网络与信息安全管理制度汇编.docx

《网络与信息安全管理制度汇编.docx》由会员分享，可在线阅读，更多相关《网络与信息安全管理制度汇编.docx（84页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、版本号：V1.0网络与信息平安管理制度汇编（试行）学院2021年6月第二十五条所有与学院的网络进行连接都需要经过信息化建设 领导小组的批准；所有与学院外部网络相连的出入口处必须设立防 火墙；通过接入服务器接入学院内部网络时，必须经过认证。与学 院外部网络相连接的系统必须有专人负责管理。第八章操作平安管理第二十六条运作流程（一）必须明确并遵循信息系统运作的变更流程；（二）必须明确并遵循平安问题处理流程；（三）信息系统的生产环境和开发测试环境需要别离；（四）系统的超级管理权限应采取双人控制，互相制衡。第二十七条恶意软件的防护（一）实施恶意软件的监测、预防和恢复的控制措施；（二）学院的计算机系统都必

2、须安装、运行单位统一部署的防病 毒软件，并及时升级。未经批准，不能安装其它的防病毒软件；（三）接收和发布信息时须进行病毒检测；（四）服务器必须实时运行防病毒软件；（五）定期对学院的联网办公设备进行扫描，及时发现漏洞并修 复。第二十八条信息系统管理（一）建立备份策略，按照策略的要求，定期备份和测试信息、 软件及系统。（二）对系统操作人员的活动进行日志记录;（三）定期检查和处理系统日志；（四）对一些重要的信息系统进行实时监控；（五）对组织内部的办公设施进行时钟同步；（六）非正版软件不能安装。第九章访问控制第二十九条用户访问管理（一）帐户开户1 .根据工作相关性原那么并经过审批后为个人分配权限；2

3、.建立帐户开户和销户的闭环流程，控制用户对系统的访问权 限；.含有保密信息的系统禁止建立公用帐户；3 .用户的岗位或职责发生变化时，应立即变更或取消相应的访 问权限；.对分配的权限必须记录和进行维护。（二）口令管理.口令的管理责任人为账户的使用者；1 . 口令的设置要遵循学院有关规定。（三）对用户访问权限进行定期检查；（四）用户责任1 .用户应采取方式保证口令平安；.不得共享个人的口令；2 .定期更改口令。第三十条操作系统访问控制（一）严格控制操作系统管理员对系统文件和业务数据的操作 权限；（二）根据工作相关性原那么授予用户相应权限；（三）系统建立的日志必须满足审计要求，系统日志必须平安存 放

4、，防止被非授权的访问；（四）必须及时安装系统平安补丁；（五）关闭所有系统不需要的系统服务；（六）服务器的密码文件须加密存放；（七）定期修改用户口令。第三十一条应用系统访问控制（一）根据业务访问控制策略对用户严格授权；（二）严格限制业务人员越过应用程序对后台数据库或操作系 统直接访问；（三）建立和维护应用系统的用户权限表；（四）删除所有系统上不使用的帐号。第十章运行维护平安管理第三十二条建立日常维护相关操作规程和规范手册，规范介质 管理、账号口令管理、补丁管理、防病毒管理、服务器运行管理等 日常运行维护操作。第十一章系统开发第三十三条确保平安贯穿系统整个生命周期的各个阶段。第三十四条系统的规划设

5、计阶段必须做平安需求分析、总体安 全设计、平安建设规划。第三十五条系统开发策略（一）建立并遵循平安开发标准；（二）、进行风险分析和风险管理，确定系统平安控制机制；（三）操作人员只保存可执行代码；（四）程序源代码尽可能不要保存在运行系统上；（五）在系统发布前，应进行平安测试。第三十六条加密策略（一）加密算法必须是经过政府批准的或符合业界标准；（二）密匙必须有明确的管理人员。（三）加密的数据和口令须分开传递；（四）使用加密保护敏感数据，明确密钥管理员的职责；（五）密钥产生、分发、存储的相关信息必须防止泄露给未授权 的人员，当这些信息不再需要时，必须采用规定的方式予以销毁。第十二章信息平安事件管理第

6、三十七条各部门应了解信息平安事件管理目标，熟悉信息安 全应急响应流程，确保能快速、有效和有序地响应信息平安事件。第三十八条各部门相关人员应尽可能早的将信息平安事件通告 给部门负责人，网络信息中心根据平安事件的类型和级别定义判断 平安事件，根据平安事件处理流程进行处理和汇报。第三十九条网络信息中心根据信息平安事件预案向信息化建设 领导小组提出应急恢复流程的启动申请，经批准后，按照应急恢复 流程处理。第十三章应急响应管理第四十条建立统一的应急预案框架，应急预案框架应包括启动 应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训 等内容。第四十一条从人力、设备、技术和财务等方面确保应急预案的

