依据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》及其他有关的国家法律、法规和规定，在《开明慈善基金会网站建设管理办法》的基础上特制定本制度。

第一章 网站内部人员工作规则

（一）组织机构

1. 基金会办公室在秘书长领导下负责网站工作。

2.基金会办公室设网站内容主编1人，由基金会秘书长兼任；设内容编辑和网站管理员各1人，由办公室人员担任；网站信息网络管理员1人，由维运方指定专人担任。

3.基金会办公室联系网站建设方和运维方。网站建设方委派1人负责基金会网站的建设事宜，网站运维方派1人负基金会日常网站维护和运行，即网站信息网络管理员。

4.基金会办公室设信息采编员若干，有专项基金的民进省级组织则由联络人兼任，其他民进省级组织则指定一名志愿者担任。

5.民进中央机关信息技术管理处兼职管理基金会办公室电脑设备和应用维护工作。承当部分“网站信息网络管理员”的职责。

6.基金会网站采用阿里云服务器，阿里云计算有限公司则作为基金会服务器的提供商和安全维护责任人。

（二）工作职责

1. 基金会与网站建设方、网站运维方分别签署《合作协议》、《安全责任书》和《保密协议》，按协议执行。

2.基金会办公室依据相关制度负责网站内容更新和安全监控。具体包括：

（1）网站管理员 负责网站各项相关行政工作，包括信息安全等级备案，协调阿里云计算有限责任公司、网站建设方和运维方协同完成各项任务，网站所有相关技术、建设和运营信息的归档管理等。

（2）内容编辑   负责日常稿件筛选和审阅（一审）。

（3）内容主编   负责稿件终审核查，签发发布决定。

3.网站建设方做好网络边界安全防护，诸如部署防火墙、入侵检测设备、防毒网关、抗拒绝服务攻击设备等。

4.网站运维方负责网站日常安全监测、终审后的信息发布和应急维护。网站信息网络管理员负责与基金会办公室日常联络，以及专职负责发布内容，并对重要文件、数据及应用系统作定期备份，以便应急恢复。

5.阿里云计算有限责任公司确保服务器所在“机房”按照电信机房标准建设，内有必备的独立UPS不间断电源，能定期进行电力、防火、防潮、防磁和防鼠检查。

6.阿里云计算有限责任公司确保服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。

(三）保密规则

1.网站相关内部人员包括：基金会内部员工、民进中央机关信息技术管理处兼职人员、网站信息采编员、网站建设方和维运方与基金会网站有关联的所有人员。

2.相关内部人员不得对外泄露需要保密的信息；

3.相关内部人员不得发布、传播国家法律禁止的内容；

4.对相关管理人员设定网站管理权限，不得越权管理网站信息；信息发布严格执行发布流程；

5.任何相关内部人员一旦发现网站信息安全事故，应立即报告相关方并及时进行协调处理自己力所能及的部分；

6.对有毒有害的信息进行过滤、用户信息进行保密设置。

第二章 网站安全管理制度

（一）内容发布流程

1. 内容稿件实行二审制，各位信息采编员上传的文件和有关材料，需经基金会内容编辑阅审（一审）后，再由主编进行二审（终审），最后网站信息网络管理员凭“开明慈善基金会网站发稿签单”发布。

2.需要公开的财务或项目信息，也同样采取二级管理，部门审查后提交秘书长终审，最后网站信息网络管理员凭“开明慈善基金会网站信息发布确认单”发布。

3.如有重大题材，或制作专题网页，则要有技术部门的参考意见签字后，提交理事长批准。

（二）信息安全措施

1.网站提供集中式权限管理，针对不同的应用系统、终端、操作人员，由网站系统管理员设置共享数据库信息的访问权限，并设置相应的密码及口令。不同的操作人员设定不同的用户名，且定期更换，严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定，并由网站系统管理员定期检查操作人员权限。

