为加强我校网络信息技术安全保障能力，规范信息技术安全漏洞整改流程，降低网络安全风险，维护正常工作秩序和营造健康的网络环境，根据《中华人民共和国网络安全法》和教育部有关网络安全的文件精神，结合学校实际，制定本流程。

第一条  信息技术安全漏洞的定义。根据《信息安全技术安全漏洞等级划分指南》（GB/T 30279-2013,以下简称《指南》，摘录部分见附件1），本流程中所称的信息技术安全漏洞（以下简称信息安全漏洞）是指计算机信息系统在需求、设计、实现、配置、运行等过程中，有意或无意产生的缺陷。这些缺陷以不同形式存在于计算机信息系统的各个层次和环节之中，一旦被恶意主体所利用，会对计算机信息系统的安全造成损害，从而影响计算机信息系统的正常运行。

第二条  适用范围。本流程适用于我校各类网站、信息系统（包含承载其运行的服务器操作系统、中间件系统和数据库管理系统等）以及网络交换机、网络路由器、服务器、网络打印机、视频监控、大屏发布等其他计算机信息系统（以下均统称为信息系统）信息安全漏洞的发现、处置与整改。

第三条  责任体系。根据《中华人民共和国网络安全法》第二十五条要求，网络运营者应当及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险。

信息化管理中心负责学校各类信息安全漏洞的通知、应急处置和整改督促，负责学校数据中心虚拟服务器的操作系统、中间件系统和数据库系统级别信息安全漏洞技术处置，负责学校网站群平台的操作系统及平台级信息安全漏洞的处置，校内其他各系统信息安全漏洞的扫描和技术支持。

学校各单位负责本单位所管理的各类信息系统的信息安全漏洞自查、堵塞整改、复查复测和处置情况报告等。

第四条  信息安全漏洞等级划分。根据《指南》，信息安全漏洞等级划分要素包括访问路径、利用复杂度和影响程度三方面。根据危害程度从低至高，将信息安全漏洞划分为四个等级，依次为低危、中危、高危和超危。根据相关机构或相关安全软件有明确定义安全等级的漏洞按照其标准确定等级；没有明确级别的,信息化管理中心安全管理员负责对信息安全漏洞的危险等级进行评估，确定漏洞的危害等级。对不同等级的信息安全漏洞，将采取不同的处置措施。

第五条  信息安全漏洞发现。学校信息安全漏洞主要包含：上级有关部门或其他机构通报的信息安全漏洞；学校通过网络安全扫描发现的信息安全漏洞；信息系统管理员自己发现的信息安全漏洞。

第六条  超危与高危信息安全漏洞的处置。对于超危和高危信息安全漏洞，信息化管理中心应立刻采取断网措施，根据信息系统的登记备案信息，向信息系统责任单位发出《信息安全漏洞整改通知》（以下简称整改通知）。

第七条  中危与低危信息安全漏洞的处置。对于中危和低危信息安全漏洞，信息化管理中心发送电子邮件并电话通知责任单位进行整改，限定三个工作日内完成整改。单位整改完成后直接通过邮件回复信息化管理中心要求重新扫描，信息化管理中心对整改结果进行检查，确认单位是否已完成整改。对于未按期完成整改的单位，采取断网措施，同时向责任单位发出整改通知。

第八条  信息安全漏洞整改。信息系统责任单位收到整改通知后，可根据实际情况直接整改，或指定信息系统负责人完成整改。整改完成后，填写《网络信息安全（事件）处置情况反馈表》（见附件2）。反馈表的主要内容包括：信息系统基本信息、漏洞说明、整改情况说明、整改结果及单位审核。整改报告由本单位主要负责人审核，签字并加盖公章后报送信息化管理中心。

第九条  整改落实机制。各单位收到整改通知后，要认真做好整改工作，坚持做到查清信息安全漏洞原因、按时整改，尽力杜绝类似信息安全漏洞再次发生。

第十条  整改结果验证。责任单位提交整改报告后，信息中心对信息系统进行整改结果检测，确认整改完成后才能开放网络连接。

第十一条  人事变更报告。为保障联络畅通，各单位分管信息化负责人、信息化联络员、信息系统负责人、联络方式等发生变更的，应及时向信息化管理中心报备。

第十二条  责任追究。各单位应按照流程及时地完成信息安全漏洞整改。如有接到整改通知后不整改或整改不力等情况的，信息化管理部门将进行通报，情节严重的，根据《网络与信息安全管理办法》的责任追究条款问责处理。

第十三条  本流程自发布之日起施行，由信息化管理中心负责解释。

附件：1. 信息技术安全漏洞等级划分指南

2.《网络信息安全（事件）处置情况反馈表》