7、执行有足够的资源保障。第四十二条应对系统相关的人员进行应急预案培训，应急预案 的培训应至少每年举办一次。定期对应急预案进行演练，根据不同 的应急恢复内容，确定演练的周期。第十四章信息平安通报机制第四十三条学院网络信息中心负责组织信息平安信息通报工 作，必要时，向学院各部门通报信息平安工作情况以及平安预警和 病毒攻击等信息。第四十四条各部门信息平安联络员负责收集和反响本部门信息 平安信息，并向网络信息中心报送。第四十五条将信息平安通报作为信息平安工作的重要环节。不能出现瞒报、缓报、谎报信息平安事件和推诿责任的行为。网络与信息平安管理岗位职责说明第一章总那么第一条目的为规范信息平安管理系统中各平安

8、岗位的人员职责，特制订本规 范。第二条范围本规范适用于学院各网络与信息平安管理岗位和人员。第三条职责网络与信息平安领导小组负责分配、协调各网络与信息平安管理 岗位的人员角色和日常工作，各岗位人员负责本岗位的日常信息平安 管理。第二章各平安管理岗位职责说明第四条信息平安各管理岗由网络与信息平安领导小组授权或指 定，是学院信息平安管理体系的具体执行者，设有平安管理员、系 统管理员、网络管理员、数据库管理员、审计管理员等。各岗位的 人员组成及各岗位职责描述如下：1、平安主管职责：领导各管理员进行工作，根据需要适时召开平安工作小组会议, 研究落实计算机系统隐患整改事宜及事故处理决定，讨论有关规定及 工

9、作制度，布置有关工作，传达学习有关规定。2、平安管理员职责:负责制定和实施网络信息平安管理制度，以技术手段隔离不良信 息，及时发布预知通告，发布计算机病毒、网络病毒的危害程度、防 杀措施、及补救方法。教育计算机用户和网络用户树立平安意识，主 动防范病毒、黑客的侵扰，抵抗不良信息；建立网络信息平安监管日 志。负责信息化建设相关文件资料的收集、归类与整理，做好资料收 集、编目、建档工作。负责网络信息中心设备、材料、软件介质等的 建档、编号与借用管理。3、系统管理员职责：负责服务器系统的设计、安装、配置、管理和维护工作，为服务 器的平安运行做技术保障。维持服务器系统的稳定、正常运转，及时 解决服务器

10、系统故障。做好服务器配置、安装和改动记录。如果服务 器发生故障，必须记录故障发生的时间、故障情况、处理方法，及预 防措施等。定期对硬盘进行整理，清除缓存或垃圾文件。定期保存系 统日志。做好系统的硬件维护，对设备定期检查，定期清洁、除尘, 保持设备正常运行。负责定期对系统运行日志进行审计，形成审计分 析报告。4、网络管理员职责：负责网络系统的设计、安装、配置、管理和维护工作，为网络的 平安运行做技术保障。维持网络的稳定、正常运转，及时解决网络故 障。做好网络设备配置、安装和改动记录。如果网络发生故障，必须 记录故障发生的时间、故障情况、处理方法，及预防措施等。做好系 统的硬件维护，对设备定期检查

11、，定期清洁、除尘，保持设备正常运 行。5、数据库管理员职责：负责数据库系统的运行管理，实施系统平安策略。管理数据库用 户权限，使单位信息系统平安运行。记录系统平安事项，及时向平安 管理员报告平安事件。对重要数据定期进行备份及执行备份恢复工作。 监督对系统进行操作的其他人员。6、审计管理员职责：负责定期对主机系统、网络产品、应用系统的日志文件进行分析 审计，发现问题及时上报；负责对信息平安保障管理活动进行独立的 监督，提供内部独立的审计和评估工作，并根据需要可以协同外部审 计评估机构进行评估和认证，为决策领导提供信息系统和信息平安保 障执行状况的客观评价。7、人员配备授权和审批管理方法岗位姓名平

12、安主管平安管理员系统管理员网络管理员数据库管理员审计管理员第一章总那么第一条为规范单位信息平安管理各环节的审批流程和审批责任人，特制订本规范。第二条本管理制度适用于信息系统相关的所有授权和审批事 项，明确各相关管理环节授权和审批的部门和责任人。第三条网络信息中心负责制订该规范并报网络与信息平安领导 小组审批通过后，由单位相关部门和相关人员参照执行。第二章管理细那么第四条内部人员授权管理方法：一、内部授权程序：（1）根据网络与信息平安领导小组的主要职责，信息平安主管由网络与信息平安领导小组授权后生效。信息平安工作小组直接对网 络与信息平安领导小组负责。（2）根据信息平安工作小组的主要职责，信息平

