校信息安全管理制度匯編_第1頁
校信息安全管理制度匯編_第2頁
校信息安全管理制度匯編_第3頁
校信息安全管理制度匯編_第4頁
校信息安全管理制度匯編_第5頁
已閱讀5頁,還剩139頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

XXX學(xué)校

信息安全管理制度匯編

(2016年修訂)

目錄

XXX學(xué)校信息安全工作總體規(guī)定(試行)...................................................1

第一章總則.........................................................................1

第二章方針、目標(biāo)和原則...........................................................1

第三章總體安全策略................................................................3

第四章信息安全總體框架..........................................................10

第五章附則........................................................................11

XXX學(xué)校信息安全制度管理規(guī)定(試行)..................................................12

第一章總則........................................................................12

第二章制度建設(shè)組織管理..........................................................13

第三章制度建設(shè)規(guī)劃與年度計(jì)劃....................................................13

第四章制度起草...................................................................14

第五章審查與批準(zhǔn).................................................................15

第六章修訂與廢止.................................................................16

第七章附則........................................................................17

xxx學(xué)校信息系統(tǒng)“三員”管理規(guī)定(試行).................................................21

第一章總則........................................................................21

第二章系統(tǒng)管理員職責(zé).............................................................21

第三章安全管理員職責(zé).............................................................22

第四章安全審計(jì)員職責(zé)............................................................23

第五章AB角工作制度.............................................................23

第六章附則........................................................................24

xxx學(xué)校信息系統(tǒng)安全檢查規(guī)定(試行)..................................................25

第一章總則........................................................................25

第二章實(shí)施細(xì)則...................................................................25

第三章附則........................................................................26

xxx學(xué)校人員信息安全管理規(guī)定(試行)..................................................35

第一章總則........................................................................35

第二章內(nèi)部工作人員管理..........................................................35

第三章外部相關(guān)人員管理..........................................................36

第四章附則........................................................................36

xxx學(xué)校信息安全教育和培訓(xùn)管理規(guī)定(試行)............................................40

2

第一章總則.......................................................................40

第二章信息安全教育、培訓(xùn)、考核.................................................40

第三章附則.......................................................................41

xxx學(xué)校信息化建設(shè)項(xiàng)目需求管理辦法(試行)...........................................42

第一章總則.......................................................................42

第二章信息化建設(shè)項(xiàng)目的確立......................................................43

第三章需求方案編制與提交........................................................43

第四章需求方案審核...............................................................44

第五章需求方案變更管理..........................................................45

第六章附則.......................................................................45

xxx學(xué)校信息化建設(shè)項(xiàng)目合同管理辦法(試行)...........................................49

第一章總則.......................................................................49

第二章合同訂立...................................................................49

第三章合同履行...................................................................51

第四章合同管理...................................................................51

第五章風(fēng)險(xiǎn)責(zé)任...................................................................52

第六章附則........................................................................52

xxx學(xué)校信息化建設(shè)項(xiàng)目組織實(shí)施管理辦法(試行).......................................53

第一章總則.......................................................................53

第二章系統(tǒng)開發(fā)...................................................................53

第三章系統(tǒng)測(cè)試...................................................................54

第四章試點(diǎn)推廣...................................................................55

第五章維護(hù)升級(jí)...................................................................55

第六章附則........................................................................56

xxx學(xué)校信息化建設(shè)項(xiàng)目監(jiān)督檢查管理辦法(試行).......................................57

第一章總則.......................................................................57

第二章職責(zé)分工...................................................................57

第三章項(xiàng)目監(jiān)督檢查內(nèi)容..........................................................58

第四章監(jiān)督檢查方式...............................................................59

第五章責(zé)任追究...................................................................60

第六章附則........................................................................60

xxx學(xué)校信息化建設(shè)項(xiàng)目驗(yàn)收管理辦法(試行)............................................61

第一章總則.......................................................................61

第二章驗(yàn)收前期準(zhǔn)備.........................................................62

第三章驗(yàn)收內(nèi)容.............................................................63

第四章驗(yàn)收程序.............................................................64

第五章驗(yàn)收結(jié)論.............................................................66

第六章附則.................................................................67

xxx學(xué)校信息化建設(shè)項(xiàng)目資金管理辦法(試行)........................................75

第一章總則.................................................................75

第二章預(yù)算管理.............................................................76

第三章資金支付管理.........................................................77

第四章財(cái)務(wù)決算管理.........................................................77

第五章資產(chǎn)管理.............................................................78

第六章監(jiān)督檢查.............................................................78

第七章附則.................................................................79

xxx學(xué)校信息化建設(shè)項(xiàng)目績(jī)效考評(píng)管理辦法(試行)....................................81

第一章總則.................................................................81

第二章考評(píng)分類和方法.......................................................82

第三章考評(píng)內(nèi)容和指標(biāo).......................................................83

第四章考評(píng)的組織實(shí)施.......................................................84

第五章考評(píng)的工作程序.......................................................85

第六章考評(píng)結(jié)果的應(yīng)用.......................................................86

第七章考評(píng)工作要求.........................................................87

第八章附則.................................................................88

xxx學(xué)校信息系統(tǒng)運(yùn)行維護(hù)管理辦法(試行)............................................89

第一章總則.................................................................89

第二章機(jī)房基礎(chǔ)設(shè)施運(yùn)維管理.................................................89

第三章信息化辦公設(shè)備運(yùn)維管理...............................................90

第四章網(wǎng)絡(luò)系統(tǒng)運(yùn)維管理.....................................................90

第五章主機(jī)、存儲(chǔ)系統(tǒng)運(yùn)維管理...............................................91

第六章應(yīng)用系統(tǒng)、數(shù)據(jù)運(yùn)維管理...............................................91

