授权联接行为进行检查，准确定出位置，并对其进行 有效阻断。 （七）在网络边界处监视攻击行为，记录发生的攻击行为。 （八）在网络边界处监视，并维护恶意代码库的升级和检测系统的更 新。 （九）对登录网络设备的用户进行身份标识和鉴别，并设置身份标识 和鉴别方式。 第九条 主机安全策略 （一）对登录操作系统和数据库系统的用户进行身份标识和鉴别，并 设置身份标识和鉴别方式。 （二）启用访问控制功能，设置访问控制策略，依据安全策略控制用 户对资源的访问。 （三）对服务器和重要客户端的重要用户行为、系统资源的异常使用 和重要系统命令的使用等内容进行安全审计，并对审计记录数据进行分析， 生成审计报表，且保护审计数据。 （四）确保操作系统和数据库系统用户的鉴别信息，系统内的文件、 目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他用户 前得到完全清除。 （五）能够对重要服务器进行入侵的行为和对重要程序的完整性进行 检测。 （六）安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意 代码库，并支持恶意代码库的统一管理。 第十条 应用安全策略 （一）提供专用的登录控制模块对登录用户进行身份标识和鉴别，并 设置身份标识和鉴别方式。 （二）提供访问控制功能，依据安全策略控制用户对文件、数据库表 等客体的访问。 （三）提供覆盖到每个用户的安全审计功能，对应用系统重要安全事 件进行审计，形成审计记录，并对审计记录数据进行分析，生成审计报表， 且保护审计数据。 （四）确保应用系统用户的鉴别信息，系统内的文件、目录和数据库 记录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全清 除。 （五）具有在请求的情况下为数据原发者或接收者提供数据原发、接 收证据的功能。 （六）应用系统须具有软件容错功能，提供数据有效性检验功能和自 动保护功能。 第十一条 数据安全策略 （一）能够检测到系统管理数据、鉴别信息和重要业务数据在传输和 存储过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措 施。 （二）采用加密或其他有效措施实现系统管理数据、鉴别信息和重要 业务数据传输和存储保密性。 （三）应提供本地数据备份与恢复功能，完全数据备份至少每天一次， 备份介质场外存放。 第十二条 安全管理制度 （一）制定信息安全工作的总体方针和安全策略，说明机构安全工作 的总体目标、范围、原则和安全框架等。 （二）组织相关人员对制定的安全管理制度进行论证和审定。 （三）定期或不定期对安全管理制度进行检查和审定，对存在不足或 需要改进的安全管理制度进行修订。 第十三条 安全管理机构 （一）设立信息安全管理工作的职能部门，设立安全主管、安全管理 各个方面的负责人岗位，并定义各负责人的职责。 （二）每个系统都需配备管理员、网络管理员、安全管理员。 （三）针对系统变更、重要操作、物理访问和系统接入等事项建立审 批程序，按照审批程序执行审批过程，对重要活动建立逐级审批制度。 （四）加强各类管理人员之间、组织内部机构之间以及信息安全职能 部门内部的合作与沟通，定期或不定期召开协调会议，共同协作处理信息 安全问题。 （五）制定安全审核和安全检查制度规范安全审核和安全检查工作， 定期按照程序进行安全审核和安全检查活动。 第十四条 人员安全管理 （一）严格规范人员录用过程，对被录用人的身份、背景、专业资格 和资质等进行审查，对其所具有的技术技能进行考核。 （二）严格规范人员离岗过程，及时终止离岗员工的所有访问权限， 取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。 （三）定期对各个岗位的人员进行安全技能及安全认知的考核，对关 键岗位的人员进行全面、严格的安全审查和技能考核。 （四）对定期安全教育和培训进行书面规定，针对不同岗位制定不同 的培训计划，对信息安全基础知识、岗位操作规程等进行培训。 （五）确保在外部人员访问受控区域前先提出书面申请，批准后由专 人全程陪同或监督，并登记备案。 第十五条 系统建设管理 （一）明确信息系统的边界和安全保护等级，并组织相关部门和有关 安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定。 （二）根据信息系统的等级划分情况，统一考虑安全保障体系的总体 安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案， 并形成配套文件 （三）制定详细的工程实施方案控制实施过程，并要求工程实施单位 能正式地执行安全工程过程。 （四）在测试验收前根据设计方案或合同要求等制订测试验收方案， 在测试验收过程中应详细记录测试验收结果，并形成测试验收报告。 （五）对已定级系统的相关备案材料报相应公安机关备案。 （六）三级及三级以上信息系统运行过程中，至少每年对系统进行一 次等级测评，发现不符合相应等级保护标准要求的及时整改。 第十六条 系统运维管理 （一）指定部门负责机房安全，并配备机房安全管理人员，对机房的 出入、服务器的开机或关机等工作进行管理。 （二）建立资产安全管理制度，对介质和设备的选型、采购、发放、 领用、使用、维修、报废等方面规定，并严格执行制度规定。 （三）建立监控和安全管理中心，对通信线路、主机、网络设备和应 用软件的运行状况、网络流量、用户行为等进行监测和报警，对设备状态、 恶意代码、补丁升级、安全审计等安全相关事项进行集中管理，形成记录 并妥善保存。 （四）建立网络、系统安全管理制度，对网络安全配置、日志保存时 间、安全策略、升级与打补丁、口令更新周期、系统安全策略、安全配置、 日志管理和日常操作流程等方面作出规定，并严格执行相关规定。 （五）建立恶意代码防范管理制度，对防恶意代码软件的授权使用、 恶意代码库升级、定期汇报等作出明确规定，并严格执行相关规定。 （六）建立变更管理制度，系统发生变更前，向主管领导申请，变更 和变更方案经过评审、审批后方可实施变更，并在实施后将变更情况向相 关人员通告。 （七）在统一的应急预案框架下制定不同事件的应急预案，并定期对 应急预案进行演练。 第四章 信息安全总体框架 应在信息安全策略的指导下，通过构建安全管理、安全技术和安全运 维三大体系，在既定方针目标的指引下，相互支撑，相互促进，构成实时、 动态和持续改进的全生命周期防护体系。 信息安全管理体系应参照《信息安全技术—办公信息系统安全管理要 求》（GB/T 37094-2018）和《信息安全技术—网络安全等级保护基本要求》 （GB/T 22239-2019）等标准规范，建立健全学校信息安全管理制度体系。 信息安全技术体系应参照《信息安全技术—网络安全等级保护基本要 求》（GB/T 22239-2019）标准规范，在云安全、物理安全、网络安全、主机 安全、应用安全和数据安全方面，同步建设和优化信息安全设施，完善学 校的信息安全技术体系。 信息安全运维体系应根据《信息安全技术—网络安全等级保护基本要 求》（GB/T 22239-2019）、《信息技术 安全技术信息安全事件管理指南》 （GB/Z 20985）和《信息安全技术 信息系统灾难恢复规范》（GBT 20988） 等标准规范，在信息化办公设备、网络系统、应用系统、主机系统、存储 系统等方面完善学校的信息安全运维体系。 第五章 附 则 本规定由山东石油化工学院网络信息中心负责解释。 本规定自发布之日起施行。 信息安全制度管理规定 第一章 总 则 为促进山东石油化工学院信息系统安全制度的制定与管理工作规范化、 程序化，提高建章立制质量，结合学校的实际情况，制定本规定。 本规定适用于山东石油化工学院各项信息安全制度的规划、起草、审 核、发布、修订和废止等相关活动。 制度制定应当遵循下列原则： （一）依照法定权限和程序制定原则，法律、法规已经明确规定的原 则上不作重复规定。 （二）全面性原则，既包括制度范围的全面性，也包含制度本身的全 面性。 （三）准确性原则，规章制度用语准确、简洁，条文内容明确、具体。 （四）可操作性原则，切合学校信息安全管理的实际需求，制定操作 的相关流程，明确相关工作的负责部门和责任岗位。 （五）适度超前原则，推动信息安全管理制度的建设和创新。 （六）协调性原则，避免各项制度相互重复、冲突和遗漏。 第二章 制度建设组织管理 山东石油化工学院网络安全和信息化领导小组分别依照国家法律法规 及单位相关规定、实际情况对所制定的安全管理制度进行论证。 网络安全和信息化领导小组对网络信息中心所提交的安全管理制度进 行审核、修订。 山东石油化工学院网络安全和信息化领导小组负责审批安全管理制度， 经审批后方可发布。 网络信息中心负责起草、编写安全管理制度，并收集制度执行中存在 的问题，提出完善、修改和废止有关规章制度的建议。 第三章 制度建设规划与年度计划 网络信息中心制定管理体系的整体规划，根据信息安全需要进行调整。 各部门可临时提议并由网络安全和信息化领导小组决定将某些重要规 章制度的制定列入调整计划。 第四章 制度起草 起草信息安全制度应注意制度之间的协调和衔接，并就制度之间对同 一事项的不同具体规定在上报时做出说明。 信息安全制度的起草，按下列步骤进行： （一）收集资料，掌握有关法律、法规以及其他信息安全的相关规定。 （二）调查研究，提出符合实际情况的制度框架。 （三）撰写草案。 （四）将草案送相关部门征求意见。被征求意见部门或个人应认真填 写《信息安全制度征求意见表》。 （五）网络信息中心汇总意见，修改草案，填写《信息安全制度审查 表》，提交至网络安全和信息化领导小组。 信息安全制度一般应包括下列内容： （一）目的：清晰简洁说明本制度控制的活动和内容。 （二）适用范围：明确制度所涉及的有关部门（单位）、人员、事项和 活动。 （三）职责：规定实施本制度的部门（单位）或人员的责任和权限。 （四）制度规范的内容、要求与程序，对相应安全活动的约束与要求。 （五）相应活动、事项的详细流程。 （六）支持性文件和相关记录、图表，包括与本制度相关的支持性文 件、规定，各种应保留的相关记录、表格、单据等。 （七）违反规定的相关责任。 （八）制度的实行时间及有效期限。 信息安全制度结构排列可根据内容多少分为章、条、款、项、目的结 构表达，内容简单的也可直接以条的方式表达。章、条的序号用中文数字 依次表述；款不编序号；项的序号用中文数字加括号依次表述；目的序号 用阿拉伯数字依次表述。 第五章 审查、论证与批准 网络安全和信息化领导小组对信息安全制度草案进行下列审查： （一）与学校现行规章制度是否协调。 （二）草案结构、条款是否符合规章制度的要求和技术规范。 （三）是否切合学校实际情况，是否体现权责对等原则。 经审查符合要求的，提交网络安全和信息化领导小组进行论证，通过 论证后填写《信息安全制度审批表》，通过审批后下发实行。 制度采取试行办法，首次颁布的制度试行期为一年，试行期后经修订 审批为正式制度，正式制度如需修订则按照修订与废止的相关程序办理。 信息安全制度一经发布生效，相关人员必须严格遵守。 第六章 修订与废止 为加强信息安全制度管理，制度实施过程中，网络信息中心向各相关 部门征求制度执行意见，搜集执行过程中存在的问题，以便修订。 第一条 各相关部门在执行信息安全制度过程中，对制度存在的问 题应及时记录，填写《信息安全制度修订、废止建议表》提交给网络安全 和信息化领导小组。 第二条 信息安全制度的修订和废止应由网络信息中心提出，网络 安全和信息化领导小组审定。 第三条 信息安全制度符合下列情形之一的，应进行修订。 （一）规定事项不能切合现行信息安全方针或实际需要。 （二）规定事项局部已不适用。 （三）制度的局部与国家有关政策法规相抵触。 （四）所涉及的部门名称，与现实不符，或原规定事项主管或执行部 门已经变更。 第四条 信息安全制度符合下列情形之一者，应予以废止。 （一）规定事项与现行信息安全方针相悖或不符。 （二）与实际情况完全不相切合。 （三）其他项已有新规定并已公布实行。 （四）规定事项已执行完毕，或因情势变迁，已无继续施行必要。 （五）其它情形下，无保留或继续适用必要。 第七章 附 则 本规定由山东石油化工学院网络信息中心负责解释。 本规定自发布之日起施行。 附件：1.信息安全制度征求意见表 2.信息安全制度审查表 3.安全管理制度审批表 4.安全管理制度修改、废止建议表 附件 1 信息安全制度征求意见表 拟定制度名称 拟颁定时间 起草部门 拟实行范围 部门意见或建议 部门负责人： 附件 2 信息安全制度审查表 拟定制度名称 起草部门 拟稿人 审查部门 审查部门 修改意见和建议 审查人 审查部门负责人 附件 3 安全管理制度审批表 拟定制度名称 起草部门 拟稿人 核稿人 审批部门 审批部门意见 审批人 审批部门负责人 附件 4 安全管理制度修改、废止建议表 制度名称 印发时间 印发文号 提请人 部门负责人 建议内容 信息系统建设管理办法 第一章 总 则 第一条 为规范学校信息系统建设与运行维护工作，加强信息系统安 全管理，提高信息系统建设与运行维护水平，根据《中华人民共和国网络 安全法》《信息安全技术 网络安全等级保护基本要求》（GB/T222392019）、《国家政务信息化项目建设管理办法》、《计算机软件文档编制 规范》GB-T8567-2016 等国家、省、市有关法规政策和学校相关管理制 度，结合学校工作实际，特制定本办法。 第二条 本办法适用于列入学校信息化建设项目或在学校信息化基础 平台上运行的信息系统，其他信息系统建设管理可参照本办法执行。 第三条 信息系统是指为满足学校教学、科研、管理和服务而建设的 信息收集、传递、存储、加工、维护和使用的人机交互系统。学校信息系 统主要包括业务信息系统（应用系统）和公共服务信息系统。 第四条 信息系统建设涉及到的单位主要包括建设单位、开发单位和 对接单位。建设单位是指负责建设信息系统的学校机关部门或学院、研究 院等二级单位；开发单位是指通过合法采购流程确定的具体承担信息系统 开发工作的软件公司等；对接单位是指信息系统需要对接集成的系统所属 单位。 第五条 信息化建设管理应遵循“统一规划、资源共享、安全高效、 管理有序”的原则，按照“同步规划、同步建设、同步运行”的要求，加 强信息化建设管理。 第六条 信息系统在建设时应充分考虑数据共享，减少信息的重复收 集，应与公共服务信息系统和其他业务系统之间互联互通，避免建成“信 息孤岛”。 第七条 信息系统的建设与运行维护分为规划和审核、需求分析、系 统设计、系统开发、系统测试、安全检测、初步验收、上线试运行、运行 维护等九个阶段。 第二章 组织机构和职责 第八条 网络信息中心的主要职责： （一）制定信息系统建设相关管理制度。 （二）协调解决信息系统建设与运行维护过程中出现的重 大问题。 （三）审核信息系统建设与运行维护的各阶段工作。 （四）监督各单位在信息系统建设与运行维护过程中严格遵守各项规 章制度并认真履行各自职责。 （五）组织实施上线运行的信息系统安全等级保护测评与备案。 （六）负责信息化基础平台运营环境的物理安全、系统安全及网络安 全等。 第九条 建设单位的主要职责： （一）牵头成立信息系统建设项目组，项目组组长一般由建设单位主 要负责人担任，成员主要包括建设单位相关科室负责人、开发单位项目经 理、技术人员等。 （二）监督开发单位严格遵守合同及各项规章制度并认真履行职责。 （三）初步审核确认开发单位在信息系统建设各阶段形成的文档，协 调对接单位，配合开发单位完成需求调研、系统设计及系统开发工作，负 责系统测试、初步验收组织及上线试运行工作。 （四）配合网络信息中心、开发单位完成信息系统安全等级保护测评 及备案工作。 （五）负责信息系统的应用安全及数据安全，其中，自行提供信息系 统运营环境的单位，还需负责其运营环境的物理安全、系统安全及网络安 全等。 第十条 开发单位的主要职责： （一）负责信息系统的需求调研、系统设计及开发工作。 （二）配合建设单位完成系统测试、安全整改、上线试运行及运行维 护工作。 第十一条 对接单位的主要职责： （一）配合建设单位和开发单位完成系统对接集成方案编制及对接开 发工作。 （二）配合建设单位完成系统对接测试工作。 第三章 需求管理 第十二条 项目申报。各建设单位应在每年年底向网络信息中心申报 下一年度的信息化建设项目，并提交《信息化项目需求申请表》（附件） 进行审核。网络信息中心根据学校信息化需求及信息化经费等情况论证申 报项目，并将论证结果上报网络安全和信息化领导小组审定，审定结果由 网络信息中心统一反馈给各建设单位。 第十三条 需求调研。需求调研在信息系统建设合同签订后进行，开 发单位根据合同规定的建设内容制定需求调研计划，经项目组确认后开展 调研工作，建设单位负责协调安排本单位及对接单位相关人员相互配合。 第十四条 需求分析说明书编制。开发单位在需求调研结束后进行需 求分析，并向项目组提交需求分析说明书。需求说明书一般应包括：需求 总体描述、业务需求、系统接口及对接需求、安全需求、系统管理需求等 部分。 第十五条 需求分析说明书审核。项目组对需求分析说明书进行初 审，并由组长签字确认，审核通过后方可启动系统设计。 第四章 系统设计 第十六条 系统定级。应根据网络安全等级保护要求对系统进行定 级。 第十七条 系统设计说明书编制。