13、安各平安岗位 的负责人员由信息平安工作小组授权后生效。各信息平安岗位管理人 员对信息平安工作小组负责。（3）根据信息平安工作小组的主要职责，各业务信息系统的经办人员由各业务单元的相关部门提名产生，最终由信息平安工作小组 授权后生效，各业务经办人员对信息平安工作小组负责。二、变更审批方法：1、变更分类与审批的一般原那么：(1)信息系统变更主要分两大类别：功能优化类变更和系统完 善类(bug修订，补丁修复)变更。(2)功能优化类变更的发起人为各部门业务经办人员。(3)系统完善类变更的发起人为各部门业务经办人员、系统管 理人员或系统运维外包厂商人员。(4)两类变更的审批方法和流程基本一致，原那么是需

14、要有效识 别各类系统变更的风险，并严格按照审批程序有效规避风险、落实 相关责任方。2、变更审批流程：(1)变更由上述变更发起人发起，根据变更的具体内容填写相 关的变更管理表单。(2)功能优化类变更审批的第一级部门是业务经办部门，因为 不直接牵涉到信息系统的变更，该局部变更由业务经办部门审批， 最后一个审批人须是业务经办部门的部门领导或者更高一级的主管 领导，具体由业务经办部门自行决定。(3)功能优化类变更审批的第二级审批部门是网络信息中心， 由网络信息中心安排专人评估变更的风险和可行性，评估结果可行 后，有网络信息中心科长审批，网络信息中心科长审批后交由系统 外包人员具体实施，完成系统变更。目

15、录信息系统平安总体方针1信息系统平安管理策略3网络与信息平安管理岗位职责说明12授权和审批管理方法1518信息平安检查管理方法信息平安违章行为责任追究方法21平安教育和培训管理方法25外来人员平安访问管理方法28中心机房运行管理方法30信息分类与标识管理方法34信息系统资产管理方法38介质平安管理方法40设备平安管理方法43网络平安管理方法45485760697680信息系统平安管理方法 恶意代码防范管理方法 信息系统变更管理方法 数据备份与恢复管理方法 信息平安事件报告管理方法 信息平安突发事件应急预案(4)系统完善类变更可能会涉及到系统的内核，影响系统运行 的稳定性。此类变更一般由系统管理

16、员发起，要求系统管理员在发 起变更的同时需要就本次变更的潜在风险和风险规避措施进行描述 后报请网络信息中心科长进行审批，网络信息中心科长审批后由系 统管理员进行具体实施，完成系统变更。三、其他审批方法：(1)物理访问、系统接入等其他对信息系统(包括业务网、主 机房、各业务信息系统)的访问和修改操作，均由网络信息中心科 长或网络信息中心科长授权的网络信息中心其他人员负责审批并监 督后续的访问过程。(2)重要操作，如业务系统功能上的重大调整、重大升级变 更、网络架构大的调整，均需要由网络信息中心科长召集相关人员 论证后初审，初审的结果报网络与信息平安领导小组做最后审批后 进行。第三章附那么第五条本

17、管理规范牵涉多个部门和人员，必须在每年的年中和 年末由网络信息中心发起评审，进行评审修订，及时更新需授权和 审批的工程、审批部门和审批人等信息。第六条遇单位组织机构调整等其他影响原定审批制度情况，可 由网络信息中心适时发起对于本规定的评审修订工作，适时修订各 变开工程。第七条每次评审修订由文档专员在本制度的制度修订一览表中如实记载评审修订内容，并更改制度版本号。信息平安检查管理方法第一章总那么第八条为了加强和规范学院信息平安检查工作，保障相关信息 系统平安运行，特制定本管理方法。第九条信息平安检查依据国家有关法律法规、行业有关规章制 度，单位信息平安相关规章制度。第十条信息平安检查对象为学院的

18、信息系统。第十一条信息技术工作检查可采取日常检查、组织自查、专项 检查、年度检查等方式。年度检查对象包括所有相关部门，且每年 不少于二次。第二章组织机构与职责第十二条网络信息中心负责信息平安检查工作，根据当前现状 明确检查重点，制定检查标准。第十三条网络信息中心成立信息平安检查小组，具体负责信息 平安检查工作的实施。第三章信息平安检查分类第十四条各部门及相关人员要配合各项信息平安检查工作，并按要求完成检查中发现问题项的整改工作。第十五条学院的信息平安检查包括信息平安主管部门对学院进 行的专项信息平安检查、信息平安认证机构对学院的信息平安外部 审核、风险监管部门主导的信息平安内部审核和内部信息平

