郑州电力职业技术学院源代码安全管控制度

第一章 总则

第一条 目的与意义。为加强学校在科研、教学及管理活动中所产生的源代码资源的安全管理，防止源代码泄露、篡改、丢失和滥用，保障学校各项事业的健康、有序发展，依据《中华人民共和国网络安全法》、《中华人民共和国著作权法》、《中华人民共和国保守国家秘密法》及国家相关法律法规，结合我校实际情况，特制定本制度。

第二条 适用范围。本制度适用于所有在校师生员工，以及以学校名义或利用学校资源进行的所有活动中所产生、使用、存储和传输的源代码。

第三条 管理对象。本制度所称的源代码，是指以人类可读的编程语言（如C, C++, Java, Python, JavaScript等）编写的、未编译的文本文件集合，以及与之直接相关的配置文件、设计文档、技术说明、API密钥、数据库连接字符串等敏感信息。

第四条 管理原则。源代码安全管理遵循“谁产生、谁负责；谁使用、谁负责；谁管理、谁负责”的原则，实行统一领导、分级管理、责任到人的管理体系。

第二章 组织机构与职责

第五条 领导机构。学校网络安全与信息化领导小组是源代码安全管理的最高领导与决策机构，负责审定源代码安全管理的重大政策和制度，协调解决管理中的重大问题。

第六条 主管部门。教育信息化中心是源代码安全管理的归口主管部门，主要职责包括：

1.制定和修订源代码安全管理的相关制度、规范和技术标准。

2.建设、运维和管理学校统一的源代码安全托管平台。

3.提供源代码版本控制、漏洞扫描、安全审计等技术工具和支持。

4.监督、检查各单位的源代码安全管理情况，并协助处理安全事件。

第七条 二级单位职责。各学院、各部门（以下简称“二级单位”）是其管辖范围内源代码安全管理的责任主体，单位主要负责人为第一责任人。主要职责包括：

1.在本制度框架下，制定本单位的具体实施细则。

2.负责对本单位师生进行源代码安全教育和日常管理。

3.监督、检查本单位科研项目、课程教学等活动中源代码的安全使用情况。

4.配合主管部门处理涉及本单位的源代码安全事件。

第八条 个人责任。所有源代码的创建者、使用者和管理者均为直接责任人，必须：

1.严格遵守本制度及国家相关法律法规。

2.对其创建、访问和管理的源代码的安全负责。

3.参加学校组织的源代码安全培训，提升安全意识与技能。

4.发现源代码安全隐患或事件时，立即报告。

第三章 源代码全生命周期管理

第九条 创建与分类

1.强制托管：所有涉及学校利益或利用学校资源产生的源代码，原则上必须托管于学校指定的统一源代码管理平台。严禁使用个人邮箱在校外公共平台（如Github、Gitlab等）注册并存储涉校敏感项目代码。

2.资产登记：对于重大科研项目、核心技术及软件成果，项目负责人须在科技管理部门和主管部门进行源代码资产登记。

3.安全分级：根据源代码的敏感性和重要性，将其划分为以下级别：

核心级：涉及国家秘密、学校核心竞争优势、重大商业价值的代码。

重要级：重要科研项目、关键业务系统、具有较高学术价值的代码。

内部级：一般性课程设计、内部管理工具等仅限校内使用的代码。

公开级：已获授权可对外公开的代码。

第十条 存储与访问控制

1.存储安全：核心级和重要级源代码必须在学校内网或经过批准的加密环境中存储和处理。严禁将涉密、敏感源代码存储在个人设备、公共云盘或未经授权的外部服务器上。

2.权限最小化：依据“业务必需”原则，严格设置访问权限。项目负责人负责审批成员的访问申请。核心级代码的访问须经二级单位及主管部门审批。

3.账号与认证：必须使用学校统一身份认证登录源代码管理平台，严禁共享个人账号。

第十一条 使用与传输

1.操作审计：源代码管理平台应开启完整操作日志功能，记录代码的提交、合并、分支创建、权限变更等所有行为，并定期审计。

2.安全传输：在校内传输源代码，应使用安全通道（如SSH, HTTPS）。因合作需要向校外传输内部级及以上代码，须填写审批表，经项目负责人、二级单位及主管部门批准，并采取加密等安全措施。

3.外部代码使用：引入第三方开源或商业代码时，必须严格遵守其许可证协议，并对其进行安全漏洞扫描，避免引入法律风险和安全漏洞。

第十二条 变更与发布

1.代码审查：重要级和核心级代码的合并请求（Merge Request）必须经过至少一名非作者的项目成员进行代码审查，重点关注安全漏洞和逻辑错误。

2.发布管理：任何形式的源代码对外发布（如开源、技术转让）必须经过严格的审批流程。核心级和重要级代码的发布需由项目组申请，经主管部门及校领导审批。

第十三条 归档与销毁

1.定期归档：项目结题或系统下线后，项目负责人须对最终版本的源代码及相关文档进行归档，并明确归档后的访问权限。

2.安全销毁：不再需要且无保留价值的源代码，应由责任人通过不可恢复的方式（如安全擦除）进行销毁。涉及核心秘密的代码销毁，需在保密部门监督下进行。

第四章 安全审计与事件处理

第十四条 安全审计。教育信息化中心定期或不定期对源代码管理平台的使用情况、权限设置、操作日志等进行安全审计，并向网络安全与信息化领导小组汇报。

第十五条 事件处理

1.任何人均有义务报告发现的源代码安全漏洞、泄露等事件。

2.一旦发生安全事件，当事人和所在单位应立即采取措施防止事态扩大，并在第一时间报告教育信息化中心。

3.主管部门会同相关单位启动应急预案，进行调查、取证、处理和恢复工作。

第五章 附则

第十六条 本制度由学校教育信息化中心负责解释。

第十七条 本制度自发布之日起生效。