XX大學信息化建設與管理處
第一部分 網絡與信息安全規章制度
XX大學信息安全方針
第一章 總則
第一條 為了給XX大學的信息安全工作提供清晰的指導方向,加強安全管理工作,保證業務系統的安全運營,特制定本方針。
第二條 信息安全工作是XX大學運營與發展的基礎和核心,是保證網絡品質的基礎,是保障XX大學利益的基礎,也是國家安全的需要,因此必須重視網絡與信息安全工作。
第三條 信息安全是XX大學各部門所有員工共同分擔的責任,與每一個員工的日常工作息息相關,所有員工必須提高認識,高度重視,從自己開始,堅持不懈地做好網絡與信息安全工作。
第四條 本方針適用于XX大學全體員工。
第二章 安全目標
第五條 XX大學的信息安全使命是:
保障業務正常和安全運行,保證業務連續性;
保護XX大學的技術機密,維護XX大學的利益;
第六條 XX大學的信息安全愿景是:
建立行業一流的信息安全保障體系。
第三章 安全工作基本原則
第七條 安全工作應遵循以下基本原則:
“分級保護”原則:應根據各業務系統的重要程度以及面臨的風險大小等因素決定各類信息的安全保護級別,分級保護,合理投資。
“同步規劃、同步建設、同步運行”原則:安全建設應與業務系統同步規劃、同步建設、同步運行,在任何一個環節的疏忽都可能給業務系統帶來危害。
“三分技術、七分管理”原則:網絡與信息安全不是單純的技術問題,需要在采用安全技術和產品的同時,重視安全管理,不斷完善各類安全管理規章制度和操作規程,全面提高安全管理水平。
“內外并重”原則:安全工作需要做到內外并重,在防范外部威脅的同時,加強規范內部人員行為和審計機制。
“整體規劃,分步實施”原則:需要對XX大學信息安全建設進行整體規劃,分步實施,逐步建立完善的信息安全體系。
“風險管理”原則:進行安全風險管理,確認可能影響信息系統的安全風險,并以較低的成本將其降低到可接受的水平。
“適度安全”原則:沒有絕對的安全,安全和易用性是矛盾的,需要做到適度安全,找到安全和易用性的平衡點。
第四章 安全組織機構職責
第八條 XX大學信息安全實施統一領導、專業分工負責的原則。信息安全采用二級管理體制,分為:組長和副組長負責總體的信息安全指導和運行管理。各相關部門負責本部門的信息安全指導、運行和運行管理。
第九條 信息安全工作組構成及成員
XX大學各部門分管領導為工作組成員,XX大學各單位技術業務骨干為具體小組操作人員。
第十條 信息安全工作組職責
信息安全工作組負責具體的安全規劃、建設、運行和管理的組織。
第十一條 信息安全工作組主要職能有:
信息安全工作組負責信息安全策略的管理、系統配置的管理、安全事件的審計和安全事故的處理;
按照XX大學規定進行信息系統的運行監視、安全審核,根據安全狀況調整XX大學內信息系統的統一安全策略;
安全事件發生后,信息安全工作組協調應急響應組決定是否啟動應急流程;
組織編制修訂信息安全相關制度、規范和流程;
監督信息安全相關制度、規范和流程的執行;
組織XX大學的信息安全培訓;
各部門信息安全日常工作職責
各部門負責部門內的信息安全工作,按照本規程進行日常相關工作。各部門負責人負責本部門的信息安全工作,授權或組織人員進行日常信息安全工作。
信息化建設與管理處辦公室負責XX大學整體網絡安全管理;
信息系統部負責網管系統和網絡安全的建設和維護,監測網絡設備性能參數和網絡運行狀況,支撐系統網絡安全及建設維護。
第五章 安全工作要求
第十二條 XX大學和各部門必須建立和完善信息安全管理規章制度和操作程序,規范和加強信息安全管理工作,所有員工必須遵守與其相關的信息安全規章制度。
第十三條 加強內部人員安全管理,依據最小特權原則清晰劃分崗位,在所有崗位職責中明確信息安全責任,要害工作崗位實現職責分離,關鍵事務雙人臨崗,重要崗位要有人員備份,定期進行人員的安全審查。
第十四條 所有員工都應簽署保密協議,并接受信息安全教育培訓,提高安全意識,及時報告網絡與信息安全事件。
第十五條 必須加強第三方訪問和外包服務的安全控制,在風險評估的基礎上制定安全控制措施,并與第三方外包服務商簽署安全責任協議,明確其安全責任。
第十六條 各部門必須加強信息資產管理,建立和維護信息資產清單,維護最新的網絡拓撲圖,建立信息資產責任制,對信息資產進行分類管理和貼標簽。
第十七條 加強機房和辦公區域的安全管理,為設備的正常運行提供物理和環境安全保障。
第十八條 建立日常維護操作規程和變更控制規程,規范日常運行維護操作,嚴格控制和審批任何變更行為。
第十九條 加強項目建設的安全管理,配套安全系統必須與業務系統“同步規劃、同步建設、同步運行”,加強安全規劃、安全審批、安全驗收管理。
第二十條 加強防范惡意軟件,所有Windows機器必須安裝網絡防病毒系統,定期更新病毒特征代碼,及時報告發現的病毒。
第二十一條 按照補丁跟進和發布、補丁獲取、補丁測試、補丁加載、補丁驗證、補丁歸檔這一流程進行補丁安全管理。