19、安技术 检查等。第四章信息平安检查内容第十六条计算机平安检查1 .计算机应安装杀毒、防护等软件，及时更新系统，修复漏 洞。2 .非涉密计算机不得存储涉密文件、敏感信息。3 .涉密计算机和安装了 “三合一系统”的计算机必须按照相关 规定严格管理，严禁违规外联。第十七条系统平安与设备管理的检查L服务器（1）服务器应具有充分的可靠性和充足的容量。（2）服务器应具有一定的容错特性，宜采用镜像、阵列、双 机、群集等容错技术。（3）服务器有平安可靠的备份措施。2.工作站（1）工作站应具有良好的性能及可靠性。（2）除计算机机房外，一律使用无软驱或光驱等可卸存储装 置的网络工作站。（3）重要工作站应有冗余备份

20、。第十八条平安管理情况的检查1 .建立由平安策略、管理制度、操作规程等构成的全面信息安 全管理制度体系。2 .严格按管理制度规定进行管理，按操作规程进行操作，并进 行记录。第五章信息平安检查实施第十九条实施检查前，检查小组根据检查目的和被检查部门情 况，确定检查范围、检查重点，制定检查工作计划，编制相应检查 表格。第二十条组织进行自查时，被检查部门应如实填写自查表，对 存在的问题隐瞒不报的，将追究相关部门和个人责任。第二十一条进行现场检查时，检查小组应提前通知被检查部 门，可根据需要要求被检查部门进行自查，以提高现场检查工作效 率。每次检查前，检查小组应核查上次检查提出的整改意见是否落 实，整

21、改措施是否有效。第二十二条被检查部门应积极配合检查工作，按检查人员要求 提供与检查工作相关的资料，并对所提供资料的真实性、完整性负 责。第二十三条检查过程中应切实防范检查操作风险，不得对在线 运行系统进行检查测试和网络扫描检测。因检查需要需使用辅助检 测工具时，应经网络信息中心负责人审批同意后方可使用。第二十四条检查过程中发现问题和平安隐患时，检查小组应及 时与被检查部门沟通确认后，拟定整改建议。对于随时可能引发事 故的问题和平安隐患，应要求立即整改。第六章信息平安检查报告第二十五条检查工作结束后，检查小组应及时撰写检查报告上 报信息化建设领导小组，根据批示意见对检查结果进行通报，对存 在问题

22、和平安隐患的部门下发整改意见书，要求限期完成整改工 作。第二十六条检查小组应跟踪整改工作的落实情况，必要时可对 整改工作落实情况进行确认检查。信息平安违章行为责任追究方法第一章总那么第一条为加强学院工作人员的信息平安责任意识，界定工作人 员信息平安违章行为，明确信息平安违章责任追究和处分依据，特 制定本管理方法。第二条信息平安违章行为分为一般违章和严重违章。信息平安 违章行为由网络信息中心负责组织调查和认定，并依据本方法进行 责任追究。第三条本管理方法中所称“计算机”包括桌面计算机、便携式 计算机（含各类上网本），除特别说明，通指内网计算机和外网计 算机。第四条本管理方法适用于所有与信息系统相

23、关的人员。第二章违章行为界定第五条凡具有以下行为之一均属违章行为：1 .违反国家信息平安有关法律和法规。2 .违反学院信息平安管理规章制度。第六条一般违章界定（一）计算机未设置操作系统登录口令；设置了操作系统登录口 令，但口令长度低于8位且不是由字母、数字或符号组合构成；未启 用屏幕保护和超时锁屏功能。（二）未按规定安装运行或自行卸载单位统一的防病毒软件、补 丁更新策略、桌面终端管理软件。（三）未按要求使用平安移动存储介质进行内外网信息交换，擅 自删除或破坏已注册平安移动存储介质内的管理软件。（四）擅自卸载（含格式化）学院规定安装的操作系统和业务应 用系统客户端。（五）未使用单位统一的外网邮件

24、系统处理和发送与工作相关的电子邮件。（六）计算机外委维修时未撤除硬盘导致与工作有关的信息外泄; 更换计算机和硬盘或在报废处理前，未对原硬盘进行信息不可恢复操 作处理（如低级格式化等）。（七）在内网计算机上对未关闭互联网访问功能的手机和PDA等 设备进行充电或数据同步导致发生违规外联。开启文件共享且不设置 共享密码或共享密码过于简单导致共享文件被非授权访问和破坏。（八）移动存储介质丧失未向学院网络信息中心和保密管理部门 及时报告，并说明移动存储介质中包含哪些与工作相关的文件、数据 和程序。（九）擅自将本人的门户及应用系统帐号和口令告诉他人由其长 期代为进行业务操作。（十）工作人员岗位异动后未及时

