醫學院信息系統管理規定(試行)

　　第一章 總 則

　　第一條 為推進學校信息化建設，進一步加強信息化統籌規劃，保障信息化項目實施質量，有效實現校內各類信息資源的集成、交換和共享，切實發揮信息系統為學校教學、科研、管理與服務等方面的保障支撐能力，根據《中華人民共和國計算機信息系統安全保護條例》、《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》，結合學校實際制定本規定。

　　第二條 本規定所指的信息系統涵蓋所有以計算機和互聯網為基礎，利用信息化手段和工具，應用于學校教學、科研、管理、服務等活動的系統。主要包括：

　　(一) 提供學校公共服務的各類管理信息系統;

　　(二) 多用戶使用或使用公共數據資源的管理信息系統;

　　(三) 與校園卡有關的各類管理信息系統。

　　第三條 以下類別不在本辦法所指的信息系統之列：

　　(一) 購買圖書、數據庫、實驗數據等電子資源;

　　(二) 以個人名義建設的或完全利用互聯網資源開發建設且不以xx醫學院為責任單位的信息系統。

　　第四條 學校信息系統建設以統籌規劃、統一標準、需求引導、安全可控、協調發展為原則，注重功能實用和開放共享，避免盲目投資和重復建設。

　　第二章 組織領導

　　第五條 學校網絡安全和信息化領導小組負責統一領導、規劃、部署全校網絡安全和信息化工作。

　　第六條 領導小組下設相應工作機構，并按其確定的職責開展工作。校內各二級單位主要負責人是本單位信息系統管理的第一責任人。

　　第三章 項目管理

　　第七條 校內擬建設信息系統時，無論采用學校年度預算還是引入外部資金，都應按以下流程進行。

　　(一) 項目申請。項目實施部門(單位)做好擬申請項目(信息系統)的前期調研工作，在明確需求及資金預算后，編制項目可行性報告?？尚行詧蟾鎯热輵ǖ幌抻冢航涃M來源、主要技術指標、項目建設的必要性、重要性、可行性、校內外共享使用方案、預期效益、風險預測、項目的輔助條件、管理責任人、操作人員、不低于三個同類型產品的對比分析。

　　(二) 項目審核。實施單位應組織專家組進行論證，并提供專家意見書,作為項目立項和建設依據。信息化工作部門對擬建設項目(信息系統)的可行性報告進行審核，提供正式反饋意見。

　　(三) 項目建設。項目建設應嚴格遵守學校信息化建設的要求和標準，接受檢查和評估;符合信息化建設標準和要求方可驗收項目，不符合標準規范的項目則不予通過。對于未達到預期成果者，責令限期完善，并重新組織驗收。

　　(四) 系統消亡。所有信息系統運行管理過程中產生的數據永不消亡，按學校數據資產管理相關規定進行規范管理。由于軟硬件更新換代的系統消亡按學校國有資產相關規定進行管理。

　　第八條 信息系統在建設階段應按已確定安全保護等級，同步落實安全保護措施。

　　第九條 信息系統的建設與運行維護由實施單位牽頭，協同相關部門(單位)進行。

　　第十條 信息系統建設工作，可采用自行研發、合作開發、公司承建等多種方式完成。無論采取何種方式建設的信息系統，都必須符合學校制定和發布的信息標準與編碼規范，并落實與校園信息化基礎平臺及數據資源的集成方案。對于需要身份認證的信息系統，必須與學校的統一身份認證系統集成。

　　第十一條 項目建設取得的成果和信息資源應作為學校的信息化資產集成到學校的數據共享平臺上，保證信息更新的一致性、及時性和完整性。按統一信息服務平臺進行信息發布和使用，其使用和管理權限仍歸承建部門所有。

　　第四章 系統運維

　　第十二條 信息系統建設須達到學校安全等級要求后，經信息化工作部門核準后方可接入校園網。

　　第十三條 為保證業務系統正常運行，信息系統及軟硬件按照學校統籌規劃及部署，統一托管于學校數據中心機房。對于有特殊需求的，需報經網絡安全和信息化領導小組審批同意后執行。