第二十二條 建立維護作業計劃,嚴格執行維護作業計劃,加強對設備、操作系統、數據庫、應用系統的運行監控,編寫日常運行維護報告。
第二十三條 部署網絡層面和系統層面的訪問控制、安全審計以及安全監控技術措施,保障業務系統的安全運行。
第二十四條 增強主機系統的安全配置,定期進行安全評估和安全加固。
第二十五條 制定各業務系統的應急方案,定期更新、維護和測試,做好數據備份工作,確保數據的及時恢復,保證數據的安全。
第二十六條 加強用戶帳號和權限管理,按照最小特權原則為用戶分配權限,避免出現共用帳號的情況。
第二十七條 加強用戶口令的管理,口令長度至少9位,并采用數字、字母和特殊字符等不少于三種組合,定期修改用戶口令。
第二十八條 加強應用系統的安全管理,包括軟件開發安全管理、投產測試和上線安全管理、應用軟件版本和配置管理,加強外包開發的業務系統軟件的安全管理。
第二十九條 建立安全檢查制度和安全處罰制度,對違反規章制度的部門和人員按照規定進行處罰。
篇2:XX大學網絡與信息安全策略
XX大學信息化建設與管理處
第一部分 網絡與信息安全規章制度
XX大學網絡與信息安全策略
第一章 總則
第一條 為了建立、健全XX大學網絡、信息安全管理制度,加強網絡與信息安全保障能力,保證網絡通信暢通和業務系統的正常運營,按照相關的國家標準,在學校安全體系框架下,確定網絡與信息安全方針和目標,對學校網絡、信息安全風險進行有效管理,規范安全事件的響應和操作流程,改進信息安全管理制度的有效性,特制定信息安全策略文檔。
第二條 本文檔適用于學校校園網內相關的所有信息安全管理活動。
第二章 信息安全范圍
第三條 信息安全策略涉及的范圍包括:
1. XX大學全體師生。
2. 校園網內的各個數字化校園信息系統,包括XX大學網站主頁、XX大學信息門戶系統、統一身份認證系統、人事管理系統、辦公自動化系統、網站群系統、學工管理系統、電子郵件系統等在內的所有校園網內的業務系統。
3. 校園內現有的信息資產,包括與上述數字化校園信息系統相關的數據、硬件、軟件、服務及文檔等。
4. 校園內的辦公場所和上述信息資產所處的物理位置。
第三章 信息安全總體目標
第四條 通過建立健全XX大學網絡安全及各項信息安全管理制度、加強XX大學師生的網絡、信息安全培訓和教育工作,制定適合我校現狀的網絡信息安全風險控制措施,有效控制校園網內網絡與信息系統面臨的安全風險,從而保障數字化校園業務系統的正常穩定運行,提高網絡與信息系統的服務質量,進而全面提高我校信息化建設質量及安全水平,為我校信息化建設的可持續發展提供有力保障。
第四章 信息安全方針
第五條 XX大學信息化建設領導小組領導定期組織相關人員召開網絡信息安全會議,并征詢XX大學信息化專家咨詢小組的意見,對相關的網絡信息安全重大問題做出決策。
第六條 清晰識別我校的所有信息資產,實施等級標記,對校內信息資產進行分級、分類管理,并編制和維護所有重要信息資產的清單。
第七條 綜合使用訪問控制、監測、審計和身份鑒別等方法來保證校內數據、網絡、信息資源、資產的安全,并加強對校外人員訪問數字化校園信息系統的控制和監測,最大程度降低業務系統被非法入侵的風險。
第八條 啟用各個服務器操作系統、網絡設備、安全設備、應用軟件的日志功能,并盡可能定期地進行審計,做好相應的記錄。
第九條 明確我校全體師生的信息安全責任,全校所有的師生必須接受網絡信息安全方面的相關教育培訓,提高信息安全意識。針對校內教職工的各個不同崗位,制定好不同等級、水平的網絡信息安全培訓計劃,并定期對各個崗位教職人員進行信息安全技能及信息安全認知方面的考核。
第十條 建立學校網絡與信息安全事件報告、網絡信息安全相關事故應答和分類機制,確定一個報告可疑的及已經發生的信息安全事故的完整流程,并讓所有師生及相關人員了解和執行事故處理流程,同時還要注意妥善保存好網絡信息安全事件的相關記錄與證據。
第十一條 對各個數字化校園信息系統的用戶權限和密碼口令進行嚴格管理,要求全校師生逐步將信息系統用戶密碼改為強密碼格式并綁定常用的手機號,以便重要系統進行雙因素認證,防止黑客對信息系統的非法訪問和對個人數據信息的惡意篡改或竊取。
第十二條 制定出一套完善的數據備份策略,對校園網內所有重要數據進行定期的備份。數據備份之后還要定期進行還原測試,同時還需注意備份介質與原數據信息所在場所應保持一定的安全距離。
第十三條 與信息軟件銷售公司、硬件銷售維保公司等外部單位合作之前,應在采購、服務合同中明確規定合同參與方的安全要求、安全責任和安全規定等相關安全內容,并采取相應的措施嚴格保證雙方對協議安全內容的有效執行。
第十四條 在自主開發新業務系統或者委托軟件公司建設新的信息系統時,應當充分考慮相關的安全需求,并嚴格控制有關人員對項目相關文件和源代碼等敏感數據的訪問,防止重要信息被竊取或泄露。
