学院信息安全管理制度Word文档下载推荐.docx
《学院信息安全管理制度Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《学院信息安全管理制度Word文档下载推荐.docx(8页珍藏版)》请在冰豆网上搜索。
信息系统应指派专门的管理人员,明确相应的职责,保证信息的可用性和安全性。
第七条信息安全工作职责具体包括信息安全的日常管理、制定完善信息安全管理制度、定期组织安全检查和风险评估、信息安全问题整改、信息安全事件查处等。
第八条依据信息安全工作所涉及的各个方面,具体按分工明确以下工作职责:
(一)信息系统管理员
1.负责信息系统的稳定运行和安全监控;
2.负责信息系统上产生的信息和数据的安全监控;
3.负责信息系统权限和账号口令管理;
4.做好账号复核工作,无用账号及时清理删除。
(二)信息安全管理员
1.编制、修订信息安全相关制度和流程;
2.制定信息安全解决方案,组织安全等级测评;
3.对安全事件处理提供技术支持;
4.新建系统上线前进行安全评审;
5.及时了解重大网络安全事件,做好提前防范措施;
6.负责各安全管理系统及软件的管理工作。
(三)安全事件调查员
1.负责信息安全事件的查处工作;
2.必要时协调配合公安部门介入调查;
3.负责信息安全事件处理结果的总结上报。
(四)终端用户
1.负责终端安全的日常监控和防病毒管理;
2.负责终端口令管理。
(五)信息系统使用人员
1.妥善保管账号和口令,不得随意告知无关人员;
2.密码泄漏后要及时更改密码;
3.发现信息系统出现异常及时报告。
第九条对第三方人员访问学院信息系统进行管理。
第三方人员包括但不限于集成商、设备厂家人员、咨询顾问等人员。
1.对第三方人员的系统访问期限应进行约束和规定;
2.在第三方获得访问权限之前需与之签署保密协议,明确责任,违规或误操作引发的安全问题及事件由第三方承担责任,我方保留对第三方的法律追溯权利;
3.加强第三方访问系统的操作审计和监督控制,使用技术手段加强对第三方的操作日志记录和行为分析;
4.对第三方人员进行适当的安全提示和培训;
5.委托定制开发业务系统时,须与之签订详细的商业合同,明确责任,所使用的第三方产品应具备合法版权。
第十条各系统管理员新增或职责变更时,履行审批手续,做好系统权限交接,做好记录。
系统接收人尽快熟悉系统操作,更新账号和口令。
职责变更审批表详见附件一。
第三章信息安全等级保护
第十一条学院重要的信息系统,包含但不限于以下类别:
学生信息、教学信息、人事信息、科研信息、资产信息、管理信息、财务信息、消费信息、办公OA。
第十二条根据GB/T22239-2008信息系统安全等级保护要求,学院重要信息系统的安全保护等级至少为第二级(S2A2G2),各单位在用或新建信息系统如涉及重要信息,需进行等级保护测评或建设前提出等级保护要求。
第十三条网络中心负责组织对学院重要信息系统进行等级保护测评,根据测评结果对信息系统加固和优化,确保信息安全。
第四章信息资产安全管理
第十四条信息资产管理范围包括但不限于以下类别:
数据与文档:
数据库和数据文件、用户手册、培训材料;
软件资产:
应用软件、系统软件、开发工具和实用程序;
物理资产:
服务器、计算机、通讯设备、系统配套设备。
第十五条信息资产管理责任应落实到人,并建立信息资产管理档案,详细记录资产的配置信息和变更信息。
资产管理档案应及时更新,与实际情况相符合。
第十六条信息资产淘汰,软件不再使用时,系统和数据做好离线备份,从系统中删除软件。
淘汰或废弃存有数据的硬盘、光盘等存储介质时,需要进行安全销毁。
第五章信息系统安全管理
第十七条信息系统应加强访问安全控制,应用安全系统进行操作的日志记录和审计。
控制后台管理系统的登录IP地址范围并监控VPN登录用户对后台管理系统的访问。
第十八条根据省教育厅相关要求做好系统漏洞扫描整改工作,网络中心每日安排专人负责省厅监控平台的告警处理,涉及相关部门时及时告知并对设备进行安全加固处理。
第十九条各信息系统用户和管理员应时刻关注信息系统账号安全的管理。
设置复杂度高的密码,应至少包含字母和数字组成。
定期更换密码,勿将密码告知无关人员。
第二十条信息系统使用单位应按照相关要求对信息系统的网络配置、数据库配置、操作系统配置和备份等维护操作进行日常监控和管理,确保信息系统运作正常。
