学校信息系统安全管理制度
学校信息系统安全管理制度是为保障学校信息中心信息系统的应用系统的安全,稳定运行,规范应用的安全配置和日常维护管理,制定的制度。以下是小编精心整理的学校信息系统安全管理制度(精选10篇),欢迎阅读与收藏。
学校信息系统安全管理制度1
第一章 总 则
第一条 为保证白城师范学院信息系统的操作系统、应用系统和数据库系统的安全,特制定本管理制度。
第二条 本管理制度适用于我校所有信息系统及使用信息系统的部门和工作人员。
第三条 系统管理员和数据库管理员负责落实执行此规定,信息安全管理员负责监督此规定的实施,其他工作人员和外来人员须遵守本管理制度的要求。
第二章 系统运行维护管理
第四条 信息系统运行维护管理的基本任务:
(一)进行信息系统的日常运行和维护管理,实时监控系统运行状态,保证系统各类运行指标符合相关规定;
(二)迅速而准确地定位和排除各类故障,保证信息系统正常运行,确保所承载的各类应用和业务正常;
(三)进行系统安全管理,根据业务需求和安全需求明确系统访问控制策略,保证信息系统的运行安全和信息的保密性和完整性;
(四)在保证系统运行质量的情况下,提高维护效率,降低维护成本。
第五条 各系统管理员和各业务系统使用部门共同负责信息系统运行维护管理工作,掌握系统运行安全情况,制定安全指标;
第六条 系统出现故障,系统管理员首先进行处理,同时判断事件类型和故障级别,故障处理应在要求的时限内完成,并同时向信息安全管理组报告。对无法解决的故障,应立即向软硬件最终提供商或代理商(以下简称厂商)提出技术支持申请,督促厂商安排技术支持,并进行跟踪处理,与厂商一起到现场进行解决。
第七条 厂商技术人员现场处理故障时,系统管理员应全程陪同,并在故障解决后进行书面确认。
第八条 发现系统运行异常或发生安全事件时,应按照《信息安全事件管理制度》中的要求和流程进行汇报与处理。
第三章 系统安全管理
第九条 各系统管理员和各业务系统使用部门共同负责单位工作人员的权限分配,权限设定应遵循最小授权原则。权限开通应执行审批流程,管理员权限与特殊操作权限应经信息安全管理组组长审批后方可授予,普通操作权限和查询权限应经院系负责人和信息安全管理员审批后授予,相关申请人填写《用户账户申请/变更/注销审批表》(见附件一),并执行逐级审批,信息安全管理员保存该审批记录:
(一)管理员权限:对应用系统、数据库与服务器进行维护。系统管理员、数据库管理员应权限分离,不能由同一人担任。
(二)普通操作权限:对于各个系统的使用人员,针对其工作范围给予操作权限。
(三)查询权限:对于单位管理人员可以以此权限查询数据,但不能输入、修改数据。
(四)特殊操作权限:严格控制单位管理方面的特殊操作,只将权限赋予相关部门负责人。
第十条 应确保用户名的唯一性,禁止多人共用一个账号。应加强对匿名账户和缺省账户的管理,原则上应禁止使用该类账户。
第十一条 每年对用户账号权限进行一次检查,根据用户的安全责任和工作要求的改变对其身份以及相应的权限进行变更。
第十二条 定期安装系统的最新补丁程序,系统补丁安装按照《信息系统补丁管理制度》中的相关要求进行操作。
第十三条 定期对操作系统进行安全漏洞扫描,及时发现最新安全问题,通过升级、打补丁或加固等方式解决。
第十四条 关闭信息系统不必要的服务。
第十五条 做好数据备份工作,保障系统故障时能快速地恢复数据并避免数据的丢失。
第四章 系统口令管理
第十六条 操作系统、数据库系统、中间件、业务应用系统的管理员账号密码长度至少设置为10位,密码必须从英文字母大小写、数字、特殊符号中至少选择三种进行组合设置。
第十七条 数据库系统、中间件、业务应用系统的普通用户账号密码长度至少设置为8位,由非纯数字或字母组成,禁止使用姓名、电话号码、生日等容易猜测的字符串作为密码,也不应使用单个单词作为密码。
第十八条 数据库系统、中间件、业务应用系统的普通用户账号和管理员账号不得使用缺省密码,应确保普通用户账号和管理员账号密码不同。
第十九条 系统账号的密码必须以加密形式显示,密码过期失效被锁定后,需联系管理员进行解锁。
第二十条 数据库系统、中间件、业务应用系统的管理员账号密码应至少每3个月修改一次。
第二十一条 禁止未经授权将账号、密码告知其他人员,用户密码不得以任何形式的明文存放在联网的主机电子文档中,也不得以任何形式的明文在电子邮件和传真中传播。
第二十二条 工作中的账号密码不要和个人其他账号密码相同,尽量做到不同用途使用不同密码。
第二十三条 系统发放初始密码后,用户必须修改密码后才能进行其它操作。
第二十四条 每半年对用户账号使用情况进行一次检查,及时禁用、删除系统中的空账号、临时账号等存在安全隐患的账号。
第五章 系统日志管理
第二十五条 日志管理的总体要求:
(一)未经信息安全管理组组长允许,系统管理员不允许擅自删除日志;
(二)日志必须满足以下的备份要求:
1、在容量允许的情况下,各系统管理员应该根据业务范围,对日志进行收集;
2、可以备份为纯文本格式;
3、可以备份到日志服务器上,但也可以有效灵活利用服务器空间进行备份;
4、日志备份必须为操作系统或应用系统可以还原查看的格式;
5、系统日志必须保存6个月以上。
第二十六条 应用系统日志需要记录以下信息:
(一)记录应用系统的启动关闭信息;
(二)记录用户的访问信息;
(三)记录系统运行状态信息,包括提示、出错信息;
(四)记录文件修改、删除、更新等信息;
(五)该系统的其它信息。
第二十七条 主机系统日志的要求:
(一)记录主机上各应用程序状态信息;
(二)记录主机安全相关信息;
(三)记录系统相关信息,包括各系统进程状态。
第二十八条 数据库系统日志的要求:
(一)记录数据库系统重启及关闭信息;
(二)记录数据系统用户访问的信息;
(三)记录数据库系统运行状态信息,包括提示、出错信息;
