第一章总则
第一条为规范信息化安全管理工作,确保北京物资学院信息系统与网络资源在可控范围内安全稳定的运行,保护现有的网络、数据信息的安全,特制定制定本制度。
第二条通过制定本制度形成一个动态以预防为主的信息安全管理方式,通过实时的监控和分析及时发现系统潜在的安全问题和风险,及时采取相应的措施以避免问题的发生,最大限度地减少安全事件带来的风险和损失,保证信息系统的使用安全。
第三条通过安全管理不但能够保障己有的安全系统得到正确、有效的使用,而且能够实际检验安全策略的使用情况,及时提出新的安全需求,以便及时进行升级改进或实行新的安全保护措施。
第四条广泛开展信息安全教育,进行信息、安全检查,保证系统安全运行。
第二章适用范围
第五条本制定适用于对组成烟草信息网络的各种软、硬件设备的综合安全管理,对安全管理中的各项具体工作进行指导。
第六条管理对象:
1.硬件设备:包括计算机主机及外设、网络设备、存储设备以及其它辅助设备。
2.物理环境:包括机房场地环境、设备维修、存储环境等
3.通信线路:包括专用的通讯线路、网络布线、用于数据通讯的电话线等。
4.软件系统:包括网络设备的配置、操作系统、应用软件以及其它各相关的应用系统等。
5.文档资料:包括设备及系统的使用说明及操作指南、参数配置表、运行操作记录、故障维护处理记录、电子数据及文档等。
第三章工作职责
第七条信息中心负责信息系统运行情况进行监督检查。
第九条保障市我校信息系统安全运行,负责业务数据及其它重要数据的备份管理,向教委上报信息、系统运行安全报告。
第十条负责安全产品的使用、维护、升级,所有安全产品的使用,必须符合省局信息中心的审批和授权,不得擅自采购和私自试用,负责本单位的安全教育和安全管理培训。
第四章工作程序
第十一条软件系统安全:
软件系统包括系统软件及应用软件。
1. 系统软件指操作系统软件和数据库系统软件:
(1)系统软件应使用正版软件,其选用应充分考虑软件的安全性、可靠性、稳定性和健壮性,并报上一级主管部门备案。
(2)系统软件必须具备身份验证功能、访问控制功能、故障恢复功能、安全保护功能、安全审计功能、分权制约的权限控制功能及加密功能。
2.应用软件指各业务管理信息、系统、决策支持系统、电子商务系统、办公自动化系统及其他软件应用系统等,应用软件系统必须满足软件规范的有关要求。
第十二条各级信息中心、部门在软件系统的安全管理中的作为:
1.系统运行前严格审查实施计划的安全性,审查实施计划流程是否符合整体安全策略,是否制订相应应急措施等;
2.检查系统运行过程中相关部门安全管理规定的执行情况;
3.系统运行结束后,组织对照实施计划评价实施效果,对整体安全体系的影响进行相应评估。
4.由相关技术部门提供系统运行的安全报告。
5.当系统调试完毕,应建立系统维护档案。如果系统出现变更,应该重新对该系统作安全评估,调整安全配置,并更新相应的系统档案,必要的时候修正整体的安全策略。
第十三条环境安全
1.机房建设必须符合国家行业建设标准和规范。
2.建立并严格执行机房管理制度,无关人员未经安全责任人批准严禁进入机房。依据有关机房管理办法的要求,各级安全管理部门对其机房环境、机房进出、机房设施、机房物品的管理定期进行安全检查。
3.机房工作人员必须严格遵守各项操作规程,定期检查安全保障设备,确保系统安全运行及设备的安全。
4.对主机房进行开机、关机等日常的操作,建立操作程序,并建立完整的设备运行日志、操作记录及其它与安全有关的资料。
第十四条硬件设备安全
1.对主要的信息财产按安全等级进行适当的分类和标志,并采取相应的安全保护措施,实行安全等级保护。对于处理与敏感、有价值或重要的组织财产相关的系统应基于安全需求和风险评估进行附加的控制。
2.对系统的相关计算机和数据通信设备及其连接关系,要编制与实际相符的拓扑图,并归档保存。
3.业务系统和网络的关键设备应有备份策略。对业务系统设备和通信线路进行定期的检测和维护,确保随时处于可用状态。
4.已开通运行的卫星通信端站,未经上级管理部门批准,不得关机,不得进行中断性测试,严禁擅自改变设备参数。
5.对路由器、交换机等通讯设备必须采取严格的管理措施,设专人管理,未经批准不得随意移动和接入。
6.对信息系统的计算机实体资源和定位状况要进行逐项编号登记和建档,未经批准不得随意改变。
7.定期对硬件设备进行专业维护保养,如有故障,应组织专业人员进行处理。
8.应确定用户对无人值守的设备进行适当的保护。安装在用户区域的设备,如工作站或文件服务器,需要特别的保护,以防在无人看守时遭受未授权的访问。
第十五条软件应用安全
1.应用软件必须经过功能测试、试运行,确认达到设计要求后,方可正式投入使用,测试及试运行有关文档纳入文档管理。
2.各部门必须使用合法的软件,未经信息中心批准的软件,不得在业务系统中使用.