开发单位根据需求分析说明书和系 统定级结果，进行系统设计，提交系统设计说明书。系统设计说明书应包 括系统架构、数据结构、功能模块、集成接口、安全措施（等级保护三级 系统设计内容应包含密码技术相关内容）等内容。项目组对系统设计说明 书进行初审并由组长签字确认。 第十八条 数据交换与共享方案编制。对于学校基础数据库已有数 据，信息系统必须通过统一数据交换与共享平台从学校基础数据库获得， 不得直接通过系统采集；信息系统所产生的基础数据应通过统一数据交换 与共享平台推送至学校基础数据库。 第十九条 系统对接与集成方案编制。面向师生服务的信息系统，必 须与学校统一身份认证系统进行认证集成。 第二十条 系统设计说明书及相关方案审核。建设单位将相关说明书 及方案一并提交到网络信息中心，由网络信息中心视情况聘请专家进行论 证，审核通过后方可启动系统开发。 第五章 系统开发 第二十一条 开发计划。开发单位必须在系统开发前制定详细、合理 的项目开发计划，项目组负责审核并由组长签字确认。 第二十二条 工程监理。项目应依据实际情况实施工程监理，按照信 息系统工程监理的有关规定，委托工程监理单位对项目建设进行工程监 理。 第二十三条 组织实施。开发单位根据系统设计说明书及系统对接与 集成方案，按照开发计划规定的进度进行信息系统开发。项目组按照开发 计划中的时间节点要求，对开发单位的工作进行检查督促，并协调对接单 位配合开发单位的对接集成开发。 第二十四条 开发规范。开发单位在系统开发过程中应结合国家、行 业及学校相关规范和标准等制定系统开发规范，并严格遵照执行。 第二十五条 需求变更。在系统开发过程中，建设单位和开发单位均 可根据实际情况及合同约定提出需求变更，变更内容经项目组讨论确定后 拟定需求变更说明书，开发单位根据该说明书对相关设计说明书、系统对 接集成方案及开发计划进行修订，修订后的内容由项目组审核，并经组长 签字确认生效。 第二十六条 延期处理。由于客观条件发生变化等原因造成项目未能 按实施计划的时间节点完成的，开发单位必须至少提前一个月，向建设单 位提交项目延期说明书，经项目组审核后由组长签字确认。未经确认的项 目延期，开发单位需承担违约责任。 第二十七条 开发环境。系统的开发环境由开发单位或建设单位提 供，不得使用学校信息化基础平台资源。 第六章 系统测试 第二十八条 测试文档。开发完毕需进行测试的信息系统，由开发单 位提交测试文档，至少应包括：功能测试用例、安全性测试用例（如等保 三级系统还应包含密码应用安全性测试相关内容）、测试报告（含单元测 试、集成测试、性能测试等）、系统安装部署文档及系统安装文件。项目 组对测试文档进行审核并由组长签字确认后方可进行系统测试。 第二十九条 测试环境。需在学校信息化基础平台上运行的信息系统 由建设单位向网络信息中心申请测试服务器，测试环境的管理与维护由建 设单位指定专人负责，网络信息中心对测试环境进行安全审计。 第三十条 测试数据。建设单位负责为开发单位提供与信息系统数据 格式一致的测试数据；信息系统使用学校基础数据的，由网络信息中心提 供测试数据。测试数据一律不得直接使用真实数据。 第三十一条 测试步骤。开发单位按照系统安装文档部署测试环境； 建设单位依据需求、设计文档、技术参数要求，完成系统综合测试，并形 成综合测试报告。 第三十二条 测试整改。对于测试中发现的问题，开发单位应积极进 行整改，直至测试通过。 第三十三条 更新测试。系统测试完毕后，开发单位如需对系统进行 更新，必须先向项目组提交系统更新包及相应的更新安装说明和更新测试 材料，项目组审核后，方可安装到测试环境进行更新测试。 第七章 安全检测 第三十四条 技术检测。建设单位或开发单位负责依照项目安全保护 等级及相关规定进行技术检测。检测手段主要包括对信息系统源代码进行 代码审计、对信息系统进行漏洞扫描等。 第三十五条 安全检测报告及整改意见。建设单位或开发单位应根据 技术检测结果出具安全检测报告及整改意见。如因特殊原因无法提供源代 码的，应由开发单位委托具有中国计量（CAM）认证和中国合格评定国家 委员会（CNAS）认可实验室证书等资质的第三方软件代码测评机构，出具 代码审计合格报告。 第三十六条 安全整改。开发单位根据整改意见对系统进行整改，直 至安全检测通过为止。 第八章 初步验收 第三十七条 初步验收条件。信息系统完成综合测试，通过安全检 测，可进行初步验收。 第三十八条 初步验收组织。建设单位负责组织由项目组及网络信息 中心专家组成的初步验收小组对信息系统进行初步验收。 第三十九条 初步验收形式及内容。初步验收小组应听取开发单位工 作报告及系统演示并对各阶段文档进行审阅，依照合同及需求分析说明书 的内容，对信息系统完成情况及质量进行评价并提出意见和建议。 第四十条 初步验收报告。初步验收通过后，应形成信息系统初步验 收报告，并由项目组长签字确认。 第九章 上线试运行 第四十一条 上线试运行申请。建设单位向网络信息中心提交信息系 统上线试运行申请及初步验收报告，经审核批准后方可上线试运行。 第四十二条 运行环境。建设单位可向网络信息中心申请学校信息化 基础平台资源用于信息系统的运行。建设单位自行提供运营环境的，须严 格按照网络安全保护等级要求进行配置。 第四十三条 运行文档。在学校信息化基础平台上运行的信息系统， 建设和开发单位必须在申请运营环境的同时，向网络信息中心提交系统安 装部署说明、系统维护手册、系统使用手册、系统测试报告及安全检测报 告等文档，以及系统最终版本的安装文件。 第四十四条 安装部署。网络信息中心根据建设单位需求及相关规 定，进行运营环境配置及信息系统的安装部署。 第四十五条 权限配置。建设单位应指定专人，负责信息系统中各类 用户账号管理及权限配置。上线试运行前，所有测试账号或由开发单位使 用的账号由建设单位删除或收回。 第四十六条 试运行期限。系统试运行期一般不少于 1 个月、不多于 3 个月。试运行期满且情况良好的，可进行竣工验收。竣工验收通过，信 息系统方可上线正式运行。 第四十七条 归档管理。信息系统的开发合同、设计文档、测试文 档、系统代码、验收报告等，按《高等学校档案管理办法》要求移交档案 馆。系统安装部署说明、系统维护手册、系统使用手册、系统测试报告及 安全检测报告等文档移交网络信息中心。 第十章 运行维护 第四十八条 运行维护工作原则。建设单位负责信息系统的维护与管 理，制定运维工作制度，建立运维工作机制，确保运行维护工作的持续性 和有效性。 第四十九条 系统更新流程。对信息系统进行更新时，由建设单位和 开发单位在测试环境完成更新测试，测试通过后填写并向网络信息中心提 交信息系统更新申请。 第五十条 数据备份。为保证数据备份的及时性、准确性，由建设单 位负责进行业务数据备份，备份的保留周期一般为 6 个月，建设单位有特 殊要求的，可委托网络信息中心进行数据备份工作。 第五十一条 故障处理。建设单位根据业务要求制定信息系统故障处 理应急预案；网络信息中心制定应急响应综合预案。由建设单位牵头，协 调有关部门按照“分级负责、协同处理、快速反应、有力保障”的原则进 行故障处理。 第五十二条 用户服务。建设单位应通过服务电话、电子信箱等多种 渠道主动收集和解答用户对信息系统的咨询、意见和建议，并根据用户意 见及时对系统进行调整与更新。 第十一章 安全管理 第五十三条 安全监测。建设单位应对信息系统的运行状况进行监 控。网络信息中心定期对信息系统进行安全技术检测。 第五十四条 安全事件整改。网络信息中心会同建设单位及开发单 位，依照《网络安全事件报告与处置流程》，对发现的安全事件进行整改 和处置。 第五十五条 等保测评与备案。信息系统上线运 3 个月之内，依照 《信息安全技术网络安全等级保护基本要求》，由网络信息中心组织完成 信息系统的网络安全等级保护测评与备案工作。 第十二章 监督评价与责任追究 第五十六条 监督评价。网络信息中心负责对学校各类信息系统的建 设、运维服务和安全保障进行监督，每年组织一次考核评价，将考核评价 结果纳入单位的年度绩效考核，并作为各单位后续信息化建设经费审批的 主要依据。 第五十七条 责任追究。因违反本办法之规定造成信息系统建设无法 通过验收或在运行过程中造成事故的，追究相关责任人的责任。 第十三章 附 则 第五十八条 本办法由山东石油化工学院网络信息中心负责解释。 第五十九条 本办法自发布之日起施行。 附件： 项目编号： 信息化项目需求申请表 建设单位 申请日期 申请人 项目名称 申请原因 项目需求及建 设目标 项目内容 建设单位及相 关部门负责人 签字 网络信息中心 审核意见 领导小组审批 意见 注：此表可添加附页 签字： 日期： 年 月 日 签字： 日期： 年 月 日 签字： 日期： 年 月 日 信息系统运维安全管理办法 第一章 总 第一条 则 为加强学校信息安全保障能力，建立健全安全管理体系， 规范信息系统的安全运维工作，提高整体的网络与信息安全管理水平，确 保信息系统的安全可靠运行，根据《中华人民共和国网络安全法》《数据 安全法》《信息安全技术 网络安全等级保护基本要求》（GB/T222392019）《中华人民共和国密码法》等国家、省、市有关法规政策和学校管 理制度，结合学校实际，制定本办法。 第二条 本办法适用于学校信息系统运行与维护安全管理。 第三条 信息系统运维安全管理应遵循“谁建设谁管理，谁使用谁 负责”的原则，严格落实信息系统管理责任；依照“积极预防、全面保 障、动态管理、持续改进”的原则，加强信息系统运维安全管理。 第四条 数据中心机房安全管理详见《数据中心机房安全管理办 法》。 第五条 联网终端、服务器、网络与安全等设备以及应用系统的安 全基线配置规范参考《网络安全配置基线》。 第六条 漏洞和风险管理见《网络安全漏洞整改流程》。 第二章 组织机构和职责 第七条 网络安全和信息化领导小组（以下简称“领导小组”）负 责信息系统运维安全管理的领导和统筹工作。 第八条 网络信息中心负责为信息系统安全运行提供可靠的运行环 境，协助系统使用部门进行系统变更管理，负责所用密码产品的管理等工 作。 第九条 信息系统建设单位负责所建系统的运维安全管理，包括数 据备份与恢复、恶意代码防范和密码管理等工作。 第三章 网络设备运维安全管理 第十条 设备运维 （一）定期巡查服务器及磁盘阵列运行情况，填写《服务器操作系统 巡检记录表》（见附件），发现异常应及时处理。 （二）主机事故（如数据丢失、宕机等）上报网络信息中心，视情启 动信息系统安全应急预案，进行有效处置。 （三）重要信息系统的服务器和磁盘阵列设备要有容灾措施。 （四）对送出维修或报废的介质应首先清除介质中的敏感数据。 第十一条 网络运维 （一）网络运维管理人员应保证网络设备的业务处理能力满足业务高 峰期需要，如主要网络设备（核心交换机、路由器）CPU 及内存使用率峰 值均低于 70%。 （二）网络访问权限应遵循最小权限原则，仅开放其工作或业务所需 要的最小网络访问权限。 （三）校外地址访问校内资源需通过 VPN 连接。 第十二条 网络设备安全配置 （一）严禁任何未经授权的网络设备维护操作。服务厂商在学校内提 供技术支持时，须由运维管理人员全程陪同。 （二）网络配置信息变更应制定严密的变更计划，操作应按既定方案 进行，遵循“双人在场、不得单人进行变更”的操作原则，加强监督与复 核。 （三）运维管理人员应确保网络设备和安全设备的密码符合复杂度要 求，密码８位以上，包含字母、数字及特殊符号，密码至少每三个月更换 一次。 （四）网络设备应设置登录失败处理及登录超时锁定策略。 （五）核心网络、主干网络传输设备应有容灾措施。 第十三条 网络监控 应对网络运行状况进行监控。网络设备需开启日志记录功能，定期对 日志文件进行归档保存，以便于日志的查询、分析和审计；所有网络日志 留存不少于６个月。 第四章 信息系统运维安全管理 第十四条 信息系统配置安全管理 （一）信息系统的访问权限应遵循最小权限原则，仅开放其工作或业 务所需要的最小网络访问权限。 （二）应定期对信息系统的访问权限进行核查，确认当前网络访问权 限设置符合业务和管理上的需求，对于不符合的部分应当予以及时更正、 调整。 （三）信息系统应开启日志记录功能，定期对日志文件进行归档保 存，以便于日志的查询、分析和审计；所有日志留存不少于６个月。 （四）信息系统的管理密码应符合复杂度要求，密码８位以上，包含 字母、数字及特殊符号，密码至少每三个月更换一次。 （五）信息系统应设置管理地址限制，仅允许运维管理人员使用的设 备进行登录管理。 （六）信息系统应设置登录失败处理及登录超时锁定策略。 （七）信息系统应通过加密的传输协议进行远程管理，不得使用明文 传输协议。 第十五条 信息系统访问控制 （一）信息系统应设置管理地址限制，仅允许运维管理人员使用的设 备进行登录管理。 （二）信息系统应设置登录失败处理及登录超时锁定策略。 （三）运维管理人员对用户访问权限的限制应基于用户的角色分工、 业务应用要求和用户的工作需要。 第五章 数据备份与恢复管理 第十六条 应加强数据的备份和恢复管理，确保备份数据的可用性、 完整性和保密性，保障业务连续性。 第十七条 数据备份策略应包括：备份对象、责任人、操作步骤、频 率、方式、存储介质、命名规则、保存期以及有效性测试周期等；数据恢 复策略应包括：责任人、触发条件、操作步骤等。 第十八条 备份数据应存储在访问受控的专用存储设备或者存储介质 中，定期对备份介质进行测试并记录测试结果，确保备份介质内的数据可 恢复。 第十九条 重要系统的业务数据及系统配置信息的备份应至少保留两 份，一份为本地备份、一份为异地备份，异地备份存储环境要与本地环境 相同。 第二十条 进行数据恢复时，要制定恢复计划，经系统所属单位批 准。 第六章 恶意代码防范管理 第二十一条 设置可集中管理的防病毒系统，对服务器端的病毒代码 库、补丁库进行监控，确保能同服务商保持同步更新。 第二十二条 系统补丁更新应经过评估、测试，确认对系统稳定性没 有影响后，再进行相关补丁更新工作。 第二十三条 应定期对信息系统和网络进行漏洞扫描，发现安全漏洞 及时修补。 第七章 密码管理 第二十四条 信息系统建设单位负责密码的管理工作，遵循密码相关 国家标准和行业标准，使用国家密码管理主管部门认证核准的密码技术和 产品，规范密码管理。 第八章 附 则 第二十五条 本办法由山东石油化工学院网络信息中心负责解释。 第二十六条 本办法自发布之日起施行。 信息系统“三员”管理规定 第一章 总 则 第一条 为加强和规范山东石油化工学院信息系统管理，依据国家安 全有关规定和技术要求，制定本规定。 第二条 本规定所称“三员”指系统管理员、安全管理员、安全审计 员，分别负责系统运行、系统安全和安全审计工作： （一）系统管理员主要负责系统日常运行维护工作； （二）安全管理员主要负责系统日常安全管理工作； （三）安全审计员主要负责对系统管理员、安全管理员的操作行为进 行审计跟踪和监督检查，以及发现违规行为，并定期向系统安全管理机构 汇报相关情况。 第二章 系统管理员职责 第三条 系统管理员分为网络管理员、应用系统管理员、终端设备管 理员。 网络管理员职责： （一）合理规划网络、主机、存储架构，并部署。 （二）服务器、网络设备等日常管理和维护。 （三）定期搜集、统计、报送网络运行和管理情况。 （四）接受网络和主机事件报告，并及时处理。 应用系统管理员职责： （一）应用系统结构和性能优化，消除性能瓶颈； （二）应用系统日常管理和维护，故障处理。 （三）定期搜集、统计、报送应用系统安全管理情况。 （四）定期备份应用系统数据，并在事件发生时及时恢复。 （五）接受软件和系统事件报告，并及时处理。 终端设备管理员职责： （一）终端计算机设备配置、维护、管理。 （二）终端操作系统及应用系统客户端状态监控。 （三）定期对系统终端进行病毒扫描和病毒库更新。 （四）终端操作系统及应用系统客户端软件升级、补丁安装等。 （五）定期报送终端使用管理情况和异常事件统计信息。 （六）受理来自终端设备用户的故障报告，并及时处理。 （七）其他信息化办公设备的配置、维护、管理。 第三章 安全管理员职责 第四条 制定并实施信息系统安全策略。 第五条 安全设备和安全软件日常管理和维护，包括升级更新、故障 处理。 第六条 监控安全设备和安全软件运行状态，定期审查、维护权限列 表，并对日志进行分析，及时发现安全隐患并妥善处理。 第七条 系统管理员账户、权限管理，应用系统管理员权限管理，定 期审查、维护权限列表，并对日志进行分析，及时发现安全隐患并妥善处 理。 第八条 定期报送安全管理情况和异常事件统计信息。 第九条 信息系统安全事件处理。 第四章 安全审计员职责 第十条 对系统各用户名和口令管理与变更记录进行审计。 第十一条 对系统安全策略执行情况进行审计。 第十二条 定期备份安全审计日志。 第十三条 监督系统管理员和安全管理员对事件（包括报送事件）处 理过程。 第十四条 定期对系统管理员和安全管理员工作和相关文档进行检 查，形成审计记录，并向主管领导报送，发现异常情况及时报告。 第十五条 对审计的安全事件进行及时处理，并对处理结果进行记录。 第五章 AB 角工作制度 第十六条 为进一步明确工作责任，提高工作效率，实行该制度。 第十七条 AB 角工作制度是指 A 角不在岗的情况下，由 B 角负责顶岗 的工作制度。各部门应对承担的各项工作进行合理分工，认真落实 AB 角制 度，避免出现无人顶岗的现象。 第十八条 各部门在安排工作时，原则上保证 AB 角有一人在岗。