第一章 总 则
第一条 为全面加强学校网络安全和信息系统安全,提高学校整体安全防护能力和水平,使学校的网络资源、信息资源得到有效保护,避免窃密和泄密事件的发生,确保学校各项事业健康有序发展,根据《中华人民共和国网络安全法》《中华人民共和国计算机信息系统安全保护条例》《信息安全等级保护管理办法》等国家有关法律法规,结合学校实际,制定本办法。
第二条 学校按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,建立健全信息系统安全责任体系。学校各单位及校内人员依照本办法的要求履行信息系统安全义务和责任。
第三条 本办法适用于对校内师生提供服务的信息系统和以学校名义提供对外服务的信息系统。
第四条 学校各单位及校内人员须高度重视网络安全和信息安全工作,严格执行国家和学校有关网络安全和信息安全的管理规定,确保学校信息网络安全。
第二章 职责划分
第五条 学校网络安全和信息化工作领导小组负责指导全校信息系统安全管理工作,其办公室(信息化办公室)负责落实、督办领导小组议定事项和工作安排。
第六条 学校主要负责人是学校网络安全和信息系统安全的第一责任人,分管信息化工作的校领导协助主要负责人履行学校信息系统安全责任。
第七条 校内各单位负责人是本单位网络安全和信息系统安全工作第一责任人,各单位信息系统安全联络人协助单位主要负责人履行信息系统安全责任,并负责按本办法落实信息系统安全相关工作。
第八条 信息化办公室是学校网络安全和信息系统安全归口管理部门,负责统筹学校网络安全和信息系统安全工作。其具体职责包括:
(一)协助学校网络安全和信息化工作领导小组,制定学校网络安全和信息系统安全总体规划和规章制度,并组织实施;
(二)依据教育部和河南省有关规定,组织开展信息系统安全等级保护工作;
(三)落实上级部门有关学校网络和信息系统安全管理规定,协助上级部门在校内开展网络安全和信息安全等相关工作;
(四)负责全校范围内的网络安全和信息系统安全监督检查工作;
(五)学校有关网络安全和信息系统安全管理的其他工作。
第三章 信息系统定级、备案与测评
第九条信息系统建设完成后,须进行信息系统定级备案。定级备案由信息化办公室负责实施,信息系统使用部门配合完成。
第十条信息化办公室须依据《国家信息系统安全等级保护定级指南》(GBT22240-2008)对相关信息系统进行定级,明确信息系统的边界和安全保护等级。
第十一条 信息化办公室应以书面形式说明确定信息系统为相应安全保护等级的方法和理由,形成信息系统等级保护定级报告,根据业务系统的部署情况完成信息系统安全等级保护备案表。
第十二条信息系统安全级别在二级或二级以上的,须由信息化办公室组织相关部门和安全技术专家对信息系统定级结果的合理性和正确性进行论证和评审,由上级主管单位和安全监控单位进行审定。
第十三条 信息系统定级备案资料完成后,由信息化办公室向公安机关进行备案。
第十四条 对于安全保护等级为二级或二级以上的信息系统,信息化办公室须聘请第三方安全测评机构(具有国家相关技术资质和安全资质)开展等级测评工作,第三方安全测评机构提交信息系统相应等级保护报告,由学校网络安全和信息化工作领导小组审查并备案。
第十五条 系统发生变更时,信息化办公室应及时对系统进行等级测评,发现级别发生变化的须及时调整级别并进行安全改造,发现不符合相应等级保护标准要求的应及时整改。
第十六条 信息系统定级备案测评的相关资料和文档由信息化办公室统一保存管理。
第十七条 信息系统建设达到学校安全等级要求后,经信息化办公室核准后接入校园网。
第四章 网络安全
第十八条 学校建立网络授权访问控制机制。只有网络管理员才有权登录网络核心设备,网络管理员若发生变更,应及时更改网络设备账户和口令设置。
第十九条网络管理员应保持拓扑结构图与现行网络运行环境的一致性,拓扑图上包含信息应包括网络设备、安全设备的型号、名称以及与链路的链接情况等信息。
第二十条网络管理员应通过必要的安全技术措施对网络信息进行统一管理,包括信息资产管理、网络拓扑管理、信息资源管理、网络异常流量管理、安全事件监控管理、安全策略管理、安全预警管理等网络信息。
