网站安全管理制度
第一章 · 总则
第一条 为加强本公司网站的安全管理,落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《互联网信息服务管理办法》《计算机信息网络国际联网安全保护管理办法》《儿童个人信息网络保护规定》及《未成年人保护法》的有关规定,结合本网站涉及未成年人(幼儿)及家长信息的业务特性,特制定本制度。
第二条 本制度适用于本公司全体员工、外包技术服务商及任何接触网站后台或网站数据的人员。
第三条 网站安全管理工作由网站负责人统筹,法定代表人承担首要责任。
第二章 · 信息发布审核制度
第四条 网站所有公开发布的信息(含图文、视频、家长评价、活动照片等)实行「双审制」:
- 初审:由内容编辑(教师或运营人员)撰稿后自查,确认无违法、违规、虚假宣传、误导性内容;
- 终审:由网站负责人或其书面授权人逐条审核后方可发布。
第五条 涉及在园儿童肖像、姓名、班级、就读经历等个人信息的,必须事先取得监护人书面授权(《肖像与信息授权书》存档备查),不得脱敏不全直接公开。
第六条 严禁发布以下内容:
- 含有反对宪法所确定的基本原则的;
- 危害国家安全、泄露国家秘密的;
- 损害国家荣誉和利益的;
- 煽动民族仇恨、民族歧视的;
- 散布谣言、扰乱社会秩序的;
- 宣扬邪教、封建迷信的;
- 含有色情、暴力、赌博、恐怖内容的;
- 侵犯他人合法权益的;
- 含有未取得监护人同意的未成年人个人信息的;
- 法律、行政法规禁止的其他内容。
第七条 每次发布完成后留痕:记录发布人、审核人、发布时间、发布内容快照,存档不少于 1 年。
第三章 · 用户信息保护制度(重点:儿童与监护人信息)
第八条 本网站收集的个人信息仅限:
- 探园 / 报名 / 咨询场景下监护人主动填写的姓名、手机号、孩子年龄、来访意向;
- 必要时收集的孩子姓名(不含身份证号)。
不收集与上述业务无关的其他信息。
第九条 儿童个人信息特别保护(依据《儿童个人信息网络保护规定》):
- 收集 14 周岁以下儿童信息前,必须取得其监护人明示同意,并以醒目方式告知收集目的、方式、范围;
- 儿童个人信息采取最小够用原则,能不收的不收;
- 儿童信息存储不超过实现业务目的所必需的时间,最长不超过 2 年,逾期销毁;
- 不得通过儿童信息进行用户画像、推送商业广告或对外共享。
第十条 个人信息存储采取以下技术措施:
- 数据库设置访问权限分级,仅授权人员可读;
- 涉及手机号等敏感字段,导出时脱敏处理(如 138****1234);
- 数据传输使用 HTTPS 加密;
- 后台账号实行「一人一号」,禁止共享,定期更换密码(≥3 个月一次)。
第十一条 离职员工 24 小时内回收其全部账号权限与数据访问凭证。
第四章 · 网络安全应急预案
第十二条 网络安全事件分为四级:
| 级别 | 情形 | 响应时间 |
|---|---|---|
| Ⅰ 级(特别重大) | 大规模个人信息泄露、网站长期瘫痪、被用作违法工具 | 立即响应,2 小时内报公安 |
| Ⅱ 级(重大) | 网站首页被篡改、关键数据丢失 | 4 小时内响应 |
| Ⅲ 级(较大) | 部分页面被攻击、服务短暂中断 | 24 小时内响应 |
| Ⅳ 级(一般) | 单点故障、轻微脆弱性发现 | 48 小时内修复 |
第十三条 应急响应流程:
- 发现:任何员工发现异常须立即报告网站负责人;
- 断网:必要时立即下线网站,防止扩散;
- 取证:保留日志、截屏、攻击载荷等证据;
- 修复:技术人员定位漏洞、修复、上线前完整测试;
- 报告:Ⅰ / Ⅱ 级事件 2 小时 / 4 小时内分别报太原市公安局小店分局网安大队;
- 复盘:事后 7 日内出具书面复盘报告并整改。
第十四条 应急预案每年至少演练一次,记录留档。
第五章 · 公共信息巡查制度
第十五条 网站负责人或指定专员每日对网站全部公开内容进行 1 次以上巡查,重点核查:
- 首页、新闻、活动页是否被篡改;
- 是否出现违法、违规、不当言论;
- 评论 / 留言(如开放)有无违法有害信息;
- 链接是否被恶意跳转。
第十六条 巡查发现违法有害信息,立即下线 / 删除,保留证据,并在 24 小时内报告太原市公安局小店分局网安大队及相关主管部门。
第六章 · 安全教育与培训制度
第十七条 全体接触网站后台或用户数据的员工,入职 7 日内完成首次网络安全培训,内容包括:
- 本制度全文学习;
- 个人信息保护实操;
- 钓鱼邮件、社工攻击识别;
- 密码管理与多因素认证;
- 涉密涉童信息保密义务。
第十八条 每半年组织 1 次复训,每年 1 次考核,考核结果纳入员工绩效。
第七章 · 违法有害信息处置与举报制度
第十九条 公开公示举报渠道:
- 网站底部公示举报邮箱 / 电话;
- 收到举报后 24 小时内核查并反馈;
- 经核实属违法信息的,立即下线,留存证据,按规定上报。
第二十条 配合公安机关依法调取网络日志、用户信息等数据,不得拒绝、隐瞒、销毁。
第八章 · 网络日志保存制度
第二十一条 本网站保存以下日志,至少 6 个月(依据《网络安全法》第二十一条):
- Web 访问日志(IP、时间、URL、UA);
- 后台登录与操作日志;
- 数据库变更日志;
- 服务器系统日志。
第二十二条 日志存储独立于业务数据,禁止编辑、删除;超过保存期的日志归档加密保存或安全销毁。
第九章 · 安全技术防护措施
第二十三条 本网站采取以下基本技术防护:
- 传输加密:全站启用 HTTPS(TLS 1.2 及以上);
- WAF 防护:接入云厂商 Web 应用防火墙(如阿里云 / 腾讯云原生 WAF);
- DDoS 防护:使用云厂商基础 DDoS 防护服务;
- 后台访问控制:管理后台限制白名单 IP 或启用双因素认证;
- 定期备份:数据库每日自动备份,异地保留 ≥7 天;
- 漏洞扫描:每季度至少 1 次安全扫描,发现高危漏洞 72 小时内修复;
- 第三方组件:所有引入的开源组件、CDN 资源、字体服务定期审查,及时更新到无已知 CVE 的版本。
第十章 · 责任追究
第二十四条 违反本制度造成网络安全事件、个人信息泄露或不良社会影响的,公司将依据情节追究当事人责任,构成违法犯罪的移送司法机关。
第二十五条 网站负责人未尽巡查、审核、培训义务,导致事件发生的,承担直接管理责任。
第十一章 · 附则
第二十六条 本制度由山西爱思乐知教育咨询有限公司制定并解释。
第二十七条 本制度自公司盖章之日起施行,修订须经法定代表人书面批准。
主办单位(盖公章):山西爱思乐知教育咨询有限公司
法定代表人(签字):
网站负责人(签字):
日期:______ 年 ______ 月 ______ 日
晋ICP备2025054298号 · 下载制度原件 .docx · 返回首页
© 爱思乐知生态幼儿园 · ICEE Kindergarten · 太原