　　第十四條 責任部門(單位)對所管轄的信息系統，應嚴格遵守學校網絡安全及數據資產管理相關規定，制定規范的管理制度，落實專人負責，主動接受信息化工作部門的技術指導。

　　第十五條 為降低信息系統安全風險，原則上學校所有信息系統僅限校園網內運行，師生在校外可通過(VPN)等安全通道訪問校內資源。確需向社會開放的信息系統，嚴格履行審批手續，經校領導批準后方可辦理。

　　第十六條 信息系統運行期間，如出現違反國家法律、法規或影響學校網絡與信息安全的情況，應及時停止相關服務并按學校網絡安全管理相關規定進行處理。

　　第十七條 信息系統完成周期性使命的，實施部門(單位)應向信息化管理部門報備，進行下線處理，回收資源，規避無人照管的安全風險。

　　第五章 服務外包

　　第十八條 信息系統管理業務及運維業務外包的，應與外包公司簽訂嚴格的工作協議和保密協議。其內容包括但不限于：

　　1、服務提供商不得將服務轉包，不得泄露、擴散、轉讓服務過程中獲知的敏感信息，不得占有服務過程中產生的任何信息資產，不得以服務為由強制要求委托方購買、使用指定產品。保密協議的條款中應明確相關信息安全的要求及處罰要求。應在合同中明確外包公司在信息安全方面的職責和合同終止后的有效期限。

　　2、 外包公司應在技術和管理方面均具有按照等級保護要求開展安全運維工作的能力資質。

　　3、 外包人員的賬號口令必須滿足信息系統管理規定。外包人員的賬號、認證、授權管理和安全審計應納入系統集中管控。

　　4、 禁止外包人員在未授權的情況下通過遠程方式接入，因特殊情況需要通過遠程登錄，須經部門(單位)通過信息化工作部門辦理審批授權后，臨時開通遠程登錄功能，用畢及時撤銷。

　　5、 規范外包人員離崗時的賬號撤銷、設備安全檢查審核、技術資料移交等工作。

　　6、 第三方終端如需接入學校網絡或服務器，其終端應符合下述要求：

　?、俦仨毎惭b病毒庫更新至最新的殺毒軟件，且終端經查殺后，沒有病毒。

　?、诒仨殞⑾到y補丁更新至最新。

　?、鄢龢I務需要，不得安裝任何漏洞掃描軟件或手工對學校網絡進行探測。

　?、懿坏冒惭b任何監控軟件對學校網絡數據進行捕捉和分析。

　　第六章 安全檢查

　　第十九條 學校信息系統的整體安全檢查與評估應定期進行，由信息化工作部門牽頭，各信息系統所屬單位配合實施。

　　第二十條 檢查結果形成書面的安全評估報告提交學校網絡安全和信息化領導小組，網絡安全和信息化領導小組根據風險情況，責成相關單位整改。

　　第二十一條 對涉密信息系統的整體安全檢查與評估，包括技術和管理兩方面的內容。技術檢查主要是對系統安全技術措施的使用配置情況及安全防護體系的運行狀況進行檢查;管理方面的檢查主要是對安全管理機構、安全管理制度、安全管理人員和培訓體系的建立及落實情況進行檢查。