(四)记录数据库文件修改、删除、更新等信息;
(五)该数据库系统的其它信息。
第二十九条 日志的审计要求:
(一)系统管理员每周至少对日志进行一次审计。
(二)信息安全管理员对系统管理员进行监督,确保系统管理员按照规章制度每周对日志进行审计。
(三)如发现存在错误或可疑日志信息,系统管理员须将该信息详细记录并进行详细调查。
第六章 个人操作管理
第三十条 单位工作人员申请、变更或注销系统账户权限需填写《用户账户申请/变更/注销审批表》(见附件一),经批准后方可开通、变更或注销账户。开通账户时确保使用唯一的用户ID,保证可由此ID追溯用户,从而使其对自己的行为负责。组ID只在与执行的任务相适应的情况下允许使用。
第三十一条 单位工作人员严禁私自在办公计算机上安装与办公无关的软件,以免造成病毒感染。严禁私自更改计算机的设置及安全策略。
第三十二条 严格管理口令,包括口令的设置、保管和更换,采取关闭guest和匿名用户、增强管理员口令设置要求等措施。
第三十三条 计算机设备应设屏幕密码保护的用户界面,保证数据的保密性。
第三十四条 按照网络安全与信息化委员会要求,除极特殊情况外,不允许对任何操作系统、中间件、业务应用系统和数据库系统进行远程操作。
第七章 附 则
第三十五条 本管理制度的解释和修改权属于网络安全与信息化委员会。
第三十六条 本管理制度自发布之日起执行。
学校信息系统安全管理制度2
第一章 总则
第一条 为保证学校信息系统的安全,根据《中华人民共和国计算机信息系统安全保护条例》和《中华人民共和国网络安全法》,结合学校信息系统建设实际情况,特制定本制度。
第二条 本制度中所称的信息系统是指学校各级部门建设的信息系统,包括各类应用系统、网站(含非学校域名,非学校IP)等。
第三条 学校信息系统总体依照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则进行管理,同时必须有专人负责系统日常管理和维护。
第二章 系统建设、管理和使用
第四条 信息系统建设部门根据工作需要,在学校统一规划下开展信息系统建设工作。要对系统的安全风险进行专业评估,确保系统自身安全。
第三章 物理安全
第六条 学校网络信息化部门、后勤部门和安全保卫部门负责保障校园信息网络基础设施的物理安全。
第七条 物理安全主要涉及到信息系统所需网络基础设施和硬件的电磁安全、介质安全、设备安全、动力安全、环境安全等。
第八条 物理安全主要采取的安全措施包括电磁屏蔽(例如:防雷击、防辐射)、容灾备份(例如:数据双机热备份、远程备份等)、设备防护、可靠供电(包括UPS)等。
第四章 系统安全
第九条 学校网络信息化部门全面负责学校信息系统安全体系建设与管理。部署入侵检测、入侵防御、漏洞扫描、病毒防护网关、流量监控、网络设备运行监控等系统进行实时监测,实时掌握系统运行状况,一旦发现异常,根据安全事件级别启动相应应对方案。
第十条 为确保信息系统安全稳定运行,系统建设部门承担着所辖系统的服务器操作系统(OS)、信息系统自身的安全管理与维护责任,主要包括:
1、每月对服务器操作系统和信息系统进行安全漏洞扫描,及时发现最新安全问题,通过升级、打补丁或加固等方式解决。敏感期或重大病毒爆发期,要酌情提高漏洞扫描的频率。
2、根据系统需要,对信息系统的文件和数据做好备份策略,保障系统故障时能快速恢复并避免数据丢失。建立系统故障时应急恢复预案。
3、加强密码管理。系统用户使用的口令应满足以下要求:1)8个字符以上;2)使用以下字符的组合:a-z、A-Z、0-9,以及!@#$%^&*()- +;3)口令每三个月至少修改一次。
4、服务器操作系统安装防病毒软件和开启防火墙,关闭不需要的服务端口。
第五章 内容安全
第十一条 学校宣传部门总体负责信息内容的安全管理工作,网络信息化部门提供技术支持,信息系统的建设、管理与使用部门负责所辖系统的内容安全管理。
第十二条 内容安全主要实现对校园信息内容的隐藏、发现、分析和管理等,主要采取的措施包括信息检索、数据挖掘、特定信息过滤(例如色情、暴力等不良网络信息)、网络舆情信息分析与处理等。
第六章 系统变更与注销
第十三条 在信息系统相关内容(比如系统名称、系统功能、系统管理员、关键产品的使用、系统安全情况等)发生变化时,系统建设部门需在变更后一周内向网络信息化部门登记备案。
第十四条 如果信息系统不再提供相关服务,需要关闭停止的,系统建设部门需向网络信息化部门提出书面申请,待审核通过后,立即予以注销。如因长时间无人管理致使系统产生安全漏洞,造成的损失由建设部门承担法律后果。
第七章 惩处
第十五条违反本管理制度,将提请学校视情节给予相应的批评教育、通报批评、行政处分或处以警告、以及追究其他责任。触犯国家法律、行政法规的,依照有关法律、行政法规的规定予以处罚;构成犯罪的,依法追究刑事责任。
第八章 附则
第十六条 本制度由信息中心负责解释。
第十七条 本制度自印发之日起施行
学校信息系统安全管理制度3
第一章总则
第一条 为保障学校信息中心信息系统的应用系统的安全,稳定运行,规范应用的安全配置和日常维护管理,特制定本制度。
第二条 本办法适用于湖北科技学院网络管理中心信息系统的运行管理,其他部门可参照执行。
第二章人员职责
第三条 信息系统管理员任命应遵循“任期有限,权限分散”的原则;对重要信息系统管理人员应不定期的循环任职,并对人员进行培训。应用系统管理员任期可根据系统的安全性要求而定,期满通过考核后可以续任。
第四条 信息系统管理员应恪守职业道德,严守秘密;熟悉国家安全生产法以及有关信息安全管理的相关规程,熟悉应用系统涉及的业务流程。负责信息系统的安装、维护和系统及数据备份,根据应用系统的安全策略,负责应用系统的用户权限设置以及系统安全配置。密切注意应用系统运行中发生的系统故障、安全事件,关注应用系统存在的隐患,收集业务用户的问题反映,及时报告网络中心领导和相关业务部门负责人。