第七章視頻會(huì)議系統(tǒng)和12331電話咨詢投訴舉報(bào)系統(tǒng)運(yùn)維管理.....................92

第八章駐場(chǎng)運(yùn)維人員管理.....................................................93

xxx學(xué)校門戶網(wǎng)站管理辦法(試行)..................................................94

第一章總則.................................................................94

4

第二章信息采集與報(bào)送............................................................95

第三章信息審核與發(fā)布............................................................95

第四章信息管理...................................................................96

第五章安全管理...................................................................97

第六章考評(píng)獎(jiǎng)懲規(guī)定..............................................................97

第七章責(zé)任追究規(guī)定..............................................................98

第八章附則......................................................................100

xxx學(xué)校移動(dòng)存儲(chǔ)介質(zhì)管理規(guī)定(試行).................................................101

第一章總則......................................................................101

第二章購(gòu)買與選型................................................................101

第三章配發(fā)與使用................................................................102

第四章介質(zhì)保存..................................................................102

第五章介質(zhì)接入..................................................................103

第六章介質(zhì)維修、報(bào)廢和銷毀管理................................................103

第七章附則......................................................................104

xxx學(xué)校變更管理辦法(試行)..........................................................109

第一章總則......................................................................109

第二章變更管理..................................................................109

xxx學(xué)校信息系統(tǒng)惡意代碼防范與軟件補(bǔ)丁分發(fā)管理規(guī)定(試行)..........................112

第一章總則......................................................................112

第二章惡意代碼防范管理.........................................................112

第三章安全漏洞與補(bǔ)丁安全管理..................................................113

第四章附則......................................................................114

xxx學(xué)校信息系統(tǒng)備份與恢復(fù)管理制度(試行)...........................................117

第一章總則......................................................................117

第二章系統(tǒng)和數(shù)據(jù)的備份與恢復(fù)..................................................117

第三章備份與恢復(fù)策略...........................................................118

第四章附則......................................................................121

xxx學(xué)校信息系統(tǒng)安全審計(jì)管理規(guī)定(試行).............................................125

第一章總則......................................................................125

第二章審計(jì)管理..................................................................125

第三章附則......................................................................126

xxx學(xué)校第三方和外包安全管理規(guī)定(試行).............................................127

第一章總則......................................................................127

第二章程序......................................................................127

第三章附則......................................................................128

xxx學(xué)校網(wǎng)絡(luò)信息安全責(zé)任追究制度(試行).............................................130

第一章總則......................................................................130

第二章責(zé)任追究..................................................................130

第四章附則......................................................................131

xxx學(xué)校網(wǎng)絡(luò)與信息安全信息通報(bào)制度(試行)...........................................133

第一章總則......................................................................133

第二章網(wǎng)絡(luò)與信息安全通報(bào)管理..................................................133

第五章附則......................................................................135

6

XXX學(xué)校

信息安全工作總體規(guī)定(試行)

第一章總則

第一條為加強(qiáng)和規(guī)范XXX學(xué)校信息系統(tǒng)安全工作,提高信

息系統(tǒng)整體安全防護(hù)水平,實(shí)現(xiàn)信息安全的可控、能控、在控,

依據(jù)國(guó)家有關(guān)法律法規(guī)規(guī)定,結(jié)合xxx學(xué)校工作實(shí)際,制定本規(guī)

定。

第二條本規(guī)定中信息系統(tǒng)是指部署在XXX學(xué)校數(shù)據(jù)中心機(jī)

房?jī)?nèi)的各類主機(jī)存儲(chǔ)設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng),以

及各部門用戶終端的集合。

第三條本規(guī)定適用于XXX學(xué)校信息系統(tǒng)的安全保護(hù)總體方

針、策略和規(guī)劃方面的工作。

第二章方針、目標(biāo)和原則

第四條XXX學(xué)校信息安全工作應(yīng)堅(jiān)持“積極預(yù)防、全面保障、

動(dòng)態(tài)管理、持續(xù)改進(jìn)''的總體方針,實(shí)現(xiàn)信息系統(tǒng)安全可控、能控、

在控。依照“分區(qū)、分級(jí)、分域”總體安全防護(hù)策略,執(zhí)行信息系

統(tǒng)安全等級(jí)保護(hù)制度。

第五條XXX學(xué)校信息安全工作的總體目標(biāo)是確保信息系統(tǒng)

持續(xù)、穩(wěn)定、可靠運(yùn)行和確保信息內(nèi)容的機(jī)密性、完整性、可用

1

性,防止因信息系統(tǒng)本身故障導(dǎo)致信息系統(tǒng)不能正常使用和系統(tǒng)

崩潰,抵御黑客、病毒、惡意代碼等對(duì)信息系統(tǒng)發(fā)起的各類攻擊

和破壞,防止信息內(nèi)容及數(shù)據(jù)丟失,防止系統(tǒng)對(duì)外服務(wù)中斷和由

此造成的系統(tǒng)運(yùn)行事故。

第六條信息安全工作的總體原則

(一)需求導(dǎo)向原則

根據(jù)其信息系統(tǒng)承載的業(yè)務(wù),信息資產(chǎn)的重要性,可能受到

的威脅及面臨的風(fēng)險(xiǎn)分析安全需求,按照信息系統(tǒng)等級(jí)保護(hù)要求

確定相應(yīng)的信息系統(tǒng)安全保護(hù)等級(jí),遵從相應(yīng)等級(jí)的規(guī)范要求,

從全局上平衡安全投入與效果。

(二)領(lǐng)導(dǎo)負(fù)責(zé)原則

一把手負(fù)總責(zé),分管領(lǐng)導(dǎo)在職責(zé)范圍內(nèi)各負(fù)其責(zé)的信息安全

管理。

(三)全員參與原則

信息系統(tǒng)所有相關(guān)人員須參與信息系統(tǒng)的安全管理,共同保

障信息系統(tǒng)安全。

(四)標(biāo)準(zhǔn)化原則

按照信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系的要求,采用管理和技術(shù)結(jié)