互 为 AB 角的人员，原则上不能同期休假，不能同时出差。 第十九条 B 岗责任人在顶岗期间，应做好本职工作，并负有 A 岗责 任人的职责，对 A 岗的工作认真负责。 第二十条 全体人员应加强学习，AB 角之间要不断地进行相互沟通，A 角暂离岗位时，要切实做好交接工作，确保 B 角能够衔接到位。 第二十一条 各部门 AB 角分工情况应及时报办公室备案。 第六章 附 则 第二十二条 本规定由山东石油化工学院网络信息中心负责解释。 第二十三条 本规定自发布之日起施行。 信息系统安全检查规定 第一章 总 则 第一条 为加强和规范山东石油化工学院信息系统安全监督检查工作， 保障信息系统安全稳定运行，根据国家信息安全等级保护有关规定和学校 信息系统安全有关管理规定制定本规定。 第二条 本规定适用于学校信息系统建设、使用和运维管理中安全监督 检查工作。 第三条 信息委办公室负责组织监督检查工作：人员管理、教育培训等 相关检查由宣传信息办具体执行；安全技术相关检查由宣传信息办具体执 行。 第二章 实施细则 第四条 检查内容主要包括信息系统安全技术措施有效性和安全管理 制度执行情况。 第五条 专项检查应填写检查登记表，检查结果汇总后报信息办，发现 问题及时整改。 第六条 定期对系统进行安全性能检测，确保系统安全稳定运行。 第七条 系统安全性能检测由系统管理员、安全管理员和安全审计员共 同完成。 第八条 检查人员应利用漏洞扫描等工具对整个系统进行安全检查，对 网络系统、应用系统、主机系统、用户终端进行安全分析，发现漏洞或安 全隐患及时整改。 第九条 及时记录安全检查和整改操作情况。 （一）网络设备、服务器安全性能检查由网络管理员负责，安全设备 安全性能检查由安全管理员负责，并根据检查情况填写《网络系统安全性 能检测表》、《系统安全漏洞检测记录表》、《主机和存储安全性能检查表》。 （二）应用系统安全性能检测由应用系统管理员负责，并根据检测情 况填写《应用系统安全性能检测表》。 （三）用户终端安全检测由终端设备管理员负责，并根据检测情况填 写《终端安全性能检测表》。 第十条 安全管理员定期汇总各类安全性能检测表和整改情况，形成 《系统安全性能检测汇总表》后上报学校领导。 第三章 附 则 第十一条 本规定由山东石油化工学院网络信息中心负责解释。 第十二条 本规定自发布之日起施行。 附件：1.系统安全漏洞检测记录表 2.网络系统安全性能检测表 3.应用系统安全性能检测表 4.主机和存储安全性能检测表 5.终端安全性能检测表 6.系统安全性能检测汇总表 附件 1 系统安全漏洞检测记录表 扫描日期 扫描部门 操作人员 漏洞主机 IP 漏洞类型 备注 注：“漏洞类型”填写漏洞的具体类型，例如：冲击波漏洞、空连接漏洞、数据库漏 洞、弱口令等。 附件 2 网络系统安全性能检测表 检测人 设备类型 检测时间 检测内容 1. 运行状态是否正常 2. 管理员口令是否满足要求 3. 不必要端口是否已关闭 4. Vlan 划分是否合理有效 网络设备 5. ACL 是否合理有效 6. 是否设置流量控制策略 7. 是否保存日志并定期审查 8. 是否有未处理报警日志 1. 运行状态是否正常 2. 管理员口令是否满足要求 3. 特征库是否及时更新 安全设备 4. 访问控制策略是否合理有效 5. 安全策略是否合理有效 6. 是否保存日志并定期审查 7. 是否有未处理报警日志 检测结果 备注 附件 3 应用系统安全性能检测表 检测人 系统名称 检测时间 设备类型 检测内容 检测结果 1. 运行状态是否正常 2. 用户口令是否有效 3. 是否划分三员 4. 用户权限划分是否符合最小授权原则 应用系统 5. 访问控制策略是否有效 6. 非合规用户是否及时注销 7. 用户增加、删除是否有记录 8. 用户重鉴别策略是否有效 9. 是否有未处理报警日志 备注 附件 4 主机和存储安全性能检测表 检测人 设备类型 检测时间 检测内容 1. 运行状态是否正常 2. 登陆口令是否满足要求 3. 是否设置登录失败处理策略 4. 系统补丁是否更新 5. 防病毒软件是否更新 主机和存储 6. 是否有隐藏进程、异常监听等 7. 无用服务端口是否已关闭 8. 是否存在多余账户 9. 是否保存日志并定期审查 10. 是否有未处理报警日志 检测结果 备注 附件 5 终端安全性能检测表 检测人 设备类型 检测时间 检测内容 1. 是否有非法外联痕迹（内网） 2. 是否有敏感信息（外网） 3. 是否设置登录失败处理策略 4. 是否有恶意软件或病毒 5. 操作系统口令是否满足要求 终端 6. 操作系统补丁是否更新 7. 重要终端是否设置审计策略 8. 防病毒软件是否更新 9. 是否有隐藏进程、异常监听等 10. 是否有未处理报警日志 检测结果 备注 附件 6 系统安全性能检测汇总表 检测内容 （可附表） 检测情况 检查人签字： 年 月 宣传信息办意 见 领导签字 年 整改情况 月 日 签字 时间 备注： 日 人员信息安全管理规定 第一章 总 则 第一条 为加强山东石油化工学院人员安全管理，按照国家信息安全 等级保护相关制度和标准要求，结合工作实际，制定本规定。 第二条 本规定适用于山东石油化工学院内部工作人员和外部相关人 员的管理。 第三条 山东石油化工学院工作人员有维护学校信息安全的责任和保 守工作秘密的义务，应自觉遵守信息安全相关的法规和制度，接受安全教 育和监督。 第二章 内部工作人员管理 第四条 任用信息化管理人员，要依据信息安全相关标准要求，进行 严格审查，包括录用人员的身份、背景、专业资格和资质等进行审查和核 实。 第五条 关键岗位的人员应从内部人员中选拔，并签署岗位安全协议， 不符合要求的人员应及时调离岗位。 第六条 内部工作人员工作活动场所和工作信息接触范围应当被限制 在完成本职工作所需的最小范围内。 第七条 信息化办公室应定期组织对内部工作人员进行信息安全教育、 培训和考核。 第八条 内部工作人员办理离岗离职手续时，须承诺保密义务后方可 离岗。即时取消其一切授权，注销用户账号，收回机构提供的各种身份证 件、钥匙、软硬件设备等。 第三章 外部相关人员管理 第九条 须向外部人员明确本单位的相关规定，使其清楚自身的责任 和安全违规的后果。 第十条 对重要安全区域采取隔离控制，禁止未授权的外部人员出入。 禁止外部人员携带与工作无关的具有录音、录像、拍照、信息存储等功能 的设备进入重要安全区域。 第十一条 对所有进入重要安全区域进行维修、服务、参观等的外部 人员进行全程旁站陪同。 第三章 附 则 第十二条 本规定由山东石油化工学院网络信息中心负责解释。 第十三条 本规定自发布之日起施行。 信息安全教育和培训管理规定 第一章 总 则 第一条 为加强山东石油化工学院信息安全管理，切实提高相关人员 对信息安全的认识和岗位安全技能，制定本规定。 第二条 本规定适用于山东石油化工学院所有人员信息安全教育和培 训管理工作。 第二章 信息安全教育、培训、考核 第三条 信息安全教育应坚持以人为本、预防为主的原则，结合实际 工作，分层次、有重点、有针对性地进行。 第四条 信息化办公室组织、实施关于全员的信息安全培训，特别是 信息安全意识、政策和基本知识普及方面的培训；宣传信息办组织、实施 关于技术人员及信息安全分管领导的信息安全培训，主要包括信息安全技 术方面的培训。 第五条 信息安全培训内容应包括信息安全政策法规、意识、岗位职 责、基础知识、操作规程等。 第六条 信息安全教育培训应包括以下三个环节： 1.上岗前安全教育； 2.在岗安全教育； 3.离岗前安全教育。 第七条 信息安全教育所采用的形式包括举办安全知识讲座、报告会、 座谈会，观看安全教育片，参观安全教育展览，以及参加信息安全演练等。 第八条 临时工作人员、聘用人员、借用人员，以及实习人员等，都 应在工作前接受信息安全教育培训。 第九条 学校对信息安全教育培训情况进行详细记录，包括人员、时 间、内容、考核等。 第十条 培训组织机构应对培训对象进行考核，考核内容包括信息安 全知识、安全技能、操作行为等。 第十一条 学校各部门工作人员应自觉接受安全教育和安全监督检 查。 第三章 附 则 第十二条 本规定由山东石油化工学院网络信息中心负责解释。 第十三条 本规定自发布之日起施行。 信息系统运行维护管理办法 第一章 第一条 总 则 为进一步加强和深化山东石油化工学院信息系统运行维护管 理工作，明确工作内容，强化工作职责，提高工作效率，确保学校各类信 息系统稳定、安全、高效运行，根据国家和行业有关技术标准，结合学校 实际工作情况，制定本办法。 第二条 运维管理工作的主要管理对象是信息化办公设备、网络系统、 主机、存储、应用系统和数据等。 第三条 宣传信息办作为运行维护体系的管理部门，负责运行维护体 系的规划、建设和管理。 第二章 第四条 信息化办公设备运维管理 该项工作由终端设备管理员负责，运维内容包括： （一）终端操作系统安装、升级、故障诊断和处理等。 （二）宣传信息办提供的或授权的应用软件、防病毒软件等安装、配 置和升级等。 （三）终端、打印机、扫描仪等硬件设备的安装、配置、网络调试、 维修等。 第三章 第五条 网络系统运维管理 该项工作由网络管理员负责，运维内容包括： （一）广域网、局域网、通讯线路管理，布线系统的正常使用和维护。 （二）网络设备的配置，并对网络设备的配置进行维护管理和日志管 理。 （三）网管系统的运维管理，利用网管软件对网络流量和网络性能进 行监控、分析和管理。 （四）对网络运行过程中出现的故障和性能问题进行监控和解决。 第四章 第六条 主机、存储系统运维管理 该项工作由系统管理员负责，运维内容包括： （一）主机运行情况监控分析及故障处理。 （二）主机操作系统的安装、升级和维护。 （三）主机操作系统相关配置策略的制定、部署和备份等。 （三）存储系统运行情况监控分析及故障处理。 （四）存储系统软件的安装、升级和维护。 （五）存储系统相关配置策略的制定、部署和备份等。 第五章 第七条 应用系统、数据运维管理 应用系统运维。该工作由应用系统管理员和安全管理员负责， 运维内容包括： （一）应用系统管理员负责应用系统软件的安装、升级、维护。 （二）应用系统管理员负责应用系统状态检查和日志检查。 （三）应用系统管理员负责应用系统的参数配置、变更及配置备份。 （四）应用系统管理员负责应用程序的数据和代码调整。 （五）应用系统管理员负责应用系统的用户的增加、删除和修改工作。 （六）应用系统管理员负责制定和实施应用系统备份和恢复策略。 （七）安全管理员负责管理员用户权限管理。 第八条 数据运维。该项工作由应用系统管理员负责，运维内容包括： （一）数据库的安装、升级和维护，负责数据库的参数调整。 （二）数据库的存储空间分配、备份、用户管理和日志检查等工作。 （三）数据库系统的性能监控，配合各应用系统管理员做好系统优化。 （四）对数据库系统制定和实施备份与恢复策略。 （五）对数据库系统运行过程中发生的问题进行及时处理和解决。 （六）负责对其他类型数据（包括文本、图片、视频、音频等）进行 监控、备份恢复、问题处理。 第六章 第九条 驻场运维人员管理 该项工作由宣传信息办负责，内容包括： （一）负责培训运维人员工作区域的安全管理规定。 （二）负责对运维人员进行信息安全管理制度培训，使其明确重要操 作、重要变更等相关流程，并监督执行。 （三）负责与运维人员签署保密协议。 （四）负责运维人员日常管理，如考勤、工作完成情况等。 第三章 附 则 第十条 本规定由山东石油化工学院网络信息中心负责解释。 第十一条 本规定自发布之日起施行。 信息系统设备管理规定 第一章 第一条 总 则 为更好的利用山东石油化工学院信息系统设备，实行设备统 一管理，根据国家有关安全管理规定和技术要求，结合学校工作实际，制 定本制度。 第二条 本制度中规定的信息系统设备主要指与山东石油化工学院信 息系统相关的软、硬件设备，本制度适用于山东石油化工学院信息系统设 备的使用和管理工作，包括设备的购置、安装、使用、维修、报废等设备 管理的各个环节。 第三条 山东石油化工学院配合办公室对信息系统设备进行管理。 第二章 第四条 设备选型、购置与安装 信息系统设备的选择应该优先选择国产设备，信息安全类产 品的选择应符合信息安全等级保护管理办法等相关要求，密码产品采购和 使用应符合国家密码主管部门的要求。 第五条 信息系统设备的购置应符合山东石油化工学院《机关固定资 产、低值易耗品管理办法》相关规定。 第六条 所购信息系统设备由宣传信息办归口管理，统一标识、统一 安装。 第七条 软、硬件设备安装配置完毕后先进入试运行阶段，试运行时 间的长短可根据需要自行确定，软、硬件设备通过试运行后，方可投入正 式运行。 第三章 第八条 设备登记与使用 对所有信息系统设备的购置、移交、使用、维护、维修、报 废等进行登记，根据所承载的信息和软件的重要程度对信息系统设备进行 标识和分类,并认真做好登记的检查工作，规范信息系统设备管理工作。所 购信息系统设备交付时，应按照《山东石油化工学院信息化建设项目验收 管理办法》对信息系统设备进行验收。 第九条 宣传信息办负责信息系统设备的使用和维护，信息系统设备 操作和使用过程中应严格遵守操作规程和相关安全规定。 第十条 信息系统设备须指定安全责任人，落实安全责任，明确责任 主体。 第十一条 宣传信息办应对信息系统设备的基本信息、领用归还、运 行起止时间及运行状况进行登记，建立设备管理台账。 第十二条 因工作需要携带重要信息系统设备外出的，应填报《携带 重要信息系统设备外出登记表》，经审批后方可带出。因工作需要携带重要 信息系统设备出境的，应当按照有关安全规定办理批准和携带手续。 第十三条 信息系统设备使用者负责进行信息系统设备的日常保洁和 维护，保证信息系统设备处于最佳状态。一旦出现故障，信息系统设备使 用者无法及时解决时，应立即联系宣传信息办处理。 第四章 第十四条 设备维修、报废与销毁管理 信息系统设备出现故障需进行维修时，原则上由宣传信息 办进行维修，使用人陪同。确需外来维修人员上门维修，应与维修单位签 定安全承诺书，由使用部门安排专人陪同。 第十五条 信息系统设备送外维修须经学校领导审批同意，并采取数 据保护措施，如加密、备份等措施。 第十六条 维修过程中需更换重要存储部件的，必须将替换下的旧件 带回统一销毁，严禁将旧件抵价或随意丢弃。 第十七条 重要信息系统设备到达使用期限或因故障不能恢复，应对 设备现状进行详细登记，提出处理意见，经宣传信息办审核后报办公室作 报废处理。 第十八条 需销毁的重要存储部件应按照国家相关规定进行处置。 第五章 附 则 第十九条 本规定由山东石油化工学院网络信息中心负责解释。 第二十条 本规定自发布之日起施行。 附件： 1.携带重要信息系统资产外出申请表 附件一 携带重要信息系统设备外出申请表 1. 要采取可靠的安全措施，确保信息系统资产的安全。 2. 信息系统资产始终处于携带人的有效控制之下，做到不离人。 3. 两人以上信息系统资产要明确主次责任。 注意事项 4. 禁止将信息系统资产带到不具有安全条件的公共场所（如医 院、火车、飞机、轮船等地）阅办。 5. 禁止携带信息系统资产外出旅游、探亲访友、参加外事活动。 携带人签字： 携带人 日期： 职务 携带设备名称 携带外出时间 部门 设备编号 年 月 日 至 年 月 日 携带外出原因 携带设备内重要 文件名称 宣传信息办签字 归还人 年 归还时间 月 日 移动存储介质管理规定 第一章 总 则 第一条 为确保山东石油化工学院信息安全，加强和规范学校移动存 储介质的管理，根据有关安全规定和技术要求，结合工作实际，特制定本 规定。 第二条 本规定适用于山东石油化工学院对移动存储介质的购买、配 发、使用、维修、报废和销毁等各环节的管理。 第三条 本规定所称的移动存储介质是指 U 盘、移动硬盘、光盘、软 盘、磁带、存储卡、录音笔等可与计算机交互信息的便携式电、磁、光信 息载体。 第四条 移动存储介质实行统一管理，购置管理由办公室负责，安全 使用管理由山东石油化工学院具体负责。 第二章 购买与选型 第五条 移动存储介质应优先选用国产品牌，在选用国外品牌时，应 进行详细调研和论证。 第六条 移动存储介质在验收时须逐一核对型号、数量、配置及供应 商提供的检测报告书等。 第三章 配发与使用 第七条 移动存储介质的配发，须履行申请、审批、登记、签收程序， 由各部门信息联络员负责具体办理。 第八条 新购买的移动存储介质须统一编号，在用移动存储介质由保 管人或使用人及时向信息联络员报备登记，由宣传信息办负责张贴标识。 第九条 办公室负责移动存储介质的入库和出库登记，介质领用人需 填写《移动存储介质领用表》，经核实后方可发放。 第十条 报废处理的存储介质在其他信息系统内重新使用前，应进行 信息消除处理，信息消除处理时所采取的信息消除技术、设备和措施应符 合国家相关规定。 第十一条 携带重要存储介质外出应进行必要的信息消除处理，以保 证介质上只存有与本次外出相关的资料。 第十二条 移动存储介质使用人应严格遵守移动存储介质管理规定， 由个人原因造成的移动存储介质丢失、信息泄漏等事件应由使用人承担相 应责任。 第四章 第十三条 介质保存 移动存储介质保存必须符合防火、防水、防震、防潮、防 腐蚀、防鼠害、防虫蛀、防静电、防电磁辐射的安全要求。 第十四条 重要移动存储介质应备份，保存应当选择安全级别高的场 所；需要归档的存储介质，应当按照有关规定归档。 