學(xué)院信息化建設(shè)與管理中心信息安全檢查制度

　　一、總則

　　第一條 為了督促學(xué)院網(wǎng)絡(luò)與信息系統(tǒng)安全管理要求、技術(shù)規(guī)范良好執(zhí)行，落實(shí)各項(xiàng)網(wǎng)絡(luò)與信息安全工作，特制定信息安全檢查制度。

　　第二條 本制度的目標(biāo)是規(guī)范學(xué)院信息安全檢查工作的具體過程，明確各相關(guān)人員的職責(zé)和工作內(nèi)容，為信息安全檢查工作的順利開展提供有效的指導(dǎo)。

　　二、安全檢查概要

　　第三條 各管理員應(yīng)定期檢查安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等。

　　第四條 每次信息安全檢查過程與結(jié)果都要記錄并保存，每次檢查后出具安全檢查報(bào)告，報(bào)告中應(yīng)包括檢查事項(xiàng)、檢查人員、檢查數(shù)據(jù)匯總表、檢查結(jié)果等內(nèi)容。

　　第五條 對于檢查過程中發(fā)現(xiàn)的不符合項(xiàng)，管理員形成書面改進(jìn)意見后，經(jīng)信息化建設(shè)與管理中心領(lǐng)導(dǎo)審核后，指派專人整改。

　　三、管理規(guī)范檢查列表

　　第六條 信息安全相關(guān)制度

　　檢查信息安全相關(guān)制度的覆蓋范圍以及制度的適宜程度;信息安全相關(guān)制度管理工作的開展情況，包括制度的制定、落實(shí)、評(píng)審與修訂等是否符合規(guī)范要求等。

　　第七條 人員安全管理

　　崗位設(shè)置及人員配備：包括安全相關(guān)崗位的設(shè)立以及職責(zé)的明確/落實(shí)、崗位的授權(quán)等;內(nèi)部人員安全管理：包括員工的安全培訓(xùn)及考核、崗位授權(quán)管理、保密協(xié)議簽訂等;外部組織人員安全管理：包括外部組織訪問事前、事中及事后不同階段的安全控制措施的落實(shí)情況等。

　　第八條 信息資產(chǎn)管理

　　資產(chǎn)管理：包括信息資產(chǎn)識(shí)別、分類、標(biāo)識(shí);介質(zhì)管理：包括介質(zhì)在使用、傳輸、保存、清除及銷毀等過程中的安全控制落實(shí)情況;設(shè)備管理：包括各類設(shè)備在使用和管理維護(hù)過程中的安全控制措施落實(shí)情況。

　　第九條 系統(tǒng)運(yùn)維管理

　　運(yùn)維管理：包括用戶賬號(hào)情況、系統(tǒng)漏洞情況、系統(tǒng)審計(jì)情況;監(jiān)控、惡意代碼防范、變更管理等的落實(shí)情況。

　　四、技術(shù)規(guī)范檢查列表

　　第十條 物理安全管理

　　物理環(huán)境安全：包括物理區(qū)域的電源、防雷、防火、防潮、 防靜電等周邊環(huán)境安全控制措施落實(shí)情況等; 訪問控制：為保護(hù)區(qū)域內(nèi)信息不受非授權(quán)物理訪問，機(jī)房及 重要辦公場所的訪問控制措施(如門禁、值守等)，以及防盜竊、防破壞措施的實(shí)施情況。

　　第十一條 系統(tǒng)建設(shè)安全

　　系統(tǒng)建設(shè)安全：系統(tǒng)建設(shè)整個(gè)生命周期，包括系統(tǒng)建設(shè)設(shè)計(jì) 階段、實(shí)施階段以及驗(yàn)收階段中涉及的信息安全控制措施落實(shí)情況;

　　第十二條 應(yīng)用安全檢查

　　應(yīng)用系統(tǒng)安全：對于應(yīng)用系統(tǒng)技術(shù)安全控制落實(shí)情況的檢查 ，包括身份鑒別、訪問控制、交易安全、數(shù)據(jù)安全、密碼安全、輸入輸出合法性、備份恢復(fù)、日志及審計(jì)等;數(shù)據(jù)庫安全：對于常用數(shù)據(jù)庫(Oracle、SQLServer 等)的安全配置、訪問控制、備份恢復(fù)、日志及審計(jì)情況等進(jìn)行檢查;中間件安全：對于中間件的安全配置、訪問控制、備份恢復(fù) 、日志及審計(jì)情況等進(jìn)行檢查。

