網(wǎng)絡(luò)與信息安全管理制度匯編VIP

1、版本號：V1.0網(wǎng)絡(luò)與信息平安管理制度匯編（試行）學(xué)院2021年6月第二十五條所有與學(xué)院的網(wǎng)絡(luò)進行連接都需要經(jīng)過信息化建設(shè) 領(lǐng)導(dǎo)小組的批準(zhǔn)；所有與學(xué)院外部網(wǎng)絡(luò)相連的出入口處必須設(shè)立防 火墻；通過接入服務(wù)器接入學(xué)院內(nèi)部網(wǎng)絡(luò)時，必須經(jīng)過認證。與學(xué) 院外部網(wǎng)絡(luò)相連接的系統(tǒng)必須有專人負責(zé)管理。第八章操作平安管理第二十六條運作流程（一）必須明確并遵循信息系統(tǒng)運作的變更流程；（二）必須明確并遵循平安問題處理流程；（三）信息系統(tǒng)的生產(chǎn)環(huán)境和開發(fā)測試環(huán)境需要別離；（四）系統(tǒng)的超級管理權(quán)限應(yīng)采取雙人控制，互相制衡。第二十七條惡意軟件的防護（一）實施惡意軟件的監(jiān)測、預(yù)防和恢復(fù)的控制措施；（二）學(xué)院的計算機系統(tǒng)都必

2、須安裝、運行單位統(tǒng)一部署的防病 毒軟件，并及時升級。未經(jīng)批準(zhǔn)，不能安裝其它的防病毒軟件；（三）接收和發(fā)布信息時須進行病毒檢測；（四）服務(wù)器必須實時運行防病毒軟件；（五）定期對學(xué)院的聯(lián)網(wǎng)辦公設(shè)備進行掃描，及時發(fā)現(xiàn)漏洞并修 復(fù)。第二十八條信息系統(tǒng)管理（一）建立備份策略，按照策略的要求，定期備份和測試信息、 軟件及系統(tǒng)。（二）對系統(tǒng)操作人員的活動進行日志記錄;（三）定期檢查和處理系統(tǒng)日志；（四）對一些重要的信息系統(tǒng)進行實時監(jiān)控；（五）對組織內(nèi)部的辦公設(shè)施進行時鐘同步；（六）非正版軟件不能安裝。第九章訪問控制第二十九條用戶訪問管理（一）帳戶開戶.根據(jù)工作相關(guān)性原那么并經(jīng)過審批后為個人分配權(quán)限；.建立帳

3、戶開戶和銷戶的閉環(huán)流程，控制用戶對系統(tǒng)的訪問權(quán) 限；.含有保密信息的系統(tǒng)禁止建立公用帳戶；.用戶的崗位或職責(zé)發(fā)生變化時，應(yīng)立即變更或取消相應(yīng)的訪 問權(quán)限；.對分配的權(quán)限必須記錄和進行維護。（二）口令管理.口令的管理責(zé)任人為賬戶的使用者；. 口令的設(shè)置要遵循學(xué)院有關(guān)規(guī)定。（三）對用戶訪問權(quán)限進行定期檢查；（四）用戶責(zé)任.用戶應(yīng)采取方式保證口令平安；.不得共享個人的口令；.定期更改口令。第三十條操作系統(tǒng)訪問控制（一）嚴(yán)格控制操作系統(tǒng)管理員對系統(tǒng)文件和業(yè)務(wù)數(shù)據(jù)的操作 權(quán)限；（二）根據(jù)工作相關(guān)性原那么授予用戶相應(yīng)權(quán)限；（三）系統(tǒng)建立的日志必須滿足審計要求，系統(tǒng)日志必須平安存 放，防止被非授權(quán)的訪問；（