第十五条 山东石油化工学院定期对存储介质进行清查、核对，发现 问题及时向相关领导报告。 第十六条 移动存储介质的使用人员离岗、离职前，应当将所使用的 存储介质全部清退，并办理移交手续。 第十七条 被撤销或合并的部门，应当将移动存储介质交给承担其原 职能的部门，并履行登记、签收手续。 第五章 第十八条 介质接入 工作移动存储介质只能在工作计算机上使用，禁止在非工 作计算机上使用。 第十九条 私人使用的存储介质未经学校检查核准，禁止在工作计算 机等设备上使用。私人使用的存储介质禁止存储工作信息。 第六章 第二十条 介质维修、报废和销毁管理 移动存储介质的维修、维护，由山东石油化工学院统一管 理。 第二十一条 当移动存储介质需要报废时，由采购部门按照相关规定进 行销毁。 第七章 附 则 第二十二条 本规定由山东石油化工学院网络信息中心负责解释。 第二十三条 本规定自发布之日起施。 附件： 1.移动存储介质领用表 2.介质维修记录表 3.介质报废记录表 4.携带介质外出登记表 附件 1 移动存储介质领用表 部门 姓名 编号/类型 领用时间 领用人签字 归还时间 备注 附件 2 介质维修记录表 介质 名称 介质 编号 申请 部门 申请人 维修 时间 维修 地点 维修人 陪同人 故障 原因 排除 方法 返回 情况 经办人 审批人 附件 3 介质报废记录表 介质名称 介质编号 申请部门 申请人 报废时间 最终去向 信息处理 情况 报废过程 经办人 审批人 附件 4 携带介质外出登记表 携带人 携带人职位 部门 携带外出原因及 文件去向 携带介质名称 携带外出时间 介质编号 年 月 日 至 介质内文件名称 年 月 日 文件重要性 部门负责人签字 审核人签字 带回文件名称 带回文件重 要性 年 月 日 年 月 日 月 日 带回文 件去向 信息消除情况 经办人签字 年 信息系统恶意代码防范与软件补丁分发管理规定 第一章 总 则 第一条 为进一步加强和规范山东石油化工学院信息系统恶意 代码防范与软件补丁分发管理工作，防范安全风险，保障系统安全稳 定运行，根据信息系统安全有关管理规定，制定本规定。 第二条 本规定适用于山东石油化工学院信息系统的病毒、木马 等恶意代码的防范，以及软件的补丁分发管理工作。 第三条 山东石油化工学院负责信息系统恶意代码防范与软件 补丁分发的相关管理工作。 第二章 恶意代码防范管理 第四条 山东石油化工学院安全管理员和系统管理员共同负责 信息系统恶意代码防范工作：规划防范策略，经审定后组织实施；及 时关注恶意代码预警信息，妥善调整防护策略；检测、记录所采取的 防范操作。 第五条 所购买和使用的恶意代码防范产品必须是经过国家相 关主管部门认可、认证的产品。 第六条 山东石油化工学院所有计算机必须安装宣传信息办指 定的杀毒软件，不得私自卸载。 第七条 定期对恶意代码库进行升级，恶意代码库加载工作由安 全管理员负责。 第八条 山东石油化工学院工作人员遇到恶意代码发作，应立即 断开网络连接，及时清除恶意代码；无法清除的由山东石油化工学院 辅助处理。彻底解决后，方可重新入网。 第九条 所有移动存储介质在使用前，都必须进行恶意代码查杀 工作，确保其无恶意代码。需使用的各种软件，安装前应进行恶意代 码查杀。 第十条 重要资料除在非系统盘存储外，还应利用移动存储介质 备份，以防遭恶意代码破坏而遗失。信息的备份及其介质管理按有关 规定执行。 第十一条 山东石油化工学院安全审计员负责对恶意代码防范 措施的落实情况进行监督检查。 第三章 第十二条 安全漏洞与补丁安全管理 山东石油化工学院系统管理员和安全管理员应及时 掌握信息系统安全漏洞预警信息，并采取加载相关补丁、关闭系统端 口、调整防火墙防护策略等措施提高系统安全防护能力。 第十三条 紧急补丁必须在一天内、重要补丁必须在一周内、 一般补丁必须在两周内完成补丁的测试、发布和加载工作。 第十四条 补丁加载之前必须经过恶意代码查杀和测试，做好 应用系统和关键数据的备份工作。 第十五条 补丁加载工作由系统管理员负责操作，遵守补丁加 载流程。 第十六条 建立健全补丁分发管理机制，对学校信息系统补丁 使用情况进行实时监管。 第四章 附 则 第十七条 本规定由山东石油化工学院网络信息中心负责解释。 第十八条 本规定自发布之日起施行。 附件： 软件安装记录表 附件一 软件安装记录表 软件类别 软件提供单位 软件名称 软件使用单位 安装时间 安装人员 安装位置 使用范围 基本功能 山东石油化工学院 测试意见 签字（盖章）： 年 审批意见 月 日 签字（盖章）： 年 月 日 备注 注：信息系统中未安装使用过的软件，需要宣传信息办进行测试并且提供测试意 见。 信息系统安全审计管理规定 第一章 第一条 总 则 为进一步加强和规范山东石油化工学院信息系统安全 审计管理工作，特制定本规定。 第二条 本规定适用于山东石油化工学院信息系统的安全审计 管理。 第三条 安全审计主要指记录和跟踪信息系统状态变化，监控、 记录对程序和文件的使用以及对文件的处理过程等。 第四条 安全审计管理指利用信息系统审计方法，对信息系统进 行详尽审计，对于发现的安全问题，及时通知安全管理员调整安全策 略，从而达到降低安全风险的目的。 第二章 第五条 审计管理 由安全审计员定期对信息系统的服务器、网络设备、安 全设备、存储设备、应用系统进行安全审计，并形成审计记录。 第六条 信息系统日志内容应提供足够的信息，以便确定事件的 来源和结果，日志包括以下内容：事件发生的时间、地点、类型、主 体、客体和结果（成功或失败）等。 第七条 信息系统日志存储： （一）有充足的日志存储空间，防止由于存储空间不足造成日志 丢失。 （二）具有存储空间阀值设置功能，当存储空间达到阀值时及时 进行告警。 （三）审计系统出现异常时，保证存储的日志不被破坏。 （四）日志至少保存一年。 （五）日志存储空间将满时，覆盖最早存储的日志数据或转存日 志数据。 第八条 信息系统日志的查阅及保护： （一）安全审计员定期对日志进行审查或分析，发现可疑行为及 违规操作后采取相应的措施，并及时报告。 （二）提供对日志的统计、查询功能，包括按时间范围、主客体 身份、行为类型等条件进行检索查询。 （三）安全审计员调阅、备份、删除日志，必须进行记录。 （四）对审计系统和审计信息进行访问控制，保证日志不被篡改、 伪造和非授权删除。 第三章 附 则 第九条 本规定由山东石油化工学院网络信息中心负责解释。 第十条 本规定自发布之日起施行。 第三部分 多媒体管理篇 多媒体教学管理员岗位职责 第一条 贯彻执行国家有关多媒体教学工作的方针、政策和任务， 对主管的多媒体教室的管理任务全面负责。 第二条 根据多媒体教学需要，拟订多媒体教室的发展规划编制 和提出年度仪器设备、物品资料添置计划。 第三条 加强多媒体、录播教室、语音室的设备管理和维护。 第四条 组织贯彻实施有关规章制度，搞好多媒体教室、录播教 室、语音室的安全、环境保护和清洁卫生。 第五条 建立设备资料的明细账，按设备管理规范做好仪器资料 的编码、制作标签，做好仪器说明书、资料的保管，并把有关数据输 入电脑。 第六条 及时做好设备、资料的添置、验收、入账、报耗等工作。 学期结束前清理一次，做到帐物相符。 第七条 及时向部门领导报告多媒体教室、录播教室、语音室的 使用情况、意外事故和突发事件。 第八条 认真学习专业知识，不断提高工作能力、思想和业务水 平。 第十条 完成领导交办的其他工作。 多媒体教室设备管理制度 为了保证全校正常的教学秩序，提高多媒体设备的利用率，特制 订多媒体教室设备管理制度如下： 第一条 多媒体教室的设备是学校开展多媒体教学的主要工具， 未经批准不得用于其它活动。 第二条 多媒体设备使用者应掌握各仪器设备使用方法，使用前 应认真检查仪器设备的完好程度，如有问题，及时通知管理人员处理。 第三条 使用时，严格按仪器设备的操作规范操作，时刻注意仪 器设备运转情况，一旦有故障，应立即停止使用，查找出现故障的原 因，及时处理后再使用。 第四条 使用结束，应按操作程序关闭电源，整理好仪器设备， 并把仪器设备放回原处，按要求落锁。 第五条 未经网络信息中心同意，不准擅自拆卸任何仪器设备， 不准擅自把仪器设备拿出教室外使用。 第六条 违反以上规定者，按学校相关规定处理。 多媒体教室使用管理规定 第一条 多媒体教室为公共教室，教室的使用由教务处统一安排。 第二条 多媒体教室内设备的维修、维护、系统调试、软件安装 升级等由多媒体教学管理办公室负责。 第三条 多媒体教室内设备为教学活动专用，不得将其移往别处。 第四条 上课教师应注意爱护设备，熟练掌握设备操作程序，并 严格按程序操作。违章操作造成的设备损坏，按学校有关规定处理。 第五条 设备使用中如出现问题应及时与管理员联系解决。 第六条 不得随意安装及删除计算机软件，确需安装的应提前提 出申请，并由管理员协助完成。 第七条 多媒体教学管理办公室的管理人员有义务协同教务处检 查教师上课及教学设备使用情况，检查结果纳入教师业务考核。 多媒体设备借出制度 第一条 学校一切多媒体教育技术设备、设施必须坚持为教育教 学服务的原则，只供学校教育教学使用，管理人员必须严格管理，严 禁将多诶提设备移作它用。 第二条 借还设备要按规定填写借还登记册，写明借还设备名称、 数量、借还时间、借用人等情况。 第三条 借、还设备时，双方应对器材进行检查，如发现问题， 应按规定执行。 第四条 借用人所借设备必须按时归还，若要继续借用，必须提 前办理再借手续。 第五条 贵重设备借出须征得主管领导同意后方可借用。 第六条 借用人必须妥善保管好借用的设备，凡因借用人保管不 善损坏或遗失借用设备，要按设备使用年限折价赔偿。 公共机房使用管理规定 第一条 公共机房仅限本校在校学生上机使用，就座开机后，应 检查设备是否有缺损、是否运行正常，如有异常请及时报告管理 员，不得自行处理或置之不理，否则将由本人承担所有责任。 第二条 学生进入机房必须穿戴鞋套（不可用塑料袋等代替）， 离开后方可摘除鞋套，否则管理员和任课教师有权力和义务阻止入 内。 第三条 进入机房，应听从工作人员管理，按规定入座，不得以 任何形式占座；不得大声喧哗，不得打开手机振铃及接拨电话，不 得语音聊天，自觉保持机房安静。 第四条 自觉保持环境整洁，严禁吃东西、吸烟、饮用奶（饮 料）等饮品，禁止随地吐痰、乱写乱画等不文明行为。 第五条 禁止大型游戏，不得随意安装自带软件、游戏，学习类 光盘或软件须经管理员同意后方可使用。 第六条 自觉爱护机房设备，规范操作。不得移动主机；不得 接、拨主机后部任何端口设备；不得擅自接视频头、键盘、鼠标、 游戏杆等自带设备。因违规操作造成的机器损坏，由上机者按设备 原价赔偿，擅自接入自带设备由工作人员收缴存放，至上机者离开 机房。 第七条 不得私设密码或进行其它恶意操作及破坏性操作；对有 意破坏或盗窃者除按设备原价三倍赔偿外，将交于学校相关部门进 一步处理或处分，情节严重的追究法律责任。 第八条 网上活动应自觉遵守各级公安部门颁布的有关法律、法 规、条例及规定等，自觉遵守我校其他部门发布的有关管理规定。 第九条 上机结束，学生应收拾好自己的物品，按要求将椅子、 托盘归位，并将桌面上的废弃杂物带出机房。 第十条 上机者应自觉遵守以上各项规定。如有违反，管理员及 任课教师有权力和义务视情节给予批评教育。情节严重的送交有关 部门处理。 录播教室使用管理规定 一、录播教室的管理 第一条 录播教室由网络信息中心负责管理并配备兼职管理人 员。 第二条 录播教室的使用由教务处统一安排，网路信息中心负责 统筹调整和技术支持。 第三条 使用部门或个人须配合管理人员做好设备的使用和维护 工作，尤其做好安全防范工作。 第四条 使用录播教室时，管理人员在使用前要调试好音响、灯 光及多媒体等设备，使用完毕，管理人员要认真检查，督促使用部 门或个人负责清理场地，关闭电源，确保室内安全、整洁。 第五条 录播教室管理人员对每次使用情况进行检查、登记。 二、录播教室的使用报批程序 第六条 使用部门或个人通过一站式服务平台办理《教室借用申 请》，详细填写使用时间、活动内容、人数及服务要求等。由部门 负责人签批后报教务处统筹安排。 第七条 《教室借用申请》一般应提前一天交至网络信息中心， 重大活动或对环境及设备有特定要求的须提前一周预约，经批准后 使用。临时性使用，须经网络信息中心同意。 第八条 变更早通知。办理使用手续后需要变更或取消使用计划 的，须及时通知网络信息中心。 三、录播教室的使用要求 第九条 严禁吸烟，禁止随地吐痰，不准乱扔纸屑、果皮和杂 物，保持室内卫生干净。 第十条 严禁携带易燃易爆物品进入录播教室。 第十一条 室内禁止大声喧哗、吵闹。 第十二条 爱护公物，正确使用室内物品设备和活动器材。录播 教室内的电器设备须由专业工作人员进行操作，录播教室音响设备 及各类设施属固定专用，未经批准，不可挪借使用。 第十三条 录播过程中需使用的话筒、遥感器、激光笔等物品以 及活动器材应进行借用登记，结束后及时交回，如有丢失，应予赔 偿。 第十四条 使用完毕，设备物品应及时归位，并将室内卫生进行 打扫清洁。 第四部分 法律法规篇 《中华人民共和国网络安全法》 （2016 年 11 月 7 日第十二届全国人民代表大会常务委员会第二 十四次会议通过） 第一章 总 则 第一条 为了保障网络安全，维护网络空间主权和国家安全、社 会公共利益，保护公民、法人和其他组织的合法权益，促进经济社 会信息化健康发展，制定本法。 第二条 在中华人民共和国境内建设、运营、维护和使用网络， 以及网络安全的监督管理，适用本法。 第三条 国家坚持网络安全与信息化发展并重，遵循积极利用、 科学发展、依法管理、确保安全的方针，推进网络基础设施建设和 互联互通，鼓励网络技术创新和应用，支持培养网络安全人才，建 立健全网络安全保障体系，提高网络安全保护能力。 第四条 国家制定并不断完善网络安全战略，明确保障网络安全 的基本要求和主要目标，提出重点领域的网络安全政策、工作任务 和措施。 第五条 国家采取措施，监测、防御、处置来源于中华人民共和 国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻 击、侵入、干扰和破坏，依法惩治网络违法犯罪活动，维护网络空 间安全和秩序。 第六条 国家倡导诚实守信、健康文明的网络行为，推动传播社 会主义核心价值观，采取措施提高全社会的网络安全意识和水平， 形成全社会共同参与促进网络安全的良好环境。 第七条 国家积极开展网络空间治理、网络技术研发和标准制 定、打击网络违法犯罪等方面的国际交流与合作，推动构建和平、 安全、开放、合作的网络空间，建立多边、民主、透明的网络治理 体系。 第八条 国家网信部门负责统筹协调网络安全工作和相关监督管 理工作。国务院电信主管部门、公安部门和其他有关机关依照本法 和有关法律、行政法规的规定，在各自职责范围内负责网络安全保 护和监督管理工作。 县级以上地方人民政府有关部门的网络安全保护和监督管理职 责，按照国家有关规定确定。 第九条 网络运营者开展经营和服务活动，必须遵守法律、行政 法规，尊重社会公德，遵守商业道德，诚实信用，履行网络安全保 护义务，接受政府和社会的监督，承担社会责任。 第十条 建设、运营网络或者通过网络提供服务，应当依照法 律、行政法规的规定和国家标准的强制性要求，采取技术措施和其 他必要措施，保障网络安全、稳定运行，有效应对网络安全事件， 防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用 性。 第十一条 网络相关行业组织按照章程，加强行业自律，制定网 络安全行为规范，指导会员加强网络安全保护，提高网络安全保护 水平，促进行业健康发展。 第十二条 国家保护公民、法人和其他组织依法使用网络的权 利，促进网络接入普及，提升网络服务水平，为社会提供安全、便 利的网络服务，保障网络信息依法有序自由流动。 任何个人和组织使用网络应当遵守宪法法律，遵守公共秩序， 尊重社会公德，不得危害网络安全，不得利用网络从事危害国家安 全、荣誉和利益，煽动颠覆国家政权、推翻社会主义制度，煽动分 裂国家、破坏国家统一，宣扬恐怖主义、极端主义，宣扬民族仇 恨、民族歧视，传播暴力、淫秽色情信息，编造、传播虚假信息扰 乱经济秩序和社会秩序，以及侵害他人名誉、隐私、知识产权和其 他合法权益等活动。 第十三条 国家支持研究开发有利于未成年人健康成长的网络产 品和服务，依法惩治利用网络从事危害未成年人身心健康的活动， 为未成年人提供安全、健康的网络环境。 第十四条 任何个人和组织有权对危害网络安全的行为向网信、 电信、公安等部门举报。收到举报的部门应当及时依法作出处理； 不属于本部门职责的，应当及时移送有权处理的部门。 有关部门应当对举报人的相关信息予以保密，保护举报人的合 法权益。 第二章 网络安全支持与促进 第十五条 国家建立和完善网络安全标准体系。国务院标准化行 政主管部门和国务院其他有关部门根据各自的职责，组织制定并适 时修订有关网络安全管理以及网络产品、服务和运行安全的国家标 准、行业标准。 国家支持企业、研究机构、高等学校、网络相关行业组织参与 网络安全国家标准、行业标准的制定。 第十六条 国务院和省、自治区、直辖市人民政府应当统筹规 划，加大投入，扶持重点网络安全技术产业和项目，支持网络安全 技术的研究开发和应用，推广安全可信的网络产品和服务，保护网 络技术知识产权，支持企业、研究机构和高等学校等参与国家网络 安全技术创新项目。 