3.必须明确软件的使用范围和使用权限,采取有效措
5施,防止对应用软件的非法修改;
4.应用软件应根据岗位情况、人员配置等情况进行不同级别的权限控制;
5.应用软件本身必须具备操作日志和管理日志功能,以利于事后跟踪查询人员使用情况;
6.软件使用人员应经过适当的操作培训和安全教育;
7.建立应用软件文档管理制度、版本管理制度及软件分发制度,防止软件的盗用、误用、流失及越权使用;
8.各部门必须根据信息中心统一部署,安装防病毒、网络入侵检测软件等监测、检查类安全产品。
第十六条系统操作与运行安全
1.各部门必须按照有关操作管理的要求,规范操作流程:进行访问控制,采取严密的安全措施防止无关用户进入系统,确保应用系统的安全、稳定、持续运行。
2.学校内部所有的机器应该提供口令保护功能;用户在设置和使用口令时,应遵循好的安全习惯和口令管理的要求。操作人员应有互不相同的用户名,定期更换操作口令。严禁操作人员泄露本人的操作口令。
3.数据库管理系统和关键网络设备(如路由器、防火墙等)的口令必须由专人掌管,并要求定期更换。按分级管理、共同负责的原则,由不同人员掌管服务器操作系统口令、数据库管理系统口令和网络管理口令。如果用户需要访问多种
6服务或平台,需要多个口令,应建议他们使用单一的有质量的口令,并对储存口令提供合理的保护。
4.严格按岗位职责设置各岗位操作权限,各类操作系统的系统操作权限设置应经信息部门负责人批准并备案。重要岗位的登录过程应增加必要的限制措施。敏感信息、访问必须通过身份授权认证。
5.在正常的系统运行中,所有对业务系统的实质性操作必须由操作员按权限控制要求执行,其他人员不得直接对系统或应用进行实质性操作。
第十七条操作系统、数据库系统安全管理
1.系统选用:信息系统工程所选用的操作系统、数据库管理系统必须具备与其用途相适应的安全性能;
2.口令使用管理:要严格加强口令保密制度的执行,杜绝使用公开或缺省的口令和用户名称,对关键用户的口令要采用双人监护、异地保存等方式进行管理,严防个人独自以关键用户进入系统;
3.系统运行监控管理:要加强系统日常的巡查,及时监控用户使用系统资源情况,对陌生用户要及时查清来源,并加以相应处理,对越权用户要查明越权原因,并根据实际情况限制其使用权限;
4.系统备份管理:及时做好系统动、静态数据的备份工作,以备系统出现意想不到的故障。
7第十八条计算机病毒防范
必须建立计算机病毒防范制度,系统管理员应有较强的病毒防范意识,定期进行病毒检测,及时更新软件版本和漏洞补丁,发现问题及时解决。具体措施如下:
1.要求所有工作站全部安装防病毒软件;
2.为防止原始设备计算机病毒的侵害对新购进的计算机及设备,要组织专业人员检查后方可安装运行;
3.软盘、光盘等移动存储媒体,以及外来的软件等,要先进行计算机病毒检查,确认无计算机病毒后才可以使用;严禁使用未经清查的、来历不明的软盘、光盘等;
4.重要计算机要定期进行计算机病毒检查,系统中的程序要定期进行比较测试和分析;
5.在接入Internet 网时,严格控制下载软件,谨慎接收电子邮件;在接收电子邮件时,不随意打开邮件附件;
6.关键服务器要尽量做到专机专用,特别是具有读写权限、身份确认功能的认证服务器一定要专用;对共享的网络文件服务器,应特别加以维护,控制读写权限,尽量不在服务器上运行无关软件程序;
7.系统的重要数据资源要采取措施加以保护;
8.跟踪计算机病毒发展的最新动态,及时了解计算机病毒,特别是有严重破坏力的计算机病毒的爆发日期或爆发条件,及时通知各部门进行防范;
9.随时注意计算机的各种异常现象,一旦发现,应立即用查毒软件仔细检查;
10.经常更新与升级防杀计算机病毒软件的版本;
11.对重点岗位的计算机要定点、定时、定人作查毒杀毒巡检;
