第一章 总则 


第一条 为提高中国传媒大学(以下简称“学校”)网络与信息安全防护能力和水平,保证学校网络与信息安全工作顺利进行,为加强学校网络安全漏洞(以下简称“漏洞”)管理工作,规范学校漏洞管理流程,提高网络安全管理水平与应急响应能力,保障学校信息系统安全稳定运行,促进学校网络与信息化建设,保障学校各项事业健康有序发展,制定本办法。 

第二条 本办法根据《中华人民共和国网络安全法》、《信息安全技术网络安全漏洞分类分级指南》(GB/T 3027 9-2020)、《信息安全技术网络安全漏洞管理规范》(GB/ T 30276-2020)、《信息技术安全技术信息安全事件管理 第2部分:事件响应规划和准备指南》(GB/T 20985.2-202 0)、《信息安全技术信息安全事件分类分级指南》(GB/Z 20986-2007)等有关要求以及国家信息安全相关政策,结合学校实际编制。 

第三条 本办法中所称的漏洞是计算机信息系统在需求、设计、实现、配置、运行等过程中,有意或无意产生的缺陷。漏洞管理指包含漏洞发现和报告、漏洞验证、漏洞处置和漏洞跟踪反馈等环节的漏洞全生命周期闭环管理。 

第四条 安全测试包括应用系统安全测试和基础环境安全测试工作。应用系统安全测试工作包括:应用系统漏洞扫描和应用系统渗透测试。基础环境安全测试工作包括:基础环境漏洞扫描和基础环境安全配置检查。 


第二章 职责和分工 


第五条 学校网络安全漏洞和网络安全事件应急响应的统一管理部门是信息化处,工作职责为:

  (一)信息化处负责学校网络安全漏洞和网络安全事件应急响应的闭环管理,包含网络安全事件的可持续性监测与闭环处置管理,漏洞的发现和报告、验证、处置、跟踪反馈。 

  (二)信息化处负责维护学校网络安全漏洞的分类与分级标准。 

  (三)信息化处负责制定、修订网络安全漏洞管理制度,定期组织开展安全检查,将通报和预警的漏洞同步至相关部门,并持续跟进反馈。 

第六条 学校网络和信息系统承办部门(以下简称“承办部门”),承办部门是学校信息系统第一安全责任部门,其主要职责为: 

  (一)负责对接服务提供商保障信息系统的稳定建设与运行; 

  (二)负责接收信息化处的漏洞通报与配合网络安全事件的应急处置工作。

第七条 网络与信息系统服务提供商(以下简称“服务提供商”)是学校信息系统漏洞处置与网络安全事件应急处置的主要实施部门,其主要职责为: 

  (一)负责配合信息化处与承办部门开展漏洞处置与整改反馈; 

  (二)负责配合信息化处与承办部门开展网络安全事件的应急处置工作。 


第三章 漏洞分类与分级 


第八条 依据《信息安全技术 网络安全漏洞分类分级指南》(GB/T 30279-2020)并结合教育行业与学校的网络安全漏洞情况,对网络安全漏洞进行分类与分级。 

第九条 根据网络安全漏洞产生或触发的技术原因对漏洞进行分类,根据其利用难度、影响程度和环境因素对网络安全漏洞潜在的危害程度进行分类,分为紧急、高危、中危、低危四个等级,具体影响程度如下: 

  (一)紧急:漏洞可以非常容易的对目标对象造成特别严重后果;

  (二)高危:漏洞可以容易的对目标对象造成严重后果; 

  (三)中危:漏洞可以对目标对象造成一般后果,或者比较困难的对目标造成严重后果; 

  (四)低危:漏洞可以对目标对象造成轻微后果,或者比较困难的对目标对象造成一般严重后果,或者非常困难的对目标对象造成严重后果。 


第四章 漏洞发现与报告


第十条 漏洞发现的来源主要有三种,分别为学校日常安全测试,教育部、公安部等上级监管部门的漏洞通报以及第三方的漏洞预警服务。 

第十一条 信息化处作为网络安全漏洞的第一接收人,通过安全运营服务平台完成漏洞的接收、确认和通报,安全运营服务平台人员负责确认漏洞来源的真实性与准确性,并 根据网络安全漏洞内容确认漏洞归属部门,说明漏洞的产生原因、产生路径、影响危害以及修复建议,将漏洞通过安全运营服务平台进行分发与报告。 

第十二条 承办部门在接收到漏洞通报后根据接收情况以及处置过程记录及结果进行漏洞确认与处置安排,漏洞处置完成后由网络安全漏洞通报人对处置情况进行审核。最终由信息化处统一对网络安全漏洞闭环处置结果统一留档保存,留档内容包含漏洞来源、风险类别、归属部门、通报时间、修复时间、修复结果等。 


第五章 漏洞验证 


第十三条 根据漏洞等级的情况依据漏洞分发时间以及 修复时间要求内进行漏洞处置工作。 

  (一)紧急漏洞需在12小时内完成漏洞确认并在24小时内完成漏洞修复工作; 

