规章制度-万博彩票

万博彩票

万博体育彩票信息安全管理制度

文章来源:本站原创作者:佚名 发布时间:2011年09月01日 点击数: 字体:

万博体育彩票信息安全管理制度

一、总则

第一条    为进一步做好万博体育彩票信息安全工作,提高万博体育彩票信息安全防范和抵御风险能力,保障校园网络与信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》、《信息安全保护管理办法》、《信息系统安全等级保护基本要求》等法律、法规制定本规定。

第二条    本规定所称信息安全管理,是指在学校信息化项目立项、建设、运行、维护及废止过程中保障信息及信息系统的环境、网络和操作安全的一系列管理活动。

第三条    网络中心具体负责学校的信息安全工作。

第四条    本规定适用于万博体育彩票。

二、组织保障

设立万博体育彩票主管信息化领导和相关部门主要负责人组成的信息安全管理领导小组。

组 长: 夏红林

副组长:章航海 朱慧,张承忠,王景跃,张正昌

组 员:宋晓昇,周 路,孟 晨,马菲菲,陈 玲,赵

应急工作组成员: 宋晓昇,周 路,孟 晨,马菲菲,陈 玲,赵

信息网络安全管理领导小组具体人员分工:

信息安全主管:

章航海

信息安全管理员:

宋晓昇

系统管理员:

宋晓昇

网络管理员:

应用系统管理员:

三、领导小组工作职责

1.        学习、贯彻国务院和上级安全部门有关国家安全的法律、法规和相关政策。针对本地出现的一些网络安全上的问题,提出整改意见,做到避免损失、杜绝犯罪。

2.        研究、制定学校网络及相关信息系统的安全管理制度,落实各项网络安全措施,确保网络安全运行。

3.        督促相关部门加强对网络用户的安全教育工作。对内部计算机应用人员加强法律法规知识培训。

4.        负责网络及信息系统安全的监督、检查和指导工作,规范上网人员的上网行为,查处有关违反网络安全管理的违纪、违规行为。

5.        协助和配合公安机关查处计算机及网络犯罪的工作

四、安全管理制度

1.        本单位信息安全管理制度的范围是信息安全关系到所有类型的信息和存贮、处理或传输这些信息的硬件、软件及固件。本规定适用于与业务相关的所有部门的所有系统及其工作人员。不同的部门要根据其自身的特点,对需求、威胁、风险、信息类型进行针对性的规定。

2.        本单位信息安全的目标是确保系统信息的完整性和业务的连续性,并通过一系列预防措施将业务可能受到的损害降到最低,将安全事故产生的影响降到最低。信息安全管理应在确保信息和计算机资产受到保护的同时,确保信息能够在允许的范围内正常运行使用。确保关键资产的机密性、完整性、可用性和可审计性。

3.        应用系统管理员负责按照应用系统安全设置标准对系统安全参数进行设置;定期对系统登录日志进行检查;用户账号的创建、变更和删除(禁用)以及其他与应用系统操作有关的管理工作。   

4.        各工作计算机未进行安全配置、未装防火墙或杀毒软件的,不得入网。各计算机终端用户应定期对计算机系统、杀毒软件等进行升级和更新,并定期进行病毒清查,不要下载和使用未经测试和来历不明的软件、不要打开来历不明的电子邮件、以及不要随意使用带毒U盘等介质。

5.        单位工作人员禁止利用扫描、监听、伪装等工具对网络和服务器进行恶意攻击,禁止非法侵入他人网络和服务器系统,禁止利用计算机和网络干扰他人正常工作的行为。

6.        计算机各终端用户应保管好自己的用户帐号和密码。严禁随意向他人泄露、借用自己的帐号和密码;严禁不以真实身份登录系统。计算机使用者更应定期更改密码、使用复杂密码。

7.        信息安全领导小组负责指定安全方针、政策,并定期组织相关人员定期进行论证和审定。

8.        安全制度的发布由网络中心负责,必须经过信息安全领导小组论证、评审后方可发布。

9.        安全制度将以电子文档、印刷手册等方式发布到相关人员手中。

10.    违反本规定者,罚款_____/次,情况严重者,扣除当月绩效考核工资。

五、信息系统人员管理制度

1.   信息安全管理员。其职责包括:

l  维护对数据和其他IT资源的访问规则;

l  在分配和维护授权用户ID和口令时,保护其安全性和保密性;

l  监测违法安全规定的行为并采取纠正行动,确保为系统提供了充分的安全;

l  定期审查和评估安全政策,向管理层提出必要的修改意见;

l  计划并推动面向所有员工的安全知识宣传活动,并进行监督;

