學院信息化建設與管理中心信息安全檢查制度

　　一、總則

　　第一條 為了督促學院網絡與信息系統安全管理要求、技術規范良好執行，落實各項網絡與信息安全工作，特制定信息安全檢查制度。

　　第二條 本制度的目標是規范學院信息安全檢查工作的具體過程，明確各相關人員的職責和工作內容，為信息安全檢查工作的順利開展提供有效的指導。

　　二、安全檢查概要

　　第三條 各管理員應定期檢查安全技術措施的有效性、安全配置與安全策略的一致性、安全管理制度的執行情況等。

　　第四條 每次信息安全檢查過程與結果都要記錄并保存，每次檢查后出具安全檢查報告，報告中應包括檢查事項、檢查人員、檢查數據匯總表、檢查結果等內容。

　　第五條 對于檢查過程中發現的不符合項，管理員形成書面改進意見后，經信息化建設與管理中心領導審核后，指派專人整改。

　　三、管理規范檢查列表

　　第六條 信息安全相關制度

　　檢查信息安全相關制度的覆蓋范圍以及制度的適宜程度;信息安全相關制度管理工作的開展情況，包括制度的制定、落實、評審與修訂等是否符合規范要求等。

　　第七條 人員安全管理

　　崗位設置及人員配備：包括安全相關崗位的設立以及職責的明確/落實、崗位的授權等;內部人員安全管理：包括員工的安全培訓及考核、崗位授權管理、保密協議簽訂等;外部組織人員安全管理：包括外部組織訪問事前、事中及事后不同階段的安全控制措施的落實情況等。

　　第八條 信息資產管理

　　資產管理：包括信息資產識別、分類、標識;介質管理：包括介質在使用、傳輸、保存、清除及銷毀等過程中的安全控制落實情況;設備管理：包括各類設備在使用和管理維護過程中的安全控制措施落實情況。

　　第九條 系統運維管理

　　運維管理：包括用戶賬號情況、系統漏洞情況、系統審計情況;監控、惡意代碼防范、變更管理等的落實情況。

　　四、技術規范檢查列表

　　第十條 物理安全管理

　　物理環境安全：包括物理區域的電源、防雷、防火、防潮、 防靜電等周邊環境安全控制措施落實情況等; 訪問控制：為保護區域內信息不受非授權物理訪問，機房及 重要辦公場所的訪問控制措施(如門禁、值守等)，以及防盜竊、防破壞措施的實施情況。

　　第十一條 系統建設安全

　　系統建設安全：系統建設整個生命周期，包括系統建設設計 階段、實施階段以及驗收階段中涉及的信息安全控制措施落實情況;

　　第十二條 應用安全檢查

　　應用系統安全：對于應用系統技術安全控制落實情況的檢查 ，包括身份鑒別、訪問控制、交易安全、數據安全、密碼安全、輸入輸出合法性、備份恢復、日志及審計等;數據庫安全：對于常用數據庫(Oracle、SQLServer 等)的安全配置、訪問控制、備份恢復、日志及審計情況等進行檢查;中間件安全：對于中間件的安全配置、訪問控制、備份恢復 、日志及審計情況等進行檢查。

　　第十三條 網絡安全檢查

　　網絡架構：對網絡整體架構的安全情況，包括網絡可用性、訪問控制、網絡管理與審計、網絡防護等方面的安全控制情況進行檢查;網絡設備安全：包括針對網絡主要設備(如路由器、交換機等)以及網絡中部署的安全設備(防火墻、入侵檢測、防病毒系統)等的安全配置、訪問控制、備份、日志與審計等進行檢查。

　　第十四條 服務器主機安全檢查

　　主機操作系統的安全性，包括賬號安全、系統日志、安全配置等。

　　第十五條 終端安全檢查

　　終端的安全，包括終端安全配置，補丁安裝情況、終端系統 以及賬戶情況，終端口令策略檢查，終端使用安全檢查，終端開啟服務 檢查，終端防病毒檢查。

　　五、附則

　　第十六條 本制度由信息化建設與管理中心負責解釋。

　　第十七條 本制度自發布之日起施行。

篇2：學院計算機信息系統安全管理辦法

　　學院計算機信息系統安全管理辦法

　　第一章 總則

　　第一條 為進一步規范計算機信息系統(以下簡稱信息系統)管理，保護信息系統安全，保障信息化建設和智慧校園建設順利進行，根據《中華人民共和國計算機信息系統安全保護條例》、《信息安全等級保護管理辦法》等規定，制定本辦法。

