信息系统安全管理制度(试行)
26821
2021-05-06西昌民族幼儿师范高等专科学校
信息系统安全管理制度(试行)
第一章??总则
第一条 为保证学校信息系统的安全,根据《中华人民共和国网络安全法》《中华人民共和国计算机信息系统安全保护条例》,结合学校实际,制定本制度。
第二条 本制度所称的信息系统是指学校各级、各部门建设的由计算机及其相关的配套设备、设施(含网络)构成的对信息进行采集、存储、加工、传输、检索等处理的系统。
第三条 学校信息系统按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则进行管理,各部门负责人是本部门信息系统的第一责任人,各部门必须安排专人负责系统日常管理和维护。
第二章 系统建设
第四条 各部门拟建设的需大范围采集个人信息的信息系统需经学校网络和信息安全领导小组审核通过方可立项。
第五条 立项开发的信息系统应遵循“一数一源”的数据共享制度,所有信息系统使用的个人基本信息应从学校数据中心基础数据库中共享,不得向用户重复采集个人基本信息。
第六条 信息系统建设部门根据工作需要,在学校统一规划下开展信息系统建设工作。建设部门要对预上线系统进行安全风险评估,确保系统安全,并经西昌幼专网络和信息安全领导小组进行安全评估再予上线。
第七条 系统建成后,需填写《西昌民族幼专信息系统备案表》(含安全责任书),经信息中心审批后方可开通运行。
第三章 物理安全
第八条 学校信息中心、后勤管理处和武装保卫处负责保障校园信息网络基础设施的物理安全。
第九条 物理安全主要涉及到信息系统所需网络基础设施和硬件的电磁安全、介质安全、设备安全、动力安全、环境安全等。
第十条 物理安全主要采取的安全措施包括电磁屏蔽(例如:防雷击、防辐射)、容灾备份(例如:数据备份、远程备份等)、设备防护、可靠供电(包括UPS)等。
第四章 系统安全
第十一条 信息中心统筹负责学校信息系统安全体系建设与管理,部署入侵检测、入侵防御、漏洞扫描、防病毒网关、流量监控、网络设备运行监控等系统进行实时监测,实时掌握系统运行状况,一旦发现异常,根据安全事件级别启动相应应急方案。
第十二条 为确保信息系统安全稳定运行,系统建设部门承担所辖系统的服务器操作系统、信息系统自身的安全管理与维护责任,主要包括:
(一)按月对服务器操作系统和信息系统进行安全漏洞扫描,及时发现安全问题,通过升级、打补丁或加固等方式解决。敏感期或重大病毒爆发期,要酌情提高漏洞扫描的频率。
(二)建立系统故障时应急恢复预案,对信息系统的文件和数据做好备份策略,保障系统故障时能快速恢复并避免数据丢失。
(三)对系统软件的介质、资料和许可证进行登记,并设专人负责保管,对重要的应用系统软件介质和资料要进行复制,借用时应提供复制品,以保护好原件及避免丢失。
(四)加强密码管理。系统账户密码应符合密码管理标准规范,按照强密码设置要求,包含数字、字母大小写混合、特殊字符。密码应妥善管理并定期更换。
(五)服务器操作系统安装防病毒软件和开启防火墙,关闭不需要的端口和服务。
第五章 内容安全
第十三条 学校宣传统战部总体负责信息内容的安全管理工作,信息中心负责技术支撑,信息系统的建设、管理与使用部门负责所属系统的内容安全管理。
第十四条 使用部门应设专人负责数据内容的管理工作,未经批准,任何部门和个人不得擅自提供信息系统的内部数据。对于违反规定、非法披露、提供数据的部门和个人将追究相关部门和个人的责任,造成严重不良影响的,由相关执法机构处理。
第十五条 内容安全主要实现对校园信息内容的审核、发布、隐藏、发现、分析和管理等,主要采取的措施包括:信息检索、数据挖掘、特定信息过滤(例如色情、暴力等不良网络信息)、建立完善审核发布机制、网络舆情信息分析与处理等。
第十六条 信息内容的安全坚持“谁审核谁负责,谁发布谁负责”的原则。信息发布坚持“三审”原则:信息录入人员进行初审、信息管理员进行复核、部门负责人进行终审。
第六章 系统变更与注销
第十七条 信息系统相关内容:系统名称、系统功能、系统管理员、关键产品的使用、系统安全情况等发生变化时,系统建设部门需在变更后一周内向信息中心登记备案。
第十八条 如果信息系统不再提供相关服务,需要关闭停止的,系统建设部门需及时向信息中心申请并备案,通过审核后应立即予以注销关停。如因长时间无人管理致使系统产生安全漏洞,造成的损失由建设部门承担法律后果。
第七章?惩处
第十九条?违反本管理制度,将提请学校视情节给予相应的批评教育、通报批评、行政处分或处以警告、以及追究其他责任。触犯国家法律、行政法规的,依照有关法律、行政法规的规定予以处罚;构成犯罪的,依法追究刑事责任。
第八章 附则
第二十条 本办法由信息中心负责解释和修订,自发布之日起执行。
川公网安备51340102000194号