第十七条 国家推进网络安全社会化服务体系建设，鼓励有关企 业、机构开展网络安全认证、检测和风险评估等安全服务。 第十八条 国家鼓励开发网络数据安全保护和利用技术，促进公 共数据资源开放，推动技术创新和经济社会发展。 国家支持创新网络安全管理方式，运用网络新技术，提升网络 安全保护水平。 第十九条 各级人民政府及其有关部门应当组织开展经常性的网 络安全宣传教育，并指导、督促有关单位做好网络安全宣传教育工 作。 大众传播媒介应当有针对性地面向社会进行网络安全宣传教 育。 第二十条 国家支持企业和高等学校、职业学校等教育培训机构 开展网络安全相关教育与培训，采取多种方式培养网络安全人才， 促进网络安全人才交流。 第三章 网络运行安全 第一节 一般规定 第二十一条 国家实行网络安全等级保护制度。网络运营者应当 按照网络安全等级保护制度的要求，履行下列安全保护义务，保障 网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者 被窃取、篡改： （一）制定内部安全管理制度和操作规程，确定网络安全负责 人，落实网络安全保护责任； （二）采取防范计算机病毒和网络攻击、网络侵入等危害网络 安全行为的技术措施； （三）采取监测、记录网络运行状态、网络安全事件的技术措 施，并按照规定留存相关的网络日志不少于六个月； （四）采取数据分类、重要数据备份和加密等措施； （五）法律、行政法规规定的其他义务。 第二十二条 网络产品、服务应当符合相关国家标准的强制性要 求。网络产品、服务的提供者不得设置恶意程序；发现其网络产 品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施， 按照规定及时告知用户并向有关主管部门报告。 网络产品、服务的提供者应当为其产品、服务持续提供安全维 护；在规定或者当事人约定的期限内，不得终止提供安全维护。 网络产品、服务具有收集用户信息功能的，其提供者应当向用 户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关 法律、行政法规关于个人信息保护的规定。 第二十三条 网络关键设备和网络安全专用产品应当按照相关国 家标准的强制性要求，由具备资格的机构安全认证合格或者安全检 测符合要求后，方可销售或者提供。国家网信部门会同国务院有关 部门制定、公布网络关键设备和网络安全专用产品目录，并推动安 全认证和安全检测结果互认，避免重复认证、检测。 第二十四条 网络运营者为用户办理网络接入、域名注册服务， 办理固定电话、移动电话等入网手续，或者为用户提供信息发布、 即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要 求用户提供真实身份信息。用户不提供真实身份信息的，网络运营 者不得为其提供相关服务。 国家实施网络可信身份战略，支持研究开发安全、方便的电子 身份认证技术，推动不同电子身份认证之间的互认。 第二十五条 网络运营者应当制定网络安全事件应急预案，及时 处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在 发生危害网络安全的事件时，立即启动应急预案，采取相应的补救 措施，并按照规定向有关主管部门报告。 第二十六条 开展网络安全认证、检测、风险评估等活动，向社 会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信 息，应当遵守国家有关规定。 第二十七条 任何个人和组织不得从事非法侵入他人网络、干扰 他人网络正常功能、窃取网络数据等危害网络安全的活动；不得提 供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网 络数据等危害网络安全活动的程序、工具；明知他人从事危害网络 安全的活动的，不得为其提供技术支持、广告推广、支付结算等帮 助。 第二十八条 网络运营者应当为公安机关、国家安全机关依法维 护国家安全和侦查犯罪的活动提供技术支持和协助。 第二十九条 国家支持网络运营者之间在网络安全信息收集、分 析、通报和应急处置等方面进行合作，提高网络运营者的安全保障 能力。 有关行业组织建立健全本行业的网络安全保护规范和协作机 制，加强对网络安全风险的分析评估，定期向会员进行风险警示， 支持、协助会员应对网络安全风险。 第三十条 网信部门和有关部门在履行网络安全保护职责中获取 的信息，只能用于维护网络安全的需要，不得用于其他用途。 第二节关键信息基础设施的运行安全 第三十一条 国家对公共通信和信息服务、能源、交通、水利、 金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到 破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民 生、公共利益的关键信息基础设施，在网络安全等级保护制度的基 础上，实行重点保护。关键信息基础设施的具体范围和安全保护办 法由国务院制定。 国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信 息基础设施保护体系。 第三十二条 按照国务院规定的职责分工，负责关键信息基础设 施安全保护工作的部门分别编制并组织实施本行业、本领域的关键 信息基础设施安全规划，指导和监督关键信息基础设施运行安全保 护工作。 第三十三条 建设关键信息基础设施应当确保其具有支持业务稳 定、持续运行的性能，并保证安全技术措施同步规划、同步建设、 同步使用。 第三十四条 除本法第二十一条的规定外，关键信息基础设施的 运营者还应当履行下列安全保护义务： （一）设置专门安全管理机构和安全管理负责人，并对该负责 人和关键岗位的人员进行安全背景审查； （二）定期对从业人员进行网络安全教育、技术培训和技能考 核； （三）对重要系统和数据库进行容灾备份； （四）制定网络安全事件应急预案，并定期进行演练； （五）法律、行政法规规定的其他义务。 第三十五条 关键信息基础设施的运营者采购网络产品和服务， 可能影响国家安全的，应当通过国家网信部门会同国务院有关部门 组织的国家安全审查。 第三十六条 关键信息基础设施的运营者采购网络产品和服务， 应当按照规定与提供者签订安全保密协议，明确安全和保密义务与 责任。 第三十七条 关键信息基础设施的运营者在中华人民共和国境内 运营中收集和产生的个人信息和重要数据应当在境内存储。因业务 需要，确需向境外提供的，应当按照国家网信部门会同国务院有关 部门制定的办法进行安全评估；法律、行政法规另有规定的，依照 其规定。 第三十八条 关键信息基础设施的运营者应当自行或者委托网络 安全服务机构对其网络的安全性和可能存在的风险每年至少进行一 次检测评估，并将检测评估情况和改进措施报送相关负责关键信息 基础设施安全保护工作的部门。 第三十九条 国家网信部门应当统筹协调有关部门对关键信息基 础设施的安全保护采取下列措施： （一）对关键信息基础设施的安全风险进行抽查检测，提出改 进措施，必要时可以委托网络安全服务机构对网络存在的安全风险 进行检测评估； （二）定期组织关键信息基础设施的运营者进行网络安全应急 演练，提高应对网络安全事件的水平和协同配合能力； （三）促进有关部门、关键信息基础设施的运营者以及有关研 究机构、网络安全服务机构等之间的网络安全信息共享； （四）对网络安全事件的应急处置与网络功能的恢复等，提供 技术支持和协助。 第四章 网络信息安全 第四十条 网络运营者应当对其收集的用户信息严格保密，并建 立健全用户信息保护制度。 第四十一条 网络运营者收集、使用个人信息，应当遵循合法、 正当、必要的原则，公开收集、使用规则，明示收集、使用信息的 目的、方式和范围，并经被收集者同意。 网络运营者不得收集与其提供的服务无关的个人信息，不得违 反法律、行政法规的规定和双方的约定收集、使用个人信息，并应 当依照法律、行政法规的规定和与用户的约定，处理其保存的个人 信息。 第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信 息；未经被收集者同意，不得向他人提供个人信息。但是，经过处 理无法识别特定个人且不能复原的除外。 网络运营者应当采取技术措施和其他必要措施，确保其收集的 个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生 个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按 照规定及时告知用户并向有关主管部门报告。 第四十三条 个人发现网络运营者违反法律、行政法规的规定或 者双方的约定收集、使用其个人信息的，有权要求网络运营者删除 其个人信息；发现网络运营者收集、存储的其个人信息有错误的， 有权要求网络运营者予以更正。网络运营者应当采取措施予以删除 或者更正。 第四十四条 任何个人和组织不得窃取或者以其他非法方式获取 个人信息，不得非法出售或者非法向他人提供个人信息。 第四十五条 依法负有网络安全监督管理职责的部门及其工作人 员，必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保 密，不得泄露、出售或者非法向他人提供。 第四十六条 任何个人和组织应当对其使用网络的行为负责，不 得设立用于实施诈骗，传授犯罪方法，制作或者销售违禁物品、管 制物品等违法犯罪活动的网站、通讯群组，不得利用网络发布涉及 实施诈骗，制作或者销售违禁物品、管制物品以及其他违法犯罪活 动的信息。 第四十七条 网络运营者应当加强对其用户发布的信息的管理， 发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传 输该信息，采取消除等处置措施，防止信息扩散，保存有关记录， 并向有关主管部门报告。 第四十八条 任何个人和组织发送的电子信息、提供的应用软 件，不得设置恶意程序，不得含有法律、行政法规禁止发布或者传 输的信息。 电子信息发送服务提供者和应用软件下载服务提供者，应当履 行安全管理义务，知道其用户有前款规定行为的，应当停止提供服 务，采取消除等处置措施，保存有关记录，并向有关主管部门报 告。 第四十九条 网络运营者应当建立网络信息安全投诉、举报制 度，公布投诉、举报方式等信息，及时受理并处理有关网络信息安 全的投诉和举报。 网络运营者对网信部门和有关部门依法实施的监督检查，应当 予以配合。 第五十条 国家网信部门和有关部门依法履行网络信息安全监督 管理职责，发现法律、行政法规禁止发布或者传输的信息的，应当 要求网络运营者停止传输，采取消除等处置措施，保存有关记录； 对来源于中华人民共和国境外的上述信息，应当通知有关机构采取 技术措施和其他必要措施阻断传播。 第五章 监测预警与应急处置 第五十一条 国家建立网络安全监测预警和信息通报制度。国家 网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通 报工作，按照规定统一发布网络安全监测预警信息。 第五十二条 负责关键信息基础设施安全保护工作的部门，应当 建立健全本行业、本领域的网络安全监测预警和信息通报制度，并 按照规定报送网络安全监测预警信息。 第五十三条 国家网信部门协调有关部门建立健全网络安全风险 评估和应急工作机制，制定网络安全事件应急预案，并定期组织演 练。 负责关键信息基础设施安全保护工作的部门应当制定本行业、 本领域的网络安全事件应急预案，并定期组织演练。 网络安全事件应急预案应当按照事件发生后的危害程度、影响 范围等因素对网络安全事件进行分级，并规定相应的应急处置措 施。 第五十四条 网络安全事件发生的风险增大时，省级以上人民政 府有关部门应当按照规定的权限和程序，并根据网络安全风险的特 点和可能造成的危害，采取下列措施： （一）要求有关部门、机构和人员及时收集、报告有关信息， 加强对网络安全风险的监测； （二）组织有关部门、机构和专业人员，对网络安全风险信息 进行分析评估，预测事件发生的可能性、影响范围和危害程度； （三）向社会发布网络安全风险预警，发布避免、减轻危害的 措施。 第五十五条 发生网络安全事件，应当立即启动网络安全事件应 急预案，对网络安全事件进行调查和评估，要求网络运营者采取技 术措施和其他必要措施，消除安全隐患，防止危害扩大，并及时向 社会发布与公众有关的警示信息。 第五十六条 省级以上人民政府有关部门在履行网络安全监督管 理职责中，发现网络存在较大安全风险或者发生安全事件的，可以 按照规定的权限和程序对该网络的运营者的法定代表人或者主要负 责人进行约谈。网络运营者应当按照要求采取措施，进行整改，消 除隐患。 第五十七条 因网络安全事件，发生突发事件或者生产安全事故 的，应当依照《中华人民共和国突发事件应对法》、《中华人民共 和国安全生产法》等有关法律、行政法规的规定处置。 第五十八条 因维护国家安全和社会公共秩序，处置重大突发社 会安全事件的需要，经国务院决定或者批准，可以在特定区域对网 络通信采取限制等临时措施。 第六章 法律责任 第五十九条 网络运营者不履行本法第二十一条、第二十五条规 定的网络安全保护义务的，由有关主管部门责令改正，给予警告； 拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以 下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。 关键信息基础设施的运营者不履行本法第三十三条、第三十四 条、第三十六条、第三十八条规定的网络安全保护义务的，由有关 主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等 后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员 处一万元以上十万元以下罚款。 第六十条 违反本法第二十二条第一款、第二款和第四十八条第 一款规定，有下列行为之一的，由有关主管部门责令改正，给予警 告；拒不改正或者导致危害网络安全等后果的，处五万元以上五十 万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚 款： （一）设置恶意程序的； （二）对其产品、服务存在的安全缺陷、漏洞等风险未立即采 取补救措施，或者未按照规定及时告知用户并向有关主管部门报告 的； （三）擅自终止为其产品、服务提供安全维护的。 第六十一条 网络运营者违反本法第二十四条第一款规定，未要 求用户提供真实身份信息，或者对不提供真实身份信息的用户提供 相关服务的，由有关主管部门责令改正；拒不改正或者情节严重 的，处五万元以上五十万元以下罚款，并可以由有关主管部门责令 暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊 销营业执照，对直接负责的主管人员和其他直接责任人员处一万元 以上十万元以下罚款。 第六十二条 违反本法第二十六条规定，开展网络安全认证、检 测、风险评估等活动，或者向社会发布系统漏洞、计算机病毒、网 络攻击、网络侵入等网络安全信息的，由有关主管部门责令改正， 给予警告；拒不改正或者情节严重的，处一万元以上十万元以下罚 款，并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网 站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人 员和其他直接责任人员处五千元以上五万元以下罚款。 第六十三条 违反本法第二十七条规定，从事危害网络安全的活 动，或者提供专门用于从事危害网络安全活动的程序、工具，或者 为他人从事危害网络安全的活动提供技术支持、广告推广、支付结 算等帮助，尚不构成犯罪的，由公安机关没收违法所得，处五日以 下拘留，可以并处五万元以上五十万元以下罚款；情节较重的，处 五日以上十五日以下拘留，可以并处十万元以上一百万元以下罚 款。 单位有前款行为的，由公安机关没收违法所得，处十万元以上 一百万元以下罚款，并对直接负责的主管人员和其他直接责任人员 依照前款规定处罚。 违反本法第二十七条规定，受到治安管理处罚的人员，五年内 不得从事网络安全管理和网络运营关键岗位的工作；受到刑事处罚 的人员，终身不得从事网络安全管理和网络运营关键岗位的工作。 第六十四条 网络运营者、网络产品或者服务的提供者违反本法 第二十二条第三款、第四十一条至第四十三条规定，侵害个人信息 依法得到保护的权利的，由有关主管部门责令改正，可以根据情节 单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下 罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管 人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重 的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业 务许可证或者吊销营业执照。 违反本法第四十四条规定，窃取或者以其他非法方式获取、非 法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机 关没收违法所得，并处违法所得一倍以上十倍以下罚款，没有违法 所得的，处一百万元以下罚款。 