中華女子學(xué)院信息系統(tǒng)安全管理辦法
校字〔2020〕34號(hào)
一��、總則
為全面加強(qiáng)我校信息系統(tǒng)的信息安全���,使我校的信息資源��、業(yè)務(wù)數(shù)據(jù)得到有效的保護(hù)�,避免竊密和泄露事件的發(fā)生��,依據(jù)國家有關(guān)法律�、法規(guī)����,制定本管理辦法。
本辦法適用于現(xiàn)代教育技術(shù)中心及所有系統(tǒng)使用部門和人員。
二�、職責(zé)劃分
現(xiàn)代教育技術(shù)中心負(fù)責(zé)全校的信息系統(tǒng)及業(yè)務(wù)數(shù)據(jù)的安全管理�,定期開展安全監(jiān)測(cè)和隱患排查工作���,并提供相應(yīng)的技術(shù)支持��。
業(yè)務(wù)部門負(fù)責(zé)信息系統(tǒng)用戶和權(quán)限設(shè)定,嚴(yán)格按照安全操作規(guī)程進(jìn)行業(yè)務(wù)操作��、數(shù)據(jù)備份�����,并配合現(xiàn)代教育技術(shù)中心保障信息安全��。一旦發(fā)現(xiàn)系統(tǒng)運(yùn)行異常及時(shí)向現(xiàn)代教育技術(shù)中心報(bào)告���。
三��、安全措施
信息系統(tǒng)在安裝、調(diào)試完畢后��,信息系統(tǒng)建設(shè)單位必須提交準(zhǔn)確無誤的系統(tǒng)安裝���、配置文檔���,該文檔由現(xiàn)代教育技術(shù)中心統(tǒng)一進(jìn)行備案���。
現(xiàn)代教育技術(shù)中心及信息系統(tǒng)建設(shè)單位應(yīng)對(duì)信息系統(tǒng)運(yùn)行服務(wù)器�、數(shù)據(jù)庫、應(yīng)用等定期檢查并詳細(xì)記錄,發(fā)現(xiàn)漏洞應(yīng)及時(shí)升級(jí)和安裝補(bǔ)丁程序�,消除系統(tǒng)和設(shè)備的潛在安全隱患����。
所有服務(wù)器�、數(shù)據(jù)庫、應(yīng)用系統(tǒng)等管理員應(yīng)嚴(yán)格管理自己的帳號(hào)和密碼�����,并定期檢查和更換密碼��,確保訪問權(quán)限分配合理、正確�,做好記錄�����,妥善保管,以增加應(yīng)用系統(tǒng)的安全性��。管理人員離職或調(diào)職時(shí)�����,應(yīng)及時(shí)交回賬號(hào)和密碼�����,經(jīng)系統(tǒng)管理員刪除或變更密碼后方能離職或調(diào)職。
所有信息系統(tǒng)的所有管理員及信息系統(tǒng)建設(shè)單位應(yīng)簽署保密協(xié)議��,違反協(xié)議將根據(jù)情節(jié)嚴(yán)重性追求其責(zé)任����,觸犯法律構(gòu)成犯罪的,依法追究刑事責(zé)任����。
四�����、應(yīng)用安全
信息系統(tǒng)建設(shè)的負(fù)責(zé)單位在進(jìn)行信息系統(tǒng)建設(shè)規(guī)劃時(shí),必須同步設(shè)計(jì)和實(shí)施網(wǎng)絡(luò)與信息安全系統(tǒng)����,應(yīng)充分考慮到信息系統(tǒng)的安全建設(shè)的重要性�����,信息系統(tǒng)的設(shè)計(jì)和實(shí)施必須滿足安全運(yùn)行和信息保密的需要��。應(yīng)當(dāng)按照國家信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)�,使用符合國家有關(guān)規(guī)定���,滿足信息系統(tǒng)安全保護(hù)等級(jí)需求的信息技術(shù)產(chǎn)品�,提升信息系統(tǒng)的安全。
項(xiàng)目承擔(dān)單位在信息系統(tǒng)開發(fā)過程中應(yīng)符合軟件工程規(guī)范,依據(jù)安全需求進(jìn)行安全設(shè)計(jì)���,不得在程序代碼中植入后門和惡意代碼程序���。各業(yè)務(wù)系統(tǒng)上線運(yùn)行之前����,項(xiàng)目承擔(dān)單位應(yīng)組織制定安全測(cè)試方案�,進(jìn)行系統(tǒng)上線前的自測(cè)試并形成測(cè)試報(bào)告,提交現(xiàn)代教育技術(shù)中心進(jìn)行安全審查�,未通過安全審查的任何新建或改造系統(tǒng)不得上線運(yùn)行���。
五�����、數(shù)據(jù)安全
學(xué)校數(shù)據(jù)中心采取雙機(jī)熱備,數(shù)據(jù)管理要制定一套完善的數(shù)據(jù)備份和數(shù)據(jù)恢復(fù)的整體方案���。重要數(shù)據(jù)至少采用兩種以上不同的數(shù)據(jù)備份方法和技術(shù)手段,對(duì)數(shù)據(jù)進(jìn)行備份��,備份的數(shù)據(jù)應(yīng)注意保密���,不得隨意存放��。
嚴(yán)格控制對(duì)運(yùn)行數(shù)據(jù)庫和試運(yùn)行庫的直接訪問。數(shù)據(jù)庫管理人員�����、技術(shù)支持人員可以直接訪問��,其他人員訪問數(shù)據(jù)庫必須得到相關(guān)領(lǐng)導(dǎo)批準(zhǔn)并備案�。
各單位業(yè)務(wù)部門應(yīng)嚴(yán)格管理業(yè)務(wù)數(shù)據(jù)的增加�����、修改���、刪除等變更操作����,適時(shí)進(jìn)行業(yè)務(wù)數(shù)據(jù)有效性檢查�,按照既定備份策略執(zhí)行數(shù)據(jù)備份任務(wù),并定期測(cè)試備份數(shù)據(jù)的有效性和預(yù)演數(shù)據(jù)恢復(fù)流程。
各單位負(fù)責(zé)定期導(dǎo)出重要數(shù)據(jù)和系統(tǒng)日志文件并明確標(biāo)識(shí)存儲(chǔ)內(nèi)容����、時(shí)間等信息��。日志文件應(yīng)至少保留三個(gè)月,妥善保管�。
六����、事件上報(bào)
信息系統(tǒng)安全事件發(fā)生時(shí)�����,應(yīng)及時(shí)信息安全事件應(yīng)急處置領(lǐng)導(dǎo)小組,并在時(shí)間處置工作中做好完整的過程記錄��,及時(shí)報(bào)告處置工作進(jìn)展情況�,保存各相關(guān)系統(tǒng)日志,直至處置工作結(jié)束�����。
七�����、其他
本辦法自2020年9月23日發(fā)文之日起施行����,由現(xiàn)代教育技術(shù)中心負(fù)責(zé)解釋��。