12.当出现计算机病毒传染迹象时,立即隔离被感染的系统和网络,并进行处理,不应带“毒”继续运行,并同时上报信息中心,由信息中心派人处理。
13.接受省经济信息中心采用定期常规检查与特别日期专项检查、集中检查与分散检查相结合方式,对计算机病毒防范管理制度的实施情况进行检查。
第十九条网络安全
1.新建网络、网络改造、网络变更或新系统在投入使用前,必须按照规范的规定制订相对应的网络安全防范措施,并对新建网络或改造后网络实施安全检验,未经检验的新建网络或改造后网络不允许投入使用。
2.Internet出口必须实行与行业内联网的逻辑隔离,其安全方案由信息中心统一制定和审批;
3.有Internet出口的单位必须采取严格的安全保护措施,至少配置放火墙和入侵检测措施,对Internet 提供公共服务的服务器(如WEB 服务等)应采取与行业内联网逻辑隔离的设置,不得允许来自Internet 的用户访问行业网络;
4.不得采用一台路由器同时与Internet 和行业内联网进行互联。
5.禁止建立面向行业外的电子公告系统;建立面向行业内的电子公告系统,须报信息中心批准和备案,并建立用户登一记和信息、管理制度;
6.禁止联入行业网络的计算机通过调制解调器拨号等方式登录到其他网络,如业务确实需要,需经同级保密委员会及信息、网络主管部门批准。
7.存放和处理涉及国家秘密信息、的系统和网络要与行业计算机网络和互联网实行严格的物理隔离,涉密系统的建设要符合国家保密局颁布的相关标准和要求。
8.不得将行业网络与其他网络直接连通,行业网络在与外部网络进行连接时,在外联网的交界处(和各级政府机构,如银行、税务等互联的接口处),必须提供相应的安全保护措施,并制定严密的访问权限。
9.内联网地址和域名的规划、分配、监督和实施由信息中心统一规划、组织实施,各部门必须严格遵守,不得擅自变更,以确保行业计算机网络的互联互通。
第二十条人员安全管理
1.信息安全技术人员应具备大专以上学历,具有必备的计算机理论知识和相应的专业技术水平、良好的职业道德和认真负责的服务意识。
2.计算机系统管理员必须熟悉、掌握本单位信息系统的资源配置,运行状况,并建立详细档案。
3.关键技术岗位应进行严格审查并保持人员相对稳定,离岗时必须严格办理离岗手续,明确其离岗后的保密义务,退还全部技术资料并立即更换信息系统的操作口令。
4.加强对信息安全技术人员进行业务培训和技术培训,实行持证上岗制,不合格或未参加培训者不得上岗。
5.加强对信息系统使用人员进行系统安全教育,提高使用人员有关信息系统安全管理法律、法规意识和应用水平。
第二十一条安全责任管理
1.行业网络的上网单位要保证网络运行安全、可靠,做到实体安全、运行安全、数据安全和管理安全。各部门必须遵守其他相关法律法规的规定,计算机网络和信息安全系统的建设必须符合安全要求,自觉维护国家的安全和稳定,自觉保守国家、行业和单位的秘密。
2.各部门应建立安全责任制度, 指定安全管理部门和配备必要的安全管理和技术人员,相应管理和维护人员必须对本人接办的各项事务的处理过程负责,确保行业计算机网络和信息、系统的安全运行。
3.各类人员必须承担相应信息系统安全管理责任,并严格遵守有关规定,自觉维护辽宁烟草信息系统安全。
4.根据国家保密法规,建立健全信息、发布与上网信息、保密审批制度,审查工作由同级保密工作机构或业务工作机构根据有关专门规定负责执行。禁止绝密级的信息上网传输,属国家秘密的信息、上网,需经同级保密委员会同意,并不得传输到行业网络之外,上网信息的保密管理坚持“谁上网谁负责”,的原则。
5.违规处罚:对于违反本规定的单位和个人,情节较轻者给予警告,并做出书面检查;情节严重的,将给予停止联网、限期整改的处罚,并追究主要领导的责任;构成犯罪的,交由司法机关依法追究刑事责任。