4、四）必須及時安裝系統(tǒng)平安補??；（五）關(guān)閉所有系統(tǒng)不需要的系統(tǒng)服務(wù)；（六）服務(wù)器的密碼文件須加密存放；（七）定期修改用戶口令。第三十一條應(yīng)用系統(tǒng)訪問控制（一）根據(jù)業(yè)務(wù)訪問控制策略對用戶嚴(yán)格授權(quán)；（二）嚴(yán)格限制業(yè)務(wù)人員越過應(yīng)用程序?qū)笈_數(shù)據(jù)庫或操作系 統(tǒng)直接訪問；（三）建立和維護應(yīng)用系統(tǒng)的用戶權(quán)限表；（四）刪除所有系統(tǒng)上不使用的帳號。第十章運行維護平安管理第三十二條建立日常維護相關(guān)操作規(guī)程和規(guī)范手冊，規(guī)范介質(zhì) 管理、賬號口令管理、補丁管理、防病毒管理、服務(wù)器運行管理等 日常運行維護操作。第十一章系統(tǒng)開發(fā)第三十三條確保平安貫穿系統(tǒng)整個生命周期的各個階段。第三十四條系統(tǒng)的規(guī)劃設(shè)計階段必須做平安需求分析

5、、總體安 全設(shè)計、平安建設(shè)規(guī)劃。第三十五條系統(tǒng)開發(fā)策略（一）建立并遵循平安開發(fā)標(biāo)準(zhǔn)；（二）、進行風(fēng)險分析和風(fēng)險管理，確定系統(tǒng)平安控制機制；（三）操作人員只保存可執(zhí)行代碼；（四）程序源代碼盡可能不要保存在運行系統(tǒng)上；（五）在系統(tǒng)發(fā)布前，應(yīng)進行平安測試。第三十六條加密策略（一）加密算法必須是經(jīng)過政府批準(zhǔn)的或符合業(yè)界標(biāo)準(zhǔn)；（二）密匙必須有明確的管理人員。（三）加密的數(shù)據(jù)和口令須分開傳遞；（四）使用加密保護敏感數(shù)據(jù)，明確密鑰管理員的職責(zé)；（五）密鑰產(chǎn)生、分發(fā)、存儲的相關(guān)信息必須防止泄露給未授權(quán) 的人員，當(dāng)這些信息不再需要時，必須采用規(guī)定的方式予以銷毀。第十二章信息平安事件管理第三十七條各部門應(yīng)了解信息

6、平安事件管理目標(biāo)，熟悉信息安 全應(yīng)急響應(yīng)流程，確保能快速、有效和有序地響應(yīng)信息平安事件。第三十八條各部門相關(guān)人員應(yīng)盡可能早的將信息平安事件通告 給部門負責(zé)人，網(wǎng)絡(luò)信息中心根據(jù)平安事件的類型和級別定義判斷 平安事件，根據(jù)平安事件處理流程進行處理和匯報。第三十九條網(wǎng)絡(luò)信息中心根據(jù)信息平安事件預(yù)案向信息化建設(shè) 領(lǐng)導(dǎo)小組提出應(yīng)急恢復(fù)流程的啟動申請，經(jīng)批準(zhǔn)后，按照應(yīng)急恢復(fù) 流程處理。第十三章應(yīng)急響應(yīng)管理第四十條建立統(tǒng)一的應(yīng)急預(yù)案框架，應(yīng)急預(yù)案框架應(yīng)包括啟動 應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn) 等內(nèi)容。第四十一條從人力、設(shè)備、技術(shù)和財務(wù)等方面確保應(yīng)急預(yù)案的 執(zhí)行有足夠的資源保障。第

7、四十二條應(yīng)對系統(tǒng)相關(guān)的人員進行應(yīng)急預(yù)案培訓(xùn)，應(yīng)急預(yù)案 的培訓(xùn)應(yīng)至少每年舉辦一次。定期對應(yīng)急預(yù)案進行演練，根據(jù)不同 的應(yīng)急恢復(fù)內(nèi)容，確定演練的周期。第十四章信息平安通報機制第四十三條學(xué)院網(wǎng)絡(luò)信息中心負責(zé)組織信息平安信息通報工 作，必要時，向?qū)W院各部門通報信息平安工作情況以及平安預(yù)警和 病毒攻擊等信息。第四十四條各部門信息平安聯(lián)絡(luò)員負責(zé)收集和反響本部門信息 平安信息，并向網(wǎng)絡(luò)信息中心報送。第四十五條將信息平安通報作為信息平安工作的重要環(huán)節(jié)。不能出現(xiàn)瞞報、緩報、謊報信息平安事件和推諉責(zé)任的行為。網(wǎng)絡(luò)與信息平安管理崗位職責(zé)說明第一章總那么第一條目的為規(guī)范信息平安管理系統(tǒng)中各平安崗位的人員職責(zé)，特制訂本