第三章用户管理
第五条 建立应用系统账户的授权、审批流程。应用系统的账号注册和授权由个人向部门领导提交申请,业务主管部门审批后提交给网络管理中心领导批准,由信息系统管理员注册并设置角色权限。
第六条 应用系统管理员授权由部门负责人填写《应用系统账户授权审批表》,经部门领导批准后设置。应用系统管理员变更后,必须及时更改帐户设置。
第四章应用系统管理
第七条 应设置《应用系统维护和应急处理记录》,系统管理员记录系统的运行情况;应对系统异常、系统故障的日期、现象、处理方法及结果等应急处理进行记录。
第八条 应对应用系统的安装、设置更改、帐号变更、组变更、备份等系统维护工作进行记录,以备查阅;应对应用系统异常和系统故障的时间、现象、应急处理方法及结果作详细的记录。
学校信息系统安全管理制度4
一、为了加强校园网络的安全保护与管理,维护学校正常教学秩序,净化校园网络信息,保障计算机功能的正常发挥,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《辽宁省计算机信息系统安全管理条例》、《关于加强我省教育行业信息系统安全管理工作的意见》和其他相关法律、法规的规定,结合教育部、公安部有关文件精神,特制定如下制度:
二、建设微机室和校园网络等工程要经县教育信息领导小组审批和验收。
三、学校要成立教育信息网络安全领导小组,校长负全责,信息网络安全领导小组负责以下几项工作:
(一)宣传、培训工作。各学校要做好对计算机信息系统安全知识的宣传、培训工作,组织相关人员学习国家和省、市有关计算机系统安全保护的法律、法规及安全技术知识。
(二)安全管理制度建设。各学校要建立计算机用户管理、电子邮箱管理、日志留存、重要数据备份、网上信息发布审核、上网备案、病毒防治、磁介质管理、用户身份认证和公用账户管理等各项制度。
(三)安全技术防范工作。各学校在计算机网络系统建设中,要组织专家对系统的安全性、稳定性进行评估和论证,将系统的安全风险降到最低程度。在网络系统建成后,要加大对计算机信息系统安全专用产品的投入,保障计算机信息系统的安全运行。
四、 本学校计算机网络及附属设备仅供本学校全体师生教育管理与教学科研使用。非本单位人员未经允许不得使用。
五、 任何个人不得利用校园信息网络危害国家安全、泄露国家秘密,不得侵犯国家的、社会的、集体的利益和公民的合法权益,不得从事违法犯罪活动。
六、 任何个人不得利用校园网络制作、复制、查阅和传播下列信息;
(一)煽动抗拒、破坏宪法和法律、行政法规的;
(二)煽动分裂国家、推翻社会主义制度的;
(三)煽动分裂国家、破坏国家统一的;
(四)煽动民族仇恨、民族歧视,破坏民族团结的;
(五)捏造或者歪曲事实,散布谣言,扰乱社会和学校秩序的;
(六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;
(七)公然侮辱他人或者捏造事实诽谤他人的;
(八)损害国家机关信誉的;
(九)其他违反宪法和法律、行政法规的。
七、 上机应取得计算机安全领导小组的同意,并认真履行上机登记制度;
(一)上机应取得计算机安全领导小组的同意,并认真履行 上机登记制度;
(二)除教学、管理及计算机学习外,不应使用计算机从事其它活动;
(三)增强防病毒意识,注意软盘的病毒交叉感染。不提倡自行安装、运行自带的软件,不准安装游戏软件。
(四)不准播入与教育教学无关的VCD片。
八、 任何人不得从事下列危害计算机信息网络安全的活动;
(一)对计算机信息网络功能进行删除、修改或者增加的;
(二)未经允许,对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;
(三)故意制作、传播计算机病毒等破坏性程序的;
(四)其他危害计算机信息网络安全的。
九、 机房由专人负责管理、操作、维护和安全保护,其他人员不得入内。
十、 要加强校园局域网的管理,自觉遵守《全国青少年网络文明公约》。
学校信息系统安全管理制度5
第一条
所有网络设备(包括光纤、路由器、交换机、集线器等)均归现代教育技术中心所管辖,其安装、维护等操作由现代教育技术中心工作人员进行。其他任何人不得破坏或擅自维修。
第二条
所有学校内计算机网络部分的扩展必须经过现代教育技术中心实施或批准实施,未经许可任何部门不得私自连接交换机、集线器等网络设备,不得私自接入网络。现代教育技术中心有权拆除用户私自接入的网络线路并进行处罚措施。
第三条
各部门的联网工作必须事先报现代教育技术中心,由现代教育技术中心做网络实施方案。
第四条
学校局域网的网络配置由现代教育技术中心统一规划管理,其他任何人不得私自更改网络配置。
第五条
接入学校局域网的客户端计算机的网络配置由现代教育技术中心部署的DHCP服务器统一管理分配,包括:用户计算机的IP地址、网关、DNS和WINS服务器地址等信息。未经许可,任何人不得使用静态网络配置。
第六条
任何接入学校局域网的客户端计算机不得安装配置DHCP服务。一经发现,将给予通报并交有关部门严肃处理。
第七条
网络安全:严格执行国家《网络安全管理制度》。对在学校局域网上从事任何有悖网络法规活动者,将视其情节轻重交有关部门或公安机关处理。
第八条
教职工具有信息保密的义务。任何人不得利用计算机网络泄漏公司机密、技术资料和其它保密资料。
第九条
任何人不得在局域网络和互联网上发布有损学校形象和教工声誉的信息。
第十条
任何人不得扫描、攻击学校计算机网络。
第十一条
任何人不得扫描、攻击他人计算机,不得盗用、窃取他人资料、信息等。
第十二条
为了避免或减少计算机病毒对系统、数据造成的影响,接入学校局域网的所有用户必须遵循以下规定:
1.任何单位和个人不得制作计算机病毒;不得故意传播计算机病毒,危害计算机信息系统安全;不得向他人提供含有计算机病毒的文件、软件、媒体。
2.采取有效的计算机病毒安全技术防治措施。建议客户端计算机安装使用现代教育技术中心部署发布的瑞星杀毒软件和360安全卫士对病毒和木马进行查杀。
3.定期或及时更新用更新后的新版本的杀病毒软件检测、清除计算机中的病毒。
第十三条
学校的互联网连接只允许教职工为了工作、学习和工余的休闲使用,使用时必须遵守有关的国家、企业的法律和规程,严禁传播淫秽、反动等违犯国家法律和中国道德与风俗的内容。学校有权撤消违法犯纪者互联网的使用。使用者必须严格遵循以下内容:
1.从中国境内向外传输技术性资料时必须符合中国有关法规。
2.遵守所有使用互联网的网络协议、规定和程序。
3.不能利用邮件服务作连锁邮件、垃圾邮件或分发给任何未经允许接收信件的人。
4.任何人不得在网上制作、查阅和传播宣扬反动、淫秽、封建迷信等违犯国家法律和中国道德与风俗的内容。
5.不得传输任何非法的、骚扰性的、中伤他人的、辱骂性的、恐吓性的、伤害性的等信息资料。
6.不得传输任何教唆他人构成犯罪行为的资料,不能传输助长国内不利条件和涉国家安全的资料。
7.不能传输任何不符合当地法规、国家法律和国际法律的资料。
第十四条
各部门人员每日上班及时打开计算机,进入学校办公系统、浏览相关文件信息、学习有关文件资料。如有自己业务相关的工作信息,要及时处理,处理结果及时回馈有关责任人员。
第十五条
充分利用办公系统的优势信息处理平台,浏览的相关情况由办公系统后台数据库自动生成详细记录,以便领导检查相关登陆信息提供记录参考。
第十六条
各部门人员必须及时做好各种数据资料的录入、修改、备份和数据保密工作,保证数据资料的完整准确和安全性。
第十七条
严禁外来人员对计算机数据和文件进行拷贝或抄写以免泄漏学校机密,对学校办公系统或其它学校内部平台帐号不得相互知晓,每个人必须保证自己帐号的唯一登陆性负责,否则由此产生的数据安全问题由其本人负全部责任。
学校信息系统安全管理制度6
校园网主要为我校师生员工教学、科研、管理等信息交流服务。我校校园网的管理及使用必须遵守国家的有关法律法规,达到安全、稳定、高效的目的。为了保证校园网的正常使用,特制定本管理办法。
一、校园网中的计算机设备使用对象为教职员工和全体学生。
二、校园网的使用及管理必须遵守国家的有关法律法规和行政规章制度,不得利用网络从事危害国家安全、泄露规矩秘密等犯罪活动,不得利用网络查阅、复制和传播危害国家安全、妨碍社会治安和淫秽黄色的信息。不得向学校、单位或他人发送恶意的、挑衅性的文件和商业广告。在使用因特网接入时,应遵守INTERNET的国际惯例和我国的有关政策,自觉不看、不传、不信各种“黄、毒、赌”及其他不良信息。
三、任何人不得在网上散布、下载、传播任何计算机病毒,一经发现将移交法律部门处理。
四、任何人不得盗用他人网址非法上网;不得盗用他人E-mail地址;不得盗用学校名义进行任何网上的非法操作。
五、任何人不准以任何理由,借助任何工具、采用任何手段擅自修改校园网中计算机终端的系统参数。安装、删除软件须经网络管理员允许。
六、对违反本管理条例的人员,学校视情节轻重给予记过以上处分,造成重大损失的将根据有关法律条文移送公安机关处理。如发现计算机硬件人为损坏,按《学校公物损坏赔偿办法》处理。
七、任何人发现网上任何异常现象(包括故障现象)都应及时与值班教师或网络中心管理人员取得联系,以便及时处理。
八、有义务和责任举报任何人的非法行为。
九、任何违规操作者一律由个人承担经济处罚和法律责任。
学校信息系统安全管理制度7
为维护互联网环境安全、健康,根据《计算机信息网络国际互联网安全保护管理办法》、《互联网安全保护技术措施规定》、《计算机信息网络国际联网安全保护管理办法》等国家法律、法规,特制定本制度。
总则
一、严格遵守国家有关涉及互联网方面的法律法规;
二、坚决封堵互联网上不良和有害信息的`侵入;
三、积极配合公安机关的网络信息安全部门检查;
四、按照备案要求,及时备案本单位在互联网应用方面的变更信息;
五、在本单位建立网络信息安全保护小组,并报公安机关的网络安全部门备案;
六、根据本单位在互联网应用的实际情况,在安全员、安全教育和培训、机房管理、安全保护技术措施、巡视上报、帐号使用和操作权限管理等方面制定以下细则制度。
安全员制度
一、设立2人以上专职或兼职计算机信息网络安全员(以下简称安全员);
二、安全员主要负责全校网络(包含局域网、广域网)的系统安全性;
三、安全员负责全校网络安全方面操作和知识的培训;
四、安全员负责系统数据的冗灾备份工作;
五、安全员确保系统日志保存完善并保留60天以上(日志包含校内部联网和网站两大块);
六、对系统防病毒系统、防火墙和入侵检测系统的定期升级。定期对系统作安全检测,及时发现安全漏洞予以消除,对检测结果和漏洞消除情况有记录;
七、安全员应经常保持对最新技术的掌握,实时了解网络信息安全的动向,做到预防为主;
八、安全员承担对不良、有害信息上报、处置工作职责;
九、另安全员承担本单位制定的其他和公安机关交办的相关网络安全职责。
与公安联系制度
一、建立与公安机关联系的长效机制,对网络安全方面出现的问题和情况及时沟通;
二、网络安全管理员保持通讯畅通,确保24小时内有急事联系到人;
三、对计算机信息系统中发生的案件,应当24小时内向当地公安机关报告(电话:63280123转33630 或者email:hpxa@vip.citiz.net,并电话确认邮件送达)。
安全教育和培训
一、安全员定期接受公安机关相关部门的安全培训;
二、对员工和用户在《计算机信息网络国际互联网安全保护管理办法》、《互联网安全保护技术措施规定》、《计算机信息网络国际联网安全保护管理办法》等关于网络安全方面的国家法律、法规的学习、培训,提高工作人员(特别是安全员)的维护网络安全的警惕性和自觉性;