　　第十三條 網(wǎng)絡(luò)安全檢查

　　網(wǎng)絡(luò)架構(gòu)：對網(wǎng)絡(luò)整體架構(gòu)的安全情況，包括網(wǎng)絡(luò)可用性、訪問控制、網(wǎng)絡(luò)管理與審計(jì)、網(wǎng)絡(luò)防護(hù)等方面的安全控制情況進(jìn)行檢查;網(wǎng)絡(luò)設(shè)備安全：包括針對網(wǎng)絡(luò)主要設(shè)備(如路由器、交換機(jī)等)以及網(wǎng)絡(luò)中部署的安全設(shè)備(防火墻、入侵檢測、防病毒系統(tǒng))等的安全配置、訪問控制、備份、日志與審計(jì)等進(jìn)行檢查。

　　第十四條 服務(wù)器主機(jī)安全檢查

　　主機(jī)操作系統(tǒng)的安全性，包括賬號(hào)安全、系統(tǒng)日志、安全配置等。

　　第十五條 終端安全檢查

　　終端的安全，包括終端安全配置，補(bǔ)丁安裝情況、終端系統(tǒng) 以及賬戶情況，終端口令策略檢查，終端使用安全檢查，終端開啟服務(wù) 檢查，終端防病毒檢查。

　　五、附則

　　第十六條 本制度由信息化建設(shè)與管理中心負(fù)責(zé)解釋。

　　第十七條 本制度自發(fā)布之日起施行。

篇2：學(xué)院計(jì)算機(jī)信息系統(tǒng)安全管理辦法

　　學(xué)院計(jì)算機(jī)信息系統(tǒng)安全管理辦法

　　第一章 總則

　　第一條 為進(jìn)一步規(guī)范計(jì)算機(jī)信息系統(tǒng)(以下簡稱信息系統(tǒng))管理，保護(hù)信息系統(tǒng)安全，保障信息化建設(shè)和智慧校園建設(shè)順利進(jìn)行，根據(jù)《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《信息安全等級(jí)保護(hù)管理辦法》等規(guī)定，制定本辦法。

　　第二條 本辦法適用范圍為XX學(xué)院各職能部門建設(shè)管理的業(yè)務(wù)系統(tǒng)、網(wǎng)站和教學(xué)平臺(tái)等。

　　第三條 任何組織或者個(gè)人，不得利用信息系統(tǒng)從事危害國家利益、集體利益和公民合法利益的活動(dòng)，不得危害信息系統(tǒng)的安全。

　　第二章 管理機(jī)構(gòu)及職責(zé)

　　第四條 信息系統(tǒng)實(shí)行學(xué)校、二級(jí)單位兩級(jí)管理。

　　第五條 信息化建設(shè)與管理中心宏觀管理全校信息系統(tǒng)，具體職責(zé)為：

　　1、制定、完善信息系統(tǒng)管理規(guī)章制度;

　　2、指導(dǎo)各二級(jí)單位信息系統(tǒng)建設(shè);

　　3、為信息系統(tǒng)提供服務(wù)器等硬件及適合的運(yùn)行環(huán)境;

　　4、根據(jù)國家規(guī)定，對信息系統(tǒng)實(shí)行安全等級(jí)保護(hù);

　　5、開展信息系統(tǒng)安全培訓(xùn)，提高管理人員的安全保護(hù)意識(shí)和水平;

　　6、督促各二級(jí)單位按相關(guān)法律法規(guī)及學(xué)校相關(guān)制度管理本單位的信息系統(tǒng)。

　　第六條 信息系統(tǒng)管理單位作為管理主體，具體職責(zé)為：

　　1、明確各信息系統(tǒng)的管理人員及職責(zé);

　　2、負(fù)責(zé)本單位信息系統(tǒng)的運(yùn)行與維護(hù);

　　3、負(fù)責(zé)本單位信息系統(tǒng)的全生命周期的安全保護(hù)。

　　第三章 分級(jí)保護(hù)

　　第七條 各信息系統(tǒng)應(yīng)依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》確定防護(hù)邊界和安全保護(hù)等級(jí)。

　　第八條 各信息系統(tǒng)管理單位應(yīng)使用符合國家有關(guān)規(guī)定，滿足信息系統(tǒng)安全保護(hù)等級(jí)需求的信息技術(shù)產(chǎn)品，開展信息系統(tǒng)安全建設(shè)或者改建工作。