8、規(guī) 范。第二條范圍本規(guī)范適用于學(xué)院各網(wǎng)絡(luò)與信息平安管理崗位和人員。第三條職責(zé)網(wǎng)絡(luò)與信息平安領(lǐng)導(dǎo)小組負責(zé)分配、協(xié)調(diào)各網(wǎng)絡(luò)與信息平安管理 崗位的人員角色和日常工作，各崗位人員負責(zé)本崗位的日常信息平安 管理。第二章各平安管理崗位職責(zé)說明第四條信息平安各管理崗由網(wǎng)絡(luò)與信息平安領(lǐng)導(dǎo)小組授權(quán)或指 定，是學(xué)院信息平安管理體系的具體執(zhí)行者，設(shè)有平安管理員、系 統(tǒng)管理員、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫管理員、審計管理員等。各崗位的 人員組成及各崗位職責(zé)描述如下：1、平安主管職責(zé)：領(lǐng)導(dǎo)各管理員進行工作，根據(jù)需要適時召開平安工作小組會議, 研究落實計算機系統(tǒng)隱患整改事宜及事故處理決定，討論有關(guān)規(guī)定及 工作制度，布置有關(guān)工作，傳

9、達學(xué)習(xí)有關(guān)規(guī)定。2、平安管理員職責(zé):負責(zé)制定和實施網(wǎng)絡(luò)信息平安管理制度，以技術(shù)手段隔離不良信 息，及時發(fā)布預(yù)知通告，發(fā)布計算機病毒、網(wǎng)絡(luò)病毒的危害程度、防 殺措施、及補救方法。教育計算機用戶和網(wǎng)絡(luò)用戶樹立平安意識，主 動防范病毒、黑客的侵?jǐn)_，抵抗不良信息；建立網(wǎng)絡(luò)信息平安監(jiān)管日 志。負責(zé)信息化建設(shè)相關(guān)文件資料的收集、歸類與整理，做好資料收 集、編目、建檔工作。負責(zé)網(wǎng)絡(luò)信息中心設(shè)備、材料、軟件介質(zhì)等的 建檔、編號與借用管理。3、系統(tǒng)管理員職責(zé)：負責(zé)服務(wù)器系統(tǒng)的設(shè)計、安裝、配置、管理和維護工作，為服務(wù) 器的平安運行做技術(shù)保障。維持服務(wù)器系統(tǒng)的穩(wěn)定、正常運轉(zhuǎn)，及時 解決服務(wù)器系統(tǒng)故障。做好服務(wù)器配置

10、、安裝和改動記錄。如果服務(wù) 器發(fā)生故障，必須記錄故障發(fā)生的時間、故障情況、處理方法，及預(yù) 防措施等。定期對硬盤進行整理，清除緩存或垃圾文件。定期保存系 統(tǒng)日志。做好系統(tǒng)的硬件維護，對設(shè)備定期檢查，定期清潔、除塵, 保持設(shè)備正常運行。負責(zé)定期對系統(tǒng)運行日志進行審計，形成審計分 析報告。4、網(wǎng)絡(luò)管理員職責(zé)：負責(zé)網(wǎng)絡(luò)系統(tǒng)的設(shè)計、安裝、配置、管理和維護工作，為網(wǎng)絡(luò)的 平安運行做技術(shù)保障。維持網(wǎng)絡(luò)的穩(wěn)定、正常運轉(zhuǎn)，及時解決網(wǎng)絡(luò)故 障。做好網(wǎng)絡(luò)設(shè)備配置、安裝和改動記錄。如果網(wǎng)絡(luò)發(fā)生故障，必須 記錄故障發(fā)生的時間、故障情況、處理方法，及預(yù)防措施等。做好系 統(tǒng)的硬件維護，對設(shè)備定期檢查，定期清潔、除塵，保持設(shè)