l  测试安全架构,评价安全的健全性,发现可能的威胁。

2.   系统管理员负责维护主要的多用户计算机系统,包括局域网。其职责包括:

l  增加和配置新的工作站;

l  设置用户账号;

l  安装系统级软件;

l  执行预防/保护/修复病毒传播的程序;

l  分配海量存储空间。

3.   网络管理员负责管理网络基础设施中的关键组成部分(路由器、交换机、防火墙、网络分段、运行管理、远程访问、等等)。局域网的网络管理员--负责局域网的技术和管理控制,包括确保传输链路的畅通、系统的正常备份、软/硬件的购买经过了授权并安全正确。在稍小规模的组织中,网络管理员可以负责局域网的安全管理,不应当赋予局域网网络管理员应用系统编程的责任。

4.   数据库管理员是一个组织的数据保管员,其职责主要是定义和维护单位数据库系统的数据结构。其职责为:

l  确定面向计算机的物理数据定义(即数据在计算机中如何存放与使用);

l  调整物理数据定义,以优化性能;

l  选择和使用数据库优化工具;

l  测试和评估程序员的操作和优化工具的使用;

l  回答程序员的咨询,培训程序员数据库结构方面的知识;

l  实施数据库定义控制、访问控制、更新控制和并发控制;

l  监测数据库的使用、收集运行数据和调整数据库;

l  定义和启动备份和恢复程序。

5.   信息中心负责网络与信息化工作涉及的具体人员,软、硬件设备和工作任务的落实,负责信息安全保密意识教育和信息化知识培训(一年一次),并定期组织开展信息安全自查和应急演练。

6.   各专(兼职)管理员负责各自分管任务的落实,及时解决本单位网络和信息化工作出现的问题,出现的问题需向网络与信息化工作小组汇报,不断健全信息安全管理制度。

7.        违反本规定者,罚款_____/次,情况严重者,扣除当月绩效考核工资。

六、机房管理制度

1.   进入网络中心主机房至少应当有两人在场,并登记机房出入管理登记簿,记录出入机房时间、人员和操作内容。

2.   IT部门人员进入机房必须经领导许可,其他人员进入机房必须经IT部门领导许可,并有有关人员陪同。值班人员必须如实记录来访人员名单、进出机房时间、来访内容等。非IT部门工作人员原则上不得进入中心对系统进行操作。如遇特殊情况必须操作时,经IT部门负责人批准同意后有关人员监督下进行。对操作内容进行记录,由操作人和监督人签字后备查。

3.   保持机房整齐清洁,各种机器设备按维护计划定期进行保养,保持清洁光亮。

4.   工作人员进入机房必须更换干净的工作服和拖鞋。

5.   机房内严禁吸烟、吃东西、会客、聊天等。不得进行与业务无关的活动。严禁携带液体和食品进入机房,严禁携带与上机无关的物品,特别是易燃、易爆、有腐蚀等危险品进入机房。

6.   机房工作人员严禁违章操作,严禁私自将外来软件带入机房使用。

7.   严禁在通电的情况下拆卸,移动计算机等设备和部件。

8.   定期检查机房消防设备器材。

9.   机房内不准随意丢弃储蓄介质和有关业务保密数据资料,对废弃存储介质和业务保密资料要及时销毁(碎纸),不得作为普通垃圾处理。严禁机房内的设备、储蓄介质、资料、工具等私自出借或带出。

10. 主机设备主要包括:服务器和业务操作用PC机等。在计算机机房中要保持恒温、恒湿、电压稳定,做好静电防护和防尘等项工作,保证主机系统的平稳运行。服务器等所在的主机要实行严格的门禁管理制度,及时发现和排除主机故障,根据业务应用要求及运行操作规范,确保业务系统的正常工作。

11. 定期对空调系统运行的各项性能指标(如风量、温升、湿度、洁净度、温度上升率等)进行测试,并做好记录,通过实际测量各项参数发现问题及时解决,保证机房空调的正常运行。

12. 计算机机房后备电源(UPS)除了电池自动检测外,每年必须充放电一次到两次。

13.    违反本规定者,罚款_____/次,情况严重者,扣除当月绩效考核工资。

七、网络管理制度

1.   接入本单位内网的IT设备应向信息中心提出申请,经批准后方可接入。所有内网计算机禁止与其他公共网络直接连接。

2.   信息中心编制与信息系统相关的资产清单,包括资产责任部门、重要程度和所处位置等内容;规定信息系统资产管理的责任人员或责任部门,并规范资产管理和使用的行为。