　　第九條 在信息系統(tǒng)建設(shè)過程中，應(yīng)當(dāng)按照《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等技術(shù)標(biāo)準(zhǔn)，參照《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》、《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》、《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》、《信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》、《信息安全技術(shù)服務(wù)器技術(shù)要求》、《信息安全技術(shù)終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求》等技術(shù)標(biāo)準(zhǔn)同步建設(shè)符合該等級(jí)要求的信息安全設(shè)施。

　　第十條 信息系統(tǒng)管理單位應(yīng)當(dāng)參照《信息安全技術(shù)信息系統(tǒng)安全管理要求》(GB/T20269-2006)、《信息安全技術(shù)信息系統(tǒng)安全工程管理要求》(GB/T20282-2006)、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等管理規(guī)范，制定并落實(shí)符合本系統(tǒng)安全保護(hù)等級(jí)要求的安全管理制度。

　　第十一條 信息系統(tǒng)建設(shè)完成后，應(yīng)當(dāng)選擇符合規(guī)定條件的測評(píng)機(jī)構(gòu)，依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)要求》等技術(shù)標(biāo)準(zhǔn)，定期對信息系統(tǒng)安全等級(jí)狀況開展等級(jí)測評(píng)和安全自查。經(jīng)測評(píng)或者自查，信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級(jí)要求的，管理單位應(yīng)當(dāng)制定方案進(jìn)行整改。

　　第十二條 已投入使用的第二級(jí)以上信息系統(tǒng)，應(yīng)當(dāng)在安全保護(hù)等級(jí)確定后30日內(nèi)，向市公安局備案。新建第二級(jí)以上信息系統(tǒng)，應(yīng)當(dāng)在投入運(yùn)行后30日內(nèi)，向市公安局備案。

　　第四章 管理要求

　　第十三條 各信息系統(tǒng)應(yīng)根據(jù)業(yè)務(wù)需求，遵循最小授權(quán)原則設(shè)置各類操作權(quán)限。信息系統(tǒng)管理部門應(yīng)將操作權(quán)限設(shè)置情況作為系統(tǒng)技術(shù)檔案保存。系統(tǒng)業(yè)務(wù)變更或操作人員變更需及時(shí)更改操作權(quán)限，并同步更新技術(shù)檔案。各用戶賬號(hào)須專人專用，以保證可按權(quán)限操作，不得將本人賬號(hào)借給他人操作。

　　第十四條 信息系統(tǒng)的密碼不能為弱口令，應(yīng)至少由數(shù)字、字母、特殊符號(hào)等組成，長度不少于6位，并定期修改。更改密碼須由本人提出申請，管理員核實(shí)后方能修改。

　　第十五條 各信息系統(tǒng)管理單位須可以通過系統(tǒng)自動(dòng)和管理員手動(dòng)的方式，及時(shí)做好數(shù)據(jù)異機(jī)備份，且不能備份在WEB或FTP等公共訪問站點(diǎn)上。對于重要數(shù)據(jù)、關(guān)鍵數(shù)據(jù)還需進(jìn)行異地備份。

　　第十六條 數(shù)據(jù)恢復(fù)前信息系統(tǒng)管理員須制定恢復(fù)方案(包含恢復(fù)原理、恢復(fù)時(shí)間、恢復(fù)數(shù)據(jù)內(nèi)容、使用備份數(shù)據(jù)信息、恢復(fù)方法和操作步驟等)，經(jīng)信息系統(tǒng)管理單位論證和信息化建設(shè)與管理中心審批后執(zhí)行。數(shù)據(jù)恢復(fù)前須對系統(tǒng)進(jìn)行備份，確保當(dāng)前數(shù)據(jù)安全。數(shù)據(jù)恢復(fù)后須對數(shù)據(jù)進(jìn)行驗(yàn)證，確保數(shù)據(jù)的完整性和可用性。

　　第十七條 為提高信息系統(tǒng)性能，降低運(yùn)營成本，各信息系統(tǒng)管理單位須對各類信息系統(tǒng)數(shù)據(jù)進(jìn)行梳理，確定各類數(shù)據(jù)的保存期限和清理周期報(bào)信息化建設(shè)與管理中心備案，并定期清理失效數(shù)據(jù)。數(shù)據(jù)清理前須做好數(shù)據(jù)備份，確認(rèn)備份數(shù)據(jù)正確后才能執(zhí)行清理操作，數(shù)據(jù)清理的實(shí)施應(yīng)避開業(yè)務(wù)高峰期，避免影響聯(lián)機(jī)業(yè)務(wù)運(yùn)行。