　　第二十二條 對服務器的日常運行和技術狀態檢查，由設備系統管理員負責進行，并且須將服務器的安全運行狀況定期向系統主管負責人匯報。

　　第二十三條 對各網絡設備及系統的日常運行和技術狀態檢查，由網絡管理員負責進行，并且須將網絡的安全運行狀況定期向系統主管負責人匯報。

　　第二十四條 對安全設備及系統的日常運行和技術狀態檢查，由安全管理員負責進行，并且須將安全設備及系統的運行狀況定期向系統主管負責人匯報。

　　第二十五條 對數據庫系統的日常運行和技術狀態檢查，由數據庫系統管理員負責進行，并且須將數據庫系統的安全運行狀況定期向系統主管負責人匯報。

　　第二十六條 對信息資源的日常訪問和技術狀態檢查，由信息資源管理員負責進行，并且須將信息資源的安全訪問狀況定期向系統主管負責人匯報。

　　第七章 附 則

　　第二十七條 本規定自印發之日起施行。

　　第二十八條 本規定由學校網絡安全和信息化領導小組負責解釋。

篇2：北京市公共服務網絡與信息系統安全管理規定（2006）

　　第 163 號

　　《北京市公共服務網絡與信息系統安全管理規定》已經20**年11月9日市人民政府第45次常務會議審議通過,現予公布,自20**年1月1日起施行。

　　市長

　　二〇〇五年十一月十一日

　　北京市公共服務網絡與信息系統安全管理規定

　　第一條 為加強本市公共服務網絡與信息系統(以下簡稱網絡與信息系統)的安全管理,根據國家有關規定,結合本市實際情況,制定本規定。

　　第二條 本市網絡與信息系統的建設和運行維護單位(以下簡稱運營單位)應當做好網絡與信息系統安全工作,保障網絡與信息系統安全可靠運營。

　　本規定所稱公共服務網絡與信息系統,是指由本市行政機關和企事業單位為社會提供的政務、交通、醫療衛生、供水、供電、供氣、供熱、通信、廣播電視以及其他公共服務的網絡與信息系統。

　　第三條 市和區、縣信息化主管部門對本行政區域內的網絡與信息系統安全工作負責綜合協調和監督管理。

　　公安、國家安全和質量技術監督等政府有關部門,按照各自職責分工,依法對網絡與信息系統安全相關工作實施監督管理。

　　第四條 運營單位應當加強對本單位網絡與信息系統的安全管理,做好下列工作:

　　(一)明確網絡與信息系統安全工作的主管負責人和主管機構,并配備具有相應能力的工作人員;

　　(二)建立健全網絡與信息系統安全管理責任制,制定管理制度和操作規程,并定期檢查落實情況;

　　(三)保障網絡與信息系統安全的資金投入;

　　(四)定期進行網絡與信息系統安全教育和培訓。

　　第五條 市信息化主管部門應當會同政府有關部門統一規劃和組織建設本市網絡與信息系統的安全測評、電子認證、災難備份和應急處理等安全基礎設施。

　　第六條 本市對網絡與信息系統實行安全等級保護。

　　網絡與信息系統安全等級分為五級:

　　(一)第一級為自主保護級,由運營單位進行自主保護;

　　(二)第二級為指導保護級,由運營單位在有關主管部門的指導下進行保護;

　　(三)第三級為監督保護級,由運營單位在備案監督部門的監督下進行保護;

　　(四)第四級為強制保護級,由運營單位在備案監督部門的強制下進行保護;

　　(五)第五級為?？乇Ｗo級,由運營單位在備案監督部門的?？叵逻M行保護。

　　第七條 運營單位應當按照安全等級保護制度的管理規范和技術標準確定本單位網絡與信息系統的安全等級,并根據安全等級保護制度的要求進行建設。

　　網絡與信息系統安全等級確定為第三級、第四級、第五級的,運營單位應當將安全等級確定情況報送備案。其中,涉及電子政務的網絡與信息系統運營單位,應當報市信息化主管部門備案;其他的運營單位應當報市公安部門備案。