　　第二條 本辦法適用范圍為XX學院各職能部門建設管理的業務系統、網站和教學平臺等。

　　第三條 任何組織或者個人，不得利用信息系統從事危害國家利益、集體利益和公民合法利益的活動，不得危害信息系統的安全。

　　第二章 管理機構及職責

　　第四條 信息系統實行學校、二級單位兩級管理。

　　第五條 信息化建設與管理中心宏觀管理全校信息系統，具體職責為：

　　1、制定、完善信息系統管理規章制度;

　　2、指導各二級單位信息系統建設;

　　3、為信息系統提供服務器等硬件及適合的運行環境;

　　4、根據國家規定，對信息系統實行安全等級保護;

　　5、開展信息系統安全培訓，提高管理人員的安全保護意識和水平;

　　6、督促各二級單位按相關法律法規及學校相關制度管理本單位的信息系統。

　　第六條 信息系統管理單位作為管理主體，具體職責為：

　　1、明確各信息系統的管理人員及職責;

　　2、負責本單位信息系統的運行與維護;

　　3、負責本單位信息系統的全生命周期的安全保護。

　　第三章 分級保護

　　第七條 各信息系統應依據《信息系統安全等級保護實施指南》確定防護邊界和安全保護等級。

　　第八條 各信息系統管理單位應使用符合國家有關規定，滿足信息系統安全保護等級需求的信息技術產品，開展信息系統安全建設或者改建工作。

　　第九條 在信息系統建設過程中，應當按照《計算機信息系統安全保護等級劃分準則》、《信息系統安全等級保護基本要求》等技術標準，參照《信息安全技術信息系統通用安全技術要求》、《信息安全技術網絡基礎安全技術要求》、《信息安全技術操作系統安全技術要求》、《信息安全技術數據庫管理系統安全技術要求》、《信息安全技術服務器技術要求》、《信息安全技術終端計算機系統安全等級技術要求》等技術標準同步建設符合該等級要求的信息安全設施。

　　第十條 信息系統管理單位應當參照《信息安全技術信息系統安全管理要求》(GB/T20269-2006)、《信息安全技術信息系統安全工程管理要求》(GB/T20282-2006)、《信息系統安全等級保護基本要求》等管理規范，制定并落實符合本系統安全保護等級要求的安全管理制度。

　　第十一條 信息系統建設完成后，應當選擇符合規定條件的測評機構，依據《信息系統安全等級保護測評要求》等技術標準，定期對信息系統安全等級狀況開展等級測評和安全自查。經測評或者自查，信息系統安全狀況未達到安全保護等級要求的，管理單位應當制定方案進行整改。

　　第十二條 已投入使用的第二級以上信息系統，應當在安全保護等級確定后30日內，向市公安局備案。新建第二級以上信息系統，應當在投入運行后30日內，向市公安局備案。

　　第四章 管理要求

　　第十三條 各信息系統應根據業務需求，遵循最小授權原則設置各類操作權限。信息系統管理部門應將操作權限設置情況作為系統技術檔案保存。系統業務變更或操作人員變更需及時更改操作權限，并同步更新技術檔案。各用戶賬號須專人專用，以保證可按權限操作，不得將本人賬號借給他人操作。

　　第十四條 信息系統的密碼不能為弱口令，應至少由數字、字母、特殊符號等組成，長度不少于6位，并定期修改。更改密碼須由本人提出申請，管理員核實后方能修改。

　　第十五條 各信息系統管理單位須可以通過系統自動和管理員手動的方式，及時做好數據異機備份，且不能備份在WEB或FTP等公共訪問站點上。對于重要數據、關鍵數據還需進行異地備份。

　　第十六條 數據恢復前信息系統管理員須制定恢復方案(包含恢復原理、恢復時間、恢復數據內容、使用備份數據信息、恢復方法和操作步驟等)，經信息系統管理單位論證和信息化建設與管理中心審批后執行。數據恢復前須對系統進行備份，確保當前數據安全。數據恢復后須對數據進行驗證，確保數據的完整性和可用性。

　　第十七條 為提高信息系統性能，降低運營成本，各信息系統管理單位須對各類信息系統數據進行梳理，確定各類數據的保存期限和清理周期報信息化建設與管理中心備案，并定期清理失效數據。數據清理前須做好數據備份，確認備份數據正確后才能執行清理操作，數據清理的實施應避開業務高峰期，避免影響聯機業務運行。

　　第十八條 委托第三方進行信息系統或相應硬件設備維護的，須在運維合同中增加保密條款，防止關鍵或重要數據泄密。

　　第五章 附則

　　第十九條 本辦法自發布之日起實施，由信息化建設與管理中心負責解釋

篇3：XX大學信息系統管理制度

　　XX大學信息系統管理制度

　　第一章 總則

　　第一條 “信息化”是提高管理水平的重要途徑。根據《中華人民共和國計算機信息系統安全保護條例》、《網絡安全法》,保證信息系統的安全性、穩定性，為各部門的日常工作提供高效的信息化平臺，需要對信息系統的使用、維護、管理進行規范，特制定本制度。