三、实时了解网络信息安全的动向,不定期地对本单位联网用户(包含单位其他联网工作人员等)进行关于最新系统漏洞修复和最新病毒预防等安全防范方面的的培训和学习。
四、适时对全校员工进行基本的网络安全保护制度和具体方法进行介绍,切实维护计算机联网安全。
五、网络安全防范方面的的培训和学习方面,畅通与公安机关有关人员的联系渠道,加强对各类有害信息、特别是影射性有害信息的识别能力,提高安全防犯能力。
机房管理制度
一、对能够进入机房人员的设定要求(如:非机房人员准入制度等等);
二、对任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品的禁止要求;
三、对运行设备及各种配置等等进行更改、增减的权限规定;
四、操作密码定期更改要求,超级用户权限设定、机房管理员权限等等的权限设定;
五、各种主要数据的冗灾备份要求;
六、《机房日志》及软件维护、增删、配置的更改,各类硬件设备的添加、更换等登记要求;
七、对机房内设置的消防器材等不定期进行检查的要求,以保证其有效性;
八、机房环境(如整洁、温度等等)的要求;
九、其他。
安全保护技术措施制度
一、系统日志保存完善。根据不同互联网服务性质保存相应的日志项目(具体项目参照《互联网安全保护技术措施规定》,项目应达到的标准参照《中华人民共和国公共安全行业标准》GA610-2006、GA611-2006、GA612-2006),做到保存项目完整、保存时间在60天以上;
二、对系统安全防范系统定期检测、升级、漏洞修补,确保系统安全;
三、系统数据冗灾备份;
四、定期巡视,确保信息安全、合法。
巡视上报制度
一、对于论坛BBS、社区、留言板、聊天室、游戏,建立信息发布前的关键字或敏感词汇的过滤机制(关键字内容包含邪教术语、淫秽术语等等,密切关注社会动态,对关键字或敏感词汇作及时调整等等方面的具体规定);
二、对于电子邮件服务,建立垃圾邮件的自动过滤功能;
三、上述栏目属于新闻时事、时政类的栏目,必须建立信息发布前的先审后发制度;
四、日常化巡视(可以由管理员、版主等等轮流或分块负责,如何分工实现日常化巡视、巡视时职责是及时发现有害信息并及时处置等等都应明确);
五、上述四条,系统自动过滤、审核、巡视出的有害信息应留存,并定期向公安机关网络安全部门上报;
帐号使用登记和操作权限管理制度
一、联网单位应用系统中的用户权限设置;
二、对于论坛BBS、社区等栏目中用户分级管理(如:游客、注册用户、版主、管理员等之间的权限设置,新闻时政类栏目与普通栏目版主、管理员之间的权限设置);
三、后台管理员的权限设置;
四、其他。
本制度自即日起实施。制度一式二份,一份报公安机关的网络安全部门备案,一份和《中华人民共和国计算机信息网络国际联网单位备案表》同档保存在本单位备查。
学校信息系统安全管理制度8
1 总则
1.1 目的
为进一步强化我院应用系统运行维护管理工作,建立业务、技术支持相结合,规范、高效运转的综合运行维护管理体制,确保各类应用系统稳定、安全、高效运行,特制订本办法。
1.2 范围
本办法适用于合肥师范学院应用系统的运行维护。由于业务处理的特殊性,各应用系统的具体运维管理内容可根据本办法进一步细化。
1.3 职责
信息技术中心承担各类系统总体安全防护、硬件资源调配等工作,各业务系统的内容维护和日常管理和运维安全由各业务系统系统管理员负责。
2 管理细则
2.1 运维组织
(1) 信息技术中心主管统筹安排力量,建立以业务、技术支持为主体、以总体运维为依托的高效、有序的应用系统运行维护管理体系。
(2) 各应用系统所属的业务处室应确定应用系统运维责任主管。
(3) 重要的应用系统,确定两名以上技术人员担任系统管理员,实行AB岗制。
(4) 信息办技术中心建立统一的系统运行维护管理平台(常规通过堡垒机实现),实现各类应用系统的日常运维管理、行为审核。
(5) 日常运维人员、第三方维护人员必须通过统一的管理维护平台实现集中管理。
2.2 运维安全与用户权限管理
(1) 系统管理员掌握应用系统的特权账号,系统管理员需要填写《系统特权用户的授权记录》,该记录由信息技术中心文档管理员保管留存。
(2) 为保证应用系统安全,保证权限管理的统一有序,除另有规定外,各应用系统的用户及其权限,由系统管理员负责进行设置。
(3) 用户权限设置,按照确定的岗责体系以及各应用系统的权限规则进行。
(4) 新增、删除或修改用户权限,应通过运维平台的用户权限调整流程来完成:
(5) 应用系统系统管理员应加强对各类用户帐号与口令的管理,制定口令管理安全策略,加强对口令安全性的监督检查,强化系统的权限管理。
(6) 应用系统用户的登录密码,不得使用默认密码或弱口令。应定期更换口令。用户不得将自己的登录名与口令转交他人使用。
(7) 应定期至少每季度一次对应用系统进行漏洞扫描,生成扫描报告存档,并对扫描发现的问题及时进行处理。
(8) 需要安装补丁时,必须做好数据备份工作之后才可进行补丁安装实施工作。
(9) 加强系统运行日志和运维管理日志的记录分析工作,并定期至少每季度一次记录本阶段内的系统异常行为,记录结果填入《系统异常行为分析记录单》
2.3 故障与应急管理
(1) 应用系统在建设、部署过程中应充分考虑系统的高可用性和可靠性要求,采取合理有效的技术手段,尽可能消除单点故障。
(2) 应用系统系统管理员应协同其它技术岗位,制定应用系统的日常监控工作规程和技术应急预案,并做好应用系统的程序、数据、参数等的备份工作。
(3) 各应用系统的主管(或牵头主管)应具备一定的应急能力,能在应用系统异常时紧急关闭或手工处理相关业务。
学校信息系统安全管理制度9
一、总则