2.设置网站后台内容管理及上传的登录口令。口令的位数不少于8位，严禁将个人登录帐号和密码泄露给他人使用。

3.基金会办公室协助网站建设方和运维方共同完成，关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。

4.网站建设方协同阿里云计算有限责任公司确保网站服务器和其他计算机之间设置防火墙,做好安全策略,拒绝外来的恶意攻击，保障网站正常运行。

5.网站运维方确保所使用的服务器及工作站上均安装了相应的防病毒软件，对计算机病毒、有害电子邮件有整套的防范措施，防止有害信息对网站系统的干扰和破坏。

6.网站运维方须做好访问日志的留存。网站具有保存六个月以上的系统运行日志和用户使用日志记录功能，内容包括IP地址及使用情况，主页维护者、对应的IP地址情况等。

7.交互式栏目具备有IP地址、身份登记和识别确认功能，对非法贴子或留言能做到及时删除并进行重要信息向相关部门汇报。

8、网站信息服务系统建立多机备份机制，一旦主系统遇到故障或受到攻击导致不能正常运行，可以在最短的时间内替换主系统提供服务。

（三）应急预案

1.如遭遇网络安全事故，网站维运方应立即报告基金会办公室，并采取相应应急措施。

2.基金会办公室视安全突发事件的严重程度，及时协调公安及网站建设等相关单位进行处理.