　　第二條 范圍，本制度所指的信息系統包括：OA辦公自動化系統、學校網站、各類業務系統(如：財務、科研、人事、學工系統等)、郵件系統、安全系統等以軟件應用為主的系統。

　　第二章 組織機構和職能

　　第三條 信息系統管理的職能部門：現代教育技術與信息中心

　　第四條 現代教育技術與信息中心的主要職能及管理人員崗位職責：

　　制定專職的系統管理員，保證信息系統數據庫服務器、應用服務器、交換機和各終端正常運行，系統管理人員建立日常運行維護管理流程并按管理流程對信息系統軟件進行日常維護管理;保證信息系統軟件的正常運行;清理無用用戶數據和管理用戶權。

　　第五條 信息系統對口業務部門的主要職能：

　　1、對口業務部門設專(兼)職的信息管理專員1人，保證信息系統軟件的正常運行，負責信息系統基礎數據的維護，系統日常數據的備份;

　　2、對口業務部門指派專(兼)人員，負責監督檢查業務數據錄入的正確性、及時性、完整性，系統生成的報表，以及靜態管理報表和動態管理報表取數的準確性;

　　第三章 信息系統使用

　　第六條 軟件系統操作人員必須嚴格按照現代教育技術與信息中心劃分的權限操作，如需變更權限，請向現代教育技術與信息中心申請。

　　第七條 凡具有軟件操作權限的人員，必須嚴守自己的用戶名和密碼，不能向他人(包括學校內部和外部的人員)透露，如因此造成損失，由該用戶自行負責。

　　第八條 軟件用戶應經常修改用戶密碼，保證密碼不泄漏。密碼強度應在八位以上并含有字母及大小寫。

　　第九條 業務部門必須嚴格按照信息系統有關操作管理的要求，規范操作流程，嚴密控制訪問人員，防止無關用戶進入系統，確保應用系統的安全、穩定、持續運行。

　　第十條 操作人員必須根據各業務系統要求及時、準確、完整的錄入信息數據。

　　第十一條 未經授權，不得打印或拷貝信息數據等內部資料給非授權人員。

　　第四章 系統管理

　　第十二條 新增用戶或者用戶操作權限變更，都需要按以下流程審批：

　　1.填報信息系統用戶權限申請表;

　　2.主管部門負責人審核;

　　3.權限涉及部門負責人意見;

　　4.現代教育技術與信息中心負責人審批;

　　5.審批后給予辦理。

　　第十三條 系統備份

　　對于數據庫集中保存在數據中心數據庫群集的業務系統，現代教育技術與信息中心負責數據庫的日常備份，即：每天進行一次本地及異地災備，備份數據至少保留7天;

　　第十四條 業務數據修改

　　如果因為管理需要調整業務，或者因為業務操作錯誤、系統錯誤等原因需要直接修改數據庫中的數據或回滾數據，根據修改業務數據的影響程度分為一般業務數據修改、重大業務數據修改兩種情況處理，分別參見第十五條、第十六條。

　　第十五條 一般業務數據修改，按以下流程執行：

　　1. 填寫業務數據修改申請表

　　2. 申請部門負責人審核;

　　3. 現代教育技術與信息中心審核;

　　4. 現代教育技術與信息中心分管領導審批;

　　第十六條 重大業務數據修改指符合以下情形之一的情況：

　　1.對生產業務進行回滾操作;

　　2.導致系統業務停機或關聯影響;

　　3.違反相關制度、流程;

　　4.批量調整基礎數據、業務數據。

　　按以下流程執行：

　　1. 填寫業務數據修改申請表;

　　2.申請部門負責人審核;

　　3.相關部門會簽，相關部門根據業務影響指定，必要時由網絡安全領導小組召集相關部門集體討論;

　　4.現代教育技術與信息中心分管領導審核;

　　5.審批通過后給予處置。

　　第五章 業務系統臺賬

　　第十七條 各類業務系統必須實施臺賬管理，責任到人。

　　第十八條 現代教育技術與信息中心對部署于校內的各類業務系統做好臺賬登記，施行業務系統每學期的確權核查，無法核查到責任人的業務系統，現代教育技術與信息中心有權直接關閉并下線系統。

　　第十九條 現代教育技術與信息中心應對部署上線的業務系統進行安全登記與檢查。對于不接受統一安全管理的業務系統給予下線處置。