  (二)高危漏洞需在24小时内完成漏洞确认并在2*24小时内完成漏洞修复工作; 

  (三)中危、低危漏洞需在24小时内完成漏洞确认并在3*24小时内完成漏洞修复工作;

第十四条 漏洞归属部门接收网络安全漏洞通报后依据网络安全《漏洞报告》内容开展漏洞验证工作,接收部门在完成漏洞验证后,及时给予漏洞通报部门确认或反馈。 

第十五条 漏洞归属部门确认此漏洞是否影响学校资产,并开展后续漏洞修复工作。 

第十六条 若漏洞影响部门确认此漏洞为误报后,将误报排查结果反馈至信息化处,信息化处定期将误报漏洞进行总结,减少误报情况。 


第六章 漏洞处置 


第十七条 承办部门在确认漏洞存在及其影响资产责任人后,依据漏洞影响程度和危害性与信息化处共同确认是否进行漏洞修复。 

第十八条 若选择不修复漏洞,由漏洞归属部门进行初步判断确认是否为可接受风险,若为可接受风险,则将确认结果反馈至信息化处进行综合判断,漏洞通报者将忽略此漏洞并由漏洞归属部门出具说明,明确漏洞未修复原因与缓解措施。 

第十九条 若选择修复漏洞,由影响资产所属部门依据漏洞报告情况开展漏洞修复工作。漏洞修复责任部门确认漏洞修复后将修复结果及其整改情况反馈至安全运营服务平台,由安全运营服务平台测试人员开展漏洞复测审核工作。 

第二十条 漏洞复测后由漏洞通报者对此漏洞整改复测结果进行审核,若复测审核结果为“漏洞已修复”,则此漏洞情况自动更新至安全运营服务平台已完结列表中,表示此漏洞通报处置流程结束。若复测审核结果为“不通过”,则此漏洞相关通报信息回流至漏洞通报者的“待处置列表”中,漏洞修复部门需再次开展漏洞修复工作,直至漏洞审核结果通过,则结束流程。 

第二十一条 若判定此漏洞无法修复,由影响资产所属 部门提出缓解措施,并验证采取缓解措施后的残余风险是否 可接受,经信息化处综合判断若为可接受风险,则将采取缓解措施后的修复过程、残余风险等内容同步至漏洞通报者,漏洞通报者关闭此漏洞。 

第二十二条 各级漏洞整改要求: 

  (一)紧急漏洞:对依据学校网络安全漏洞分类分级规范评定为“紧急”的漏洞必须整改,未整改的漏洞按第十三条、第十五条、第十七条、第十九条流程处置,并提供相关说明。 

  (二)高危漏洞:对依据学校网络安全漏洞分类分级规范评定为“高危”的漏洞必须整改,未整改的漏洞按第十三条、第十五条、第十七条、第十九条流程处置,并提供相关说明。 

  (三)中危漏洞:对依据学校网络安全漏洞分类分级规范评定为“中危”的漏洞应改尽改,未整改的漏洞按第十三条、第十五条、第十七条、第十九条流程处置,并提供相关说明。 

  (四)低危漏洞:对依据学校网络安全漏洞分类分级规范评定为“低危”漏洞进行选择性整改,未整改的漏洞按第十三条、第十五条、第十七条、第十九条流程处置,并提供相关说明。 

  (五)针对互联网信息系统:所有漏洞必须整改,未整改的漏洞按第十三条、第十五条、第十七条、第十九条流程处置,并提供相关说明。 

  (六)针对非互联网信息系统:针对学校核心重要信息系统(等级保护三级与二级信息系统),所有漏洞必须整改。一般信息系统根据网络安全漏洞分类分级评定为“紧急”“高危”的漏洞必须整改。“中危”漏洞应改尽改,“低危”漏洞选择性整改,未整改的漏洞按第十三条、第十五条、第十七条、第十九条流程处置,并提供相关说明。 


第七章 漏洞跟踪与反馈 


第二十三条 漏洞的发现接收以及通报相关信息由信息化处统一在安全运营服务平台进行分发,漏洞资产影响部门通过安全运营服务平台进行漏洞处置结果的同步与反馈。 

第二十四条 信息化处定期会同承办部门开展对于误报漏洞以及漏洞跟踪情况的汇总,分析误报漏洞原因,减少漏洞误报情况,根据漏洞跟踪情况分析各类漏洞产生的原因以及处置结果,协同各个部门采取整改加固措施减少同类漏洞的产生,并优化同类漏洞的处置流程。 


第八章 附则 


第二十五条 本办法适用于学校网络安全漏洞全生命周期管理工作。如因未合理处理网络安全漏洞导致网络安全事件发生并造成后果的将依照有关规定追究有关人员责任。

第二十六条 本细则由信息化处负责解释。 

第二十七条 本细则自发布之日起执行。