11、備正常運 行。5、數(shù)據(jù)庫管理員職責(zé)：負責(zé)數(shù)據(jù)庫系統(tǒng)的運行管理，實施系統(tǒng)平安策略。管理數(shù)據(jù)庫用 戶權(quán)限，使單位信息系統(tǒng)平安運行。記錄系統(tǒng)平安事項，及時向平安 管理員報告平安事件。對重要數(shù)據(jù)定期進行備份及執(zhí)行備份恢復(fù)工作。 監(jiān)督對系統(tǒng)進行操作的其他人員。6、審計管理員職責(zé)：負責(zé)定期對主機系統(tǒng)、網(wǎng)絡(luò)產(chǎn)品、應(yīng)用系統(tǒng)的日志文件進行分析 審計，發(fā)現(xiàn)問題及時上報；負責(zé)對信息平安保障管理活動進行獨立的 監(jiān)督，提供內(nèi)部獨立的審計和評估工作，并根據(jù)需要可以協(xié)同外部審 計評估機構(gòu)進行評估和認證，為決策領(lǐng)導(dǎo)提供信息系統(tǒng)和信息平安保 障執(zhí)行狀況的客觀評價。7、人員配備授權(quán)和審批管理方法崗位姓名平安主管平安管理員系統(tǒng)管理

12、員網(wǎng)絡(luò)管理員數(shù)據(jù)庫管理員審計管理員第一章總那么第一條為規(guī)范單位信息平安管理各環(huán)節(jié)的審批流程和審批責(zé)任人，特制訂本規(guī)范。第二條本管理制度適用于信息系統(tǒng)相關(guān)的所有授權(quán)和審批事 項，明確各相關(guān)管理環(huán)節(jié)授權(quán)和審批的部門和責(zé)任人。第三條網(wǎng)絡(luò)信息中心負責(zé)制訂該規(guī)范并報網(wǎng)絡(luò)與信息平安領(lǐng)導(dǎo) 小組審批通過后，由單位相關(guān)部門和相關(guān)人員參照執(zhí)行。第二章管理細那么第四條內(nèi)部人員授權(quán)管理方法：一、內(nèi)部授權(quán)程序：（1）根據(jù)網(wǎng)絡(luò)與信息平安領(lǐng)導(dǎo)小組的主要職責(zé)，信息平安主管由網(wǎng)絡(luò)與信息平安領(lǐng)導(dǎo)小組授權(quán)后生效。信息平安工作小組直接對網(wǎng) 絡(luò)與信息平安領(lǐng)導(dǎo)小組負責(zé)。（2）根據(jù)信息平安工作小組的主要職責(zé)，信息平安各平安崗位 的負責(zé)人員

13、由信息平安工作小組授權(quán)后生效。各信息平安崗位管理人 員對信息平安工作小組負責(zé)。（3）根據(jù)信息平安工作小組的主要職責(zé)，各業(yè)務(wù)信息系統(tǒng)的經(jīng)辦人員由各業(yè)務(wù)單元的相關(guān)部門提名產(chǎn)生，最終由信息平安工作小組 授權(quán)后生效，各業(yè)務(wù)經(jīng)辦人員對信息平安工作小組負責(zé)。二、變更審批方法：1、變更分類與審批的一般原那么：(1)信息系統(tǒng)變更主要分兩大類別：功能優(yōu)化類變更和系統(tǒng)完 善類(bug修訂，補丁修復(fù))變更。(2)功能優(yōu)化類變更的發(fā)起人為各部門業(yè)務(wù)經(jīng)辦人員。(3)系統(tǒng)完善類變更的發(fā)起人為各部門業(yè)務(wù)經(jīng)辦人員、系統(tǒng)管 理人員或系統(tǒng)運維外包廠商人員。(4)兩類變更的審批方法和流程基本一致，原那么是需要有效識 別各類系統(tǒng)變更