第十五條 制定好一整套計劃和方案定期對校園網內各個信息系統進行風險評估,并根據風險評估的結果,劃分好各系統的風險等級,采取相應的有效措施對這些業務系統進行風險控制。
第十六條 上述方針由XX大學信息化建設領導小組批準發布,并定期評審其適用性和充分性,必要時予以修訂。
第五章 信息安全策略
第一節 安全管理制度策略
第十七條 XX大學信息化建設領導小組統一制定信息安全工作的總體方針和安全策略,說明安全工作的總體目標、范圍、原則和安全框架,形成由安全策略、管理制度、操作規程等構成的全面的信息安全管理制度體系;
第十八條 XX大學網絡與教育技術中心各部門相關領導負責與各自部門工作相關的安全管理制度的制定,安全管理制度應具有規范統一的格式。制定好之后組織XX大學信息化專家咨詢小組相關專家對制定的安全管理制度進行論證和審定,并通過校園網站主頁及信息門戶平臺進行發布。
第十九條 XX大學信息化建設領導小組負責定期組織專家及網絡與教育技術中心相關部門、人員對安全管理制度體系的合理性和適用性進行審定,對制度體系中存在的不足之處或需要改進的地方及時進行修訂和完善。
第二節 安全管理機構策略
第二十條 XX大學信息化建設領導小組是我校信息化建設與管理工作的最高領導與決策機構,其下設辦公室,掛靠信息化建設與管理處。學校各單位需明確一名分管信息化工作的領導,負責推進本單位的信息化工作,并積極配合學校的相關信息化工作。此外,可以從以上領導中選拔出一定人員,成立指導和管理信息安全工作的委員會,全面負責信息安全工作,負責對安全事件的判斷和報告以及安全事件應急恢復流程的啟動,同時也可以及時協調處理其所在單位的一般安全事件。
第二十一條 信息化建設與管理處承擔著學校信息安全管理的總體職責,其下屬的網絡與教育技術中心作為信息安全管理工作的職能部門,應當設立安全主管,并在各業務部門設立安全管理員、系統管理員、網絡管理員等崗位,具體明確地定義好各崗位的職責。遵循“誰主管,誰主辦,誰負責”的原則,建立工作責任制和責任追究制,明確分工,強化管理。
第二十二條 學校各院系、業務處室也應當設置一名專職的信息管理人員負責本單位相關信息系統的建設、管理、本單位網站網絡的維護及數據安全維護管理等相關工作,關鍵或重要事務的崗位還應配備多人共同管理維護。
第二十三條 針對信息化業務系統變更、重要操作、物理訪問和系統接入等事項應當建立健全一套完整的審批程序,嚴格按照審批程序來執行審批過程。對重要事務要建立逐級審批制度,并定期審查審批事項,及時更新需授權和審批的項目、審批部門和審批人等信息,并記錄好審批過程并妥善保存好審批文檔。
第二十四條 加強學校信息化建設領導小組及信息安全管理委員會組織內部的合作與溝通,定期召開協調會議,共同協作、及時處理信息安全問題,同時也應加強與外聯、合作單位(軟件公司,硬件銷售維保單位、通訊運營商、公安局、業界專家、專業安全公司)等的合作與溝通,并制定外聯單位聯系列表。
第二十五條 由學校信息安全管理相關領導制定一套完善的安全審核和安全檢查制度,以規范學校各個院系、部門相關人員的安全審核和安全檢查工作。嚴格督促他們定期按照制度所規定的程序和流程執行各自單位的安全審核和安全檢查工作。
第三節 人員安全策略
第二十六條 XX大學人事處負責員工錄用,應嚴格規范人員的錄用過程,對被錄用人的身份、背景、專業資格和資質等進行詳細審查,對其所具有的技術技能進行嚴格專業的考核,并簽署保密協議。
第二十七條 XX大學全體教職工應根據各自的崗位職責要求嚴格履行其安全角色和職責,主要包括:保護學校信息、數據資產免受未經授權的訪問、泄漏、惡意篡改、銷毀或干擾,遵照信息安全制度規定的流程定期執行特定的安全檢查工作,報告檢查過程中發現的安全事件或存在的其他安全風險。
第二十八條 信息化建設與管理處應組織學校各院系、部處分管領導定期對本單位各個崗位的人員進行安全技能及安全認知的考核,對處于學校重要關鍵崗位的人員更要定期執行全面、嚴格的安全審查和技能考核。
第二十九條 校外單位人員在訪問校內信息處理設施前必須簽署保密協議,保密協議內容包括校外單位人員訪問信息資產的權利、承擔的安全責任、違反職責要承擔的后果等。負責接待的人員或部門要保證校外單位人員詳細了解保密協議的條款和內容,并同意履行協議規定的責任。
第三十條 在學校網絡與信息資產暴露于重大威脅時,XX大學信息化建設與管理處有關領導和信息系統管理人員應當預見并嚴格監控可能發生的重大變化,根據安全事件的類型和級別定義判斷安全事件,及時指揮、協調、督促并審查已經發生的安全事件的處理,并控制其危害蔓延,同時要負責落實學校信息安全的各項工作,負責學校各院系、部門信息安全工作的監督、考核、指導以及審批。學校各個院系、部門相關分管領導和信息系統管理人員也應當對一般安全事件的發生、處理辦法進行記錄,并將《安全事件記錄單》及相關文檔提交信息化建設與管理處辦公室進行備案,處理和匯報流程參見《安全事件處理流程》。在處理一般安全事件過程中,各個領導和信息系統管理員都需要對事件的嚴重程度進行判斷,如果已經上升到重大安全事件,應啟動《應急響應流程》。
