为贯彻落实学校信息化建设的有关规划与建设内容，进一步加强和规范WEB信息安全的管理，按照《中华人民共和国网络安全法》的相关要求，结合学校实际，制定本规定。规定内容面向的对象为沈阳工学院各级行政和教学单位,主要针对各类信息系统的建设和安全管理。内容如下：

第一条 按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，各单位要将网络信息安全责任落实到具体岗位和具体人员，增强政治意识、大局意识、责任意识，切实担当起网络安全防护责任。

第二条 系统建设要求。系统在购买或开发前，使用单位的管理员必须协同开发方人员和现代教育技术服务中心技术人员充分沟通，以便为将来的运行和维护打下良好基础。严格禁止使用模板进行建设，系统须有完整的设计、开发、测试文档，须按照现代教育技术服务中心的要求，执行统一的技术规范。在系统交付使用时，必须同时提供系统的部署手册、使用手册及相关文档，自主开发的系统同时提供系统源代码。不满足以上条件的，不予部署运行。

第三条 系统部署要求。系统在部署前，系统所属单位需填写《信息系统登记表》，由现代教育技术服务中心进行开发技术和数据库等平台环境审核。

第四条 系统运行环境管理。系统运行环境的管理和维护由现代教育技术服务中心负责，包括：数据中心机房环境、服务器存储硬件设施、防火墙等安全设备、服务器操作系统、数据库、系统组件的安装、配置及相关的安全维护等。现代教育技术服务中心提供高性能虚拟化平台，虚拟服务器具有独立IP和完整的Internet服务器功能。如无特殊需求，现代教育技术服务中心通过虚拟主机形式为各类信息系统提供运行环境。

第五条 系统内容安全管理。系统正式运行后，由系统管理员负责系统内容的安全管理。各类系统只能用于学校的教学、科研及校务管理等相关信息的发布及应用，不得用于其他用途。系统所属单位对信息内容承担完全责任，应当保证其不违反国家相关法律法规和学校有关规定，遵循学校信息化建设相关规定，确保其内容真实、可靠、健康向上。违反规定的，由校内相关部门给予相应处罚，触犯法律的，由国家相应部门依法追究法律责任。

第六条 系统维护责任界定。对于系统的维护，现代教育技术服务中心自主开发的系统，由现代教育技术服务中心负责维护。购买或委托第三方开发的系统，由责任单位联系其进行维护。对于没有任何技术支持的系统，若其符合学校的技术规范，且有源代码和相关文档，可由现代教育技术服务中心协助维护；若不符合上述条件，则限期整改或关闭。开发人员要对代码做安全测试，确保代码无漏洞、无后门等安全威胁后方可上线。各类系统需通过后台进行管理维护，不提供FTP、远程桌面等方式。确需直接操作服务器的，必须通过堡垒机访问。因程序漏洞或不规范操作导致的一切不良后果，由使用单位自行承担。在系统问题未查明和处理前，现代教育技术服务中心有权停止对该系统的服务。

第七条 系统日常管理。使用单位必须如实登记系统管理员和代码维护人员的联系方式，如有变动必须及时向现代教育技术服务中心更新相关信息。系统管理员必须为本校正式员工，详细了解系统结构，对系统内容负责，了解相应网络安全知识。系统管理员应对所有二级管理员进行明确的权限划分，经常访问系统，对其运行状态和信息内容进行监控。各级管理员要杜绝弱口令，不得将账号借与他人使用。通过系统账号发布的各类不良内容，由账号所有人承担全部责任。

第八条 网络信息安全保障。各单位需加强网络信息安全保障，每日对信息系统和网站进行异常监测、检查，做好网络安全事件应急响应。如遇到网络安全事件，要立即采取果断措施进行处置，必要时要停止服务或断网，同时将网络安全事件报告现代教育技术服务中心，现代教育技术服务中心启动网络安全事件报告与处置流程。对发现或被通报的安全威胁要及时整改，受技术条件限制不能立即整改到位的，必须制定具有可操作性的应对方案，确保网络信息安全。

第九条 系统运维管理。各单位独立运维的服务器和各类信息系统，应做好服务器存储等硬件设备的运行保障，完善信息系统的平台环境、代码及数据安全管理。由于管理或系统因素产生的各类安全事件，由本单位承担全部责任。

第十条 学校所有信息系统均需向现代教育技术服务中心备案后方可使用，各单位需按附件格式要求上报本单位现有信息系统相关信息，不上报的按国家相关要求认定为僵尸系统，现代教育技术服务中心将进行关闭处理。

第十一条 本规定自发布之日起施行，由现代教育技术服务中心负责解释。