14、的風(fēng)險，并嚴(yán)格按照審批程序有效規(guī)避風(fēng)險、落實 相關(guān)責(zé)任方。2、變更審批流程：(1)變更由上述變更發(fā)起人發(fā)起，根據(jù)變更的具體內(nèi)容填寫相 關(guān)的變更管理表單。(2)功能優(yōu)化類變更審批的第一級部門是業(yè)務(wù)經(jīng)辦部門，因為 不直接牽涉到信息系統(tǒng)的變更，該局部變更由業(yè)務(wù)經(jīng)辦部門審批， 最后一個審批人須是業(yè)務(wù)經(jīng)辦部門的部門領(lǐng)導(dǎo)或者更高一級的主管 領(lǐng)導(dǎo)，具體由業(yè)務(wù)經(jīng)辦部門自行決定。(3)功能優(yōu)化類變更審批的第二級審批部門是網(wǎng)絡(luò)信息中心， 由網(wǎng)絡(luò)信息中心安排專人評估變更的風(fēng)險和可行性，評估結(jié)果可行 后，有網(wǎng)絡(luò)信息中心科長審批，網(wǎng)絡(luò)信息中心科長審批后交由系統(tǒng) 外包人員具體實施，完成系統(tǒng)變更。目錄 TOC o 1-5

15、h z HYPERLINK l bookmark60 o Current Document 信息系統(tǒng)平安總體方針1 HYPERLINK l bookmark164 o Current Document 信息系統(tǒng)平安管理策略3 HYPERLINK l bookmark16 o Current Document 網(wǎng)絡(luò)與信息平安管理崗位職責(zé)說明12 HYPERLINK l bookmark22 o Current Document 授權(quán)和審批管理方法1518信息平安檢查管理方法 HYPERLINK l bookmark44 o Current Document 信息平安違章行為責(zé)任追究方法21 HY

16、PERLINK l bookmark54 o Current Document 平安教育和培訓(xùn)管理方法25 HYPERLINK l bookmark72 o Current Document 外來人員平安訪問管理方法28 HYPERLINK l bookmark82 o Current Document 中心機房運行管理方法30 HYPERLINK l bookmark98 o Current Document 信息分類與標(biāo)識管理方法34 HYPERLINK l bookmark108 o Current Document 信息系統(tǒng)資產(chǎn)管理方法38 HYPERLINK l bookmark12

17、0 o Current Document 介質(zhì)平安管理方法40 HYPERLINK l bookmark136 o Current Document 設(shè)備平安管理方法43 HYPERLINK l bookmark150 o Current Document 網(wǎng)絡(luò)平安管理方法45485760697680信息系統(tǒng)平安管理方法 惡意代碼防范管理方法 信息系統(tǒng)變更管理方法 數(shù)據(jù)備份與恢復(fù)管理方法 信息平安事件報告管理方法 信息平安突發(fā)事件應(yīng)急預(yù)案(4)系統(tǒng)完善類變更可能會涉及到系統(tǒng)的內(nèi)核，影響系統(tǒng)運行 的穩(wěn)定性。此類變更一般由系統(tǒng)管理員發(fā)起，要求系統(tǒng)管理員在發(fā) 起變更的同時需要就本次變更的潛在風(fēng)險和風(fēng)