第三十一條 學校信息化建設領導小組應制定針對不同人員的培訓計劃,定期開展全校師生和各崗位工作人員的信息安全培訓活動,培訓內容包括安全方針、策略、程序以及信息處理設施的正確使用方法,提高他們的安全意識和安全技能。保證他們都能認識到信息安全問題和信息安全事件,清晰地傳達安全角色和職責給每個人,使他們能按照各自的安全角色履行安全職責。
第三十二條 學校信息安全管理委員會應當制定正式的信息安全紀律處理制度和流程,來嚴肅處理安全違規的師生,以對其他師生產生威懾作用,防止他們違反安全策略、程序和其他安全制度違規。對待違反紀律人員的處理過程要正確、公平、公正、公開,要根據違規的性質、嚴重程度、重要性和對校內業務的影響大小等因素區別對待。
第三十三條 當校內員工離職或調離原來所在崗位、校外單位駐校人員合同期滿時,應立即終止其原來的安全角色和安全職責,并通知與其工作相關的其他人員,讓他們能及時清楚人員的變動。
第三十四條 當校內員工離職或調離原來所在崗位、校外單位駐校人員合同期滿時,應及時歸還其工作中使用的所有信息資產,如設備、軟件、文件、相關工作證件、電子資料等,防止其對資產的非授權使用,及時刪除其對校園網內信息業務系統和信息處理設施的賬戶和訪問權限。
第四節 信息化項目范圍和管理
第三十五條 信息化項目是指以計算機和通信等現代信息技術為主要手段,直接應用于學校教學、科研、管理和服務工作的非涉密的信息系統和相關基礎設施建設。主要包括以下內容:
1.信息化基礎設施建設。包括各類網絡弱電工程建設、升級改造、光纜、無線網絡建設、各類網絡接入及安防監控系統等。
2.信息化軟件系統建設。包括各類管理和服務信息系統,涉及全校業務范圍的應用系統及應用平臺的采購、開發和集成(不包括僅供部門使用的專業軟件、操作系統),各類中間件、數據庫等建設以及后期的維護保養和升級。
3.信息化相關的硬件設備建設項目。包括服務器、存儲、網絡交換機、路由器、防火墻等設備的采購,以及后期的維護保養和升級更換。
第三十六條 學校對信息化項目實行統籌管理,信息化建設與管理處負責信息化建設項目具體管理。信息化項目原則上按年度申報,每年底單位向信息化建設與管理處報送下一年建設計劃,信息化建設與管理處匯總、論證后報學校信息化建設領導小組審定。
第三十七條 財務處負責信息化建設經費的落實,負責信息化項目經費的管理,并根據信息化建設與管理處階段審核結果支付階段項目款。
第三十八條 實驗室與設備管理處負責信息化建設項目資產管理,并根據檔案驗收和信息化建設與管理處組織的專業驗收結果予以資產入賬。
第三十九條 基建處負責學校新建設樓宇及改造、擴建等基建項目中的網絡建設項目管理。建設方案和網絡項目驗收須經信息化建設與管理處審批。
第四十條 保衛處負責學校安防監控系統的建設與管理,建設方案須經信息化建設與管理處審批。
第四十一條 信息化建設與管理處負責信息化建設項目的過程控制和文檔管理,須加強項目建設效果評估并建立項目責任追究機制。
第五節 信息化基礎設施建設
第四十二條 學校新建、擴建和大修樓宇內和樓宇之間的綜合布線及基礎網絡系統由基建處會同信息化建設與管理處統一規劃、立項、采購、建設,各類安防監控系統由基建處會同保衛處統一規劃、立項、采購、建設。后期對樓宇綜合布線系統及樓宇網絡接入設備的維護和維修由信息化建設與管理處負責實施,對安防監控系統的維護和維修由保衛處負責實施。
第四十三條 建設單位采購信息化相關硬件以及接入校園網絡的相關設備應選擇業內的主流產品,且須符合校園網的接入標準。全校各單位在組織實施與校園網聯接的網絡布線工程時,要有設計圖紙及施工方案。網絡布線的設計要符合《建筑與建筑群綜合布線系統工程設計規范》。設計圖紙及施工方案需報信息化建設與管理處審查備案后方可施工。
第四十四條 在施工時要選擇有資質的施工隊伍,施工人員應受過專業的培訓,施工工藝要符合工程的驗收規范。在施工過程中和施工結束驗收時,應按《建筑與建筑群綜合布線系統工程驗收規范》進行驗收。施工驗收前,施工人員必須對每一條線路進行測試,形成測試數據文檔。在工程結束后,施工單位必須建立完整的布線文檔,文檔中應清楚的標注每一個信息點的位置及接入校園網的路由。
第四十五條 校園網基礎設施和應用建設完成后,建設單位應向信息化建設與管理處提交施工圖、布線文檔和測試報告文檔。如果不能完整提供以上文檔,信息處有權拒絕該新建網絡接入校園網。任何校園網基礎設施和應用建設完成后都必須經過信息化建設與管理處驗收合格后方可接入校園網。
第四十六條 為提高網絡服務器和存儲系統的利用率,便于管理,網絡服務器和存儲系統由信息化建設與管理處統一規劃,實行集中管理和維護,原則上各單位不得單獨采購。