合的方法,實(shí)現(xiàn)信息安全目標(biāo)。

(五)同步實(shí)施原則

新建信息系統(tǒng)時(shí),應(yīng)充分考慮信息化發(fā)展趨勢(shì),遵循信息化

2

建設(shè)與信息安全建設(shè)同步規(guī)劃、同步建設(shè)、同步實(shí)施的原則,確

保信息化建設(shè)與信息安全建設(shè)同步進(jìn)行。

(六)管理與技術(shù)并重原則

堅(jiān)持積極防御和綜合防范,全面提高信息系統(tǒng)安全防護(hù)能力,

采用管理與技術(shù)相結(jié)合,管理科學(xué)性和技術(shù)前瞻性結(jié)合的方法,

保障信息系統(tǒng)的安全性達(dá)到所要求的目標(biāo)。

第三章總體安全策略

第七條物理安全策略

(一)機(jī)房和辦公場(chǎng)地選擇在具有防震、防風(fēng)和防雨等能力

的建筑內(nèi),機(jī)房場(chǎng)地避免設(shè)在建筑物的高層或地下室,以及用水

設(shè)備的下層或隔壁。

(二)機(jī)房有專人值守,重要區(qū)域應(yīng)配置電子門禁系統(tǒng),控

制、鑒別和記錄進(jìn)入的人員。

(三)需進(jìn)入機(jī)房的來訪人員經(jīng)過申請(qǐng)和審批流程,并限制

和監(jiān)控其活動(dòng)范圍。

(四)對(duì)機(jī)房劃分區(qū)域進(jìn)行管理,區(qū)域和區(qū)域之間設(shè)置物理

隔離裝置,在重要區(qū)域前設(shè)置交付或安裝等過渡區(qū)域。

(五)機(jī)房?jī)?nèi)部署基礎(chǔ)防護(hù)系統(tǒng)和設(shè)備,如電子門禁系統(tǒng)、

監(jiān)控報(bào)警系統(tǒng)、防雷設(shè)備、消防系統(tǒng)、防水監(jiān)控系統(tǒng)、溫濕度控

制系統(tǒng)和UPS供電系統(tǒng)。

第八條網(wǎng)絡(luò)安全策略

3

(一)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間,保

證網(wǎng)絡(luò)各個(gè)部分的帶寬,以滿足業(yè)務(wù)高峰期需要。

(二)根據(jù)各部門的工作職能、重要性和所涉及信息的重要

程度等因素,劃分不同的子網(wǎng)或網(wǎng)段,并按照方便管理和控制的

原則為各子網(wǎng)、網(wǎng)段分配地址段。

(三)應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部

信息系統(tǒng),重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段。

(四)應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備,根據(jù)實(shí)際安全需求

設(shè)置訪問控制策略啟用訪問控制功能。

(五)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶

行為等進(jìn)行審計(jì),并對(duì)審計(jì)記錄數(shù)據(jù)進(jìn)行分析,生成審計(jì)報(bào)表,

且保護(hù)審計(jì)數(shù)據(jù)。

(六)能夠?qū)Ψ鞘跈?quán)聯(lián)接行為進(jìn)行檢查,準(zhǔn)確定出位置,并

對(duì)其進(jìn)行有效阻斷。

(七)在網(wǎng)絡(luò)邊界處監(jiān)視攻擊行為,記錄發(fā)生的攻擊行為。

(八)在網(wǎng)絡(luò)邊界處監(jiān)視,并維護(hù)惡意代碼庫(kù)的升級(jí)和檢測(cè)

系統(tǒng)的更新。

(九)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份標(biāo)識(shí)和鑒別,并設(shè)置

身份標(biāo)識(shí)和鑒別方式。

第九條主機(jī)安全策略

(一)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和

4

鑒別,并設(shè)置身份標(biāo)識(shí)和鑒別方式。

(二)啟用訪問控制功能,設(shè)置訪問控制策略,依據(jù)安全策

略控制用戶對(duì)資源的訪問。

(三)對(duì)服務(wù)器和重要客戶端的重要用戶行為、系統(tǒng)資源的

異常使用和重要系統(tǒng)命令的使用等內(nèi)容進(jìn)行安全審計(jì),并對(duì)審計(jì)

記錄數(shù)據(jù)進(jìn)行分析,生成審計(jì)報(bào)表,且保護(hù)審計(jì)數(shù)據(jù)。

(四)確保操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)用戶的鑒別信息,系統(tǒng)內(nèi)

的文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間,被釋放或重

新分配給其他用戶前得到完全清除。

(五)能夠?qū)χ匾?wù)器進(jìn)行入侵的行為和對(duì)重要程序的完

整性進(jìn)行檢測(cè)。

(六)安裝防惡意代碼軟件,并及時(shí)更新防惡意代碼軟件版

本和惡意代碼庫(kù),并支持防惡意代碼的統(tǒng)一管理。

第十條應(yīng)用安全策略

(一)提供專用的登錄控制模塊對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和

鑒別,并設(shè)置身份標(biāo)識(shí)和鑒別方式。

(二)提供訪問控制功能,依據(jù)安全策略控制用戶對(duì)文件、

數(shù)據(jù)庫(kù)表等客體的訪問。

(三)提供覆蓋到每個(gè)用戶的安全審計(jì)功能,對(duì)應(yīng)用系統(tǒng)重

要安全事件進(jìn)行審計(jì),形成審計(jì)記錄,并對(duì)審計(jì)記錄數(shù)據(jù)進(jìn)行分

析,生成審計(jì)報(bào)表,且保護(hù)審計(jì)數(shù)據(jù)。

5

(四)確保應(yīng)用系統(tǒng)用戶的鑒別信息,系統(tǒng)內(nèi)的文件、目錄

和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間,被釋放或重新分配給其他

用戶前得到完全清除。

(五)具有在請(qǐng)求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)