第二十一条 网络管理员应监控网络的运行状况,发现影响较大的网络故障时,应按照《河南牧业经济学院网络与信息安全事件应急预案》协调处理并及时上报。
第二十二条网络设备及安全设备中的运行配置文件和启动配置文件应随时保持一致,网络设备及安全设备的日志应转发到审计系统保存,网络管理员应保存至少半年内的相关安全日志。
第二十三条网络管理员应定期对网络设备和安全设备进行安全检查和扫描,及时发现安全隐患,升级设备修复安全漏洞。
第二十四条 网络管理员应加强网络安全监控管理,监测项
目包括通信线路状态、网络设备运行状况、网络流量、网络基础服务等,及时检查并消除网络安全隐患。
第二十五条网络管理员应对网络中的非法访问部署检测和审计措施,能够做到安全事件可监控、可追踪和可审计,形成安全审计报告,及时发现安全隐患,调整安全策略消除安全风险。
第二十六条 信息化办公室应建立全面的安全监控中心,网络管理员对信息资产的运行状态、安全状态、告警信息等进行集中管理,关联分析。
第五章 信息系统安全
第二十七条 根据“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,学校各单位应按照信息统安全管理办法开展相关工作。
第二十八条 学校信息系统运维管理应遵照以下安全原则:
(一)最小权限原则:指系统只能授予应用程序和用户必要的权限,而不能授予额外的权限。
(二)最少服务原则:指在保证系统和应用运行正常的前提下,关闭其它无关的系统服务和网络服务。
第二十九条 各类系统须分别建立系统管理、安全管理和安全审计三类管理用户,并依据“权限分离”的原则分配相应的管理权限。各类管理人员只能进行职责权限下的管理维护操作,不得越权访问。
第三十条 为各类用户分配的权限以满足其所在岗位最低工作要求为准。
第三十一条 信息系统安全管理员应定期检查用户的账号及其权限,及时根据用户的安全责任和工作要求对用户身份及相应权限进行变更。
第三十二条 信息系统安全管理员应依据信息系统操作手册对系统进行维护,严禁进行未经授权的操作,安装各类应用软件时遵从最小化安装原则,关闭和卸载与业务运行无关的功能和服务。
第三十三条 针对数据库数据的读取、修改、查询,由申请人向业务部门领导提交申请,经业务部门领导审批通过后,数据库管理员方可对数据库进行操作。操作结束后,数据库管理员通过邮件向业务部门负责人说明处理细节及处理结果。
第三十四条 信息系统安全管理员须定期进行漏洞扫描,及时发现系统漏洞,扫描完毕后,会同应用系统管理员分析扫描结果,然后针对扫描分析结果进行适当的处置,对漏洞及时进行修补。
第三十五条 各个应用系统须启用安全审计功能,以日志的形式记录用户登录系统、文件访问操作、账户修改、访问连接等行为的过程和结果信息,做到发生可疑事件时有据可查。
第六章 防病毒安全
第三十六条 安全管理员防病毒职责:
(一)负责对数据中心各信息系统内的所有服务器及客户端防病毒软件进行统一安装和统一管理,更新病毒库,同时下发防毒策略,定期进行全网扫描;
(二)负责对数据中心各信息系统进行防病毒监控,及时发现防病毒预警,由网络管理员协助对防火墙和路由等设备进行配置;
(三)定期检查恶意代码库的升级情况,对截获的危险病毒或恶意代码及时进行分析处理,并形成书面报表和总结进行汇报;
(四)负责协调处理和解决数据中心各信息系统病毒事件。
第三十七条 各信息系统内所有的服务器和计算机终端应安装信息化办公室所要求的网络防病毒软件,并对安装情况作相应记录。使用各种介质复制或者从网络上下载文件到计算机上时,须进行病毒查杀。
第三十八条 各信息系统内的所有服务器和计算机终端应使用信息化办公室下发的正版软件,禁止随意安装软件,防止其中可能存在恶意软件。
第三十九条 各信息系统内的服务器、桌面计算机及便携式计算机一旦发现被计算机病毒感染,须将计算机与网络隔离,确保病毒库已更新至最新版本,并及时进行病毒查杀处理。当病毒感染情况严重且无法在规定时限内紧急恢复或有效控制时,应按照《河南牧业经济学院网络与信息安全事件应急预案》及时上报并启动相应应急响应预案,注意保留防病毒系统记录。