25、向网络信息中心申请账号和权 限的变更。（十一）违反单位信息平安管理规定被认定为一般违章的其他行 为。第七条严重违章界定（一）未经网络信息中心进行平安检测和许可，擅自将外来人员 的计算机接入信息内网或信息外网。（二）擅自更改计算机网卡的MAC地址或IP/MAC地址绑定策略。（三）在计算机上私自开启DHCP、WWW. FTP、VOD、代理、游戏、论坛等服务对网络访问造成干扰或信息资源被非授权访问。（四）在内网计算机上利用 线、电信运营商ADSL、无线上网 卡或具备上网功能的手机和PDA等设备访问互联网，以及任何具备有 意识或故意性质使用内网计算机访问互联网。（五）使用手机或PDA设备的无线WIFI

26、功能访问信息内网或信 息外网。（六）在计算机中存储和处理国家、单位秘密信息，在外网计算 机中存储涉及单位重要敏感信息的电子文件。（七）在同一台计算机（包括具备隔离卡和双硬盘的计算机）上 安装两个操作系统或双网卡分别接入信息内网和信息外网。（八）平安移动介质损坏后私自丢弃未交网络信息中心处理并造 成单位重要信息外泄。（九）私自在网络中接入任何具备网络地址转换（NAT）、MAC克 隆等功能的网络交换机和路由器等有线设备和无线设备。（十）擅自组建无线网络并接入信息内网。（十一）干扰他人正常工作行为，包括：发布不真实信息、垃圾 信息；散布病毒及木马；未经授权或通过口令猜想和破解等手段使用 他人设备、系

27、统、邮箱等。（十二）擅自在计算机中安装黑客程序、端口扫描或漏洞扫描软 件并使用其进行网络扫描或攻击破坏。（十三）拒绝网络信息中心维护人员对计算机进行平安性检查和安装单位统一要求的桌面终端管理软件、防病毒软件等。（十四）违反学院信息平安管理规定被认定为严重违章的其他行第三章督察与检查第八条对违章的查处采用专项督查、日常检查及应用工具软件 检查相结合的方式进行。第九条发生信息平安违章，按照管理权限，实行分级查处、分 级追究。（一）学院各部门自查自纠发现的违章，参照本方法自行处理。（二）网络信息中心组织的督查、日常检查及采用单位统一部署 工具软件检查发现的违章，按照本方法规定处理。（三）单位督查、日

28、常工作检查及采用单位统一部署工具软件检 查发现的违章，按本规定处理并将处理情况报告单位领导。第四章处分规定第十条在年度内第一次发生一般违章或严重违章，对当事人给 予诫勉谈话；半年内同一当事人发生两次一般违章或严重违章，对 当事人给予通报批评；一年内同一当事人发生三次一般违章或严重 违章，对当事人给予写检讨并通报批评，并对当事人所属部门予以 通报批评。平安教育和培训管理方法第一章总那么第一条为规范学院信息平安培训及教育工作，对干部职工进行有 关信息平安管理的理论培训、平安管理制度教育、平安防范意识宣传 和专门平安技术训练，确保学院信息平安策略、规章制度和技术规范 的顺利执行，特制定本管理规定。第

29、二章信息平安培训要求第二条信息平安培训工作需要分层次、分阶段、循序渐进地进行, 而且必须是能够覆盖全员的培训。第三条应制定完善的培训计划，计划应包含培训方式、培训 类别、培训内容、培训费用等信息，并且需要相关领导对培训计划进 行审批。第四条分层次培训是指对不同层次的人员，如对管理层、信息安 全管理人员，信息平安联络员和普通干部开展有针对性和不同侧重点 的培训。第五条分阶段是指在信息平安管理体系的建立、实施和保持的不 同阶段，培训工作要有计划地分步实施；信息平安培训要采用内部和 外部结合的方式进行。第六条管理层培训（一）管理层培训目标是明确建立信息平安体系的重要性，获 得管理层的支持和承诺。（二

30、）管理层培训方式可以采用聘请外部信息平安培训、专业 技术专家和咨询顾问以专题讲座、研讨会等形式。第七条信息平安管理人员培训信息系统平安总体方针第一章总那么第一条为加强和规范学院信息平安工作，提高信息平安整体防 护水平，实现信息系统的平安管控，依据国家有关法律、法规的要求， 制定本方针。第二条本方针为学院信息平安管理提供一个总体性架构文件， 指导学院信息平安管理体系建设，以实现统一的平安策略管理，提高 整体的网络与信息平安水平，保障网络畅通和信息系统的正常运行。第三条本方针适用于学院信息系统资产和信息平安人员的平安 管理，适用于指导学院信息平安策略的制定、平安方案的规划、平安 建设的实施和平安管