原發(fā)、接收證據(jù)的功能。

(六)應(yīng)用系統(tǒng)須具有軟件容錯(cuò)功能,提供數(shù)據(jù)有效性檢驗(yàn)

功能和自動(dòng)保護(hù)功能。

第十一條數(shù)據(jù)安全策略

(一)能夠檢測(cè)到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)

在傳輸和存儲(chǔ)過程中完整性受到破壞,并在檢測(cè)到完整性錯(cuò)誤時(shí)

采取必要的恢復(fù)措施。

(二)采用加密或其他有效措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信

息和重要業(yè)務(wù)數(shù)據(jù)傳輸和存儲(chǔ)保密性。

(三)應(yīng)提供本地?cái)?shù)據(jù)備份與恢復(fù)功能,完全數(shù)據(jù)備份至少

每天一次,備份介質(zhì)場(chǎng)外存放。

第十二條安全管理制度

(一)制定信息安全工作的總體方針和安全策略,說明機(jī)構(gòu)

安全工作的總體目標(biāo)、范圍、原則和安全框架等。

(二)組織相關(guān)人員對(duì)制定的安全管理制度進(jìn)行論證和審定。

(三)定期或不定期對(duì)安全管理制度進(jìn)行檢查和審定,對(duì)存

在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂。

6

第十三條安全管理機(jī)構(gòu)

(一)設(shè)立信息安全管理工作的職能部門,設(shè)立安全主管、

安全管理各個(gè)方面的負(fù)責(zé)人崗位,并定義各負(fù)責(zé)人的職責(zé)。

(二)配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理

員等。

(三)針對(duì)系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事

項(xiàng)建立審批程序,按照審批程序執(zhí)行審批過程,對(duì)重要活動(dòng)建立

逐級(jí)審批制度。

(四)加強(qiáng)各類管理人員之間、組織內(nèi)部機(jī)構(gòu)之間以及信息

安全職能部門內(nèi)部的合作與溝通,定期或不定期召開協(xié)調(diào)會(huì)議,

共同協(xié)作處理信息安全問題。

(五)制定安全審核和安全檢查制度規(guī)范安全審核和安全檢

查工作,定期按照程序進(jìn)行安全審核和安全檢查活動(dòng)。

第十四條人員安全管理

(一)嚴(yán)格規(guī)范人員錄用過程,對(duì)被錄用人的身份、背景、

專業(yè)資格和資質(zhì)等進(jìn)行審查,對(duì)其所具有的技術(shù)技能進(jìn)行考核。

(二)嚴(yán)格規(guī)范人員離崗過程,及時(shí)終止離崗員工的所有訪

問權(quán)限,取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬

件設(shè)備。

(三)定期對(duì)各個(gè)崗位的人員進(jìn)行安全技能及安全認(rèn)知的考

核,對(duì)關(guān)鍵崗位的人員進(jìn)行全面、嚴(yán)格的安全審查和技能考核。

7

(四)對(duì)定期安全教育和培訓(xùn)進(jìn)行書面規(guī)定,針對(duì)不同崗位

制定不同的培訓(xùn)計(jì)劃,對(duì)信息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等進(jìn)

行培訓(xùn)。

(五)確保在外部人員訪問受控區(qū)域前先提出書面申請(qǐng),批

準(zhǔn)后由專人全程陪同或監(jiān)督,并登記備案。

第十五條系統(tǒng)建設(shè)管理

(一)明確信息系統(tǒng)的邊界和安全保護(hù)等級(jí),并組織相關(guān)部

門和有關(guān)安全技術(shù)專家對(duì)信息系統(tǒng)定級(jí)結(jié)果的合理性和正確性進(jìn)

行論證和審定。

(二)根據(jù)信息系統(tǒng)的等級(jí)劃分情況,統(tǒng)一考慮安全保障體

系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)

劃和詳細(xì)設(shè)計(jì)方案,并形成配套文件

(三)制定詳細(xì)的工程實(shí)施方案控制實(shí)施過程,并要求工程

實(shí)施單位能正式地執(zhí)行安全工程過程。

(四)在測(cè)試驗(yàn)收前根據(jù)設(shè)計(jì)方案或合同要求等制訂測(cè)試驗(yàn)

收方案,在測(cè)試驗(yàn)收過程中應(yīng)詳細(xì)記錄測(cè)試驗(yàn)收結(jié)果,并形成測(cè)

試驗(yàn)收?qǐng)?bào)告。

(五)對(duì)已定級(jí)系統(tǒng)的相關(guān)備案材料報(bào)相應(yīng)公安機(jī)關(guān)備案。

(六)三級(jí)及三級(jí)以上信息系統(tǒng)運(yùn)行過程中,至少每年對(duì)系

統(tǒng)進(jìn)行一次等級(jí)測(cè)評(píng),發(fā)現(xiàn)不符合相應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要求的及時(shí)

整改。

8

第十六條系統(tǒng)運(yùn)維管理

(一)指定部門負(fù)責(zé)機(jī)房安全,并配備機(jī)房安全管理人員,

對(duì)機(jī)房的出入、服務(wù)器的開機(jī)或關(guān)機(jī)等工作進(jìn)行管理。

(二)建立監(jiān)控和安全管理中心,對(duì)通信線路、主機(jī)、網(wǎng)絡(luò)

設(shè)備和應(yīng)用軟件的運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行監(jiān)測(cè)和

