返回首页
Website Security Management Policy

网站安全管理制度

山西爱思乐知教育咨询有限公司

主办单位:山西爱思乐知教育咨询有限公司

网站名称:爱思乐知生态幼儿园官网(ICEE Kindergarten)

网站域名:bobdad.chat

ICP 备案号:晋ICP备2025054298号

制定日期:2026 年 6 月 15 日

生效日期:自公司盖章之日起施行

第一章 · 总则

第一条 为加强本公司网站的安全管理,落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《互联网信息服务管理办法》《计算机信息网络国际联网安全保护管理办法》《儿童个人信息网络保护规定》及《未成年人保护法》的有关规定,结合本网站涉及未成年人(幼儿)及家长信息的业务特性,特制定本制度。

第二条 本制度适用于本公司全体员工、外包技术服务商及任何接触网站后台或网站数据的人员。

第三条 网站安全管理工作由网站负责人统筹,法定代表人承担首要责任。

第二章 · 信息发布审核制度

第四条 网站所有公开发布的信息(含图文、视频、家长评价、活动照片等)实行「双审制」:

  1. 初审:由内容编辑(教师或运营人员)撰稿后自查,确认无违法、违规、虚假宣传、误导性内容;
  2. 终审:由网站负责人或其书面授权人逐条审核后方可发布。

第五条 涉及在园儿童肖像、姓名、班级、就读经历等个人信息的,必须事先取得监护人书面授权(《肖像与信息授权书》存档备查),不得脱敏不全直接公开。

第六条 严禁发布以下内容:

第七条 每次发布完成后留痕:记录发布人、审核人、发布时间、发布内容快照,存档不少于 1 年。

第三章 · 用户信息保护制度(重点:儿童与监护人信息)

第八条 本网站收集的个人信息仅限:

不收集与上述业务无关的其他信息。

第九条 儿童个人信息特别保护(依据《儿童个人信息网络保护规定》):

  1. 收集 14 周岁以下儿童信息前,必须取得其监护人明示同意,并以醒目方式告知收集目的、方式、范围;
  2. 儿童个人信息采取最小够用原则,能不收的不收;
  3. 儿童信息存储不超过实现业务目的所必需的时间,最长不超过 2 年,逾期销毁;
  4. 不得通过儿童信息进行用户画像、推送商业广告或对外共享。

第十条 个人信息存储采取以下技术措施:

第十一条 离职员工 24 小时内回收其全部账号权限与数据访问凭证。

第四章 · 网络安全应急预案

第十二条 网络安全事件分为四级:

级别情形响应时间
Ⅰ 级(特别重大)大规模个人信息泄露、网站长期瘫痪、被用作违法工具立即响应,2 小时内报公安
Ⅱ 级(重大)网站首页被篡改、关键数据丢失4 小时内响应
Ⅲ 级(较大)部分页面被攻击、服务短暂中断24 小时内响应
Ⅳ 级(一般)单点故障、轻微脆弱性发现48 小时内修复

第十三条 应急响应流程:

  1. 发现:任何员工发现异常须立即报告网站负责人;
  2. 断网:必要时立即下线网站,防止扩散;
  3. 取证:保留日志、截屏、攻击载荷等证据;
  4. 修复:技术人员定位漏洞、修复、上线前完整测试;
  5. 报告:Ⅰ / Ⅱ 级事件 2 小时 / 4 小时内分别报太原市公安局小店分局网安大队;
  6. 复盘:事后 7 日内出具书面复盘报告并整改。

第十四条 应急预案每年至少演练一次,记录留档。

第五章 · 公共信息巡查制度

第十五条 网站负责人或指定专员每日对网站全部公开内容进行 1 次以上巡查,重点核查:

第十六条 巡查发现违法有害信息,立即下线 / 删除,保留证据,并在 24 小时内报告太原市公安局小店分局网安大队及相关主管部门。

第六章 · 安全教育与培训制度

第十七条 全体接触网站后台或用户数据的员工,入职 7 日内完成首次网络安全培训,内容包括:

第十八条 每半年组织 1 次复训,每年 1 次考核,考核结果纳入员工绩效。

第七章 · 违法有害信息处置与举报制度

第十九条 公开公示举报渠道:

第二十条 配合公安机关依法调取网络日志、用户信息等数据,不得拒绝、隐瞒、销毁。

第八章 · 网络日志保存制度

第二十一条 本网站保存以下日志,至少 6 个月(依据《网络安全法》第二十一条):

第二十二条 日志存储独立于业务数据,禁止编辑、删除;超过保存期的日志归档加密保存或安全销毁。

第九章 · 安全技术防护措施

第二十三条 本网站采取以下基本技术防护:

  1. 传输加密:全站启用 HTTPS(TLS 1.2 及以上);
  2. WAF 防护:接入云厂商 Web 应用防火墙(如阿里云 / 腾讯云原生 WAF);
  3. DDoS 防护:使用云厂商基础 DDoS 防护服务;
  4. 后台访问控制:管理后台限制白名单 IP 或启用双因素认证;
  5. 定期备份:数据库每日自动备份,异地保留 ≥7 天;
  6. 漏洞扫描:每季度至少 1 次安全扫描,发现高危漏洞 72 小时内修复;
  7. 第三方组件:所有引入的开源组件、CDN 资源、字体服务定期审查,及时更新到无已知 CVE 的版本。

第十章 · 责任追究

第二十四条 违反本制度造成网络安全事件、个人信息泄露或不良社会影响的,公司将依据情节追究当事人责任,构成违法犯罪的移送司法机关。

第二十五条 网站负责人未尽巡查、审核、培训义务,导致事件发生的,承担直接管理责任。

第十一章 · 附则

第二十六条 本制度由山西爱思乐知教育咨询有限公司制定并解释。

第二十七条 本制度自公司盖章之日起施行,修订须经法定代表人书面批准。

主办单位(盖公章):山西爱思乐知教育咨询有限公司

法定代表人(签字)

网站负责人(签字)

日期:______ 年 ______ 月 ______ 日

晋ICP备2025054298号  ·  下载制度原件 .docx  ·  返回首页

© 爱思乐知生态幼儿园 · ICEE Kindergarten · 太原