第一章 总则

第一条 为规范和加强我校信息系统（含网站）的检测预警与安全漏洞管理，根据《天津医科大学网络安全管理制度》及我校实际情况制定本管理办法。

第二条 本管理办法适用于我校各学院（部），机关各部、处、室、中心、附属医院（以下统称为“各单位”）建设、管理、使用的信息系统（含网站，下同）。

第三条 根据《天津医科大学网络安全管理制度》的规定，天津医科大学网络安全与信息化领导小组（以下简称为“领导小组”）负责学校信息系统安全漏洞的领导管理工作，网络安全和信息化办公室（以下简称为“网信办”）是我校信息系统安全漏洞处理的职能单位，具体负责相关信息系统安全漏洞信息的搜集、分类、通知、整改检查等工作。

第二章 职责范围

第四条网信办具体负责安全漏洞的分级分类工作，有权对存在高风险安全漏洞采取必要的技术措施进行管控。

第五条 适用于本管理办法的信息系统安全漏洞的日常检测、防护与修补由各单位自行负责。

第六条 各信息系统应建立健全安全漏洞管理责任制，制定完善的安全漏洞检测、防护与修补机制。

第三章 工作流程

第七条 信息系统的安全漏洞的处理包括漏洞的信息收集、分类、整改到整改结果反馈的闭环流程，每个过程都要记录在案。

第八条 网信办负责收集来自教育部科技司、教育行业漏洞报告平台、天津市委网信办、国家计算机网络应急处理协调中心天津分中心、天津市教委工委、第三方专业漏洞扫描机构等各个渠道的安全漏洞。并负责外部相关漏洞工作平台的状态更新。

第九条 网信办负责对安全漏洞进行分级分类，根据可能产生的后果判断安全漏洞的危害程度，进行后续处理。对于危害程度为严重的安全漏洞，第一时间采取措施限制其网络接入；并通知责任单位进行整改。对于危害程度为高、中、低危的安全漏洞通知责任单位进行整改。

第十条 系统的责任单位收到整改通知后，应第一时间组织力量进行安全漏洞的整改。

第十一条 系统的责任单位整改完毕后，向网信办提交整改报告，整改报告应包含完整的整改技术细节，并以附件的形势提供相关的自检报告。网信办收到整改报告后组织力量对系统进行整改检测，检测不合格的重新发起漏洞整改通知，直至最终检测合格，漏洞管理流程关闭。

第四章 附则

第十二条 本管理办法自颁布之日起执行。

中共天津医科大学委员会网络安全和信息化办公室

2021年 9 月 22 日

附件

网站安全漏洞整改报告

　　单位名称:                                  　　　　　　　 整改时间：