山东大学（威海）网络信息安全责任书

为贯彻落实学校信息化建设的有关规划与建设内容，进一步加强和规范WEB信息安全的管理，按照《中华人民共和国网络安全法》的相关要求，结合学校实际，制定本文件。文件内容面向的对象为山东大学（威海）编制内各单位，包括学校各级行政和教学科研单位,主要针对各类信息系统的建设和安全管理。内容如下：

一、按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，各单位要将网络信息安全责任落实到具体岗位和具体人员，增强政治意识、大局意识、责任意识，切实担当起网络安全防护责任。

二、各单位原则上只设立一个网站，不同的业务内容作为部门网站的子模块，不再以独立网站形式存在。各单位应尽快完成网站内容的整合。确实需要以独立网站运行的，必须是面向公众的重要业务，在向宣传部提交理由充分的书面说明并获批准后，进入申请程序。

三、各类网站等系统部署前，系统所属单位需向宣传部提交书面申请并进行功能模块和内容审核，同时由网络与信息管理中心进行开发技术和数据库等平台环境审核。

四、网站等各类系统运行基础平台推荐Linux操作系统，使用数据库为Oracle或Mysql，代码格式为Java或PHP。系统在购买或开发前，使用单位的管理员必须协同开发方人员和网络与信息管理中心技术人员充分沟通，以便为将来的运行和维护打下良好基础。对于学校暂无版权的操作系统、数据库等软件产品，在项目实施时需考虑正版软件的购买成本。严格禁止使用模板进行建设，系统须自主开发，有完整的设计、开发、测试文档，须按照网络与信息管理中心的要求，执行统一的技术规范。在系统交付使用时，必须同时提供系统的部署手册、使用手册及相关文档，自主开发的系统同时提供系统源代码。不满足以上条件的，不予部署运行。

五、系统运行环境的管理和维护由网络与信息管理中心负责，包括：数据中心机房环境、服务器存储硬件设施、防火墙等安全设备、服务器操作系统、数据库、系统组件的安装、配置及相关的安全维护等。网络与信息管理中心提供高性能虚拟化平台，虚拟服务器具有独立IP和完整的Internet服务器功能。如无特殊需求，中心通过虚拟主机形式为各类信息系统提供运行环境。

六、系统正式运行后，由系统管理员负责系统内容的安全管理。各类系统只能用于学校的教学、科研及校务管理等相关信息的发布及应用，不得用于其他用途。系统所属单位对信息内容承担完全责任，应当保证其不违反国家相关法律法规和学校有关规定，遵循学校信息化建设相关规定，确保其内容真实、可靠、健康向上。违反规定的，由校内相关部门给予相应处罚，触犯法律的，由国家相应部门依法追究法律责任。

七、对于系统的维护，网络与信息管理中心自主开发的系统，由中心负责维护。购买或委托第三方开发的系统，由责任单位联系其进行维护。对于没有任何技术支持的系统，若其符合学校的技术规范，且有源代码和相关文档，可由中心协助维护，若不符合学校的技术规范，则限期整改或关闭。开发人员要对代码做安全测试，确保代码无漏洞、无后门等安全威胁后方可上线。各类系统需通过后台进行管理维护，不提供FTP、远程桌面等方式。确需对系统文件直接操作的，需管理员提交书面申请，在网络信息技术部工作人员配合下进行操作。因程序漏洞或不规范操作导致的一切不良后果，由使用单位自行承担。在系统问题未查明和处理前，网络与信息管理中心有权停止对该系统的服务。   

八、使用单位必须如实登记系统管理员和代码维护人员的联系方式，如有变动必须及时向网络与信息管理中心更新相关信息。系统管理员必须为本校正式教工，详细了解系统结构，对系统内容负责，了解相应网络安全知识。系统管理员应对所有二级管理员进行明确的权限划分，经常访问系统，对其运行状态和信息内容进行监控。各级管理员要杜绝弱口令，不得将账号借与他人使用。通过系统账号发布的各类不良内容，由账号所有人承担全部责任。

九、各单位需加强网络信息安全保障，每日对信息系统和网站进行异常监测、检查，做好网络安全事件应急响应。如遇到网络安全事件，要立即采取果断措施进行处置，必要时要停止服务或断网，同时将网络安全事件报告网络与信息管理中心，网络与信息管理中心启动网络安全事件报告与处置流程。对发现或被通报的安全威胁要及时整改，受技术条件限制不能立即整改到位的，必须制定具有可操作性的应对方案，确保网络信息安全。

十、各单位独立运维的服务器和各类信息系统，应做好服务器存储等硬件设备的运行保障，完善信息系统的平台环境、代码及数据安全管理。由于管理或系统因素产生的各类安全事件，由本单位承担全部责任。

网络与信息管理中心

20170308

附一：

信息系统运维安全责任界定：

附二：       山东大学（威海）信息系统登记表