3.   对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理;对终端计算机、便携机、系统和网络等设备的操作和使用进行规范化管理,按操作规程实现关键设备(包括备份和冗余设备)的启动/停止、加电/断电等操作。

4.   信息中心指定专人为网络系统维护员,负责对网络和系统设备进行检测和维护,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作。对不正常的运行状况或操作及时发现并纠正,保证设备处于良好功能状态,网络运行安全稳定。

5.   网络系统维护员每月进行一次网络、系统维护、升级、漏洞扫描及数据备份。对服务器及网络必须严密防护,防止非法用户侵入。对服务器参数进行调整或更改,必须经主管领导批准,管理人员应严格填写工作记录。

6.   计算机实行实名制管理,计算机IP地址、MAC地址信息登记造册;建立各类网络、计算机设备资产档案;信息中心负责本单位设备IP地址分配。

7.   计算机安装统一的杀毒软件和桌面管理软件;内网的计算机要限制和阻断非法外联、使用非法移动存储介质、安装和运行非法软件和程序、访问恶意网站等违规行为,保证网络和数据的安全。

8.   计算机及网络系统所有设备的配置、安装、调试必须由指定专人负责,其他人员不得随意拆卸和移动。严禁擅自拷贝或借用系统的设备及密码、技术资料。

9.   确保系统相关介质存放在安全的环境中,对各类介质进行控制和保护,并实行存储环境专人管理;对介质归档和查询等过程进行记录,并根据存档介质的目录清单定期盘点;对需要送出维修或销毁的介质,首先清除其中的敏感数据,防止信息的非法泄漏。

10.    本单位用户对网络系统中发生的问题和可疑事件,应当立即报信息中心有关人员。任何情况下用户均不应尝试验证弱点。

11.    违反本规定者,罚款_____/次,情况严重者,扣除当月绩效考核工资。

 

八、网站管理制度

1.   本单位发布在门户网站的信息需报送办公室,经主管领导审批通过由专人进行信息发布。

2.   日常值班人员按照信息安全等级保护和上级单位、本单位对信息安全的要求浏览网站查看有无异常内容并填写记录表。

3.   设专职网站管理员,负责单位网站的信息收集汇总、日常管理与维护,负责网络版面设计、调整、改换栏目设置、内容更新、新闻发布以及其他信息材料的管理、录入与发布。

4.   网络中心负责网站防病毒、防黑客攻击以及为网站的正常运行日常维护提供技术支持与保障。

5.   任何人未经批准,不得随意发布信息或更改网站页面版式及内容。

6.   网站密码由网站管理员负责控制,不准向任何部门或个人泄漏。

7.   网站管理员发现网站被病毒、黑客袭击或发现网站运行不正常,应及时向信息资源科报告,由信息资源科处理。

8.   任何人不得在单位网站上发布违反国家法律、法规、有损国家利益、单位形象以及不道德的言论。

9.   任何人不得利用单位网站传播反动、淫秽、不道德以及其他违反国家法律、社会公德的信息。

10. 任何人不得利用单位网站发布虚假信息或违反单位规定、影响单位形象、泄露单位机密的信息。

11. 网站管理员一经发现有上述8—10条所示内容的信息,必须立即予以删除,并追究当事者的行政或法律责任。

12. 网站管理员应按本规定及时对单位网站进行管理、维护与更新。

13. 违反本规定者,罚款_____/次,情况严重者,扣除当月绩效考核工资。

九、系统建设管理制度

1.   本单位业务系统包括_万博体育彩票网站和万博体育彩票校务管理系统

2.   信息中心应及时对本单位信息系统进行定级,并向本地公安部门备案。信息中心根据系统的安全保护等级形成详细可行的安全建设和实施方案,依据风险分析的结果选择和调整安全措施。

3.   确保安全产品的使用符合国家的有关规定;确保密码产品的使用符合国家密码主管部门的要求。由教学服务中心部门负责产品的采购。

4.   对于本单位自行软件开发,确保开发环境与实际运行环境物理分开;制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则。

5.   对于外包软件开发,根据开发要求检测软件质量和进行安全测试验收;在软件安装之前检测软件包中可能存在的恶意代码;要求开发单位提供软件源代码,并审查软件中可能存在的后门。

6.   对于安全服务商的选择,确保符合国家的有关规定;与选定的安全服务商签订与安全相关的协议,明确约定相关责任;确保选定的安全服务商提供技术支持和服务承诺,必要的与其签订服务合同。