　　第十八條 委托第三方進(jìn)行信息系統(tǒng)或相應(yīng)硬件設(shè)備維護(hù)的，須在運(yùn)維合同中增加保密條款，防止關(guān)鍵或重要數(shù)據(jù)泄密。

　　第五章 附則

　　第十九條 本辦法自發(fā)布之日起實(shí)施，由信息化建設(shè)與管理中心負(fù)責(zé)解釋

篇3：XX大學(xué)信息系統(tǒng)管理制度

　　XX大學(xué)信息系統(tǒng)管理制度

　　第一章 總則

　　第一條 “信息化”是提高管理水平的重要途徑。根據(jù)《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《網(wǎng)絡(luò)安全法》,保證信息系統(tǒng)的安全性、穩(wěn)定性，為各部門的日常工作提供高效的信息化平臺(tái)，需要對信息系統(tǒng)的使用、維護(hù)、管理進(jìn)行規(guī)范，特制定本制度。

　　第二條 范圍，本制度所指的信息系統(tǒng)包括：OA辦公自動(dòng)化系統(tǒng)、學(xué)校網(wǎng)站、各類業(yè)務(wù)系統(tǒng)(如：財(cái)務(wù)、科研、人事、學(xué)工系統(tǒng)等)、郵件系統(tǒng)、安全系統(tǒng)等以軟件應(yīng)用為主的系統(tǒng)。

　　第二章 組織機(jī)構(gòu)和職能

　　第三條 信息系統(tǒng)管理的職能部門：現(xiàn)代教育技術(shù)與信息中心

　　第四條 現(xiàn)代教育技術(shù)與信息中心的主要職能及管理人員崗位職責(zé)：

　　制定專職的系統(tǒng)管理員，保證信息系統(tǒng)數(shù)據(jù)庫服務(wù)器、應(yīng)用服務(wù)器、交換機(jī)和各終端正常運(yùn)行，系統(tǒng)管理人員建立日常運(yùn)行維護(hù)管理流程并按管理流程對信息系統(tǒng)軟件進(jìn)行日常維護(hù)管理;保證信息系統(tǒng)軟件的正常運(yùn)行;清理無用用戶數(shù)據(jù)和管理用戶權(quán)。

　　第五條 信息系統(tǒng)對口業(yè)務(wù)部門的主要職能：

　　1、對口業(yè)務(wù)部門設(shè)專(兼)職的信息管理專員1人，保證信息系統(tǒng)軟件的正常運(yùn)行，負(fù)責(zé)信息系統(tǒng)基礎(chǔ)數(shù)據(jù)的維護(hù)，系統(tǒng)日常數(shù)據(jù)的備份;

　　2、對口業(yè)務(wù)部門指派專(兼)人員，負(fù)責(zé)監(jiān)督檢查業(yè)務(wù)數(shù)據(jù)錄入的正確性、及時(shí)性、完整性，系統(tǒng)生成的報(bào)表，以及靜態(tài)管理報(bào)表和動(dòng)態(tài)管理報(bào)表取數(shù)的準(zhǔn)確性;

　　第三章 信息系統(tǒng)使用

　　第六條 軟件系統(tǒng)操作人員必須嚴(yán)格按照現(xiàn)代教育技術(shù)與信息中心劃分的權(quán)限操作，如需變更權(quán)限，請向現(xiàn)代教育技術(shù)與信息中心申請。

　　第七條 凡具有軟件操作權(quán)限的人員，必須嚴(yán)守自己的用戶名和密碼，不能向他人(包括學(xué)校內(nèi)部和外部的人員)透露，如因此造成損失，由該用戶自行負(fù)責(zé)。

　　第八條 軟件用戶應(yīng)經(jīng)常修改用戶密碼，保證密碼不泄漏。密碼強(qiáng)度應(yīng)在八位以上并含有字母及大小寫。

　　第九條 業(yè)務(wù)部門必須嚴(yán)格按照信息系統(tǒng)有關(guān)操作管理的要求，規(guī)范操作流程，嚴(yán)密控制訪問人員，防止無關(guān)用戶進(jìn)入系統(tǒng)，確保應(yīng)用系統(tǒng)的安全、穩(wěn)定、持續(xù)運(yùn)行。