黄河水利职业技术学院各类信息系统及网站所包含的各类信息、数据和数据库是学校的无形资产和重要教育教学及管理资源,属于学校统一管理范畴,校属各单位应本着“谁主管、谁负责”的原则,通过正规监管手段来提高数据的采集质量和利用效率,从而为学校的教育教学、科研及管理提供安全、高效、完整的数据信息服务和现代化技术保障。
为了切实加强学校校园网信息安全管理工作,进一步规范各类信息服务行为,维护国家、学校信息资源的安全和利益,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网络管理暂行规定》、以及国家、省部级有关法律、法规对互联网信息安全管理的相关要求,特制定本规定。
二、规定对象
本规定包含的对象为学校教学、科研、管理及用户服务等各类信息系统和学校各类网站所发布、采集、使用、展示、共享、流转的相关信息、数据和资源。
本规定面向的人员为学校网络信息安全领导小组、信息化管理中心、校属各单位信息员、信息系统维护人员、数据库维护人员、信息发布人员和网站管理人员等。
三、组织机构
黄河水利职业技术学院的信息管理架构分为信息管理部门、信息提供部门和信息使用部门三部分。信息化管理办公室是黄河水利职业技术学院各类信息、数据和资源统筹管理的唯一部门,负责学校智慧校园平台及共享数据库的运行和管理,根据校属各部门业务系统及网站的应用需求,规划各类信息及数据的使用和采集,将全校各类异构信息、数据及资源进行汇集,对外提供统一的信息发放或查询服务。
学校下设网络信息安全领导小组(信息化工作领导小组)。信息化工作领导小组直接负责学校信息化安全工作,对学校的信息安全工作进行全面的分析研究,制定工作方案,提供人员和物质保证,指导和协调校内各单位实施信息安全工作预案,处置各类危害校园信息安全的突发事件。
领导小组下设两个工作小组:
(1)网络信息安全应急工作小组(宣传部、信息化管理办公室、各院系信息员共同组成),其职责是:当校园网网站中出现危害国家安全、社会稳定及学校正常教学秩序的非法信息时,负责及时清理,会同有关部门积极查找非法信息的来源,并按照有关法律法规及学校的规章制度进行处理。
(2)校园网络运行安全应急工作小组(由信息化管理办公室信息、网络、教育三个科室的技术人员组成)。其职责是:当由于系统崩溃、病毒攻击、非法入侵等原因造成校园网运行异常或瘫痪时,负责及时发现并找出原因,尽快恢复网络的正常运行。
紧急事件发生后,在领导小组的领导和统一布置下,各应急工作小组进入指挥状态,工作人员各司其职,严格按照应急预案组织实施。
四、信息系统建设安全
信息应用系统是指服务于学校各种行政管理、教育教学、科研等工作的业务系统,应按照国家《信息安全等级保护管理办法》实行分级管理(见《黄河水利职业技术学院应用系统分级管理制度》)。
所有信息系统必须遵从统一规划、统一技术标准、统一信息标准、统一使用规范的原则进行建设,遵循学校的总体工作要求,并在安全技术手段方面接受信息化管理中心的评估。
为确保学校公共数据库共享平台中数据的权威性和实效性,信息系统建设单位必须遵照《黄河水利职业技术学院应用系统业务数据共享流程》及时更新、维护数据,确保数据的完整性和准确性。同时,校属各单位应规范信息系统的数据维护、数据管理、运行维护等方面的工作流程和机制,指定专人负责信息系统的日常工作,做好用户授权等管理服务工作。
五、网站建设安全
为保障学校校级网站与二级网站间的信息共享,校属各单位建立二级网站须使用学校网站群系统建设,并符合《黄河水利职业技术学院二级网站建设规范》。
根据国家工业和信息化部及公安部门的相关要求,校级网站的建立必须在当地管理部门登记备案。在校园网上建立的二级网站必须经校党委宣传部批准,在信息化管理办公室备案登记,同时签订相关责任书。
校属各单位要对所建网站有健全的安全管理和用户信息管理制度,二级网站必须由各学院、各部门主管领导分管,该分管领导为本单位网站安全及管理的第一责任人。各学院、各部门必须指定专人负责网站的日常建设维护工作。
二级网站如设置交互性栏目,必须经党委宣传部批准,实行实名制管理。校属各单位要加强对信息发布、留言版、BBS、博客等交互性版块的管理,及时清除不当信息,并做好网站信息及操作日志的备份工作。
六、校园网信息发布安全
校园网信息涉及学校规划、建设、发展等方面的信息,包括学校各类重要新闻、重要公告;教育教学、科研和管理工作中的重要信息;描述学校基本状况的各种基础信息等。学校校级网站及各类二级网站是校园网信息发布的载体。
为确保信息资源的可靠性和安全性,校园网发布信息公开实行分级制。一级面向公众开放,二级只面向校内公开,三级只面向本单位(部门)公开,四级只面向本单位(部门)有关人员公开,五级仅限于个人使用。信息发布单位应根据分级确定信息发布范围及内容。
对学校一、二级信息的发布采用“归口管理,专人发布”的原则。 学校主页栏目设置及内容建设负责单位遵循《黄河水利职业技术学院主页栏目设置及内容建设负责单位》,校属各单位对需要发布的信息进行审核并确定发布等级,指定专人发布。对学校三级以下信息的发布由校属各单位自行按规定发布并及时更新。
信息发布过程中因归口管理部门或发布部门审核不严造成信息发布错误的,学校将追究相关责任人责任,造成严重社会影响的,追究责任人的法律责任。
信息化管理办公室根据国家相关法律、管理制度、技术规范及本校规定,从技术层面负责学校网络信息安全,校属各单位信息发布人员有责任和义务关注校园网或局域网系统信息发布情况,一旦在校园网或局域网系统中发现有害信息和不良信息应及时向学校宣传部和信息化管理中心报告,学校将视情节轻重追究信息发布人员责任;造成重大影响和损失的将向公安部门报告,由个人依法承担相关法律责任。
七、信息系统数据安全