3.网站、网页出现非法言论时的紧急措施（网站维运方）：

(1)当发现网站或接到举报出现非法信息时，网站信息网络管理员应立即向相关负责人通报情况；

(2)负责人在接到报告后及时组织安排技术人员进行处理；(3)技术人员在接到通知后立即清理非法信息，强化安全防范措施，将网站网页重新投入使用；

(4)网站管理员应妥善保存有关记录、日志或审计记录。

4.网站遭到黑客攻击时的紧急处置措施（网站维运方）：

(1)当有网页内容被篡改，或通过入侵检测系统发现有黑客正在进行攻击时，网站管理人员首先应将被攻击的服务器等设备从网络中隔离出来，同时向负责人汇报情况；

(2)负责人在接到网站管理员报告后及时组织安排技术人员进行处理；

(3)技术人员立即进行被破坏系统的恢复与重建工作；   

(4)网站管理员应妥善保存有关记录、日志或审计记录。

5.病毒安全紧急处置措施（网站维运方）：

(1)当网站管理员发现计算机感染有病毒后，应立即将该机从网络上 隔离出来；

(2)对该设备的硬盘进行数据备份；

(3)启用病毒软件对该机进行杀毒处理，同时利用病毒检测软件对其 他机器进行病毒扫描和清除工作；

(4)如发现反病毒软件无法清除该病毒，应立即向技术人员报告；

(5)经技术人员确认无法查杀该病毒后，应作好记录，同时立即向相 关负责人报告，并迅速研究解决问题；

(6)如果感染病毒的设备是服务器或者主机系统，经负责人同意，立 即告知各相关单位做好相应的病毒清查工作。

6.软件系统遭受破坏性攻击的紧急处置措施（网站维运方）：           (1)一旦软件遭到破坏性攻击，网站管理员应立即向技术人员报告， 并将系统停止运行；

(2)技术人员立即进行软件系统和数据的恢复；

(3)网站管理员应妥善保存有关记录、日志或审计记录。

7.数据库安全紧急处置措施（网站维运方）：

(1)一旦数据库崩溃，网站管理员应立即向负责人与技术人员报告，经负责人同意后通知各相关单位暂缓上传上报数据

(2)技术人员对数据库系统进行维护，如无法正常维护，采取数据  库备份恢复的办法；

(3)如果备份均无法恢复，应立即向有关厂商请求紧急技术支援。

8.设备安全紧急处置措施（网站维运方）：

(1)小型机、服务器等关键设备损坏后，网站管理员应立即向负责人 报告并通知技术人员；

(2)技术人员应立即查明原因，具有备份服务器的要马上启用备份服 务器提供网站服务；

(3)如果能够自行处理，应立即用备件替换受损部件；

(4)如果不能自行处理的，立即与设备提供商联系，请求派维修人员前来维修。

第三章 计算机使用管理制度

1.使用计算机必须经过培训学习后才能上岗。开启、关闭计算机应按照正确步骤进行，严禁直接人为的非法关机。主机和键盘旁不要放置水杯等盛满液体的容器。

2.不得私自拆装计算机和安装来历不明的软件。计算机发生故障不能工作时，不得擅自维修，应及时向系统管理员报告，由系统管理员或专业技术人员负责维护。

3.严禁私自带外设接入互联网。严禁将计算机中存储的软件和其它信息文档擅自拷贝给他人使用。也不得擅自修改、移动或删除计算机文件和系统设置。

4.不准使用来历不明的光盘、软盘。工作软盘、光盘应妥善保管，不得乱放乱用。

5.计算机系统中要求设置密码的地方都应设置个人密码并妥善保存，不可透露给无关人员。由于不设置个人密码或密码保密不力而发生问题的，由本人负全责。

3.计算机一般要求专人专用。多人共用的计算机,要求设置各自的登录用户名及密码，不可越权使用。办公计算机不得用于业务以外的用途，与本工作无关的人员不得使用计算机。

4.对计算机保存的重要资料必须经常做好异机备份，以防系统崩溃而丢失。

5.所有办公电脑都安装“金山毒霸”防病毒系统，并定期升级病毒码及杀毒引擎，未经基金会办公室同意，不得以任何理由删除系统内的防病毒软件，以保证电脑及网络安全。

6.计算机操作人员应采取措施做好电脑防尘、防盗、防潮、防触电、防鼠咬等工作。

第四章 计算机病毒防范制度

1.信息网络管理员负责计算机病毒防范工作，并及时升级病毒库和杀毒引擎，定期进行病毒检测。

2.电脑操作员在工作中发现计算机有被病毒感染的迹象或因计算机病毒引起的计算机信息系统瘫痪、程序和数据严重破坏等重大事故时，应及时向系统管理员报告，并保护现场。  3.所有办公电脑都必须安装民进中央机关统一的趋势防病毒软件，任何人不得以任何理由关闭或删除系统内的病毒防火墙，以免电脑系统感染病毒，影响网络安全和日常工作。

4.载入办公网络电脑的软件系统安装前应进行病毒检测，禁止运行未经病毒检测的软件。

5.禁止在办公电脑上安装游戏软件、上色情网站等等非工作必须软件。

6.经远程通信传送的程序或数据，必须经过检测确认无病毒后方可使用。

7.任何部门和个人不得制作和传播计算机病毒，不得发布虚假的计算机病毒疫情。

8.各部门及电脑操作员在计算机病毒防治工作中应当履行下列职责：

（1）不得故意输入计算机病毒；

（2）不得向他人提供含有计算机病毒的文件、软件、媒体；  （3）对在互联网上接收到来历不明的电子邮件，不要打开其附件，防止受到计算机病毒的攻击；

（4）从互联网上直接下载的软件和浏览器插件要有可靠来源，因其可能有破坏性程序，必须对此严加防范；

（5）及时检测、清除计算机信息系统中的病毒，无法清除的，应当迅速采取隔离、控制措施，保护现场和相关数据，并及时向系统管理员报告。

第五章 计算机软件管理制度

1.核心业务软件使用民进中央或基金会统一软件，不得自行设计、开发、购买。办公类计算机软件由基金会办公室统一配置或采购，数量较大的软件项目采购应采取招标或议标方式，并经基金会决策层批准。

2.购置的计算机软件由基金会办公室登记，填写《计算机软件档案卡》，每个软件一卡；并且必须采购正版软件，不得购买盗版软件。

3.购置的软件技术资料应归档保管。

4.需要安装业务系统和OA系统的，须经主管领导批准同意，其它软件安装须经基金会办公室同意。软件的安装与删除由系统管理员操作。

5.软件一经安装使用，未经领导批准或基金会办公室同意，任何人不得将其卸载、删除。

6.软件不得随意不得借给非本基金会人员使用。

7.加强对计算机软件使用权限的管理。因业务需要开通使用权限，需经部门负责人同意，由系统管理员设置相应权限。

第六章 计算机设备管理制度

（一）定义   计算机设备管理是指计算机主机设备、网络通信设备和外围设备的采购、领用、维修和报废等的管理。计算机设备管理由基金会办公室负责，委托民进中央机关信息技术管理处具体办理。