31、理措施的选择。第二章组织机构与职责第四条学院信息化建设领导小组为学院信息平安工作领导机构, 领导小组下设办公室，由网络信息中心负责信息平安具体工作。学院 其他部门主要负责人是落实信息平安管理制度的第一责任人。第五条学院信息化建设领导小组负责统筹领导学院信息平安工 作，指导网络信息中心负责的重大的信息平安工作。第三章信息平安体系框架和目标（一）信息平安管理人员培训目标是理解及掌握信息平安原理 和相关技术、强化信息平安意识、支撑信息平安体系的建立、实施和 保持。（二）信息平安管理人员培训方式可以采用聘请外部信息平安 专业资格授证培训、参加信息平安专业培训、自学信息平安管理理论 及技术和内部学习研讨

32、的方式。第八条信息平安联络员培训（一）信息平安联络员培训目标是掌握各系统相关专业平安技 术，协助维护和保障系统正常、平安运行。（二）信息平安联络员培训方式可以采用外部和内部相结合的 培训以及自学的方式。第九条普通干部培训（一）普通干部培训目标是了解相关信息平安制度和技术规范， 并平安、高效地使用信息系统。（二）普通干部培训方式应主要采取内部培训的方式。第三章信息平安培训内容第十条各级领导及职工应明确了解信息平安体系，并明确各自的 平安职责，明确自身对维护保障系统正常、平安运行所需承当的相关 责任和义务。第十一条针对业务需求进行相应平安意识培训，提高员工的平安意识和防范能力。第十二条针对系统的维

33、护人员和管理员应定期开展平安技术教 育培训（每年至少一次），明确如何平安使用有关业务系统及普通计 算机周边硬件设备。第四章信息平安培训管理第十三条信息平安培训发起：（一）信息平安培训教育，纳入学院的整体培训计划中。（二）具体操作过程遵守学院的相关培训管理制度。第十四条信息平安培训实施：（一）信息平安培训的实施，主要由网络信息中心负责组织和 考核。（二）对专业性很强的平安培训，由网络信息中心负责聘请外 部专家进行平安培训。（三）具体操作过程遵守相关培训管理制度。第十五条信息平安培训过程中，要做好培训签到表，并将参 与培训人员整理、备案。外来人员平安访问管理方法第一章总那么第一条为了规范第三方用户

34、访问学院内部信息系统时的行为，保 护学院网络与信息系统平安，特制定本管理方法。第二章来访人员出入管理第二条第三方人员进入学院所属单位及其建筑物，应遵守学院相关安保制度。第三条未经学院特别许可，第三方人员不得在机关院内摄影、拍 昭C第四条学院干部职工要遵守相关平安保密规定，禁止与第三方人 员谈论与其工作无关的内容。第三章机房出入管理第五条除以下情况外，不得引领和允许第三方人员访问机房等重 要区域：（一）学院领导批准的参观活动;（二）必要的仪器设备现场安装、维修、调测;（三）第三方因业务需要进入上述区域的其它情形。第四章网络访问管理第六条学院信息平安管理人员有义务向第三方人员说明网络接入平安要求。

35、第七条第三方人员不允许私自连接机关网络。如果必要，必须提 出申请，征得网络信息中心允许后方可接入。第三方人员连接网络要 进行相应登记备案，并签订网络使用平安协议。第八条长期使用内部网络的第三方人员的计算机必须接受学院 的统一客户端管理，包括客户端管理软件的安装、平安策略的配置等。第九条第三方人员如果需要访问网络资源，须提前明确申请要访 问资源的类型、范围和方式，以便管理员进行审批，并提供相应的访 问权限和访问方法。第十条第三方人员操作服务器或网络设备，必须使用临时帐号, 使用之后由相应的管理人员及时清除；对于长期在学院工作的技术支 持、顾问、服务人员，如果需要长期操作服务器或网络设备，管理人

36、员应该为第三方人员创立单独的帐号。第十一条学院有权对第三方人员在机关内部网络的活动进行检 查、审计和监控。第十二条第三方人员的计算机要求安装有防病毒软件，不得携带 有木马、病毒等破坏性程序。第十三条第三方人员不准使用学院网络从事同工作无关的网络 活动。第十四条第三方人员不准在学院网络内部通过拨号或其它手段 直接建立到其它网络的物理链路。中心机房运行管理方法第一章总那么第一条为了加强学院中心机房管理规范，保护重要服务器、网络 设备、平安设备、应用系统等系统平安，特制定本规定。第二章职责及权限第二条学院网络信息中心是机房管理的主要部门，负责机房的日常检查、维护和管理、应急处置工作。第三章机房出入管