　　市信息化主管部門、市公安部門應當在30日內對備案單位的網絡與信息系統安全等級確定情況進行評估,并提出審查意見。

　　第八條 運營單位選用網絡與信息系統相關安全產品或者選擇安全測評、電子認證等服務時,應當符合國家和本市有關網絡與信息系統安全管理的技術規范。

　　使用財政資金投資建設的網絡與信息系統選用安全產品和服務時,應當依法實行政府采購。

　　第九條 運營單位應當依據網絡與信息系統安全管理要求,對信息系統和信息數據進行備份。

　　第十條 運營單位應當制定網絡與信息系統安全事件應急預案,并定期進行演練。

　　市和區、縣人民政府有關行政主管部門應當組織制定相關行業的網絡與信息系統安全事件應急預案,組織、協調有關單位做好應急預案的落實工作。

　　第十一條 發生網絡與信息系統安全事件后,運營單位應當迅速采取措施降低損害程度,防止事件擴大,保存相關記錄,并按規定要求及時向同級信息化主管部門報告。

　　第十二條 本市組建信息安全應急救援服務體系,為發生信息安全事件的單位提供救援服務。信息安全應急救援服務組織應當公布救援電話,在接到救援請求時,及時提供救援服務。

　　第十三條 運營單位違反本規定,有下列情形之一的,由市或者區、縣信息化主管部門責令限期改正,給予

　　警告,視情節輕重處3萬元以下罰款:

　　(一)違反本規定第四條規定,未按要求建立并落實安全管理制度的;

　　(二)違反本規定第九條規定,未按要求對信息系統和信息數據進行備份的;

　　(三)違反本規定第十條第一款規定,未按要求制定網絡與信息系統安全事件應急預案的;

　　(四)違反本規定第十一條規定,對網絡與信息系統安全事件情況隱瞞不報、謊報或者拖延不報的。

　　行政機關違反前款規定的,市或者區、縣信息化主管部門可以對責任單位給予通報批評;造成重大損失的,由上級主管部門或者監察機關依法追究責任單位主要負責人和有關責任人員的行政責任。

　　第十四條 對于有危害公共安全、國家安全、泄露國家秘密以及其他違反法律、法規和規章規定行為的,由公安、國家安全、保密以及其他監督管理部門依法處理;構成犯罪的,依法追究刑事責任。

　　第十五條 國家和本市對涉及國家秘密、國家安全的網絡與信息系統有特殊規定的,從其規定。

　　第十六條 本規定自20**年1月1日起施行。

篇3：z大學繼續教育學院信息系統安全管理規定

　　z大學繼續教育學院信息系統安全管理規定

　　第一章　總則

　　第一條　為了進一步加強我院信息系統安全管理，保證設施設備、人員及信息安全，確保網絡正常運行，根據《中華人民共和國計算機信息系統安全保護條例》、《計算機信息網絡國際聯網安全保護管理辦法》、《中華人民共和國治安處罰法》第29條、《互聯網安全保護技術措施》、《教育行業信息系統安全等級保護定級工作指南(試行)》等相關法律法規的要求，特制定本規定。

　　第二條　本管理規定所稱的網絡系統，是指由學?；驅W院投資購買，由我院維護和管理的，為教學、科研、管理服務的各類網絡設備、配套設施、數據資料等軟硬件系統的總和。

　　第二章　機構與制度

　　第三條　信息系統安全管理應遵循統一管理、分級負責的原則。學院應成立專門部門負責網絡安全管理工作。該部門在網絡安全責任人的領導下，負責制定和完善相關的管理制度，組織和指導各部門實施網絡安全管理工作，監督和評估制度的執行效果。

　　第四條　學院各部門應指定專人(部門網絡安全責任人)負責本部門業務范圍所涉及的信息系統安全的管理工作。各部門應結合自身工作性質和特點，制定具體的網絡安全管理實施細則，明確工作職責和管理權限，責任要落實到人。

　　第五條　網絡安全主管部門要強化有關網絡安全法律、法規和網絡安全意識的宣傳教育工作，開展多種形式的安全檢查，對發現的網絡安全隱患，要及時督促整改。

　　第三章　技術措施

　　第六條　學院應對服務器、交換機、通信線路、IP地址等網絡軟硬件資源的使用進行統籌管理，按需分配。任何部門或個人不得通過任何手段私自使用以上資源或更改其用途。網絡安全主管部門要對網絡資源的使用和分配情況進行登記，并上報學校相關部門備案。

　　第七條　重要的網絡設施設備必須實行專人專管。

　　第八條　信息系統中賬號、密碼、權限的安全設置必須符合相關的技術規范。重要的服務器應做到“功能單一、專機專用”，嚴禁在服務器中安裝與其功能無關的服務類軟件，不得用服務器做與其功能無關的事。

