今天是:
常见问题更多>>
下载专区更多>>
规章制度当前位置:中心首页 > 规章制度 >

信息安全管理制度

发布时间:2017-07-19  作者:admin   

本制度的建立条件:学校需成立相关的信息化管理机构和信息化安全管理领导小组,下设相关管理部门,并明确岗位职责。

第一章  审订制度

为规范信息安全文件的制定、发布、评审和修订活动,特制定本制度。

第一条  信息安全管理制度必须以正式文件的形式发布施行。由信息安全管理小组制订。信息安全领导小组审批、发布。信息安全管理制度发布后如有必要信息安全工作小组应召集相关人员学习信息安全文件,详细讲解规章制度的内容并解答疑问。

第二条  信息安全文件修订后需要以正式文件的形式重新发布施行,修订后的策略也需经信息安全领导小组审批。签署发布的规章制度必须标明该规章制度的施行日期。

第三条  信息安全文件修改与废止必须定期对信息安全文件进行评审,对其中不适用的或欠缺的条款及时进行修改和补充。对已不适用的信息安全制度或规定应及时废止。

当现行信息安全文件有下列情形之一时必须及时修改。

1、当发生重大安全事件,暴露出信息安全文件存在漏洞和缺陷时。

2、组织机构或信息系统进行重大调整和变更后。

3、同一个事项在两个规章制度中规定不一致。

4、与上级部门的信息安全文件相抵触。

5、其它需要修改信息安全文件的情形。

当现行信息安全文件有下列情形之一时必须及时予以废止。

1、因有关信息安全制度或规定废止,使该信息安全制度或规定失去依据或与上级部门的信息安全文件相抵触。

2、因已规定的事项已经执行完毕没有存在必要。

3、已被新的规章制度所替代。

信息安全管理制度的修改与废止须经信息安全领导小组审批确认,信息安全管理部门备案。

第四条  信息安全管理制度的评审。信息安全管理制度实施后,应就信息安全文件制度或规定的贯彻执行。执行中存在的问题以及对规章制度修改或废止的意见建议等情况进行检查、监督并将意见和建议及时反馈给安全领导小组。

第五条  为保障各项信息安全管理制度的贯彻落实,信息安全管理部门必须定期检查信息安全管理制度的落实情况,是信息安全检查工作的重要内容。

第六条  信息安全检查工作结束后,必须已检查报告的形式通报信息安全管理制度的落实情况。对执行不力的行为必须提出整改意见,限期纠改,并继续追踪其落实情况。

第二章  审批制度

为了提高学校信息系统的可靠性、稳定性、安全性,特制定本制度。

第七条  学校信息系统逐级授权,其他授权方式或越级授权视为无效。主管信息的副校长授权网络与信息管理中心全面负责学校信息系统的实施、管理、维护等工作。网络与信息管理中心主任授权给下属员工,完成相应工作。

第八条  学校中的各用户部门对信息系统有根据其职级的使用权与建议权,经与网络与信息管理中心共同商议的可以由相关职能部门自行掌握修改权,并对各使用系统的部门进行对应人员逐级授权,并做好相关授权记录,否则造成的全部后果由当事人承担。

第九条  各部门人员权限发生新增、变更、停止时,各相关部门须及时纸质通知网络与信息管理中心执行。

第三章  检查制度

第十条  贯彻“安全第一、预防为主”的方针,把安全教育、安全管理的各项措施落到实处。

第十一条  加强组织领导,落实责任,制定详细的安全工作应急预案,牢牢把握当前安全稳定工作的主动权。

第十二条  每星期对所有的场地及设备进行全面的安全检查,落实防火、防水、防盗措施。经常开展不稳定因素排查化解工作。做到责任到人、措施到位,消除隐患,确保万无一失。

第十三条  对安全值班的人员进一步强调值班要求,并明确应付突发事件的处理流程。

第十四条  认真安排好节假日期间的值班工作,网络与信息管理中心人员要轮岗带班、值班。

第十五条  值班人员要认真落实值班工作制度,严格岗位责任制,坚守岗位,尽职尽责;要确保信息渠道畅通,对敏感问题要保持头脑清醒,审时度势,严守宣传纪律。

第十六条  加强网络的监控和管理,进一步落实网络信息内容安全责任和控制措施,密切注意网上动态,及时发现苗头性、预警性信息,有效控制敏感信息,及时删除有害信息。

第十七条  遇有紧急重要情况,必须立即向负责人报告,以便及时妥善处理。

第四章  审计制度

为加强我校网络系统和服务器系统的管理,实现系统安全管理和运行,根据计算机安全的要求和工作需要,制定本制度。

第十八条  系统管理和安全审计的对象是路由器、主干交换机和服务器。

第十九条  对于路由器和主干交换机的特权用户口令由网络管理科负责设定和保存,并报网络与信息管理中心领导。对网络系统的配置、配置修改等工作由网络部人员组织讨论,方案确定后付诸实施。