第六節 信息化軟件系統建設
第四十七條 信息化軟件系統建設項目可采用自主研發、合作開發、外包、采購等方式進行建設。無論采取何種方式,都必須執行學校的信息化建設規范和標準,以便各個應用系統能有效地實現信息交換和資源共享,保證數據的一致性和完整性。對于需要身份驗證的系統,必須與信息化建設與管理處統一身份認證系統相集成。信息系統建設前,還應明確該系統的邊界和安全保護等級,并明確說明該系統為某個安全保護等級的方法和理由,同時組織信息處和信息化咨詢專家小組的專家對信息系統定級結果的合理性和正確性進行論證和審定,再對定級結果予以批準。
第四十八條 信息化建設與管理處負責對信息系統建設的質量和進度進行全程監控、管理和協調,包括需求分析、技術方案制定、系統開發或購置、安裝及測試等階段,還要負責對信息系統的安全建設進行總體規劃,制定近期和遠期的安全建設工作計劃。根據信息系統之前劃分的安全保護等級,統一考慮安全保障體系的總體安全策略、安全技術框架、安全管理策略、總體建設規劃和詳細設計方案,并形成配套文件。
第四十九條 項目申請和立項。信息系統軟件申請單位要進行廣泛的需求調研,明確建設目標,進行業務流程梳理和優化,填寫立項申請書,報信息化建設與管理處,由信息化建設與管理處根據信息化建設規劃對該項目的系統需求、可行性研究和項目計劃進行論證和審核。經費額度較大或涉及面廣的需報分管校領導審定,同時還要組織信息化咨詢小組有關專家對總體安全策略、安全技術框架、安全管理策略、總體建設規劃、詳細設計方案等相關配套文件的合理性和正確性進行論證和審定,并且經過批準后,才能正式實施。
第五十條 業務系統的開發、測試和運行設施要分離并進行控制,控制措施包括敏感數據不能拷貝到測試系統環境中、禁止開發和測試人員訪問運行系統及其信息等,以減少對運行設施及其信息的未授權訪問和帶來的潛在風險。
第五十一條 定期根據外包服務協議中的安全要求,監視、評審由外部單位提供的服務、報告和記錄,監督協議規定的信息安全條款和條件的嚴格執行。監視、評審內容包括監視服務執行效率,評審服務報告,審查外包服務的安全事件、操作問題、故障、失誤追蹤和破壞的記錄。
第五十二條 授權專門的部門或人員負責工程實施過程的管理,工程實施前應制定詳細的工程實施方案控制實施過程,并要求工程實施單位能正式地執行安全工程過程,并制定工程實施方面的管理制度,明確說明實施過程的控制方法和人員行為準則。
第五十三條 新業務系統或升級版本在正式上線前,要進行合適的測試,并由信息化建設與管理處組織相關專家人員根據學校信息化建設標準與規范和驗收要求、標準進行正式的驗收,以證實全部驗收準則完全被滿足。對于驗收合格的項目方可按合同約定支付項目進度款。
第五十四條 系統建設完成后應制定詳細的系統交付清單,并根據交付清單對所交接的設備、軟件和文檔等進行清點;應提供系統建設過程中的文檔和指導用戶進行系統運行維護的文檔,同時對負責系統運行維護的技術人員進行相應的技能培訓。
第五十五條 信息化建設與管理處辦公室負責管理系統定級的相關材料,并控制這些材料的使用;將系統等級及相關材料報系統主管部門和相應公安機關備案。
第五十六條 信息化建設與管理處辦公室負責信息系統等級測評的管理,并在系統運行過程中,對三級信息系統應每年進行一次等級測評,應選擇具有國家相關技術資質和安全資質的測評單位,發現不符合相應等級保護標準要求的及時整改;同時在系統發生變更時及時對系統進行等級測評,發現級別發生變化的及時調整級別并進行安全改造,發現不符合相應等級保護標準要求的及時整改。
第五十七條 在選擇安全服務商時應符合國家的有關規定,并與選定的安全服務商簽訂與安全相關的協議,明確約定相關責任,同時確保選定的安全服務商提供技術培訓和服務承諾,必要的與其簽訂服務合同。
第七節 信息安全運維策略
第五十八條 所有的信息資產要指定專人責任,并對責任人賦予相應的職責,確保所有信息資產都可以核查。
第五十九條 根據信息資產的重要性、業務價值、依賴程度,對所有信息資產進行分類、分級,編制信息資產的清單。對信息資產清單妥善保管,并在信息資產變更時及時更新清單,確保可以對信息資產進行有效的保護。
第六十條 應對磁帶、磁盤、閃盤、可移動硬件驅動器、CD、DVD、打印媒體等進行有效的管理,防止非授權的使用和破壞。對可移動存儲介質的管理包括所有介質應存儲在符合制造商說明的安全、保密環境中,使用介質要進行授權、登記并追蹤審計等。
第六十一條 應對不再需要的數據介質進行安全處置,降低數據介質中的敏感信息泄漏給未授權人員的風險。
第六十二條 應對信息系統相關的各種設備(包括備份和冗余設備)、線路等指定專門的部門或人員定期進行維護管理。
第六十三條 應建立配套設施、軟硬件維護方面的管理制度,對其維護進行有效的管理,包括明確維護人員的責任、涉外維修和服務的審批、維修過程的監督控制等,應確保信息處理設備必須經過審批才能帶離機房或辦公地點。