　　第九條　嚴格管理信息系統中的賬號和密碼，不得向無關的單位和個人提供相關信息(法律法規另有規定除外)。任何人不得以任何手段偵聽、破解、盜用賬號和密碼，嚴禁登錄與本人工作職責無關的網絡設備。

　　第十條　所有接入網絡的計算機必須安裝防病毒軟件;網絡服務器必須采取防范網絡入侵和攻擊的技術手段;定期備份重要數據;網絡中的重要設備應采取容災措施。

　　第十一條　學院開設的服務器必須啟用日志記錄功能，記錄并留存用戶登錄和退出時間、操作內容、訪問地址或域名等關鍵信息，歷史記錄保留時間不得低于60天。

　　第十二條　對網絡中的各類應用軟件、數據庫系統等信息資源應視其重要程度采取相應的保密措施和權限控制。

　　第十三條　養成良好的計算機使用習慣，不隨意下載和安裝不熟悉的軟件、不無序存放數據資料、不使用盜版軟件、不接收和轉發來歷不明的電子郵件、不隨意訪問不熟悉的網站、不隨意修改系統參數，及時升級系統和應用軟件、及時備份重要的數據資料。

　　第十四條　學院教學用機房一律不準對社會開放，嚴禁向學生提供有償網絡服務。在教學過程中不能無限制對教師和學生開通上網服務，應視具體的教學內容而定。

　　第四章　審查與備案制度

　　第十五條　學院應建立完備的審查與備案制度。需要審查和備案的事項包括：信息發布、提供網絡服務、新建網絡設施、申請網絡賬號等。

　　第十六條 各部門對外的信息發布的審查和備案工作由部門網絡安全責任人負責。學院對外提供網絡服務、新建網絡設施或申請網絡賬號等由網絡安全主管部門負責向學校提交相關申請和備案工作。

　　第十七條 未經批準，任何部門和個人不得以學院的名義對外發布信息，不得私自對外開設代理、郵件、文件、信息等網絡服務服務。如無特殊需要，學院的服務器一般不對學生和學院以外的人員開通信息發布功能。

　　第五章　應急處置機制和信息通報制度

　　第十八條　網絡安全事件的處理應堅持“加強監控、主動防范、先期處置、及時匯報”的原則。

　　第十九條　出現以下情況可視為網絡安全事件：

　　1.網站主頁被惡意篡改，出現*、反政府、分裂國家、危害社會穩定等違法言論，出現宣揚色情、暴力、封建迷信的信息或損害他人利益、聲譽的不實言論以及其他違法的信息。

　　2.網絡服務器遭受入侵，數據被非法復制、修改、刪除等。

　　3.網絡服務器受到攻擊，導致服務中斷或嚴重受阻。

　　4.網絡服務器感染計算機病毒，導致重大損失。

　　第二十條　若發生網絡安全事件或疑似網絡安全事件，應按以下步驟處理：

　　1.相關技術人員應立即停止受到影響的服務器、工作站的運行，關閉交換機等網絡設備，防止勢態蔓延、危害擴大;備份系統和應用軟件的各類日志文件及重要的數據文件。

　　2.立即向學院網絡安全主管部門匯報情況，由網絡安全責任人召集技術人員對事件的性質進行認定。若確認為網絡安全事件，應及時以書面形式向學校相關部門匯報。并在保留證據的前提下，及時修復受損的網絡設備和數據。若確由必要，可向學校相關部門提出技術支持的請求。

　　3.處置完成后應總結教訓、查找漏洞，制定相應的防范措施，盡量杜絕相同事件再次發生。

　　第六章　違約責任與處罰

　　第二十一條　違反本規定的行為一經查實，學院將視情節給予相應的行政紀律處分，情節嚴重或造成重大影響和損失的向學校相關部門報告，違反法律者，依法承擔相關責任。

　　第七章　其他

　　第二十二條　本規定自公布之日起實行。

　　繼續教育學院、應用技術學院