第二十条  服务器系统的特权用户口令由系统管理员设定和保存,并报网络与信息管理中心领导。系统管理员须定期变更管理帐号的密码,完成系统审计和日志管理等工作。

第二十一条  完善日常工作登记制度、工作单制度,对网络系统和服务器系统的任何操作务必按规程进行,务必执行工作程序制度。 

第二十二条  值班人员要认真监控有关系统运行状况和信息,一旦发现问题及时通知有关人员并迅速处理。逐步完善有关网络和系统的安全审计、管理和预警制度。加强网络系统和服务器系统的管理,实现系统安全管理和运行。

第五章  管理制度

第二十三条  学校计算机信息系统的使用人员,都应进行计算机安全知识培训,遵守计算机信息系统的相关法律法规,自觉培养良好的职业道德,安全、规范的操作使用该系统。

第二十四条  定期组织工作人员认真学习《计算机信息网络国际互联网安全保护管理办法》、《网络安全管理制度》及《信息审核管理制度》,提高工作人员维护网络安全的警惕性和自觉性。

第二十五条  定期对网络系统计算机存储介质要进行的清理,若遇数据资料不再使用情况,经相关人员确认无误后,要及时删除清理。

第二十六条  重要数据打印输出和外存介质应妥善放置安全地方;打印出的废纸要及时销毁;重要数据要加密处理;损坏的外存介质及时粉碎报废。

第二十七条  离岗离职管理制度:

(一)工作人员离岗离职时,有关部门应即时取消其计算机涉密信息系统访问授权。注销其代码。工作人员离岗离职之后,仍对其在任职期间接触、知悉的属于学校或者虽属于第三方但本单位承诺或负有保密义务的秘密信息,承担如同任职期间一样的保密义务和不擅自使用的义务,直至该秘密信息成为公开信息。

(二)离职人员因职务上的需要所持有或保管的一切记录着本单位秘密信息的文件、资料、图表、笔记、报告、信件、传真、光盘、便携设备等以及其他任何形式的载体,均归学校所有,而无论这些秘密信息有无商业上的价值。

(三)离职人员应当于离职时,或者于学校提出请求时,返还全部属于学校的财物,包括记载着学校秘密信息的一切载体。

(四)离职人员离职时,应将工作时使用的电脑、u盘及其他一切存储设备中关于工作相关或与学校会有利益关系的信息、文件等内容交接给本部门领导,不得在离职后以任何形式带走相关信息。

第二十八条  系统安全管理制度:

(一)每天查看数据库日志系统错误报告,数据库的备份情况发现异常情况应及时采取措施。并及时汇报异常。

(二)数据库系统参数调整、版本升级应得到网络与信息管理中心领导同意,做好备份和相关文档。

(三)系统管理员单独管理系统用户口令,口令设置不得使用简单易猜数据。

(四)每天查看系统错误报告,检查关键目录是否有异常增长。

(五)系统备份,每次更改系统配置后必须立即进行系统备份。

(六)系统备份数据未经学校领导同意,不得拷贝外借给外单位。

(七)新增或删除数据库用户,变更用户数据库读取权限,须经网络与信息管理中心领导批准,并将其权限登记在册。

(八)用户口令第一次由系统管理员分配,用户在第一次使用前必须改变口令。

(九)用户不得在生产机上进行任何测试性操作,使用中发生问题必须立即通知系统维护人员,重大操作必须事前通知系统维护人员。

(十)对于必须进行的远程登录,须经系统管理员同意,工作完毕后系统管理员及时更改口令。

(十一)所有数据库产生的拷贝、文档资料、查询结果未经学校领导同意不得以任何方式传递给任何人。

第六章  系统维护制度

第二十九条  严格执行系统值班制度,每周周一至周五全天,节假日值班需按照校内规定执行,不得迟到早退。

第三十条  系统数据表安全管理,每日早830数据备份,备份到异地备份中心。

第三十一条  值班的系统维护员每日对机房设备进行检查,如发现异常或损坏,及时上报解决。

第三十二条  各数据库服务器及其他服务器系统密码、数据库密码,系统管理员严禁外传,并不定期更换密码。如有系统管理人员调离,立即更改原有密码,将其所有的系统权限取消;如有其他中心人员调离,需将与调离人员有关的密码及时更改,保证数据安全。