第六十五条 关键信息基础设施的运营者违反本法第三十五条规 定，使用未经安全审查或者安全审查未通过的网络产品或者服务 的，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下 罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十 万元以下罚款。 第六十六条 关键信息基础设施的运营者违反本法第三十七条规 定，在境外存储网络数据，或者向境外提供网络数据的，由有关主 管部门责令改正，给予警告，没收违法所得，处五万元以上五十万 元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊 销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其 他直接责任人员处一万元以上十万元以下罚款。 第六十七条 违反本法第四十六条规定，设立用于实施违法犯罪 活动的网站、通讯群组，或者利用网络发布涉及实施违法犯罪活动 的信息，尚不构成犯罪的，由公安机关处五日以下拘留，可以并处 一万元以上十万元以下罚款；情节较重的，处五日以上十五日以下 拘留，可以并处五万元以上五十万元以下罚款。关闭用于实施违法 犯罪活动的网站、通讯群组。 单位有前款行为的，由公安机关处十万元以上五十万元以下罚 款，并对直接负责的主管人员和其他直接责任人员依照前款规定处 罚。 第六十八条 网络运营者违反本法第四十七条规定，对法律、行 政法规禁止发布或者传输的信息未停止传输、采取消除等处置措 施、保存有关记录的，由有关主管部门责令改正，给予警告，没收 违法所得；拒不改正或者情节严重的，处十万元以上五十万元以下 罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关 业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接 责任人员处一万元以上十万元以下罚款。 电子信息发送服务提供者、应用软件下载服务提供者，不履行 本法第四十八条第二款规定的安全管理义务的，依照前款规定处 罚。 第六十九条 网络运营者违反本法规定，有下列行为之一的，由 有关主管部门责令改正；拒不改正或者情节严重的，处五万元以上 五十万元以下罚款，对直接负责的主管人员和其他直接责任人员， 处一万元以上十万元以下罚款： （一）不按照有关部门的要求对法律、行政法规禁止发布或者 传输的信息，采取停止传输、消除等处置措施的； （二）拒绝、阻碍有关部门依法实施的监督检查的； （三）拒不向公安机关、国家安全机关提供技术支持和协助 的。 第七十条 发布或者传输本法第十二条第二款和其他法律、行政 法规禁止发布或者传输的信息的，依照有关法律、行政法规的规定 处罚。 第七十一条 有本法规定的违法行为的，依照有关法律、行政法 规的规定记入信用档案，并予以公示。 第七十二条 国家机关政务网络的运营者不履行本法规定的网络 安全保护义务的，由其上级机关或者有关机关责令改正；对直接负 责的主管人员和其他直接责任人员依法给予处分。 第七十三条 网信部门和有关部门违反本法第三十条规定，将在 履行网络安全保护职责中获取的信息用于其他用途的，对直接负责 的主管人员和其他直接责任人员依法给予处分。 网信部门和有关部门的工作人员玩忽职守、滥用职权、徇私舞 弊，尚不构成犯罪的，依法给予处分。 第七十四条 违反本法规定，给他人造成损害的，依法承担民事 责任。 违反本法规定，构成违反治安管理行为的，依法给予治安管理 处罚；构成犯罪的，依法追究刑事责任。 第七十五条 境外的机构、组织、个人从事攻击、侵入、干扰、 破坏等危害中华人民共和国的关键信息基础设施的活动，造成严重 后果的，依法追究法律责任；国务院公安部门和有关部门并可以决 定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。 第七章 附 则 第七十六条 本法下列用语的含义： （一）网络，是指由计算机或者其他信息终端及相关设备组成 的按照一定的规则和程序对信息进行收集、存储、传输、交换、处 理的系统。 （二）网络安全，是指通过采取必要措施，防范对网络的攻 击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定 可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的 能力。 （三）网络运营者，是指网络的所有者、管理者和网络服务提 供者。 （四）网络数据，是指通过网络收集、存储、传输、处理和产 生的各种电子数据。 （五）个人信息，是指以电子或者其他方式记录的能够单独或 者与其他信息结合识别自然人个人身份的各种信息，包括但不限于 自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住 址、电话号码等。 第七十七条 存储、处理涉及国家秘密信息的网络的运行安全保 护，除应当遵守本法外，还应当遵守保密法律、行政法规的规定。 第七十八条 军事网络的安全保护，由中央军事委员会另行规 定。 第七十九条 本法自 2017 年 6 月 1 日起施行。 中华人民共和国计算机信息系统安全保护条例 (1994 年 2 月 18 日中华人民共和国国务院令第 147 号发布 根 据 2011 年 1 月 8 日《国务院关于废止和修改部分行政法规的决定》 修订) 第一章 第一条 总 则 为了保护计算机信息系统的安全，促进计算机的应用 和发展，保障社会主义现代化建设的顺利进行，制定本条例。 第二条 本条例所称的计算机信息系统，是指由计算机及其相 关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和 规则对信息进行采集、加工、存储、传输、检索等处理的人机系 统。 第三条 计算机信息系统的安全保护，应当保障计算机及其相 关的和配套的设备、设施(含网络)的安全，运行环境的安全，保障 信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统 的安全运行。 第四条 计算机信息系统的安全保护工作，重点维护国家事 务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息 系统的安全。 第五条 中华人民共和国境内的计算机信息系统的安全保护， 适用本条例。 未联网的微型计算机的安全保护办法，另行制定。 第六条 公安部主管全国计算机信息系统安全保护工作。国家 安全部、国家保密局和国务院其他有关部门，在国务院规定的职责 范围内做好计算机信息系统安全保护的有关工作。 第七条 任何组织或个人，不得利用计算机信息系统从事危害 国家利益、集体利益和公民合法利益的活动，不得危害计算机信息 系统的安全。 第二章 第八条 安全保护制度 计算机信息系统的建设和应用，应当遵守法律、行政 法规和国家其他有关规定。 第九条 计算机信息系统实行安全等级保护。安全等级的划分 标准和安全等级保护的具体办法，由公安部会同有关部门制定。 第十条 计算机机房应当符合国家标准和国家有关规定。在计 算机机房附近施工，不得危害计算机信息系统的安全。 第十一条 进行国际联网的计算机信息系统，由计算机信息系 统的使用单位报省级以上人民政府公安机关备案。 第十二条 运输、携带、邮寄计算机信息媒体进出境的，应当 如实向海关申报。 第十三条 计算机信息系统的使用单位应当建立健全安全管理 制度，负责本单位计算机信息系统的安全保护工作。 第十四条 对计算机信息系统中发生的案件，有关使用单位应 当在 24 小时内向当地县级以上人民政府公安机关报告。 第十五条 对计算机病毒和危害社会公共安全的其他有害数据 的防治研究工作，由公安部归口管理。 第十六条 国家对计算机信息系统安全专用产品的销售实行许 可证制度。具体办法由公安部会同有关部门制定。 第三章 第十七条 安全监督 公安机关对计算机信息系统保护工作行使下列监督 职权： (一)监督、检查、指导计算机信息系统安全保护工作； (二)查处危害计算机信息系统安全的违法犯罪案件； (三)履行计算机信息系统安全保护工作的其他监督职责。 第十八条 公安机关发现影响计算机信息系统安全的隐患时， 应当及时通知使用单位采取安全保护措施。 第十九条 公安部在紧急情况下，可以就涉及计算机信息系统 安全的特定事项发布专项通令。 第四章 第二十条 法律责任 违反本条例的规定，有下列行为之一的，由公安机 关处以警告或者停机整顿： (一)违反计算机信息系统安全等级保护制度，危害计算机信息 系统安全的； (二)违反计算机信息系统国际联网备案制度的； (三)不按照规定时间报告计算机信息系统中发生的案件的； (四)接到公安机关要求改进安全状况的通知后，在限期内拒不 改进的； (五)有危害计算机信息系统安全的其他行为的。 第二十一条 计算机机房不符合国家标准和国家其他有关规定 的，或者在计算机机房附近施工危害计算机信息系统安全的，由公 安机关会同有关单位进行处理。 第二十二条 运输、携带、邮寄计算机信息媒体进出境，不如 实向海关申报的，由海关依照《中华人民共和国海关法》和本条例 以及其他有关法律、法规的规定处理。 第二十三条 故意输入计算机病毒以及其他有害数据危害计算 机信息系统安全的，或者未经许可出售计算机信息系统安全专用产 品的，由公安机关处 以警告或者对个人处以 5000 元以下的罚款、 对单位处以 15000 元以下的罚款；有违法所得的，除予以没收外， 可以处以违法所得 1 至 3 倍的罚款。 第二十四条 违反本条例的规定，构成违反治安管理行为的， 依照《中华人民共和国治安管理处罚法》的有关规定处罚；构成犯 罪的，依法追究刑事责任。 第二十五条 任何组织或者个人违反本条例的规定，给国家、 集体或者他人财产造成损失的，应当依法承担民事责任。 第二十六条 当事人对公安机关依照本条例所作出的具体行政 行为不服的，可以依法申请行政复议或者提起行政诉讼。 第二十七条 执行本条例的国家公务员利用职权，索取、收受 贿赂或者有其他违法、失职行为，构成犯罪的，依法追究刑事责 任；尚不构成犯罪的，给予行政处分。 第五章 第二十八条 附 则 本条例下列用语的含义： 计算机病毒，是指编制或者在计算机程序中插入的破坏计算机 功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机 指令或者程序代码。 计算机信息系统安全专用产品，是指用于保护计算机信息系统 安全的专用硬件和软件产品。 第二十九条 军队的计算机信息系统安全保护工作，按照军队 的有关法规执行。 第三十条 第三十一条 公安部可以根据本条例制定实施办法。 本条例自发布之日起施行。 公共互联网网络安全突发事件应急预案 1.总则 1.1 编制目的 建立健全公共互联网网络安全突发事件应急组织体系和工作机 制，提高公共互联网网络安全突发事件综合应对能力，确保及时有 效地控制、减轻和消除公共互联网网络安全突发事件造成的社会危 害和损失，保证公共互联网持续稳定运行和数据安全，维护国家网 络空间安全，保障经济运行和社会秩序。 1.2 编制依据 《中华人民共和国突发事件应对法》《中华人民共和国网络安 全法》《中华人民共和国电信条例》等法律法规和《国家突发公共 事件总体应急预案》《国家网络安全事件应急预案》等相关规定。 1.3 适用范围 本预案适用于面向社会提供服务的基础电信企业、域名注册管 理和服务机构（以下简称域名机构）、互联网企业（含工业互联网 平台企业）发生网络安全突发事件的应对工作。 本预案所称网络安全突发事件，是指突然发生的，由网络攻 击、网络入侵、恶意程序等导致的，造成或可能造成严重社会危害 或影响，需要电信主管部门组织采取应急处置措施予以应对的网络 中断（拥塞）、系统瘫痪（异常）、数据泄露（丢失）、病毒传播 等事件。 本预案所称电信主管部门包括工业和信息化部及各省（自治 区、直辖市）通信管理局。 工业和信息化部对国家重大活动期间网络安全突发事件应对工 作另有规定的，从其规定。 1.4 工作原则 公共互联网网络安全突发事件应急工作坚持统一领导、分级负 责；坚持统一指挥、密切协同、快速反应、科学处置；坚持预防为 主，预防与应急相结合；落实基础电信企业、域名机构、互联网服 务提供者的主体责任；充分发挥网络安全专业机构、网络安全企业 和专家学者等各方面力量的作用。 2.组织体系 2.1 领导机构与职责 在中央网信办统筹协调下，工业和信息化部网络安全和信息化 领导小组（以下简称部领导小组）统一领导公共互联网网络安全突 发事件应急管理工作，负责特别重大公共互联网网络安全突发事件 的统一指挥和协调。 2.2 办事机构与职责 在中央网信办下设的国家网络安全应急办公室统筹协调下，在 部领导小组统一领导下，工业和信息化部网络安全应急办公室（以 下简称部应急办）负责公共互联网网络安全应急管理事务性工作； 及时向部领导小组报告突发事件情况，提出特别重大网络安全突发 事件应对措施建议；负责重大网络安全突发事件的统一指挥和协 调；根据需要协调较大、一般网络安全突发事件应对工作。部应急 办具体工作由工业和信息化部网络安全管理局承担，有关单位明确 负责人和联络员参与部应急办工作。 2.3 其他相关单位职责 各省（自治区、直辖市）通信管理局负责组织、指挥、协调本 行政区域相关单位开展公共互联网网络安全突发事件的预防、监 测、报告和应急处置工作。 基础电信企业、域名机构、互联网企业负责本单位网络安全突 发事件预防、监测、报告和应急处置工作，为其他单位的网络安全 突发事件应对提供技术支持。 国家计算机网络应急技术处理协调中心、中国信息通信研究 院、中国软件评测中心、国家工业信息安全发展研究中心（以下统 称网络安全专业机构）负责监测、报告公共互联网网络安全突发事 件和预警信息，为应急工作提供决策支持和技术支撑。 鼓励网络安全企业支撑参与公共互联网网络安全突发事件应对 工作。 3.事件分级 根据社会影响范围和危害程度，公共互联网网络安全突发事件 分为四级：特别重大事件、重大事件、较大事件、一般事件。 3.1 特别重大事件 符合下列情形之一的，为特别重大网络安全事件： （1）全国范围大量互联网用户无法正常上网； （2）.CN 国家顶级域名系统解析效率大幅下降； （3）1 亿以上互联网用户信息泄露； （4）网络病毒在全国范围大面积爆发； （5）其他造成或可能造成特别重大危害或影响的网络安全事 件。 3.2 重大事件 符合下列情形之一的，为重大网络安全事件： （1）多个省大量互联网用户无法正常上网； （2）在全国范围有影响力的网站或平台访问出现严重异常； （3）大型域名解析系统访问出现严重异常； （4）1 千万以上互联网用户信息泄露； （5）网络病毒在多个省范围内大面积爆发； （6）其他造成或可能造成重大危害或影响的网络安全事件。 3.3 较大事件 符合下列情形之一的，为较大网络安全事件： （1）1 个省内大量互联网用户无法正常上网； （2）在省内有影响力的网站或平台访问出现严重异常； （3）1 百万以上互联网用户信息泄露； （4）网络病毒在 1 个省范围内大面积爆发； （5）其他造成或可能造成较大危害或影响的网络安全事件。 3.4 一般事件 符合下列情形之一的，为一般网络安全事件： （1）1 个地市大量互联网用户无法正常上网； （2）10 万以上互联网用户信息泄露； （3）其他造成或可能造成一般危害或影响的网络安全事件。 4.监测预警 4.1 事件监测 基础电信企业、域名机构、互联网企业应当对本单位网络和系 统的运行状况进行密切监测，一旦发生本预案规定的网络安全突发 事件，应当立即通过电话等方式向部应急办和相关省（自治区、直 辖市）通信管理局报告，不得迟报、谎报、瞒报、漏报。 网络安全专业机构、网络安全企业应当通过多种途径监测、收 集已经发生的公共互联网网络安全突发事件信息，并及时向部应急 办和相关省（自治区、直辖市）通信管理局报告。 报告突发事件信息时，应当说明事件发生时间、初步判定的影 响范围和危害、已采取的应急处置措施和有关建议。 4.2 预警监测 基础电信企业、域名机构、互联网企业、网络安全专业机构、 网络安全企业应当通过多种途径监测、收集漏洞、病毒、网络攻击 最新动向等网络安全隐患和预警信息，对发生突发事件的可能性及 其可能造成的影响进行分析评估；认为可能发生特别重大或重大突 发事件的，应当立即向部应急办报告；认为可能发生较大或一般突 发事件的，应当立即向相关省（自治区、直辖市）通信管理局报 告。 4.3 预警分级 建立公共互联网网络突发事件预警制度，按照紧急程度、发展 态势和可能造成的危害程度，公共互联网网络突发事件预警等级分 为四级：由高到低依次用红色、橙色、黄色和蓝色标示，分别对应 可能发生特别重大、重大、较大和一般网络安全突发事件。 4.4 预警发布 部应急办和各省（自治区、直辖市）通信管理局应当及时汇总 分析突发事件隐患和预警信息，必要时组织相关单位、专业技术人 员、专家学者进行会商研判。 认为需要发布红色预警的，由部应急办报国家网络安全应急办 公室统一发布（或转发国家网络安全应急办公室发布的红色预 警），并报部领导小组；认为需要发布橙色预警的，由部应急办统 一发布，并报国家网络安全应急办公室和部领导小组；认为需要发 布黄色、蓝色预警的，相关省（自治区、直辖市）通信管理局可在 本行政区域内发布，并报部应急办，同时通报地方相关部门。