第六十四條 應對通信線路、主機、網絡設備和應用軟件的運行狀況、網絡流量、用戶行為等進行監測和報警,形成記錄并妥善保存;同時組織相關人員定期對監測和報警記錄進行分析、評審,發現可疑行為,形成分析報告,并采取必要的應對措施。
第六十五條 指定專人對網絡和主機進行惡意代碼檢測并保存檢測記錄;定期檢查信息系統內各種產品的惡意代碼庫的升級情況并進行記錄,對主機防病毒產品、防病毒網關和郵件防病毒網關上截獲的危險病毒或惡意代碼進行及時分析處理,并形成書面的報表和總結匯報。
第六十六條 應建立信息系統變更管理制度,某一信息系統發生變更前,需制定好完善的變更方案,同時向信息化建設與管理處主管領導提出申請。信息系統的變更方案應經過相關領導、信息專家評審、審批后方可實施變更,并在實施后將變更情況向相關業務人員通告。
第六十七條 信息化建設與管理處應遵照信息安全事故報告機制,報告可能對學校的信息資產安全造成影響的不同種類的安全事故和弱點,并確保全校所有的師生、合同方和外部單位人員都遵守執行這套報告程序。
第六十八條 信息化建設與管理處對安全事故進行分類和分級,及時對信息安全事故的類型、頻率和影響等進行評估,并采取適當措施防止事故再次發生。
第六十九條 信息化建設與管理處應建立應急預案,在統一的應急預案框架下制定不同事件的應急預案,應急預案框架應包括啟動應急預案的條件、應急處理流程、系統恢復流程、事后教育和培訓等內容;同時應從人力、設備、技術和財務等方面確保應急預案的執行有足夠的資源保障。
第八節 物理安全策略
第七十條 信息化建設與管理處下屬的網絡與教育技術中心信息信息系統部負責學校數據服務器主要機房的安全,并配備機房安全管理人員,對機房的出入、服務器的開機或關機等工作進行管理。
第七十一條 信息系統部管理人員應定期對機房供配電、空調、溫濕度控制等設施進行維護管理。
第七十二條 信息系統部應建立一套機房安全管理制度,對有關機房物理訪問,物品帶進、帶出機房和機房環境安全等方面的管理作出規定。
第七十三條 信息系統部應在機房內設置安全防盜報警裝置和監控系統來實現防盜、防毀、保障設備的安全。
第七十四條 信息系統部應按照相關設計規范和技術要求,在機房設計和建設中做好靜電防護設施、防雷裝置和接地保護系統。
第七十五條 學校各機房都必須建立警報系統,在發現擅自進入受控區域時發出警報。
第七十六條 信息系統部有關管理人員應定期對服務器上的重要數據要進行備份,備份數據的存放位置應符合GBJ45-82中規定的一級耐火等級,符合防火、防高溫、防水、防震等要求;還要定期對備份數據進行檢查,保證其可用性。
第九節 主機安全策略
第七十七條 學校各院系、處室應指定專門的信息管理員對本單位的網站主頁、信息業務系統進行管理,劃分清楚系統管理員角色,明確各個角色的權限、責任和風險,權限設定應當遵循最小授權原則;并建立系統安全管理制度,對系統安全策略、安全配置、日志管理和日常操作流程等方面作出具體規定;同時依據操作手冊對系統進行維護,詳細記錄操作日志,包括重要的日常操作、運行維護記錄、參數的設置和修改等內容,嚴禁進行未經授權的操作。
第七十八條 應提高學校全體師生用戶的防病毒意識,安裝防病毒軟件,及時告知防病毒軟件版本,在讀取移動存儲設備上的數據以及網絡上接收文件或郵件之前,先進行病毒檢查,對外來計算機或存儲設備接入網絡系統之前也應進行病毒檢查。
第七十九條 當因學校內外部審核、軟件開發、軟件安裝或其他規定需求而需要特殊的訪問賬號時,賬號必須被授權;創建的日期期限必須明確;工作結束時此賬號必須刪除。
第八十條 校園網內信息系統的所有賬號都必須使用分配的用戶進行唯一性標識。
第八十一條 網絡與教育技術中心應派專人負責刪除無用的個人賬號;必須將修改用戶賬號相關信息的過程文件化;必須定期評審現有賬號的有效性,并將此過程文件化。
第八十二條 校園網內用戶安裝操作系統時應遵循最小安裝的原則,僅安裝需要的組件和應用程序,并通過設置升級服務器等方式保持系統補丁及時得到更新。
第八十三條 網絡與教育技術中心信息系統部應定期的對服務器和重要客戶端上的每個操作系統用戶和數據庫用戶進行審計,審計內容包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等系統內重要的安全相關事件。
第八十四條 相關技術人員在訪問操作系統過程中,對于不活動的會話必須設定在一個不活動周期后關閉,以防止未授權人員訪問和拒絕服務攻擊。
第八十五條 對于系統管理員和系統操作員的操作日志應做好記錄,并定期評審這些日志信息。系統管理員和系統操作員的日志應包括事件發生的時間,涉及的帳號和管理員或操作員,事件或故障的信息內容等信息。
第十節 網絡安全策略