第三十三条  系统维护员应做好数据安全、保密工作,协同其他人员,做好系统安全工作,防止病毒入侵。

第三十四条  严格遵守机房各项规章制度和技术操作规程,严防人为差错发生。

第三十五条  系统出现故障时,分析故障可能发生点,排除故障的同时立即通知相关部门。

第三十六条  严格执行机房锁门制度。值班人员每日在离开时必须检查机柜,主机房锁门。

第七章   信息系统数据备份恢复管理制度

为了确保系统计算机系统的数据安全,使得在计算机系统失效或数据丢失时,能依靠备份尽快地恢复系统和数据,保护关键应用数据的安全,保证数据不丢失,特制定本制度。

第三十七条  计算机数据及存储数据的载体必须进行安全、妥善的管理。重要系统或重要数据应该及时进行异地备份,防止系统、数据的丢失;由专人负责数据备份工作,并形成备份日志。

第三十八条  当存储过重要数据的介质(如光盘、U盘、移动硬盘等)报废时应由专业技术人员进行物理性销毁。

第三十九条  网络服务器数据备份工作,增量备份每日做,系统备份每日做一次。

第四十条  备份数据应该严格管理,妥善保存;备份数据资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。

第四十一条  根据业务实际需要定期进行数据备份。

第四十二条  数据备份的介质要求有规范、清晰的标签标识。备份数据应定期测试,以确保备份数据的可恢复性。

第四十三条  重要的数据载体应异地存放。

第四十四条  数据的备份、恢复、转出、转入的权限都应严格控制。严禁未经授权将数据备份出系统,转给无关的人员或单位;严禁未经授权进行数据恢复或转入操作。

第四十五条  一旦发生数据丢失或数据破坏等情况,要由系统管理员对备份数据恢复,以免造成不必要的麻烦或更大的损失。

第四十六条  全盘恢复一般应用在服务器发生意外灾难导致数据丢失、系统崩溃或是有计划的系统升级、系统重组等;个别文件数据恢复一般用于恢复受损的个别文件,或者在全盘恢复之后追加增量备份的恢复,以得到最新的备份。

第四十七条  必须定期检查保存备份数据能否正常使用,需刻录光盘的数据应经过检验确保数据备份的完整性和可用性后,方可刻录光盘。

第八章  数据库管理制度

第四十八条  全校各部门工作人员应加强计算机信息系统数据库安全意识,未经审定的任何程序、数据及信息,不得输入计算机系统运行。

第四十九条  部门因工作原因,需要到网络与信息管理中心查询、打印数据和资料,须提交书面报告,经分管领导审核同意后,方能给予查询、打印。

第五十条  系统数据库维护工作,应专人负责;在维护修改数据时,应验证其准确性,确保数据录入准确、规范;重要数据的维护修改,必须分管领导及网络与信息管理中心审核同意,方可进行。

第五十一条  数据库的数据资料未经授权,不得擅自改动。

第五十二条  教育、卫生、公安、司法机关等,需要查询信息数据时,须出具采集证明的法定证明。

第五十三条  因系统升级、变更、数据库死锁等引起数据库故障,网络与信息管理中心管理维护人员应及时作出调整和修改,以保证信息数据的正常使用。

第五十四条  因人为记错、漏记引起数据错误的情况,须经当事部门提出申请,确认需要修改的数据无误后,方能给予修改。

第九章  网络系统运行日志

第五十五条  记录网络系统节点参数(服务器、交换机、工作站)配置和设置网络各主干线路是否通畅(光纤、双绞线)。

第五十六条  利用网络安全检测技术,定期扫描分析网络各主干端口使用情况及存在的弱点(错误包、广播包、数据包)。

第五十七条  在网络系统的各个层次(物理设备、网络配置、操作系统、数据库、应用系统)建立权限管理机制,对专门的网络资源定义专门的权限角色。

第五十八条  各主干设备的设置清单核对(堆叠设置、IP地址)。

第五十九条  记录网络系统故障及排除方法。

第六十条  智能交换机的网络审计日志一般保存期限为半年。

第六十一条  操作系统运行日志:

(一)核对系统设置清单(计算机名、IP地址、设备名称、路径)。

(二)查看记录系统使用情况(系统时间、存储空间、CPU使用率、系统内部各种日志)。

(三)病毒扫描。

第六十二条  数据库访问日志

(一)记录并核对数据库平台参数配置(操作系统、数据库管理系统、系统工具)。

(二)跟踪各数据库使用情况(所占的字节数、剩余空间)。

(三)记录数据备份和数据迁移及数据修改情况,保证数据完整性。

(四)数据库内部日志查看。

第六十三条  业务应用系统运行日志:记录应用软件修改和升级内容(版本、时间、功能)。

第六十四条  系统更改日志:系统如有更改应作相应的记录,并及时更新设置清单

第十章  网络安全员岗位工作职责(试行)

第六十五条  在甘肃中医药大学网络安全领导小组和网络与信息管理中心领导指导下,网络安全管理员负责甘肃中医药大学校园网的安全管理工作,具体职责如下:

(一)甘肃中医药大学网络安全员的工作在甘肃中医药大学网络安全领导小组的领导下开展。

(二)网络安全员具体负责校园网网络安全的管理,协调网络与信息管理中心各部门实施校园网网络安全的有关管理措施。

(三)网络安全员具体负责与省公安厅、市公安局等有关计算机安全监察部门的联系及有关材料的组织、汇总和上报工作。

(四)网络安全员具体负责校内各二级网络的网络安全员的网络安全方面的协调工作。

(五)网络安全员根据国家、地方和学校的有关文件精神,根据校园网的工作需要,提出并组织制定和修订校园网的有关网络安全管理的各项规定并监督实施。

(六)网络安全员须积极配合公安等安全和保密的有关执法部门,对网络违法案件进行调查和取证等工作。

(七)网络安全人员要协助信息管理中心技术人员定期检查有关网络和服务器系统的运行日志,定期和不定期的进行对全校校园网进行网络安全检查。

(八)网络安全员须具备一定的网络安全所需要技术和知识,具备相应的网络安全工具的使用知识和操作能力。

第十一章  信息安全事件报告制度

第六十六条  为规范和加强我校信息安全事件的信息报告管理工作,及时了解掌握和分析重大信息安全事件有关情况,协调组织相关人员应急响应处理,从而降低重大信息安全事件带来的损失和影响,特制定本制度。

第六十七条  由于自然灾害、设备软硬件故障、人为失误或破坏等原因造成的重大信息安全事件严重影响到我校网络与信息系统的正常运行,出现业务中断、系统破坏、数据破坏或信息失窃密或泄密等都要按此制度报告。

第六十八条  我校信息系统重大事件的报告管理工作坚持“统一领导、归口负责”的原则。校办负责重大信息安全事件的上报工作。网络与信息管理中心负责应急处理的技术服务支持。发生信息安全事件的部门,在发生重大信息安全事件后,首先以口头方式立即向校办报告,接到报告后,校办应当立即向主管领导和学校信息化工作领导小组报告。

第六十九条  发生信息安全事件的部门应当立即对发生的事件进行调查核实、保存相关证据,并在事件被发现或应当被发现时起2小时内将有关材料报至校办。

第七十条  对于重大信息安全事件,校办接到报告后,负责组织协调学校网络与信息管理中心对事件进行调查研究。并分析处理结果向学校信息领导小组报告。

第七十一条  校办在事件处理完毕后5个工作日内将处理结果报上级信息化主管部门备案。

第七十二条  发生重大信息安全事件的部门应当及时如实地报告事件的有关信息,不得瞒报、缓报或者授意他人瞒报、缓报。有关部门负责人有瞒报、缓报和漏报等情况,对造成严重不良后果的将予以通报批评。

第十二章  计算机网络违法犯罪案件协查制度(试行)

第七十三条  甘肃中医药大学校园计算机网络的所有工作人员和用户必须遵守执行《中国教育和科研计算机网暂行管理办法》和国家有关法律法规,严格执行安全保密制度。因此,甘肃中医药大学坚决打击各种利用甘肃中医药大学校园网从事各种违法犯罪行为。

第七十四条  甘肃中医药大学网络与信息管理中心有义务协助公安机关、国安机关调查与甘肃中医药大学有关的各类网络违法犯罪事件。

第七十五条  甘肃中医药大学网络与信息管理中心在校园网络上应该安装用户认证和管理系统,定期了解校园网用户网上行为,准确掌握用户上网情况,为公安机关的侦察提供可靠的、有效的证据。

第七十六条  甘肃中医药大学网络与信息管理中心协助校保卫处和公安机关、国安机关调查有关网络设备、设施盗窃的违法犯罪事件。

第七十七条  甘肃中医药大学网络与信息管理中心协助有关部门监督、检查学校各部门、学院等实体单位和个人用户的信息发布,确保信息安全。