（二）设备采购  

1.各单位、各部门因业务需要配制计算机设备，应先填写《计算机设备需求申请表》，经领导批准后，由基金会办公室汇同有关部门按规定统一采购。

2.在购置设备前应首先考虑调移、升级现有计算机设备，现有设备无法满足需求的情况下再组织采购。

3.计算机设备选型必须综合考虑可靠性、耐用性、适用性和经济性，尽可能选用重点知名品牌和性价比高的产品，尽可能使用同等质量的国产品牌。

4.采购计算机配件单一品种超过一千元以上的应报请主管领导批准。一次采购设备单一品种价值超过一万元以上的，必须比质比价，按办公用品集中采购的有关规定执行。

5.对新购置的设备，由系统管理员安装、测试、验收合格后交由使用部门使用，并通知有关部门做好财产登记。

（三）设备领用

1.计算机设备使用须履行领用手续，由使用人填写《计算机设备使用登记表》，由系统管理员建立设备管理档案。

2.对闲置不用的计算机设备，使用部门应将设备退回基金会办公室统一保管或调移其它部门使用，并办理财产转移手续。

3.计算机设备的配件领用、更换由基金会办公室系统管理员统一配置。

（四）设备维修

1.非系统管理员或专业维修人员不得擅自维修计算机及其他设备。

2.系统管理员在接到设备故障报告后，一般应在一个工作日内完成修复，需延长维修时间的应向使用部门说明原因。

3.系统管理员不能维修时，应及时与供应商或产品维修中心联系，派专业技术人员维修。

4.设备维护应做好记录，并建立管理档案。

（四）设备报废

1.对性能不稳定、陈旧换代、寿命终结或难于满足业务需求的设备，如无法通过升级、维修使其胜任工作，应作设备报废处理。

2.报废设备由使用部门提出申请，填写《设备报废申请表》，由系统管理员提出鉴定意见和有关部门审查后，报领导审批。

3.设备报废应做好登记并通知有关部门核销。

第七章 信息系统维护管理制度

1.本制度所指系统包括：各业务应用系统、计算机操作系统、数据库系统、通讯系统、邮件系统等信息系统。

2.系统管理员每月至少一次定期对各信息系统进行检查是否正常运行，并填写《系统维护登记表》。

3.要定期核实各系统功能是否达到基金会业务需求，如有不符，应报告上级领导并做好需求方案。

4.对各信息系统进行升级的时候，须谨慎、严格地执行升级步骤。升级前应该分析系统升级维护的风险，进行严格的测试，并选择在非业务操作时间进行系统升级维护工作。

5.当系统升级失败时，应及时卸载升级维护操作，利用备份恢复重要数据，并检查系统上原有数据能否正常操作。

6.建立系统故障防范与应急处理服务体系、系统应急预案和系统故障等级分类。发生故障时，应及时、快速处理或上报，并对故障处理情况进行记录，为系统应急处理积累经验。

7.对日常系统业务数据要进行备份，并检查备份的完整性。 8.对系统数据要进行严密的保护，不得随意做删除和复制等操作。

9.对系统的安装、维护、改动、升级、卸载等操作，必须填写系统维护日志。

第八章 技术档案管理制度

1.定义 信息技术档案建档对象为：计算机软件、设备资料、数据、技术资料、采购合同、施工图纸和文件等。

2.技术档案管理应专人负责，严格执行保密制度。对有关资料要及时立卷归档，做好档案的管理和服务。

3.基金会办公室管理的所有服务器、交换机、路由器的用户名和密码口令、网络系统配置参数为秘密资料，由系统管理员掌握，必须妥善归档保存，不得泄露。

4.基金会办公室提供借用的软件、技术资料仅限内部员工使用，不得转借他人。涉及系统安全和网络安全的重要技术档案只限于在基金会办公室内部查询。

5.员工借用软件、技术资料等档案时，须办理借用手续，并在使用完后及时归还。档案管理员必须对借出的档案进行跟踪管理，对逾期不还的要及时催还。

6.对已归还的软件、技术资料等档案，管理员须认真检查、登记。如发现人为造成的损坏或将所借软件、技术资料等档案遗失，要追究责任。

第九章 其他

本制度解释权归属基金会办公室。