学校各类信息系统及网站数据均具有唯一的权威来源部门作为数据的生产部门,数据生产部门负责数据的收集、维护、备份和归档。统一信息编码,统一数据标准是保证数据共享的基础,数据生产部门在进行数据处理时应遵循《黄河水利职业技术学院信息标准规范》进行数据编码,在相关数据完善后应提供数据字典和数据访问及查询权限给信息化管理办公室,必要时应配合信息化管理办公室完成数据接口的开发及使用。
信息化管理办公室为校属各部门提供统一的数据服务,数据使用部门使用学校共享数据库数据应向信息化管理中心提出申请,获得批准后按照信息化管理办公室的指导开发和维护数据交换接口及数据访问权限。数据使用部门未经批准不得将获取的数据传播给其他单位使用。
学校数据主要用于学校的教育教学。科研、管理及各项服务,作为数据的生产部门和使用部门,均有义务保护学校数据的安全性和隐秘性,未经批准不得将数据用于申请用途外的活动。
校属任何单位和个人不得擅自向他处提供学校内部数据,对于违反规定的单位和个人,将按照学校相关规定予以处罚。
未经批准,任何人不得以任何形式侵入、破坏、复制学校公共数据库、其他信息系统数据库和网站后台等,违反规定者将按照学校相关规定严肃处理,情节严重者将上报公安机关,由个人依法承担相关法律责任。
校属各单位应作好所管信息系统备份工作,系统负责人应根据所管服务的性质制定数据、访问日志、系统日志备份计划,以便协助学校定期进行信息安全审计,确保运行于校园网上所有服务的安全稳定。
八、信息备份安全
为了保证信息服务安全、持续稳定运行,防止因硬件故障、意外断电、木马病毒、自然灾害等因素造成信息服务数据的丢失,网络管理科规范备份管理工作,合理存储历史数据及保证数据备份的安全性。
信息化管理办公室负责学校数据中心服务器数据的备份工作。根据服务的信息内容不同,区别制定详细备份计划,根据不同业务系统的要求制定不同的备份周期。如遇系统有重大改动或更新,需在改动之前和之后当日进行备份。
为保证备份的内容可再现系统运行环境和故障追踪,数据备份内容应包括信息系统的所有关键数据。具体指计算机和网络设备的操作系统、应用软件、系统数据、应用数据、操作系统日志和应用系统日志等。
数据备份时必须建立备份文件档案及档案库,详细记录备份数据的信息。要做好数据备份的管理,所有备份要有明确的标识,具体包括:文件名、运行环境(操作系统名称、版本号,数据库名称、版本号等)、备份人等。
备份时注意保障信息服务的正常运行,在不影响信息系统正常使用的情况下进行。备份过程中出现故障,无法正常备份时,应注明原因;并进行故障分析,及时维修。
备份数据的保存时间根据学校信息系统的数据重要程度和有效利用周期以及具体使用情况确定。根据各种数据的重要程度及其容量,确定备份方式、备份周期和保留周期。根据数据增长量,应定期对过期备份数据进行处理,以保障系统运作效率。
九、数据中心安全
数据中心机房是校园网的存储网络、服务器群、应用服务、数据存储的核心区域,为确保其正常运转,切实为学校教育教学服务,由数据中心管理人员专人负责,严格管理数据中心机房钥匙,未经允许,非网络管理人员不得私自进入数据中心机房。
学校数字化校园平台、公共数据库、主要信息系统和网站群管理系统存放于学校网络中心机房,每天上班后、上班前,信息化管理办公室巡检所管服务是否能正常运行,分析运行日志,如果出现异常,须立即解决,如果短期内无法解决,应立即向主管领导报告,并及时在我校综合信息网上发通知,告知全校师生。
信息化管理办公室利用防火墙、监控平台、防病毒系统筹技术手段对校园网、智慧校园平台和公共数据库进行安全保护,每天设专人进行监控。
信息化管理办公室每周至少一次对所有服务器系统进行日志分析,系统补丁更新、病毒库升级管理等;每季度对智慧校园平台和公共数据库所有信息系统进行巡检,并出具巡检报告,将出现的问题分析解决。
严禁在数据中心机房内玩计算机游戏和访问与工作无关的网站、下载与工作无关的文档或资料,严禁在服务器上安装与工作无关的软件,确保网络中心服务器的正常运作。
做好信息数据的安全保密工作,一旦发现中心服务器有被侵入及恶意攻击的记录,应及时采取网络阻断措施遏止并向主管领导报告;若发现网上有色情及政治敏感内容,及时报告有关部门处理。
严禁携带易燃、易爆、易腐蚀、强磁物品及与工作无关物品进入数据中心机房,建立中心机房值班制度,注意保持中心机房的环境卫生。做好数据中心机房防火、防毒、防潮、防雷击的安全保卫工作,中心机房内温度要保持在路25摄氏度左右,并定期做好安全检查,排除隐患,避免发生事故。
数据中心机房内工作人员应严格遵守操作规程,对各类设备、设施实行规范操作,并做好日常维护和保养。发生重大故障和问题应及时报告有关领导,并作好事故分析,采取积极措施,尽快恢复正常工作。
信息化管理办公室每年进行至少一次的网络信息安全演习,一旦出现机房供电停止或硬件损坏等不可抗力导致数据丢失,应立刻遵守《黄河水利职业技术学院网络信息安全应急预案》逐级上报并进行相应数据冻结和备份恢复处理。
学校信息系统安全管理制度10
学校校园网是为教育教学及学校管理而建立的计算机信息网络,目的在于利用先进实用的计算机技术和网络通信技术,实现校园内计算机互联、资源共享,并为师生提供丰富的网上资源。为了促进我校信息化建设和应用,提高我校现代化水平,保护校园网络系统的安全,保证校园网络的正常运行和网络用户的使用权益,更好的为教育教学服务,特制定如下管理制度。
第一章总则
本管理制度所称的校园网络系统,是指由校园网络设备、配套的网络线缆设施、网络服务器、工作站所构成的,为校园网络应用而服务的硬件、软件的集成系统。
1、校园网络的安全管理,应当保障计算机网络设备和配套设施的安全,保障信息的安全和运行环境的安全,保障网络系统的正常运行,保障信息系统的安全运行。
2、学校装备中心及其所辖的网络管理中心(以下简称网络中心)负责相应的网络安全和信息安全工作,定期对相应的网络用户进行有关信息安全和网络安全教育并对上网信息进行审查和监控。