对达 不到预警级别但又需要发布警示信息的，部应急办和各省（自治 区、直辖市）通信管理局可以发布风险提示信息。 发布预警信息时，应当包括预警级别、起始时间、可能的影响 范围和造成的危害、应采取的防范措施、时限要求和发布机关等， 并公布咨询电话。面向社会发布预警信息可通过网站、短信、微信 等多种形式。 4.5 预警响应 4.5.1 黄色、蓝色预警响应 发布黄色、蓝色预警后，相关省（自治区、直辖市）通信管理 局应当针对即将发生的网络安全突发事件的特点和可能造成的危 害，采取下列措施： （1）要求有关单位、机构和人员及时收集、报告有关信息，加 强网络安全风险的监测； （2）组织有关单位、机构和人员加强事态跟踪分析评估，密切 关注事态发展，重要情况报部应急办； （3）及时宣传避免、减轻危害的措施，公布咨询电话，并对相 关信息的报道工作进行正确引导。 4.5.2 红色、橙色预警响应 发布红色、橙色预警后，部应急办除采取黄色、蓝色预警响应 措施外，还应当针对即将发生的网络安全突发事件的特点和可能造 成的危害，采取下列措施： （1）要求各相关单位实行 24 小时值班，相关人员保持通信联 络畅通； （2）组织研究制定防范措施和应急工作方案，协调调度各方资 源，做好各项准备工作，重要情况报部领导小组； （3）组织有关单位加强对重要网络、系统的网络安全防护； （4）要求相关网络安全专业机构、网络安全企业进入待命状 态，针对预警信息研究制定应对方案，检查应急设备、软件工具 等，确保处于良好状态。 4.6 预警解除 部应急办和省（自治区、直辖市）通信管理局发布预警后，应 当根据事态发展，适时调整预警级别并按照权限重新发布；经研判 不可能发生突发事件或风险已经解除的，应当及时宣布解除预警， 并解除已经采取的有关措施。相关省（自治区、直辖市）通信管理 局解除黄色、蓝色预警后，应及时向部应急办报告。 5.应急处置 5.1 响应分级 公共互联网网络安全突发事件应急响应分为四级：I 级、II 级、III 级、IV 级，分别对应已经发生的特别重大、重大、较大、 一般事件的应急响应。 5.2 先行处置 公共互联网网络安全突发事件发生后，事发单位在按照本预案 规定立即向电信主管部门报告的同时，应当立即启动本单位应急预 案，组织本单位应急队伍和工作人员采取应急处置措施，尽最大努 力恢复网络和系统运行，尽可能减少对用户和社会的影响，同时注 意保存网络攻击、网络入侵或网络病毒的证据。 5.3 启动响应 I 级响应根据国家有关决定或经部领导小组批准后启动，由部 领导小组统一指挥、协调。 II 级响应由部应急办决定启动，由部应急办统一指挥、协调。 III 级、IV 级响应由相关省（自治区、直辖市）通信管理局决 定启动，并负责指挥、协调。 启动 I 级、II 级响应后，部应急办立即将突发事件情况向国家 网络安全应急办公室等报告；部应急办和相关单位进入应急状态， 实行 24 小时值班，相关人员保持联络畅通，相关单位派员参加部应 急办工作；视情在部应急办设立应急恢复、攻击溯源、影响评估、 信息发布、跨部门协调、国际协调等工作组。 启动 III 级、IV 级响应后，相关省（自治区、直辖市）通信管 理局应及时将相关情况报部应急办。 5.4 事态跟踪 启动 I 级、II 级响应后，事发单位和网络安全专业机构、网络 安全企业应当持续加强监测，跟踪事态发展，检查影响范围，密切 关注舆情，及时将事态发展变化、处置进展情况、相关舆情报部应 急办。省（自治区、直辖市）通信管理局立即全面了解本行政区域 受影响情况，并及时报部应急办。基础电信企业、域名机构、互联 网企业立即了解自身网络和系统受影响情况，并及时报部应急办。 启动 III 级、IV 级响应后，相关省（自治区、直辖市）通信管 理局组织相关单位加强事态跟踪研判。 5.5 决策部署 启动 I 级、II 级响应后，部领导小组或部应急办紧急召开会 议，听取各相关方面情况汇报，研究紧急应对措施，对应急处置工 作进行决策部署。 针对突发事件的类型、特点和原因，要求相关单位采取以下措 施：带宽紧急扩容、控制攻击源、过滤攻击流量、修补漏洞、查杀 病毒、关闭端口、启用备份数据、暂时关闭相关系统等；对大规模 用户信息泄露事件，要求事发单位及时告知受影响的用户，并告知 用户减轻危害的措施；防止发生次生、衍生事件的必要措施；其他 可以控制和减轻危害的措施。 做好信息报送。及时向国家网络安全应急办公室等报告突发事 件处置进展情况；视情况由部应急办向相关职能部门、相关行业主 管部门通报突发事件有关情况，必要时向相关部门请求提供支援。 视情况向外国政府部门通报有关情况并请求协助。 注重信息发布。及时向社会公众通告突发事件情况，宣传避免 或减轻危害的措施，公布咨询电话，引导社会舆论。未经部应急办 同意，各相关单位不得擅自向社会发布突发事件相关信息。 启动 III 级、IV 级响应后，相关省（自治区、直辖市）通信管 理局组织相关单位开展处置工作。处置中需要其他区域提供配合和 支持的，接受请求的省（自治区、直辖市）通信管理局应当在权限 范围内积极配合并提供必要的支持；必要时可报请部应急办予以协 调。 5.6 结束响应 突发事件的影响和危害得到控制或消除后，I 级响应根据国家 有关决定或经部领导小组批准后结束；II 级响应由部应急办决定结 束，并报部领导小组；III 级、IV 级响应由相关省（自治区、直辖 市）通信管理局决定结束，并报部应急办。 6.事后总结 6.1 调查评估 公共互联网网络安全突发事件应急响应结束后，事发单位要及 时调查突发事件的起因（包括直接原因和间接原因）、经过、责 任，评估突发事件造成的影响和损失，总结突发事件防范和应急处 置工作的经验教训，提出处理意见和改进措施，在应急响应结束后 10 个工作日内形成总结报告，报电信主管部门。电信主管部门汇总 并研究后，在应急响应结束后 20 个工作日内形成报告，按程序上 报。 6.2 奖惩问责 工业和信息化部对网络安全突发事件应对工作中作出突出贡献 的先进集体和个人给予表彰或奖励。 对不按照规定制定应急预案和组织开展演练，迟报、谎报、瞒 报和漏报突发事件重要情况，或在预防、预警和应急工作中有其他 失职、渎职行为的单位或个人，由电信主管部门给予约谈、通报或 依法、依规给予问责或处分。基础电信企业有关情况纳入企业年度 网络与信息安全责任考核。 7.预防与应急准备 7.1 预防保护 基础电信企业、域名机构、互联网企业应当根据有关法律法规 和国家、行业标准的规定，建立健全网络安全管理制度，采取网络 安全防护技术措施，建设网络安全技术手段，定期进行网络安全检 查和风险评估，及时消除隐患和风险。电信主管部门依法开展网络 安全监督检查，指导督促相关单位消除安全隐患。 7.2 应急演练 电信主管部门应当组织开展公共互联网网络安全突发事件应急 演练，提高相关单位网络安全突发事件应对能力。基础电信企业、 大型互联网企业、域名机构要积极参与电信主管部门组织的应急演 练，并应每年组织开展一次本单位网络安全应急演练，应急演练情 况要向电信主管部门报告。 7.3 宣传培训 电信主管部门、网络安全专业机构组织开展网络安全应急相关 法律法规、应急预案和基本知识的宣传教育和培训，提高相关企业 和社会公众的网络安全意识和防护、应急能力。基础电信企业、域 名机构、互联网企业要面向本单位员工加强网络安全应急宣传教育 和培训。鼓励开展各种形式的网络安全竞赛。 7.4 手段建设 工业和信息化部规划建设统一的公共互联网网络安全应急指挥 平台，汇集、存储、分析有关突发事件的信息，开展应急指挥调 度。指导基础电信企业、大型互联网企业、域名机构和网络安全专 业机构等单位规划建设本单位突发事件信息系统，并与工业和信息 化部应急指挥平台实现互联互通。 7.5 工具配备 基础电信企业、域名机构、互联网企业和网络安全专业机构应 加强对木马查杀、漏洞检测、网络扫描、渗透测试等网络安全应急 装备、工具的储备，及时调整、升级软件硬件工具。鼓励研制开发 相关技术装备和工具。 8.保障措施 8.1 落实责任 各省（自治区、直辖市）通信管理局、基础电信企业、域名机 构、互联网企业、网络安全专业机构要落实网络安全应急工作责任 制，把责任落实到单位领导、具体部门、具体岗位和个人，建立健 全本单位网络安全应急工作体制机制。 8.2 经费保障 工业和信息化部为部应急办、各省（自治区、直辖市）通信管 理局、网络安全专业机构开展公共互联网网络安全突发事件应对工 作提供必要的经费保障。基础电信企业、域名机构、大型互联网企 业应当安排专项资金，支持本单位网络安全应急队伍建设、手段建 设、应急演练、应急培训等工作开展。 8.3 队伍建设 网络安全专业机构要加强网络安全应急技术支撑队伍建设，不 断提升网络安全突发事件预防保护、监测预警、应急处置、攻击溯 源等能力。基础电信企业、域名机构、大型互联网企业要建立专门 的网络安全应急队伍，提升本单位网络安全应急能力。支持网络安 全企业提升应急支撑能力，促进网络安全应急产业发展。 8.4 社会力量 建立工业和信息化部网络安全应急专家组，充分发挥专家在应 急处置工作中的作用。从网络安全专业机构、相关企业、科研院 所、高等学校中选拔网络安全技术人才，形成网络安全技术人才 库。 8.5 国际合作 工业和信息化部根据职责建立国际合作渠道，签订国际合作协 议，必要时通过国际合作应对公共互联网网络安全突发事件。鼓励 网络安全专业机构、基础电信企业、域名机构、互联网企业、网络 安全企业开展网络安全国际交流与合作。 9.附则 9.1 预案管理 本预案原则上每年评估一次，根据实际情况由工业和信息化部 适时进行修订。 各省（自治区、直辖市）通信管理局要根据本预案，结合实际 制定或修订本行政区域公共互联网网络安全突发事件应急预案，并 报工业和信息化部备案。 基础电信企业、域名机构、互联网企业要制定本单位公共互联 网网络安全突发事件应急预案。基础电信企业、域名机构、大型互 联网企业的应急预案要向电信主管部门备案。 9.2 预案解释 本预案由工业和信息化部网络安全管理局负责解释。 9.3 预案实施时间 本预案自印发之日起实施。2009 年 9 月 29 日印发的《公共互 联网网络安全应急预案》同时废止。 中华人民共和国个人信息保护法 中华人民共和国主席令 第九十一号 《中华人民共和国个人信息保护法》已由中华人民共和国第十 三届全国人民代表大会常务委员会第三十次会议于 2021 年 8 月 20 日通过，现予公布，自 2021 年 11 月 1 日起施行。 中华人民共和国主席 习近平 2021 年 8 月 20 日 全文如下： 中华人民共和国个人信息保护法 （2021 年 8 月 20 日第十三届全国人民代表大会常务委员会第 三十次会议通过） 目 录 第一章 总 则 第二章 个人信息处理规则 第一节 一般规定 第二节 敏感个人信息的处理规则 第三节 国家机关处理个人信息的特别规定 第三章 个人信息跨境提供的规则 第四章 个人在个人信息处理活动中的权利 第五章 个人信息处理者的义务 第六章 履行个人信息保护职责的部门 第七章 法律责任 第八章 附 则 第一章 总 则 第一条 为了保护个人信息权益，规范个人信息处理活动，促进 个人信息合理利用，根据宪法，制定本法。 第二条 自然人的个人信息受法律保护，任何组织、个人不得侵 害自然人的个人信息权益。 第三条 在中华人民共和国境内处理自然人个人信息的活动，适 用本法。 在中华人民共和国境外处理中华人民共和国境内自然人个人信 息的活动，有下列情形之一的，也适用本法： （一）以向境内自然人提供产品或者服务为目的； （二）分析、评估境内自然人的行为； （三）法律、行政法规规定的其他情形。 第四条 个人信息是以电子或者其他方式记录的与已识别或者可 识别的自然人有关的各种信息，不包括匿名化处理后的信息。 个人信息的处理包括个人信息的收集、存储、使用、加工、传 输、提供、公开、删除等。 第五条 处理个人信息应当遵循合法、正当、必要和诚信原则， 不得通过误导、欺诈、胁迫等方式处理个人信息。 第六条 处理个人信息应当具有明确、合理的目的，并应当与处 理目的直接相关，采取对个人权益影响最小的方式。 收集个人信息，应当限于实现处理目的的最小范围，不得过度 收集个人信息。 第七条 处理个人信息应当遵循公开、透明原则，公开个人信息 处理规则，明示处理的目的、方式和范围。 第八条 处理个人信息应当保证个人信息的质量，避免因个人信 息不准确、不完整对个人权益造成不利影响。 第九条 个人信息处理者应当对其个人信息处理活动负责，并采 取必要措施保障所处理的个人信息的安全。 第十条 任何组织、个人不得非法收集、使用、加工、传输他人 个人信息，不得非法买卖、提供或者公开他人个人信息；不得从事 危害国家安全、公共利益的个人信息处理活动。 第十一条 国家建立健全个人信息保护制度，预防和惩治侵害个 人信息权益的行为，加强个人信息保护宣传教育，推动形成政府、 企业、相关社会组织、公众共同参与个人信息保护的良好环境。 第十二条 国家积极参与个人信息保护国际规则的制定，促进个 人信息保护方面的国际交流与合作，推动与其他国家、地区、国际 组织之间的个人信息保护规则、标准等互认。 第二章 个人信息处理规则 第一节 一般规定 第十三条 符合下列情形之一的，个人信息处理者方可处理个人 信息： （一）取得个人的同意； （二）为订立、履行个人作为一方当事人的合同所必需，或者 按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源 管理所必需； （三）为履行法定职责或者法定义务所必需； （四）为应对突发公共卫生事件，或者紧急情况下为保护自然 人的生命健康和财产安全所必需； （五）为公共利益实施新闻报道、舆论监督等行为，在合理的 范围内处理个人信息； （六）依照本法规定在合理的范围内处理个人自行公开或者其 他已经合法公开的个人信息； （七）法律、行政法规规定的其他情形。 依照本法其他有关规定，处理个人信息应当取得个人同意，但 是有前款第二项至第七项规定情形的，不需取得个人同意。 第十四条 基于个人同意处理个人信息的，该同意应当由个人在 充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人 信息应当取得个人单独同意或者书面同意的，从其规定。 个人信息的处理目的、处理方式和处理的个人信息种类发生变 更的，应当重新取得个人同意。 第十五条 基于个人同意处理个人信息的，个人有权撤回其同 意。个人信息处理者应当提供便捷的撤回同意的方式。 个人撤回同意，不影响撤回前基于个人同意已进行的个人信息 处理活动的效力。 第十六条 个人信息处理者不得以个人不同意处理其个人信息或 者撤回同意为由，拒绝提供产品或者服务；处理个人信息属于提供 产品或者服务所必需的除外。 第十七条 个人信息处理者在处理个人信息前，应当以显著方 式、清晰易懂的语言真实、准确、完整地向个人告知下列事项： （一）个人信息处理者的名称或者姓名和联系方式； （二）个人信息的处理目的、处理方式，处理的个人信息种 类、保存期限； （三）个人行使本法规定权利的方式和程序； （四）法律、行政法规规定应当告知的其他事项。 前款规定事项发生变更的，应当将变更部分告知个人。 个人信息处理者通过制定个人信息处理规则的方式告知第一款 规定事项的，处理规则应当公开，并且便于查阅和保存。 第十八条 个人信息处理者处理个人信息，有法律、行政法规规 定应当保密或者不需要告知的情形的，可以不向个人告知前条第一 款规定的事项。 紧急情况下为保护自然人的生命健康和财产安全无法及时向个 人告知的，个人信息处理者应当在紧急情况消除后及时告知。 第十九条 除法律、行政法规另有规定外，个人信息的保存期限 应当为实现处理目的所必要的最短时间。 第二十条 两个以上的个人信息处理者共同决定个人信息的处理 目的和处理方式的，应当约定各自的权利和义务。但是，该约定不 影响个人向其中任何一个个人信息处理者要求行使本法规定的权 利。 个人信息处理者共同处理个人信息，侵害个人信息权益造成损 害的，应当依法承担连带责任。 第二十一条 个人信息处理者委托处理个人信息的，应当与受托 人约定委托处理的目的、期限、处理方式、个人信息的种类、保护 措施以及双方的权利和义务等，并对受托人的个人信息处理活动进 行监督。 受托人应当按照约定处理个人信息，不得超出约定的处理目 的、处理方式等处理个人信息；委托合同不生效、无效、被撤销或 者终止的，受托人应当将个人信息返还个人信息处理者或者予以删 除，不得保留。 未经个人信息处理者同意，受托人不得转委托他人处理个人信 息。 第二十二条 个人信息处理者因合并、分立、解散、被宣告破产等原因需要 转移个人信息的，应当向个人告知接收方的名称或者姓名和联系方 式。接收方应当继续履行个人信息处理者的义务。接收方变更原先 的处理目的、处理方式的，应当依照本法规定重新取得个人同意。 第二十三条 个人信息处理者向其他个人信息处理者提供其处理 的个人信息的，应当向个人告知接收方的名称或者姓名、联系方 式、处理目的、处理方式和个人信息的种类，并取得个人的单独同 意。接收方应当在上述处理目的、处理方式和个人信息的种类等范 围内处理个人信息。接收方变更原先的处理目的、处理方式的，应 当依照本法规定重新取得个人同意。 