報(bào)警,對(duì)設(shè)備狀態(tài)、惡意代碼、補(bǔ)丁升級(jí)、安全審計(jì)等安全相關(guān)

事項(xiàng)進(jìn)行集中管理,形成記錄并妥善保存。

(三)建立網(wǎng)絡(luò)、系統(tǒng)安全管理制度,對(duì)網(wǎng)絡(luò)安全配置、日

志保存時(shí)間、安全策略、升級(jí)與打補(bǔ)丁、口令更新周期、系統(tǒng)安

全策略、安全配置、日志管理和日常操作流程等方面作出規(guī)定,

并嚴(yán)格執(zhí)行相關(guān)規(guī)定。

(四)建立惡意代碼防范管理制度,對(duì)防惡意代碼軟件的授

權(quán)使用、惡意代碼庫(kù)升級(jí)、定期匯報(bào)等作出明確規(guī)定,并嚴(yán)格執(zhí)

行相關(guān)規(guī)定。

(五)建立變更管理制度,系統(tǒng)發(fā)生變更前,向主管領(lǐng)導(dǎo)申

請(qǐng),變更和變更方案經(jīng)過評(píng)審、審批后方可實(shí)施變更,并在實(shí)施

后將變更情況向相關(guān)人員通告。

(六)在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同事件的應(yīng)急預(yù)案,

并定期對(duì)應(yīng)急預(yù)案進(jìn)行演練。

9

第四章信息安全總體框架

第十七條應(yīng)在信息安全策略的指導(dǎo)下,通過構(gòu)建安全管理、

安全技術(shù)和安全運(yùn)維三大體系,在既定方針目標(biāo)的指引下,相互

支撐,相互促進(jìn),構(gòu)成實(shí)時(shí)、動(dòng)態(tài)和持續(xù)改進(jìn)的全生命周期防護(hù)

體系。

第十八條信息安全管理體系

應(yīng)參照《信息安全技術(shù)信息系統(tǒng)安全管理要求》(GB/T

20269—2006)、《信息安全技術(shù)信息系統(tǒng)安全工程管理要求》(GB/T

20282-2006)和《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》

(GB/T22239-2006)等標(biāo)準(zhǔn)規(guī)范,建立健全xxx學(xué)校信息安全管理

制度體系。

第十九條信息安全技術(shù)體系

應(yīng)參照《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》

(GB/T22239-2006)、《信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)

技術(shù)要求》(GB/T25070-2010)等標(biāo)準(zhǔn)規(guī)范,在云安全、物理安全、

網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全方面,同步建設(shè)和優(yōu)

化信息安全設(shè)施,完善xxx學(xué)校信息安全技術(shù)體系。

第二十條信息安全運(yùn)維體系

應(yīng)根據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》

(GB/T22239-2006)、《信息技術(shù)安全技術(shù)信息安全事件管理指南》

(GB/Z20985—2007)和《信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》

10

(GBT20988-2007)等標(biāo)準(zhǔn)規(guī)范,在機(jī)房基礎(chǔ)設(shè)施、信息化辦公

設(shè)備、網(wǎng)絡(luò)系統(tǒng)、應(yīng)用系統(tǒng)、主機(jī)存儲(chǔ)系統(tǒng)等方面完善XXX學(xué)校

信息安全運(yùn)維體系。

第五章附則

第二H—條本規(guī)定由XXX學(xué)校信息化工作領(lǐng)導(dǎo)小組負(fù)責(zé)解

釋。

第二十二條本規(guī)定自發(fā)布之日起施行。

XXX學(xué)校

2016年1月1號(hào)

11

XXX學(xué)校

信息安全制度管理規(guī)定(試行)

第一章總則

第一條為促進(jìn)XXX學(xué)校信息系統(tǒng)安全制度的制定與管理工

作規(guī)范化、程序化,提高建章立制質(zhì)量,結(jié)合xxx學(xué)校實(shí)際,制

定本規(guī)定。

第二條本規(guī)定適用于xxx學(xué)校各項(xiàng)信息安全制度的規(guī)劃、

起草、審核、發(fā)布、修訂和廢止等相關(guān)活動(dòng)。

第三條制度制定應(yīng)當(dāng)遵循下列原則:

(一)依照法定權(quán)限和程序制定原則,法律、法規(guī)已經(jīng)明確

規(guī)定的原則上不作重復(fù)規(guī)定。

(二)全面性原則,既包括制度范圍的全面性,也包含制度

本身的全面性。

(三)準(zhǔn)確性原則,規(guī)章制度用語應(yīng)當(dāng)準(zhǔn)確、簡(jiǎn)潔,條文內(nèi)

容應(yīng)當(dāng)明確、具體。

(四)可操作性原則,切合XXX學(xué)校信息安全管理的實(shí)際需

求,具有操作的相關(guān)流程,明確相關(guān)工作的負(fù)責(zé)部門和責(zé)任崗位。

(五)適度超前原則,推動(dòng)XXX學(xué)校制度的建設(shè)和創(chuàng)新。

(六)協(xié)調(diào)性原則,避免各項(xiàng)制度相互重復(fù)、沖突和遺漏。

12

第二章制度建設(shè)組織管理

第四條XXX學(xué)校信息化工作領(lǐng)導(dǎo)小組分別依照國(guó)家法律法

規(guī)及XXX學(xué)校相關(guān)規(guī)定行使信息安全制度的審核、批準(zhǔn)、修訂和

廢止權(quán)。

第五條XXX學(xué)校信息化工作領(lǐng)導(dǎo)小組是信息安全制度的具

體編寫實(shí)施部門。其主要職責(zé)是:

(一)負(fù)責(zé)信息安全制度體系編制工作。

(二)負(fù)責(zé)組織起草信息安全制度。

(三)負(fù)責(zé)組織信息安全制度草案的論證、修改、定稿和報(bào)

送等工作。

(四)負(fù)責(zé)收集制度執(zhí)行中存在的問題,提出完善、修改和

廢止有關(guān)規(guī)章制度的建議。

(五)負(fù)責(zé)規(guī)章制度的編號(hào)、保管、存檔工作。

第三章制度建設(shè)規(guī)劃與年度計(jì)劃

第六條XXX學(xué)校信息化工作領(lǐng)導(dǎo)小組制定制度體系的整體

規(guī)劃,根據(jù)信息安全需要進(jìn)行調(diào)整。

第七條各部門可臨時(shí)提議并由XXX學(xué)校信息化工作領(lǐng)導(dǎo)小

組決定將某些重要規(guī)章制度的制定列入調(diào)整計(jì)劃。

13

第四章制度起草

第八條起草信息安全制度應(yīng)注意制度之間的協(xié)調(diào)和銜接,

并就制度之間對(duì)同一事項(xiàng)的不同具體規(guī)定在上報(bào)時(shí)做出說明。

第九條信息安全制度的起草,按下列步驟進(jìn)行:

(一)收集資料,掌握有關(guān)法律、法規(guī)以及其他信息安全的

相關(guān)規(guī)定。

(二)調(diào)查研究,提出符合實(shí)際情況的制度框架。

(三)撰寫草案。

(四)將草案送相關(guān)部門征求意見。被征求意見部門或個(gè)人

應(yīng)認(rèn)真填寫《信息安全制度征求意見表》。

(五)匯總意見,修改草案,填寫《信息安全制度審批表》,

提交至信息化工作領(lǐng)導(dǎo)小組。

第十條信息安全制度一般應(yīng)包括下列內(nèi)容:

(一)目的:清晰簡(jiǎn)潔說明本制度控制的活動(dòng)和內(nèi)容。

(二)適用范圍:明確制度所涉及的有關(guān)部門(單位)、人

員、事項(xiàng)和活動(dòng)。

(三)職責(zé):規(guī)定實(shí)施本制度的部門(單位)或人員的責(zé)任

和權(quán)限。

(四)制度規(guī)范的內(nèi)容、要求與程序,對(duì)相應(yīng)安全活動(dòng)的約

束與要求。

(五)相應(yīng)活動(dòng)、事項(xiàng)的詳細(xì)流程。

14

(六)支持性文件和相關(guān)記錄、圖表,包括與本制度相關(guān)的

支持性文件、規(guī)定,各種應(yīng)保留的相關(guān)記錄、表格、單據(jù)等。

(七)違反規(guī)定的相關(guān)責(zé)任。

(A)制度的實(shí)行時(shí)間及有效期限。

第十一條信息安全制度結(jié)構(gòu)排列可根據(jù)內(nèi)容多少分為章、條、

款、項(xiàng)、目結(jié)構(gòu)表達(dá),內(nèi)容簡(jiǎn)單的也可直接以條的方式表達(dá)。章、

條的序號(hào)用中文數(shù)字依次表述;款不編序號(hào);項(xiàng)的序號(hào)用中文數(shù)

字加括號(hào)依次表述;目的序號(hào)用阿拉伯?dāng)?shù)字依次表述。

第五章審查與批準(zhǔn)

第十二條XXX學(xué)校信息化工作領(lǐng)導(dǎo)小組對(duì)信息安全制度草案

進(jìn)行下列審查:

(一)與XXX學(xué)校現(xiàn)行規(guī)章制度是否協(xié)調(diào)。

(二)草案結(jié)構(gòu)、條款是否符合規(guī)章制度的要求和技術(shù)規(guī)范。

(三)是否切合XXX學(xué)校實(shí)際和體現(xiàn)權(quán)責(zé)對(duì)等原則。

第十三條經(jīng)審查符合要求的,審批后下發(fā)實(shí)行。

第十四條制度采取試行辦法,首次頒布的制度試行期為一年,

試行期后經(jīng)修訂審批為正式制度,正式制度如需修訂則按照修訂

與廢止的相關(guān)程序辦理。

第十五條信息安全制度一經(jīng)發(fā)布生效,相關(guān)人員必須嚴(yán)格遵

守。

15

第六章修訂與廢止

第十六條為加強(qiáng)信息安全制度管理,制度實(shí)施過程中,XXX

學(xué)校信息化工作領(lǐng)導(dǎo)小組定期向各相關(guān)部門征求制度執(zhí)行意見,

搜集執(zhí)行過程中存在的問題,以便修訂。

第十七條各相關(guān)部門在執(zhí)行信息安全制度過程中,對(duì)制度存

在的問題應(yīng)及時(shí)記錄,填寫《信息安全制度修訂、廢止建議表》

交XXX學(xué)校信息化工作領(lǐng)導(dǎo)小組。

第十八條信息安全制度的修訂和廢止應(yīng)由XXX學(xué)校信息化工

作領(lǐng)導(dǎo)小組提出,信息化工作領(lǐng)導(dǎo)小組審定。

第十九條信息安全制度符合下列情形之一的,應(yīng)進(jìn)行修訂。

(一)規(guī)定事項(xiàng)不能切合現(xiàn)行信息安全方針或事實(shí)需要。

(二)規(guī)定事項(xiàng)局部已不適用。

(三)制度的局部與國(guó)家有關(guān)政策法規(guī)相抵觸。

(四)所涉及的部門名稱,與現(xiàn)實(shí)不符,或原規(guī)定事項(xiàng)主管

或執(zhí)行部門已經(jīng)變更。

第二十條信息安全制度符合下列情形之一者,應(yīng)予以廢止。

(一)規(guī)定事項(xiàng)與現(xiàn)行信息安全方針相?;虿环?/p>

(二)與現(xiàn)實(shí)情況完全不相切合。

(三)同事項(xiàng)已有新規(guī)定并已公布施行。

(四)規(guī)定事項(xiàng)已執(zhí)行完畢,或因情勢(shì)變遷,已無繼續(xù)施行

必要。

16

(五)其它情形下,無保留或繼續(xù)適用必要。

第七章附則

第二H—條XXX學(xué)校信息化工作領(lǐng)導(dǎo)小組定期組織對(duì)已公

布實(shí)施的信息安全制度執(zhí)行情況進(jìn)行修訂,并重新印刷下發(fā)。

第二十二條本規(guī)定由XXX學(xué)校信息化工作領(lǐng)導(dǎo)小組負(fù)責(zé)解

釋。

第二十三條本規(guī)定自發(fā)布之日起施行。

XXX學(xué)校

2016年1月1號(hào)

17

附件:

附件一信息安全制度征求意見表

擬定制度名稱

擬頒定時(shí)間

起草部門

擬實(shí)行范圍

部門意見或建議

部門負(fù)責(zé)人:

18

附件二信息安全制度審批表

擬定制度名稱

起草部門

擬稿人核稿人

審核部門

審核部門

修改意見和建議

審核人

19

附件三信息安全制度修定、廢止建議表

制度名稱

印發(fā)時(shí)間印發(fā)文號(hào)

提請(qǐng)人部門負(fù)責(zé)人

建議內(nèi)容

20

XXX學(xué)校

信息系統(tǒng)“三員”管理規(guī)定(試行)

第一章總則

第一條為加強(qiáng)和規(guī)范XXX學(xué)校信息系統(tǒng)管理,依據(jù)國(guó)家安全

有關(guān)規(guī)定和技術(shù)要求,制定本規(guī)定。

第二條本規(guī)定所稱“三員”指系統(tǒng)管理員、安全管理員、安全

審計(jì)員,分別負(fù)責(zé)系統(tǒng)運(yùn)行、系統(tǒng)安全和安全審計(jì)工作:

(一)系統(tǒng)管理員主要負(fù)責(zé)系統(tǒng)日常運(yùn)行維護(hù)工作;

(二)安全管理員主要負(fù)責(zé)系統(tǒng)日常安全管理工作;

(三)安全審計(jì)員主要負(fù)責(zé)對(duì)系統(tǒng)管理員、安全管理員的操

作行為進(jìn)行審計(jì)跟蹤分析和監(jiān)督檢查,以及時(shí)發(fā)現(xiàn)違規(guī)行為,并

定期向系統(tǒng)安全管理機(jī)構(gòu)匯報(bào)相關(guān)情況。

第二章系統(tǒng)管理員職責(zé)

第三條系統(tǒng)管理員分為網(wǎng)絡(luò)管理員、應(yīng)用系統(tǒng)管理員、終端

設(shè)備管理員。

網(wǎng)絡(luò)管理員職責(zé):

(-)合理規(guī)劃網(wǎng)絡(luò)、主機(jī)、存儲(chǔ)架構(gòu),并部署。

(二)服務(wù)器、網(wǎng)絡(luò)設(shè)備等日常管理和維護(hù)。

(三)定期搜集、統(tǒng)計(jì)、報(bào)送網(wǎng)絡(luò)運(yùn)行和管理情況。

21

(四)接受網(wǎng)絡(luò)和主機(jī)事件報(bào)告,并及時(shí)處理。

應(yīng)用系統(tǒng)管理員職責(zé):

(-)應(yīng)用系統(tǒng)結(jié)構(gòu)和性能優(yōu)化,消除性能瓶頸;

(二)應(yīng)用系統(tǒng)日常管理和維護(hù),故障處理。

(三)定期搜集、統(tǒng)計(jì)、報(bào)送安全管理情況。

(四)定期數(shù)據(jù)備份,并在事件發(fā)生時(shí)及時(shí)恢復(fù)。

(五)接受軟件和系統(tǒng)事件報(bào)告,并及時(shí)處理。

終端設(shè)備管理員職責(zé):

(一)終端計(jì)算機(jī)設(shè)備配置、維護(hù)、管理。

(二)終端操作系統(tǒng)及應(yīng)用系統(tǒng)客戶端狀態(tài)監(jiān)控。

(三)定期對(duì)系統(tǒng)終端進(jìn)行病毒掃描和病毒庫(kù)更新。

(四)終端操作系統(tǒng)及應(yīng)用系統(tǒng)客戶端軟件升級(jí)、補(bǔ)丁安裝

等。

(五)定期報(bào)送終端使用管理情況和異常事件統(tǒng)計(jì)信息。

(六)受理來自終端設(shè)備用戶的故障報(bào)告,并及時(shí)處理。

(七)其他信息化辦公設(shè)備的配置、維護(hù)、管理。

第三章安全管理員職責(zé)

第四條制定并實(shí)施信息系統(tǒng)安全策略。

第五條安全設(shè)備和安全軟件日常管理和維護(hù),包括升級(jí)更新、

故障處理。

第六條監(jiān)控安全設(shè)備和安全軟件運(yùn)行狀態(tài),定期審查、維護(hù)

22

權(quán)限列表,并對(duì)日志進(jìn)行分析,及時(shí)發(fā)現(xiàn)安全隱患并妥善處理。

第七條系統(tǒng)管理員賬戶、權(quán)限管理,應(yīng)用系統(tǒng)管理員權(quán)限管

理,定期審查、維護(hù)權(quán)限列表,并對(duì)日志進(jìn)行分析,及時(shí)發(fā)現(xiàn)安

全隱患并妥善處理。

第八條定期報(bào)送安全管理情況和異常事件統(tǒng)計(jì)信息。

第九條信息系統(tǒng)安全事件處理。

第四章安全審計(jì)員職責(zé)