7.   各业务系统使用人员的权限由信息中心统一管理,权限更改需报经主管领导批准后由业务系统管理员进行设置。

8.   业务系统管理员应对系统的配置信息和基础信息进行日常备份,对系统中的运行记录进行保存以备查,一旦系统出现问题能够及时恢复正常。管理员应制定系统的备份与恢复的规划、实施和操作,并作好详细的记录。

9.   各使用人员应妥善管理并定期更换本人的用户密码。口令长度不得少于六个字符,口令的最长使用时间不能超过半年,不能把口令记载在不保密的介质上或贴在终端上。在显示终端上在涉密较多、人员复杂、保密条件较差的地方应尽可能缩短口令的使用时间,保证业务系统账户的安全。

10. 各业务系统出现问题后,使用人员应及时告知业务系统管理员,由管理员负责联系各业务系统的维护单位进行解决。

11. 违反本规定者,罚款_____/次,情况严重者,扣除当月绩效考核工资。

十、信息安全维护管理制度

1.   未经相关领导批准,任何人不得改变网络拓扑结构和相关核心设备的网络参数。任何人不得擅自进入未经许可的网络系统,不得篡改系统信息和用户数据,不得对外泄露和转移业务数据信息。

2.   任何人不得在网上制造、传播计算机病毒,不得故意输入计算机病毒及其有害数据危害网络安全。网使用者发现病毒,应立即向管理员报告,以便获得及时处理。

3.   网络管理员具有管理及备份数据的权限,网络管理员必须严守职业道德和职业纪律,不得泄露任何用户的密码、帐号等保密信息。

4.   操作系统管理、数据库系统管理、网络数据备份等与系统安全和数据安全相关的工作由信息中心管理员或相关维护单位完成,涉及网络安全的重要网络操作或实体检修工作应有管理员在场。

5.   定期做好数据的备份并异地存放,确保系统一旦发生故障时能够快速恢复,备份数据不得更改。具体备份事宜见“信息资源备份表”。

6.   坚持网络和信息安全应急值守,加强带班值守,确保重要和敏感时期本单位重要业务系统和网站的安全和稳定。

7.   任何非应用性业务数据的使用及存放数据的设备或介质的调拨、转让、废弃或销毁必须严格按照程序进行逐级审批,以保证备份数据安全完整。

8.   数据恢复前,必须对原环境的数据进行备份,防止有用数据的丢失。数据恢复过程中要严格按照数据恢复手册执行,出现问题时由技术部门进行现场技术支持。数据恢复后,必须进行验证、确认,确保数据恢复的完整性和可用性。

9.   需要长期保存的数据,需与相关部门制定转存方案,根据转存方案和查询使用方法要在介质有效期内进行转存,防止存储介质过期失效,通过有效的查询、使用方法保证数据的完整性和可用性。转存的数据必须有详细的文档记录。

10. 正常工作使用的计算机未经有关部门允许不准安装其它软件、不准使用来历不明的载体(包括软盘、光盘、移动硬盘等)

11. 违反本规定者,罚款_____/次,情况严重者,扣除当月绩效考核工资。

十一、监控系统控制室管理规定

1.   监控室设备及功能室终端设备均属专用设备,任何人不得随意拆卸、移出或外借。如有人为损坏,则按情节予以赔偿。技术防范系统的设置须有专人负责,外来人员参观或调阅有关资料及相关录像必须经领导批准。

2.   监控设备由专人管理使用,负责日常管理,对全楼实行24小时全天候监控录像。其它人员不能随意使用操作。机房重地,无关人员未经许可不得入内。

3.   监控系统由专人管理人员应定期对监控设备及软件系统进行维护和保养,发现问题及时处理,必要时应与厂家联系解决办法。每学期至少进行一次各类设备及信号的彻底检查,并做好记录。如不正常应查明原因并及时处理,无法处理的问题,迅速上报有关部门。

4.   不准随意在监控器系统中安装无关程序,不准删除系统中的任一程序,不准改动系统预先设置的参数。

5.   要爱护监控系统所有设备,监控员要保持经常性的室内清洁卫生及主机防护设置的除尘,每天进行清洁工作。

6.   管理人员要随时对主机和监测设备进行检查,确保系统地安全运行;如发现监控系统运行当中出现错误,应退出后再按照说明重新启动,并进行登记备案。

7.   录像记录保存一个月,一个月后检查数据,清除无效记录。

8.   违反本规定者,罚款_____/次,情况严重者,扣除当月绩效考核工资。

 

十二、附录

1.本规定由万博体育彩票信息安全领导小组负责解释。

2.本规定自发布之日起执行。

 

                          

 

制作人:宋晓昇       审批人:章航海        批准人:夏红林

 

 

                                            万博体育彩票

                                           二○○九年七月三十日