第八十六條 網絡與教育技術中心應建立網絡安全管理制度,對網絡安全配置、日志保存時間、安全策略、升級與打補丁、口令更新周期等方面作出規定;同時應指定專人對網絡進行管理,負責運行日志、網絡監控記錄的日常維護和報警信息分析和處理工作;應實現設備的最小服務配置,并對配置文件進行定期離線備份;
第八十七條 網絡與教育技術中心信息系統部應定期對網絡系統進行漏洞掃描,對發現的網絡系統安全漏洞進行及時的修補;應根據廠家提供的軟件升級版本對網絡設備進行更新,并在更新前對現有的重要文件進行備份。
第八十八條 信息系統部應保證所有與外部系統的連接均得到授權和批準;并依據安全策略允許或者拒絕便攜式和移動式設備的網絡接入;同時定期檢查違反規定撥號上網或其他違反網絡安全策略的行為。
第八十九條 校園網內所有用戶的計算機設備如果無人值守必須啟動口令保護(屏保或注銷)。
第九十條 校園網絡基礎設施支持一系列合理定義的、被認可的網絡協議,使用任何未經認可的協議都必須經過批準。
第九十一條 校園防火墻必須按照防火墻實施規范文件進行安裝和配置。
第九十二條 校內人員未經批準不可以安裝路由器、交換機、集線器或者無線訪問端口。
第九十三條 在未經批準的情況下,校內網用戶不得安裝網絡硬件或軟件提供網絡服務。
第九十四條 網絡與教育技術中心信息系統部應在網絡邊界、安全域之間使用防火墻或VLAN進行邏輯隔離和訪問控制,使用網絡安全審計系統對網絡訪問行為進行記錄、監視和回放,保證對網絡進行充分的管理和控制,防止威脅的發生,維護業務系統和信息的安全。
第九十五條 對于校內記錄日志的設施和日志信息應加以保護,防止被篡改和未授權訪問。
第十一節 應用安全策略
第九十六條 校園網內所有訪問應用的賬號都必須使用分配的用戶進行唯一性標識。
第九十七條 基于各個業務應用要求,應嚴格限制用戶對信息和應用系統功能的訪問權限,防止對信息系統的未授權訪問。
第九十八條 對校內所有應用系統進行安全訪問的控制。
第九十九條 對校內所有應用系統自身產生的日志文件與系統日志進行審計,記錄用戶活動、異常和信息安全事件的日志信息,并保留一定的時間,以支持將來的調查和審計。
第十二節 數據安全和備份恢復策略
第百條 校內所有信息系統的用戶部門要建立備份與恢復管理相關的安全管理制度,對備份信息的備份方式、備份頻度、存儲介質和保存期等進行規范。
第百一條 校內所有信息系統的用戶部門應采用加密或其他保護措施實現系統管理數據、鑒別信息和重要業務數據傳輸和存儲的保密性。
第百二條 校內所有信息系統的用戶部門應制定詳細的備份策略,使用足夠的備份設施,定期對業務數據進行備份,確保業務數據在災難或媒體故障后能及時進行恢復,保存期限至少2年。
第百三條 備份的數據由網管人員負責保管,備份的數據應在指定的數據保管室或指定的場所保管。
第百四條 備份數據資料保管地點應有防火、防熱、防潮、防塵、防磁、防盜設施。
篇3:大學網絡與信息安全管理暫行辦法
XX大學網絡與信息安全管理暫行辦法
第一章 總 則
第一條 為了加強我校網絡與信息安全管理工作,根據《中華人民共和國網絡安全法》《中華人民共和國計算機信息系統安全保護條例》(國務院令第147號)、《中華人民共和國計算機信息網絡國際聯網安全保護管理辦法》(公安部令第33號)和《信息安全等級保護管理辦法》(公通字〔2007〕43號)等規定,結合學校實際,特制定本管理辦法。
第二條 本管理辦法所引用的術語的含義按第一條所引用的國家法律法規解析。
第三條 學校的全體教職員工都有義務和責任認真執行本管理規定,必須遵守國家有關法律、法規,嚴格執行安全保密制度,并對所使用的計算機的管理、使用行為與所提供的網上信息負責。
第四條 學校將根據國家有關計算機網絡與信息安全的法律與法規的變動情況,適時修改本規定的內容。
第五條 學校各單位應積極采取各種技術和行政手段以保障我校網絡與信息安全。
第六條 學校網絡與信息安全工作接受并配合國家有關部門依法進行監督檢查。
第二章 管理機構與職能
第七條 網絡與信息安全工作實行統一領導、統一規劃、分級管理制度。
第八條 學校設立網絡與信息安全工作領導小組,由校領導、信息化建設與管理處、校長辦公室、國際交流合作處、學生處、后勤與資產管理處、保衛處、宣傳部、華文學院等單位組成。網絡與信息安全的日常管理工作由信息化建設與管理處負責,信息和新媒體內容安全工作由宣傳部負責,其它安全工作由相應職能單位對口負責。
第九條 網絡與信息安全工作領導小組負責學校的網絡與信息安全的領導工作,制定整體規劃和各項管理制度,研究解決網絡與信息安全管理中的重大問題,在學校校園安全與穩定工作領導小組的指導下,對學校網絡與信息安全建設和管理工作進行總體部署。
第十條 學校網絡與信息安全工作按照“誰主管、誰負責,誰運行、誰負責,誰使用、誰負責”的原則明確責任主體。各單位主要領導為本單位網絡與信息安全的責任人。