第四十条 安全管理员应定期执行计算机病毒检测和清除工作,检测应扫描所有的计算机硬盘分区,以发现硬盘中可能存在的病毒或异常情况,同时将检测结果进行集中保存,作为后期检查的依据。
第七章 身份鉴别
第四十一条 系统管理员应严格限制创建共用账号,且共用账号不得具有访问敏感信息以及“写”和“执行”的系统权限。
第四十二条 用户账号的权限设置应遵循权限最小化原则,即给用户能完成工作的最小权限。
第四十三条 特殊原因需要创建临时用户账号时,由项目负责人向应用系统管理员提出书面申请,经核准后,由系统管理员统一创建(临时用户账号的密码由项目负责人统一指定和保管),账户到期后,应立即删除临时用户账号。
第四十四条 基础运行环境(包括网络系统、安全系统、主机服务器操作系统、数据库、公共平台、中间件等)和应用系统的管理员密码设置要求须符合《河南牧业经济学院密码安全管理办法》规定。
第四十五条 密码的保存、传输、管理须符合《河南牧业经济学院密码安全管理办法》规定。
第四十六条 发生以下情况时,相关密码须立即更改并做好记录:
(一)账号使用人由于工作变动不再需要访问权限的;
(二)工程施工、厂商维护完成的;
(三)账号使用者违背了有关密码管理规定的;
(四)有迹象表明密码可能被泄露的;
(五)发生其他情况,上级主管人员认为不应再具有访问权限的。
第四十七条 对于自动生成密码的系统,须确保密码生成算法的可靠性和安全性及密码生成“种子”的随机性。
第四十八条 用户严禁向任何人公开其本人或他人的账号和密码的全部或部分,特别是拥有管理员权限或超级管理员权限的用户,严禁以任何明文格式存储账号和密码。
第四十九条 用户严禁通过公共网络(如互联网、公共电话网等)以明文格式传送账号和密码。
第五十条 信息安全管理员须设定所有用户登录尝试的次数限制。信息安全管理员和系统管理员的账号,登录尝试次数为
3次;其他账号,登录尝试次数为5次。一旦在一定时间内使用同一个用户账号的失败登录超过限定次数,该账号应被自动禁止,直到重新激活该用户账号。
第五十一条 信息安全管理员在发现任何企图非法使用某用户账号的情况时,须强制该用户更改密码。
第五十二条 系统管理员应开启系统内建的用户账号、用户权限管理和登录管理的审计功能,并对其生成的日志文件进行妥善保管,以确保日志文件的安全性和完整性。
第八章 数据备份与恢复
第五十三条 信息系统安全管理员应根据业务需求制定相关数据保护的总体规划、预算与建设方案并实施,负责数据备份系统的运行和维护工作。
第五十四条 信息系统负责人应根据具体情况,定期对备份数据的机密性、完整性和可用性进行测试,填写《数据备份登记表》和《备份数据测试、恢复登记表》。
第五十五条 信息系统数据备份策略如下:
(一)所有涉及的备份数据应复制两份,分别存放在本地和异地备份介质;
(二)各业务部门每日对变更的业务数据进行备份,保存期限最少为1个月;
(三)各业务部门每月对业务数据进行完整备份,保存期限至少为半年;
(四)系统发生重大变更或系统开关机前后,需进行完整的系统备份(或系统全备份);
(五)数据备份工作须由指定人员负责;
(六)信息安全管理员定期(每一年)对备份策略进行评估,并抽验库存备份介质,以确保库存备份介质的可用性。
第五十六条 数据备份需求主要内容包括:
(一)备份项目和名称,数据备份目的和要求;
(二)备份目标机器(机器名称和类型、网络地址);
(三)备份内容(目标、目录、盘符、格式等);
(四)备份方式(全备份、增量备份、差分备份)及数据量估算;
(五)备份执行时间和周期;
(六)备份介质类型、循环周期和保存期限;
(七)备份介质的存放地点(本地或异地)。
第五十七条 数据管理员应在信息安全管理员协同下每年
定期进行数据恢复测试。数据恢复测试不得影响业务系统、生产环境的正常运行。
第五十八条 数据管理员在进行数据恢复测试时,须确认备份数据的可读性和完整性,以及恢复方案的可执行性,并填写测试记录,编写恢复性测试报告,签字确认并存档。
第九章 附 则
第五十九条 本办法自公布之日起施行。
第六十条 本办法由信息化办公室负责解释。