第十條對(duì)系統(tǒng)各用戶名和口令管理與變更記錄進(jìn)行審計(jì)。

第十一條對(duì)系統(tǒng)安全策略執(zhí)行情況進(jìn)行審計(jì)。

第十二條定期備份安全審計(jì)日志。

第十三條監(jiān)督系統(tǒng)管理員和安全管理員對(duì)事件(包括報(bào)送事

件)處理過程。

第十四條定期對(duì)系統(tǒng)管理員和安全管理員工作和相關(guān)文檔

進(jìn)行檢查,形成審計(jì)記錄,并向主管領(lǐng)導(dǎo)報(bào)送,發(fā)現(xiàn)異常情況及

時(shí)報(bào)告。

第十五條對(duì)審計(jì)的安全事件進(jìn)行及時(shí)處理,并對(duì)處理結(jié)果進(jìn)

行記錄。

第五章AB角工作制度

第十六條為進(jìn)一步明確工作責(zé)任,提高工作效率,實(shí)行該制

度。

23

第十七條AB角工作制度是指A角不在崗的情況下,由B

角負(fù)責(zé)頂崗的工作制度。各科應(yīng)對(duì)本科承擔(dān)的各項(xiàng)工作進(jìn)行合理

分工及安排,認(rèn)真落實(shí)AB角制度,避免出現(xiàn)無人頂崗的現(xiàn)象。

第十八條各科在安排工作時(shí),原則上保證AB角有一人在崗。

互為AB角的人員,原則上不能同期休假,不能同時(shí)出差。

第十九條B崗責(zé)任人在頂崗期間,應(yīng)做好本職工作,并負(fù)

有A崗責(zé)任人的職責(zé),對(duì)A崗的工作認(rèn)真負(fù)責(zé)。

第二十條全體人員應(yīng)加強(qiáng)學(xué)習(xí),AB角之間要不斷地進(jìn)行相

互溝通,A角暫離崗位時(shí),要切實(shí)做好交接工作,確保B角能夠

銜接到位。

第二H—條各科AB角分工情況應(yīng)及時(shí)報(bào)綜合科備案。

第六章附則

第二十二條本規(guī)定由XXX學(xué)校信息化工作領(lǐng)導(dǎo)小組負(fù)責(zé)解

釋。

第二十三條本規(guī)定自發(fā)布之日起施行。

XXX學(xué)校

2016年1月1號(hào)

24

XXX學(xué)校

信息系統(tǒng)安全檢查規(guī)定(試行)

第一章總則

第一條為加強(qiáng)和規(guī)范XXX學(xué)校信息系統(tǒng)安全監(jiān)督檢查工作,

保障信息系統(tǒng)安全穩(wěn)定運(yùn)行,根據(jù)國(guó)家信息安全等級(jí)保護(hù)有關(guān)規(guī)

定和xxx學(xué)校信息系統(tǒng)安全有關(guān)管理規(guī)定制定本規(guī)定。

第二條本規(guī)定適用于xxx學(xué)校信息系統(tǒng)建設(shè)、使用和運(yùn)維管

理中安全監(jiān)督檢查工作。

第三條xxx學(xué)校信息化工作領(lǐng)導(dǎo)小組負(fù)責(zé)組織監(jiān)督檢查工作:

人員管理、教育培訓(xùn)等相關(guān)檢查由信息化工作領(lǐng)導(dǎo)小組具體執(zhí)行;

安全技術(shù)相關(guān)檢查由網(wǎng)絡(luò)中心具體執(zhí)行。

第二章實(shí)施細(xì)則

第四條檢查內(nèi)容主要包括信息系統(tǒng)安全技術(shù)措施有效性和安

全管理制度執(zhí)行情況。

第五條專項(xiàng)檢查應(yīng)填寫檢查登記表,檢查結(jié)果匯總后報(bào)XXX

學(xué)校信息化工作領(lǐng)導(dǎo)小組,發(fā)現(xiàn)問題及時(shí)整改。

第六條定期對(duì)系統(tǒng)進(jìn)行安全性能檢測(cè),確保系統(tǒng)安全穩(wěn)定運(yùn)

行。

第七條系統(tǒng)安全性能檢測(cè)由系統(tǒng)管理員、安全管理員和安全

25

審計(jì)員共同完成。

第八條檢查人員應(yīng)利用漏洞掃描等工具對(duì)整個(gè)系統(tǒng)進(jìn)行安全

檢查,進(jìn)行網(wǎng)絡(luò)系統(tǒng)、應(yīng)用系統(tǒng)、安全防護(hù)系統(tǒng)、用戶終端的安

全分析,發(fā)現(xiàn)漏洞或安全隱患及時(shí)整改。

第九條及時(shí)記錄安全檢查和整改操作情況。

(一)物理安全檢查由網(wǎng)絡(luò)管理員負(fù)責(zé),并根據(jù)檢查情況填

寫《物理安全檢查表》。

(二)網(wǎng)絡(luò)設(shè)備、服務(wù)器安全性能檢查由網(wǎng)絡(luò)管理員負(fù)責(zé),

安全設(shè)備安全性能檢查由安全管理員負(fù)責(zé),并根據(jù)檢查情況填寫

《網(wǎng)絡(luò)系統(tǒng)安全性能檢測(cè)表》、《系統(tǒng)安全漏洞檢測(cè)記錄表》、《主

機(jī)和存儲(chǔ)安全性能檢查表》。

(三)應(yīng)用系統(tǒng)安全性能檢測(cè)由應(yīng)用系統(tǒng)管理員負(fù)責(zé),并根

據(jù)檢測(cè)情

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論