37、理第三条非机房管理人员，一般情况下禁止进入机房，特殊情况需 进入机房时须由机房管理人员全程陪同，并填写机房出入登记表 后方可进入；第四条机房管理人员经授权获得门禁访问权限后，凭机房门禁卡 出入机房，并由门禁系统和视频监视系统记录其在机房的行为；第五条未经许可，进入机房人员不得携带任何易燃、易爆、腐蚀 性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品， 不准携带任何磁带（盘）、磁介质和资料进入机房。经特许携带的, 必须填写机房进出登记表中相关项后方可进入；第六条未经许可不允许使用摄影、录像或其它音像记录设备等机 房内各类设备、器材须经网络信息中心机房维护人员批准，方可进出 机房。对于需

38、要经常出入机房的设备，需在设备上张贴专用的标记。第四章机房平安管理第七条机房维护人员随时监控中心设备运行状况，发现异常情况 应立即按照预案规程进行操作，并及时上报和详细记录；第八条非机房维护人员未经许可不得擅自上机操作和对运行设 备及各种配置进行更改；第九条严格执行密码管理，对操作密码定期更改，超级用户密码由系统管理员掌握;第十条机房维护人员应恪守保密制度，不得擅自泄露机房各种信 息资料与数据；第十一条机房维护人员应对机房内设置的消防器材、监控设备进 行检查，以保证其有效性。第五章机房环境管理第十二条机房管理人员对机房环境每天进行一次检查，对发现的问题要及时解决，填写机房巡检记录表；第十三条机

39、房内要保持设备无尘、布线整齐、物品就位、资料齐 全，应保持机房整洁；定期进行清扫，进行清扫时禁止使用带水的洁 具。每年至少应聘请一次外部专业机房清洁单位对机房环境进行清扫;第十四条机房内严禁堆放与工作无关的其它物品及纸质物品。做 好消防灭火设备检查工作；第十五条机房内禁止饮食、吸烟、打闹、大声喧哗，机房内不得 会客、闲谈；第十六条机房内要保证足够的照明度，备有紧急照明设备，并有 专人负责，定期检修；第十七条机房内需对温度和湿度进行监控，温度保持在18-25,湿度保持在40%-60%；第十八条UPS必须定期年检，并填写检查报告。第十九条机房接地系统要符合相应的技术标准，各个设备交流工作电源应有工

40、作接地，机柜应有效接地。第二十条机房配电柜要有防雷设施，进出机房的电缆应有防雷措施。第二十一条机房用电要使用独立的电线，专用变压器、电源稳压 器等。第二十二条机房的环境应到达机房建设的设计要求。第六章机房操作管理第二十三条应指定专人负责机房的操作管理。第二十四条机房值班人员必须密切监视中心机房设备运行状况 以及各端口运行情况，确保平安、高效运行。第二十五条严格按规章制度要求做好各种数据、文件的备份工作。 重要的服务器数据库要定期进行备份，并严格实行专人保管。所有重 要文档定期整理装订，专人保管，以备后查。第二十六条各类软件系统的维护、增删、配置的更改，各类硬件 设备的添加、更换必需执行变更管理

41、流程；必须按规定进行详细登记 和记录，对各类软件、现场资料、档案整理存档。第二十七条网络与信息平安领导小组应对制度的执行情况进行 检查，催促各项制度的落实，并作为人员考核之依据。第七章机房设备管理第二十八条机房要有完整的网络拓扑图并定期进行更新。第二十九条机房内的所有设备应贴有设备标签，并注明设备的主 要参数。第三十条主机系统和网络设备的各类接线的两端应设置标签，网 络接口侧应注明连接的设备。第三十一条对主要网络设备如核心路由器、交换机、防火墙、IDS 等设备的配置文件定期进行一次评审。第三十二条对机房的主机设备及核心网络交换装置应严格管理, 做好应急准备，制定周密的故障应急措施。第三十三条严

42、禁擅自在运行的业务系统服务器、交换机、路由器 等设备上进行开发、调试或学习培训等工作。第三十四条进入机房的服务器应遵守机房规定，安装最完整系统 补丁、防病毒软件、管理员责任明确，各设备需贴有资产标识，并在 标识上明确该资产责任人，责任人发生变更时应及时更新资产标识。信息分类与标识管理方法第一章总那么第一条为有利于学院信息系统相关信息的识别、保护和利用，加 强学院信息系统相关信息的平安管理，特制订本管理方法。第二条本管理方法适用于学院信息系统相关信息的管理。第二章信息分类的定义第三条学院信息系统相关信息的分类和标识的目的：（一）通过对学院信息系统相关信息按无形性质（非财务）进 行分类和标识，促进