第二十四条 个人信息处理者利用个人信息进行自动化决策，应 当保证决策的透明度和结果公平、公正，不得对个人在交易价格等 交易条件上实行不合理的差别待遇。 通过自动化决策方式向个人进行信息推送、商业营销，应当同 时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方 式。 通过自动化决策方式作出对个人权益有重大影响的决定，个人 有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅 通过自动化决策的方式作出决定。 第二十五条 个人信息处理者不得公开其处理的个人信息，取得 个人单独同意的除外。 第二十六条 在公共场所安装图像采集、个人身份识别设备，应 当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示 标识。所收集的个人图像、身份识别信息只能用于维护公共安全的 目的，不得用于其他目的；取得个人单独同意的除外。 第二十七条 个人信息处理者可以在合理的范围内处理个人自行 公开或者其他已经合法公开的个人信息；个人明确拒绝的除外。个 人信息处理者处理已公开的个人信息，对个人权益有重大影响的， 应当依照本法规定取得个人同意。 第二节 敏感个人信息的处理规则 第二十八条 敏感个人信息是一旦泄露或者非法使用，容易导致 自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信 息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、 行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。 只有在具有特定的目的和充分的必要性，并采取严格保护措施 的情形下，个人信息处理者方可处理敏感个人信息。 第二十九条 处理敏感个人信息应当取得个人的单独同意；法 律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规 定。 第三十条 个人信息处理者处理敏感个人信息的，除本法第十七 条第一款规定的事项外，还应当向个人告知处理敏感个人信息的必 要性以及对个人权益的影响；依照本法规定可以不向个人告知的除 外。 第三十一条 个人信息处理者处理不满十四周岁未成年人个人信 息的，应当取得未成年人的父母或者其他监护人的同意。 个人信息处理者处理不满十四周岁未成年人个人信息的，应当 制定专门的个人信息处理规则。 第三十二条 法律、行政法规对处理敏感个人信息规定应当取得 相关行政许可或者作出其他限制的，从其规定。 第三节 国家机关处理个人信息的特别规定 第三十三条 国家机关处理个人信息的活动，适用本法；本节有 特别规定的，适用本节规定。 第三十四条 国家机关为履行法定职责处理个人信息，应当依照 法律、行政法规规定的权限、程序进行，不得超出履行法定职责所 必需的范围和限度。 第三十五条 国家机关为履行法定职责处理个人信息，应当依照 本法规定履行告知义务；有本法第十八条第一款规定的情形，或者 告知将妨碍国家机关履行法定职责的除外。 第三十六条 国家机关处理的个人信息应当在中华人民共和国境 内存储；确需向境外提供的，应当进行安全评估。安全评估可以要 求有关部门提供支持与协助。 第三十七条 法律、法规授权的具有管理公共事务职能的组织为 履行法定职责处理个人信息，适用本法关于国家机关处理个人信息 的规定。 第三章 个人信息跨境提供的规则 第三十八条 个人信息处理者因业务等需要，确需向中华人民共 和国境外提供个人信息的，应当具备下列条件之一： （一）依照本法第四十条的规定通过国家网信部门组织的安全 评估； （二）按照国家网信部门的规定经专业机构进行个人信息保护 认证； （三）按照国家网信部门制定的标准合同与境外接收方订立合 同，约定双方的权利和义务； （四）法律、行政法规或者国家网信部门规定的其他条件。 中华人民共和国缔结或者参加的国际条约、协定对向中华人民 共和国境外提供个人信息的条件等有规定的，可以按照其规定执 行。 个人信息处理者应当采取必要措施，保障境外接收方处理个人 信息的活动达到本法规定的个人信息保护标准。 第三十九条 个人信息处理者向中华人民共和国境外提供个人信 息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处 理目的、处理方式、个人信息的种类以及个人向境外接收方行使本 法规定权利的方式和程序等事项，并取得个人的单独同意。 第四十条 关键信息基础设施运营者和处理个人信息达到国家网 信部门规定数量的个人信息处理者，应当将在中华人民共和国境内 收集和产生的个人信息存储在境内。确需向境外提供的，应当通过 国家网信部门组织的安全评估；法律、行政法规和国家网信部门规 定可以不进行安全评估的，从其规定。 第四十一条 中华人民共和国主管机关根据有关法律和中华人民 共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则， 处理外国司法或者执法机构关于提供存储于境内个人信息的请求。 非经中华人民共和国主管机关批准，个人信息处理者不得向外国司 法或者执法机构提供存储于中华人民共和国境内的个人信息。 第四十二条 境外的组织、个人从事侵害中华人民共和国公民的 个人信息权益，或者危害中华人民共和国国家安全、公共利益的个 人信息处理活动的，国家网信部门可以将其列入限制或者禁止个人 信息提供清单，予以公告，并采取限制或者禁止向其提供个人信息 等措施。 第四十三条 任何国家或者地区在个人信息保护方面对中华人民 共和国采取歧视性的禁止、限制或者其他类似措施的，中华人民共 和国可以根据实际情况对该国家或者地区对等采取措施。 第四章 个人在个人信息处理活动中的权利 第四十四条 个人对其个人信息的处理享有知情权、决定权，有 权限制或者拒绝他人对其个人信息进行处理；法律、行政法规另有 规定的除外。 第四十五条 个人有权向个人信息处理者查阅、复制其个人信 息；有本法第十八条第一款、第三十五条规定情形的除外。 个人请求查阅、复制其个人信息的，个人信息处理者应当及时 提供。 个人请求将个人信息转移至其指定的个人信息处理者，符合国 家网信部门规定条件的，个人信息处理者应当提供转移的途径。 第四十六条 个人发现其个人信息不准确或者不完整的，有权请 求个人信息处理者更正、补充。 个人请求更正、补充其个人信息的，个人信息处理者应当对其 个人信息予以核实，并及时更正、补充。 第四十七条 有下列情形之一的，个人信息处理者应当主动删除 个人信息；个人信息处理者未删除的，个人有权请求删除： （一）处理目的已实现、无法实现或者为实现处理目的不再必 要； （二）个人信息处理者停止提供产品或者服务，或者保存期限 已届满； （三）个人撤回同意； （四）个人信息处理者违反法律、行政法规或者违反约定处理 个人信息； （五）法律、行政法规规定的其他情形。 法律、行政法规规定的保存期限未届满，或者删除个人信息从 技术上难以实现的，个人信息处理者应当停止除存储和采取必要的 安全保护措施之外的处理。 第四十八条 个人有权要求个人信息处理者对其个人信息处理规 则进行解释说明。 第四十九条 自然人死亡的，其近亲属为了自身的合法、正当利 益，可以对死者的相关个人信息行使本章规定的查阅、复制、更 正、删除等权利；死者生前另有安排的除外。 第五十条 个人信息处理者应当建立便捷的个人行使权利的申请 受理和处理机制。拒绝个人行使权利的请求的，应当说明理由。 个人信息处理者拒绝个人行使权利的请求的，个人可以依法向 人民法院提起诉讼。 第五章 个人信息处理者的义务 第五十一条 个人信息处理者应当根据个人信息的处理目的、处 理方式、个人信息的种类以及对个人权益的影响、可能存在的安全 风险等，采取下列措施确保个人信息处理活动符合法律、行政法规 的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失： （一）制定内部管理制度和操作规程； （二）对个人信息实行分类管理； （三）采取相应的加密、去标识化等安全技术措施； （四）合理确定个人信息处理的操作权限，并定期对从业人员 进行安全教育和培训； （五）制定并组织实施个人信息安全事件应急预案； （六）法律、行政法规规定的其他措施。 第五十二条 处理个人信息达到国家网信部门规定数量的个人信 息处理者应当指定个人信息保护负责人，负责对个人信息处理活动 以及采取的保护措施等进行监督。 个人信息处理者应当公开个人信息保护负责人的联系方式，并 将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护 职责的部门。 第五十三条 本法第三条第二款规定的中华人民共和国境外的个 人信息处理者，应当在中华人民共和国境内设立专门机构或者指定 代表，负责处理个人信息保护相关事务，并将有关机构的名称或者 代表的姓名、联系方式等报送履行个人信息保护职责的部门。 第五十四条 个人信息处理者应当定期对其处理个人信息遵守法 律、行政法规的情况进行合规审计。 第五十五条 有下列情形之一的，个人信息处理者应当事前进行 个人信息保护影响评估，并对处理情况进行记录： （一）处理敏感个人信息； （二）利用个人信息进行自动化决策； （三）委托处理个人信息、向其他个人信息处理者提供个人信 息、公开个人信息； （四）向境外提供个人信息； （五）其他对个人权益有重大影响的个人信息处理活动。 第五十六条 个人信息保护影响评估应当包括下列内容： （一）个人信息的处理目的、处理方式等是否合法、正当、必 要； （二）对个人权益的影响及安全风险； （三）所采取的保护措施是否合法、有效并与风险程度相适 应。 个人信息保护影响评估报告和处理情况记录应当至少保存三 年。 第五十七条 发生或者可能发生个人信息泄露、篡改、丢失的， 个人信息处理者应当立即采取补救措施，并通知履行个人信息保护 职责的部门和个人。通知应当包括下列事项： （一）发生或者可能发生个人信息泄露、篡改、丢失的信息种 类、原因和可能造成的危害； （二）个人信息处理者采取的补救措施和个人可以采取的减轻 危害的措施； （三）个人信息处理者的联系方式。 个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失 造成危害的，个人信息处理者可以不通知个人；履行个人信息保护 职责的部门认为可能造成危害的，有权要求个人信息处理者通知个 人。 第五十八条 提供重要互联网平台服务、用户数量巨大、业务类 型复杂的个人信息处理者，应当履行下列义务： （一）按照国家规定建立健全个人信息保护合规制度体系，成 立主要由外部成员组成的独立机构对个人信息保护情况进行监督； （二）遵循公开、公平、公正的原则，制定平台规则，明确平 台内产品或者服务提供者处理个人信息的规范和保护个人信息的义 务； （三）对严重违反法律、行政法规处理个人信息的平台内的产 品或者服务提供者，停止提供服务； （四）定期发布个人信息保护社会责任报告，接受社会监督。 第五十九条 接受委托处理个人信息的受托人，应当依照本法和 有关法律、行政法规的规定，采取必要措施保障所处理的个人信息 的安全，并协助个人信息处理者履行本法规定的义务。 第六章 履行个人信息保护职责的部门 第六十条 国家网信部门负责统筹协调个人信息保护工作和相关 监督管理工作。国务院有关部门依照本法和有关法律、行政法规的 规定，在各自职责范围内负责个人信息保护和监督管理工作。 县级以上地方人民政府有关部门的个人信息保护和监督管理职 责，按照国家有关规定确定。 前两款规定的部门统称为履行个人信息保护职责的部门。 第六十一条 履行个人信息保护职责的部门履行下列个人信息保 护职责： （一）开展个人信息保护宣传教育，指导、监督个人信息处理 者开展个人信息保护工作； （二）接受、处理与个人信息保护有关的投诉、举报； （三）组织对应用程序等个人信息保护情况进行测评，并公布 测评结果； （四）调查、处理违法个人信息处理活动； （五）法律、行政法规规定的其他职责。 第六十二条 国家网信部门统筹协调有关部门依据本法推进下列 个人信息保护工作： （一）制定个人信息保护具体规则、标准； （二）针对小型个人信息处理者、处理敏感个人信息以及人脸 识别、人工智能等新技术、新应用，制定专门的个人信息保护规 则、标准； （三）支持研究开发和推广应用安全、方便的电子身份认证技 术，推进网络身份认证公共服务建设； （四）推进个人信息保护社会化服务体系建设，支持有关机构 开展个人信息保护评估、认证服务； （五）完善个人信息保护投诉、举报工作机制。 第六十三条 履行个人信息保护职责的部门履行个人信息保护职 责，可以采取下列措施： （一）询问有关当事人，调查与个人信息处理活动有关的情况; （二）查阅、复制当事人与个人信息处理活动有关的合同、记 录、账簿以及其他有关资料; （三）实施现场检查，对涉嫌违法的个人信息处理活动进行调 查; （四）检查与个人信息处理活动有关的设备、物品;对有证据证 明是用于违法个人信息处理活动的设备、物品，向本部门主要负责 人书面报告并经批准，可以查封或者扣押。 履行个人信息保护职责的部门依法履行职责，当事人应当予以 协助、配合，不得拒绝、阻挠。 第六十四条 履行个人信息保护职责的部门在履行职责中，发现 个人信息处理活动存在较大风险或者发生个人信息安全事件的，可 以按照规定的权限和程序对该个人信息处理者的法定代表人或者主 要负责人进行约谈，或者要求个人信息处理者委托专业机构对其个 人信息处理活动进行合规审计。个人信息处理者应当按照要求采取 措施，进行整改，消除隐患。 履行个人信息保护职责的部门在履行职责中，发现违法处理个 人信息涉嫌犯罪的，应当及时移送公安机关依法处理。 第六十五条 任何组织、个人有权对违法个人信息处理活动向履 行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部 门应当依法及时处理，并将处理结果告知投诉、举报人。 履行个人信息保护职责的部门应当公布接受投诉、举报的联系 方式。 第七章 法律责任 第六十六条 违反本法规定处理个人信息，或者处理个人信息未 履行本法规定的个人信息保护义务的，由履行个人信息保护职责的 部门责令改正，给予警告，没收违法所得，对违法处理个人信息的 应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万 元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元 以上十万元以下罚款。 有前款规定的违法行为，情节严重的，由省级以上履行个人信 息保护职责的部门责令改正，没收违法所得，并处五千万元以下或 者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或 者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执 照；对直接负责的主管人员和其他直接责任人员处十万元以上一百 万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董 事、监事、高级管理人员和个人信息保护负责人。 第六十七条 有本法规定的违法行为的，依照有关法律、行政法 规的规定记入信用档案，并予以公示。 第六十八条 国家机关不履行本法规定的个人信息保护义务的， 由其上级机关或者履行个人信息保护职责的部门责令改正；对直接 负责的主管人员和其他直接责任人员依法给予处分。 履行个人信息保护职责的部门的工作人员玩忽职守、滥用职 权、徇私舞弊，尚不构成犯罪的，依法给予处分。 第六十九条 处理个人信息侵害个人信息权益造成损害，个人信 息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责 任。 前款规定的损害赔偿责任按照个人因此受到的损失或者个人信 息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理 者因此获得的利益难以确定的，根据实际情况确定赔偿数额。 第七十条 个人信息处理者违反本法规定处理个人信息，侵害众 多个人的权益的，人民检察院、法律规定的消费者组织和由国家网 信部门确定的组织可以依法向人民法院提起诉讼。 第七十一条 违反本法规定，构成违反治安管理行为的，依法给 予治安管理处罚；构成犯罪的，依法追究刑事责任。 第八章 附 则 第七十二条 自然人因个人或者家庭事务处理个人信息的，不适 用本法。 法律对各级人民政府及其有关部门组织实施的统计、档案管理 活动中的个人信息处理有规定的，适用其规定。 第七十三条 本法下列用语的含义： （一）个人信息处理者，是指在个人信息处理活动中自主决定 处理目的、处理方式的组织、个人。 （二）自动化决策，是指通过计算机程序自动分析、评估个人 的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策 的活动。 （三）去标识化，是指个人信息经过处理，使其在不借助额外 信息的情况下无法识别特定自然人的过程。 （四）匿名化，是指个人信息经过处理无法识别特定自然人且 不能复原的过程。 第七十四条 本法自 2021 年 11 月 1 日起施行。