第六章信息系统的备案
第二十一条为加强学院信息系统的管理,在用的系统和未来新建的系统需进行信息备案。
对学院各信息系统接入校园网情况进行管控,禁止无授权接入校园网。
第二十二条网络中心是信息系统备案管理部门,负责各相关单位参与建设的信息系统的备案管理工作,对信息系统进行安全评估,符合安全要求后可接入校园网。
第二十三条信息系统建设使用部门不得随意告知开发厂商有关学院的无线网络登录密码和内部相关重要系统的后台IP管理地址。
第二十四条新建信息系统如需接入校园网,请填写备案表,需经过网络中心审核、分管院长审批后可接入校园网。
私自接入校园网造成信息泄密的应承担相应责任。
备案表详见附件二。
第七章信息安全事件管理
第二十五条学院发生的校园网运行及网络信息方面的有可能影响学院、社会和国家安全稳定的紧急事件,按四个级别进行管控:
1.特别重大事件(I级)
学院校园网上出现大面积的串联、煽动和蛊惑信息;
主页出现反动、煽动民族分裂、破坏稳定等反动政治信息及连接的;
网络发现泄密、失密事件。
2.重大事件(II级)
关系稳定事件的讨论已成为校园热点问题,引发校内局部聚集或其他形式聚集;
主页出现淫秽等有害信息及链接的。
3.较大事件(III级)
校园网网络上出现大小字报,呈现可能会影响稳定的苗头性信息;
主页出现不良信息及链接的;
主页服务器、网络主要互联出口、辖内主干网络中断甚至是全部中断超过72小时的。
4.一般事件(IV级)
校园网主要网络设备和服务器受到非法入侵的;
主页服务器、网络主要互联出口、辖内主干网络中断甚至是全部中断小于72小时(含)的。
第二十六条发生信息安全事件时,应立即启动《网络与信息安全突发事件应急预案》,按照预案的相关规定要求,对安全事件及时做出响应。
第二十七条发生信息安全事件的单位,根据《信息化考核细则》,对相关部门进行责任认定和考核。
第二十八条学院校园网各用户应担负信息安全事件及时报告的义务,发现信息安全事件萌芽和不良倾向时应及时报告学院相关部门。
第八章附则
第二十九条本制度如有条目与国家或上级部门的有关管理法规相冲突,以国家或上级部门的有关管理法规为准。
第三十条本规定由网络中心负责解释,本规定自下发之日起执行。
附件一:
信息系统管理员职责新增/变更审批表
系统信息
系统名称
使用单位
系统用途
管理地址
管理员新增/变更
原管理员
新管理员
姓名
职责
所在部门
联系电话
职责变更说明
职责新增说明
交接信息
交接工
作内容
签名
审批信息
所在部门意见
网络中心意见
注:
本表一式三份,系统管理员和所在部门各一份,网络中心备案一份。
附件二:
信息系统入网备案登记表
系统基本信息
建设单位
建设时间
建设周期
厂商联系信息
负责人
工程师
系统技术信息
架构语言
[]B/S[]C/S
[]html[]JSP
[]ASP[]PHP
[]Java[]其他:
操作系统数据库
[]Windows[]Linux
[]Oracle[]SQLSever
[]MySql[]Access
[]其他:
发布范围
[]校内[]校内外
交互栏目
[]无
[]有:
校园网接入需求
访问内容
[]接入校园网络
[]访问数据库:
[]访问应用系统:
登录方式
[]远程桌面
[]远程控制
[]远程共享文件
[]FTP
[]TALNET
[]VPN
资源需求
[]存储空间:
GB
[]IP地址:
个
[]实体服务器
[]虚拟服务器
[]DNS解析
硬件需求
[]电源配置
[]机架位置
[]光纤线路
[]网线线路
其他需求
*注:
本页以上四项内容由厂家或需求单位填写
网络中心安全评估
安全
评估
项目
[1]建设厂家施工资质:
[]合规[]不符
[2]签署合同中有无信息安全方面的规定:
[3]业务系统建设责任承诺书(需求部门):
[]已签[]未签
[4]系统登录密码复杂度:
[5]系统远程登录安全性:
[6]其他安全性检查:
厂商
保证
已了解合同规定的相关信息安全要求,妥善保管相关账号和密码,确保施工与后期维护中学院校园网的信息安全,如发生信息安全事件或出现信息泄露,承担一切责任。
签字:
日期:
网络中心备案
IP地址
分配
机架位置
虚拟资源
线路信息
其他资源分配情况
厂商签字
经办签字
本页以上三项内容由网络中心、建设厂商和或需求单位填写
升级会员 