　　第十條 操作人員必須根據(jù)各業(yè)務(wù)系統(tǒng)要求及時(shí)、準(zhǔn)確、完整的錄入信息數(shù)據(jù)。

　　第十一條 未經(jīng)授權(quán)，不得打印或拷貝信息數(shù)據(jù)等內(nèi)部資料給非授權(quán)人員。

　　第四章 系統(tǒng)管理

　　第十二條 新增用戶或者用戶操作權(quán)限變更，都需要按以下流程審批：

　　1.填報(bào)信息系統(tǒng)用戶權(quán)限申請表;

　　2.主管部門負(fù)責(zé)人審核;

　　3.權(quán)限涉及部門負(fù)責(zé)人意見;

　　4.現(xiàn)代教育技術(shù)與信息中心負(fù)責(zé)人審批;

　　5.審批后給予辦理。

　　第十三條 系統(tǒng)備份

　　對于數(shù)據(jù)庫集中保存在數(shù)據(jù)中心數(shù)據(jù)庫群集的業(yè)務(wù)系統(tǒng)，現(xiàn)代教育技術(shù)與信息中心負(fù)責(zé)數(shù)據(jù)庫的日常備份，即：每天進(jìn)行一次本地及異地災(zāi)備，備份數(shù)據(jù)至少保留7天;

　　第十四條 業(yè)務(wù)數(shù)據(jù)修改

　　如果因?yàn)楣芾硇枰{(diào)整業(yè)務(wù)，或者因?yàn)闃I(yè)務(wù)操作錯(cuò)誤、系統(tǒng)錯(cuò)誤等原因需要直接修改數(shù)據(jù)庫中的數(shù)據(jù)或回滾數(shù)據(jù)，根據(jù)修改業(yè)務(wù)數(shù)據(jù)的影響程度分為一般業(yè)務(wù)數(shù)據(jù)修改、重大業(yè)務(wù)數(shù)據(jù)修改兩種情況處理，分別參見第十五條、第十六條。

　　第十五條 一般業(yè)務(wù)數(shù)據(jù)修改，按以下流程執(zhí)行：

　　1. 填寫業(yè)務(wù)數(shù)據(jù)修改申請表

　　2. 申請部門負(fù)責(zé)人審核;

　　3. 現(xiàn)代教育技術(shù)與信息中心審核;

　　4. 現(xiàn)代教育技術(shù)與信息中心分管領(lǐng)導(dǎo)審批;

　　第十六條 重大業(yè)務(wù)數(shù)據(jù)修改指符合以下情形之一的情況：

　　1.對生產(chǎn)業(yè)務(wù)進(jìn)行回滾操作;

　　2.導(dǎo)致系統(tǒng)業(yè)務(wù)停機(jī)或關(guān)聯(lián)影響;

　　3.違反相關(guān)制度、流程;

　　4.批量調(diào)整基礎(chǔ)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)。

　　按以下流程執(zhí)行：

　　1. 填寫業(yè)務(wù)數(shù)據(jù)修改申請表;

　　2.申請部門負(fù)責(zé)人審核;

　　3.相關(guān)部門會(huì)簽，相關(guān)部門根據(jù)業(yè)務(wù)影響指定，必要時(shí)由網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組召集相關(guān)部門集體討論;

　　4.現(xiàn)代教育技術(shù)與信息中心分管領(lǐng)導(dǎo)審核;

　　5.審批通過后給予處置。

　　第五章 業(yè)務(wù)系統(tǒng)臺(tái)賬

　　第十七條 各類業(yè)務(wù)系統(tǒng)必須實(shí)施臺(tái)賬管理，責(zé)任到人。

　　第十八條 現(xiàn)代教育技術(shù)與信息中心對部署于校內(nèi)的各類業(yè)務(wù)系統(tǒng)做好臺(tái)賬登記，施行業(yè)務(wù)系統(tǒng)每學(xué)期的確權(quán)核查，無法核查到責(zé)任人的業(yè)務(wù)系統(tǒng)，現(xiàn)代教育技術(shù)與信息中心有權(quán)直接關(guān)閉并下線系統(tǒng)。

　　第十九條 現(xiàn)代教育技術(shù)與信息中心應(yīng)對部署上線的業(yè)務(wù)系統(tǒng)進(jìn)行安全登記與檢查。對于不接受統(tǒng)一安全管理的業(yè)務(wù)系統(tǒng)給予下線處置。