第十一條 各單位要高度重視網絡與信息安全保護工作,成立組織機構,明確分管領導,配備專(兼)職網絡與信息安全員(原則上須設AB崗),統一負責本單位的網絡與信息安全管理工作,并報信息化建設與管理處備案。
第十二條 各單位的網絡與信息安全組織機構負責本單位(及下屬單位)的網站、信息系統、新媒體等的網絡與信息安全保護工作,落實網站、信息系統各項安全保護措施,保障網站、信息系統的安全穩定運行。
第十三條 信息化建設與管理處統籌規劃和指導全校各單位信息系統等級保護的定級與評測等工作,負責學校重要網絡基礎設施與數據中心安全運維和技術防護。
第三章 網絡與信息安全工作制度
第十四條 學校各單位網站的建設與管理按照《XX大學網站建設與運行管理辦法(試行)》(委宣〔2016〕22號)的有關規定執行,嚴禁未經許可私設網站。
第十五條 學校所有提供互聯網訪問許可的設備必須托管至學校數據中心或由數據中心提供相應硬件設備,并按等級保護要求落實網絡與信息安全防護措施。
第十六條 學校各單位原則上不得自建服務器,確實因工作需要開通內網訪問許可的,應按照等級保護要求落實網絡與信息安全防護措施,并報網絡與信息安全領導小組審批后,信息化建設與管理處予以備案監管。
第十七條 學校各單位網絡與信息安全工作責任人和安全員應做好本單位的網站和信息系統的日常安全管理工作。對系統的架構、設備、密碼、用戶信息、重要數據等做好備案工作。在調離本單位工作時,應移交上述材料,并對上述信息負有保密責任。
第十八條 學校各單位與計算機用戶應做好計算機的病毒防范工作。定期查毒。使用計算機網絡進行文件與數據傳輸時,應該做好病毒的清查工作。在計算機軟件與硬件使用前,應做好病毒與其它有害數據的檢測工作。
第十九條 任何單位和個人,不得從事下列活動:
(1)利用計算機信息網絡制作、傳播、復制反動與黃色等有害信息;
(2)非法侵入網絡系統與信息系統;
(3)非法竊取計算機與網絡系統中信息資源;
(4)違反國家規定,對計算機信息系統功能進行增加、刪除、修改、干擾,影響計算機信息系統正常運行;
(5)違反國家規定,對計算機信息系統中存儲、處理或者傳輸的數據和應用程序進行增加、刪除、修改、復制等;
(6)未經授權查閱他人電子郵箱;
(7)未經批準,私設網站與發布信息。
(8)冒用他人名義發送電子郵件;
(9)故意干擾計算機信息網絡暢通;
(10)瀏覽反動、黃色的網站。
第二十條 各單位對出現的網絡與信息安全事故,應第一時間上報保衛處與信息化建設與管理處并逐級向上級如實匯報,不得隱瞞。
第二十一條 信息化建設與管理處定期舉行網絡與信息安全的政策學習與技術培訓等活動。
第四章 應急處置
第二十二條 建立健全學校網絡與信息安全事件應急工作機制,提高應對網絡與信息安全事件的應急處置能力,預防和網絡與信息安全事件造成的損失和危害,維護學校穩定和健康發展。
第二十三條 學校網絡與信息安全事件應急處置的總體原則如下:
(1)統一指揮、協同處理。在學校網絡與信息安全領導小組的統一領導下,各單位合理分工,相互協作,形成快速、穩妥地處置網絡與信息安全事件的工作機制;
(2)落實責任、健全機制。按照職責劃分,分級處理,層層落實,共同做好網絡與信息安全事件的預防和處置工作;
(3)預防為主、嚴格監控。以預防為主,加強風險排查,減少故障隱患,做好應急處置的各項準備。嚴格執行監控值守制度,確保故障風險及早發現。
(4)果斷處置、有效應對。發生網絡與信息安全事件時要按應急報告流程及時報告,快速啟動應急預案進行應急處置,最大程度減少網絡與信息安全事件造成的危害和影響;
(5)及時報告,聯絡暢通。明確突發事件報告路線和報告渠道,一旦發生突發事件或出現潛在的危機事件,要保證能及時通知到相關人員。
第二十四條 學校各單位要加強網絡與信息安全應急預案的培訓工作,提高教職員工防范意識及應對技能。
第二十五條 學校各單位至少每半年開展一次對本單位預案的演練工作,信息化建設管理處至少每季度開展一次針對全校網絡與信息安全事件的應急演練工作,提高突發事件解決能力,檢驗和完善預案,并將演練情況報網絡與信息安全領導小組備案。
第五章 獎勵與處罰
第二十六條 學校網絡與信息安全工作領導小組負責督查全校的網絡與信息網絡安全工作,并根據督查情況對相關單位采取“限期整改”“強制關停”等措施,對整改不到位的單位進行“負責人約談”“通報批評”,情節嚴重的,由公安機關依法追究相關單位及責任人的法律責任。
第二十七條 各單位應把網絡與信息安全工作納入日常工作,簽署《網站與信息安全責任書》(見附件),并由有關單位進行年終考評,對工作完成突出的單位與個人進行表彰和獎勵,對工作落實不到位的單位提出整改、批評、警告等。
第六章 附則
第二十八條 本辦法自公布之日起施行,原《XX大學校園網絡安全與信息管理規定》(華大信〔2013〕1號)同時廢止。
第二十九條 本管理辦法未盡事宜由學校網絡與信息安全領導小組負責解釋。
附件:網站和信息系統安全責任書