43、信息的增值利用，提高信息的利用率；（二）促进信息分布的合理化、促进非结构化信息向结构化数 字信息的转换，降低信息管理本钱;（三）掌握学院信息系统相关信息的状态，明确信息的使用方 法、保存方式、放置位置、平安分类和责任人等，加强信息的管 理，为信息系统的日常与应急工作提供基本资料；第四条根据各种信息的敏感度和重要性的不同，制定对信息各 种相应的分类保护措施，对各类信息实施适当程度的保护。信息指 学院在生产、经营和管理过程中，所需要的以及所产生的，用以支 持（或指导、或影响）学院生产、经营和管理的一切有用的数据和 资料等非财务的无形信息，其范围包括如下现在的和历史的信息：（一）学院的域名、网络拓扑

44、结构、网络IP地址及分配规那么；（二）系统配置数据、系统授权信息、口令文件、密钥及算法文 件、系统说明文档、用户手册等系统基础数据；（三）各类专业系统的应用数据库及数据文件、业务报表等系统 业务数据；（四）各类专业系统的运行方案、运行记录、变更记录等系统运 行数据以及应急计划；（五）各类专业的规划、方案与策略、业务流程、业务规范、操 作规程等管理数据；（六）技术图纸、技术文档、工程资料等工程数据；（七）其他纸介质的重要办公文件（信件）、图象、影象、录音 和照片等非结构化办公资料；（A）单个员工拥有的专家技能和经验等隐性数据。第五条学院信息的平安分类：信息按信息的敏感度分类为机密信息、秘密信息、

45、对内公开信息、对外公开信息。第六条信息的存放介质分别为电子介质、纸介质以及其他介质, 对于存储介质同时有电子介质或纸介质两种情况的信息，其最终目标 应该是信息存储在电子介质。第三章信息的管理与使用第七条信息的存放应立足于管理和平安的考虑，为了便于保管、 提取、查询，信息应尽量以电子介质的形式存储，因此，对于存储在 纸介质等其他非结构化的信息，如果技术上允许并且有必要的话，应 及时进行适当的处理，转换为结构化的电子信息，并以电子介质的形 式存储。第八条信息的存储介质存放的地点要求如下：（一）对于对外公开信息，存放地点没有要求；（二）对于对内公开信息，如果是结构化的电子信息，应存放 在内部服务网络

46、中的文件服务器等；如果是非结构化的其他信息， 应存放在室内文件柜中，并有明显的分类标识；（三）对于秘密信息，如果是结构化的电子信息，应存放在有 严格管理制度、具有足够的平安防护措施的机房环境中的相关服务 器和存储设备上；如果是非结构化的其他信息，应存放在室内具有 较强防盗窃能力的文件柜中，并造册登记，分项存放；（四）对于机密信息，如果是联机存储的结构化电子信息，应 存放在有严格管理制度、具有高强度的平安防护措施的机房环境中第六条学院信息平安体系框架的组成是平安组织、平安策略、安 全技术和平安运作，四大组成局部协同构建、完成和实现学院信息安 全工作和目标。第七条（一）信息平安组织工作目标是建立健

47、全的平安组织，加强人员 的平安管理，为信息平安工作提供组织保障。（二）信息平安策略工作目标是制定完善的信息平安管理制度 和技术规范，并确保其有效发布、执行和更新，规范学院信息平安管 理工作。（三）信息平安技术目标是采用适当的技术手段，加强业务和支 撑系统的平安防护，为信息平安工作提供技术工具支撑。（四）信息平安运作目标是加强平安工作的运作管理，维护业务 和支撑系统的平安运行，及时处理平安问题，为信息平安工作提供运 行保障。第四章信息平安建设原那么和目标第八条学院信息平安工作的原那么是：满足和推动服务业务开展,信息系统平安架构完整、统一，数据集中、信息共享，控制本钱、提 高工作效率，利用国家标准规范学院管理。第九条学院信息平安工作的目标是：通过建立和完善信息平安的策略体系、组织体系、技术体系和运作体系，保障日常工作的开展 和各信息系统的连续正常稳定运行，维护信息系统的数据平安，促进 学院信息化工作健康开展。的相关服务器和存储设备上；如果是脱机存储的结构化电子信息， 以及非结构化的其他信息，应存放在具有严格保安措施的、专门的 保管