3、任何单位和个人,未经网络中心同意,不得擅自安装、拆卸或改变网络设备。
4、所有上网用户必须遵守国家有关法律、法规,严格执行安全保密制度,并对所提供的信息负责。任何单位和个人不得利用联网计算机从事危害校园网及本地局域网服务器、工作站的活动。
5、进入校园网的全体学生、教职员工必须接受并配合国家有关部门及学校依法进行的监督检查,必须接受学校网络中心进行的网络系统及信息系统的安全检查。
6、使用校园网的全体师生有义务向网络中心和有关部门报告违法行为和有害信息。
第二章网络安全管理
1、校园网由学校装备中心统一管理及维护。连入校园网的各部门、教室和个人使用者必须严格使用由网络中心分配的IP地址。网络管理员对入网计算机和使用者进行登记,由网络中心负责对其进行监督和检查。任何人不得更改IP及网络设置,不得盗用IP地址及用户帐号。
2、与校园网相连的计算机用户建设应当符合国家的有关标准和规定,校园内从事施工、建设,不得危害计算机网络系统的安全。
3、网络管理员负责全校网络及信息的安全工作,建立网络事故报告并定期汇报,及时解决突发事件和问题。校园网各服务器发生案件、以及遭到黑客攻击后,网络中心必须及时备案并向公安机关报告。
4、对所有联网计算机要及时、准确登记备案。网络教室不准对社会开放。
5、校园网中对外发布信息的Web服务器中的内容必须经领导审核,由负责人签署意见后再由信息员发布。新闻公布、公文发布权限要经过校领导的批准。
6、校园网各类服务器中开设的帐户和口令为个人用户所拥有,网络中心对用户口令保密,不得向任何单位和个人提供这些信息。校园网及子网的系统软件、应用软件及信息数据要实施保密措施。
7、加强对师生用户上网安全教育指导和监控:
(1)校园网内必须安装网络版监控和防范不良信息的过滤软件系统,监控日志至少保存半年。
(2)加强对学生开放互联网以及全校教职工上网的监管。
(3)专用的财务工作电脑和重要管理数据的电脑原则上不要接入网络工作。
8、网络中心统一在每台计算机上安装防病毒软件,各部门要切实做好防病毒措施,随时注意杀毒软件是否开启,及时在线升级杀毒软件,及时向网络中心报告陌生、可疑邮件和计算机非正常运行等情况。
9、禁止私自安装、卸载程序,在校园网上,禁止使用盗版软件,不允许玩电子游戏,不允许无关人员使用,也不允许进行与工作无关的操作,禁止任意修改和删除计算机的系统文件和系统设置。
10、严禁在校园网内使用来历不明、引发病毒传染的软件或文件;对于外来光盘、优盘、软盘上的文件应使用合格的杀毒软件进行检查、杀毒。
11、任何部门和个人不得在校园网及其连网计算机上录阅传送有政治问题和淫秽色情内容的信息。
12、未经网络中心及各子网网管的同意,不得将有关服务器、工作站上的系统软件、应用软件转录、传递到校外。
13、需在校内交流和存档的数据,按规定地址存放,不得存放在硬盘的C盘区,私人文件不得保存在工作电脑中,由此造成的文件丢失损坏等后果自负。
14、保护校园网的设备和线路,不准擅自改动计算机的连接线,不准打开计算机主机的机箱,不准擅自移动计算机、线路设备及附属设备,不准擅自把计算机设备外借。
15、各部门必须加强对计算机的管理,指定专人负责管理。管理员应经常测试计算机设备的性能,发现故障及时通知网络中心处理。
16、各部门应认真做好本部门计算机的养护和清洁卫生工作。
第三章网络用户安全守则
1、使用校园网的全体师生必须对所提供的信息负责。严禁制造和输入计算机病毒,以及其他有害数据,危害计算机信息系统的安全,不得利用计算机联网从事危害国家安全、泄露秘密等犯罪活动,不得制作、查阅、复制和传播有碍社会治安和有伤风化的信息。
2、除校园网负责人员外,其他单位或个人不得以任何方式试图登陆进入校园网服务器或计算机等设备进行修改、设置、删除等操作;任何部门和个人不得以任何借口盗窃、破坏网络设施,这些行为被视为对校园网安全运行的破坏行为。
3、用户要严格遵守校园网络管理规定和网络用户行为规范,不随意把账户借给他人使用,增强自我保护意识,经常更换口令,保护好账户和IP地址。严禁用各种手段破解他人口令、盗用账户和IP地址。
4、网络用户不得利用各种网络设备或软件技术从事用户帐户及口令的侦听、盗用活动,该活动被认为是对网络用户权益的侵犯。
第四章处罚或赔偿办法
违反本制度规定,有下列行为之一者,学校可提出警告、停止其上网,情节严重者给予行政处分,直至提交纪检司法部门处理,损坏的照价赔偿。
1、查阅、复制或传播下列信息者:
(1)煽动分裂国家、破坏国家统一和民族团结、违反四项基本原则的;
(2)煽动抗拒、破坏宪法和国家法律、行政法规的实施;
(3)捏造或者歪曲事实,故意散布谣言或传谣,扰乱社会秩序;
(4)公然侮辱他人或者捏造事实诽谤他人;
(5)宣扬封建迷信、淫秽、色情、暴力、凶杀、恐怖等。
2、破坏、盗用计算机网络中的信息资源和进行危害计算机网络安全的活动。
3、盗用他人帐号或私自转借、转让用户帐号造成危害者;
4、故意制作、传播计算机病毒等破坏性程序者;
5、上网信息审查不严,造成严重后果者;
6、使用任何工具破坏网络正常运行或窃取他人信息者;
7、有盗用IP地址、盗用帐号和口令、破解用户口令等危及网络安全运行与管理的恶劣行径者。
【学校信息系统安全管理制度】相关文章:
学校信息系统安全人员管理制度(精选5篇)09-08
学校信息安全管理制度范本09-24
学校信息技术设备管理制度03-29
网络与信息系统安全自查总结报告范文11-26
学校对学生信息管理制度(精选6篇)07-25
学校信息化2.0管理制度(精选6篇)07-25
学校信息化工作管理制度(精选7篇)05-30
学校网络信息安全的管理制度(通用11篇)07-13
学校信息网络安全管理制度10-22
信息系统安全和网站对标整改工作汇报10-23