18、險規(guī)避措施進行描述 后報請網(wǎng)絡(luò)信息中心科長進行審批，網(wǎng)絡(luò)信息中心科長審批后由系 統(tǒng)管理員進行具體實施，完成系統(tǒng)變更。三、其他審批方法：(1)物理訪問、系統(tǒng)接入等其他對信息系統(tǒng)(包括業(yè)務(wù)網(wǎng)、主 機房、各業(yè)務(wù)信息系統(tǒng))的訪問和修改操作，均由網(wǎng)絡(luò)信息中心科 長或網(wǎng)絡(luò)信息中心科長授權(quán)的網(wǎng)絡(luò)信息中心其他人員負責(zé)審批并監(jiān) 督后續(xù)的訪問過程。(2)重要操作，如業(yè)務(wù)系統(tǒng)功能上的重大調(diào)整、重大升級變 更、網(wǎng)絡(luò)架構(gòu)大的調(diào)整，均需要由網(wǎng)絡(luò)信息中心科長召集相關(guān)人員 論證后初審，初審的結(jié)果報網(wǎng)絡(luò)與信息平安領(lǐng)導(dǎo)小組做最后審批后 進行。第三章附那么第五條本管理規(guī)范牽涉多個部門和人員，必須在每年的年中和 年末由網(wǎng)絡(luò)信息中心發(fā)

19、起評審，進行評審修訂，及時更新需授權(quán)和 審批的工程、審批部門和審批人等信息。第六條遇單位組織機構(gòu)調(diào)整等其他影響原定審批制度情況，可 由網(wǎng)絡(luò)信息中心適時發(fā)起對于本規(guī)定的評審修訂工作，適時修訂各 變開工程。第七條每次評審修訂由文檔專員在本制度的制度修訂一覽表中如實記載評審修訂內(nèi)容，并更改制度版本號。信息平安檢查管理方法第一章總那么第八條為了加強和規(guī)范學(xué)院信息平安檢查工作，保障相關(guān)信息 系統(tǒng)平安運行，特制定本管理方法。第九條信息平安檢查依據(jù)國家有關(guān)法律法規(guī)、行業(yè)有關(guān)規(guī)章制 度，單位信息平安相關(guān)規(guī)章制度。第十條信息平安檢查對象為學(xué)院的信息系統(tǒng)。第十一條信息技術(shù)工作檢查可采取日常檢查、組織自查、專項 檢

20、查、年度檢查等方式。年度檢查對象包括所有相關(guān)部門，且每年 不少于二次。第二章組織機構(gòu)與職責(zé)第十二條網(wǎng)絡(luò)信息中心負責(zé)信息平安檢查工作，根據(jù)當(dāng)前現(xiàn)狀 明確檢查重點，制定檢查標(biāo)準(zhǔn)。第十三條網(wǎng)絡(luò)信息中心成立信息平安檢查小組，具體負責(zé)信息 平安檢查工作的實施。第三章信息平安檢查分類第十四條各部門及相關(guān)人員要配合各項信息平安檢查工作，并按要求完成檢查中發(fā)現(xiàn)問題項的整改工作。第十五條學(xué)院的信息平安檢查包括信息平安主管部門對學(xué)院進 行的專項信息平安檢查、信息平安認證機構(gòu)對學(xué)院的信息平安外部 審核、風(fēng)險監(jiān)管部門主導(dǎo)的信息平安內(nèi)部審核和內(nèi)部信息平安技術(shù) 檢查等。第四章信息平安檢查內(nèi)容第十六條計算機平安檢查.計算機

21、應(yīng)安裝殺毒、防護等軟件，及時更新系統(tǒng)，修復(fù)漏 洞。.非涉密計算機不得存儲涉密文件、敏感信息。.涉密計算機和安裝了 “三合一系統(tǒng)”的計算機必須按照相關(guān) 規(guī)定嚴(yán)格管理，嚴(yán)禁違規(guī)外聯(lián)。第十七條系統(tǒng)平安與設(shè)備管理的檢查L服務(wù)器（1）服務(wù)器應(yīng)具有充分的可靠性和充足的容量。（2）服務(wù)器應(yīng)具有一定的容錯特性，宜采用鏡像、陣列、雙 機、群集等容錯技術(shù)。（3）服務(wù)器有平安可靠的備份措施。2.工作站（1）工作站應(yīng)具有良好的性能及可靠性。（2）除計算機機房外，一律使用無軟驅(qū)或光驅(qū)等可卸存儲裝 置的網(wǎng)絡(luò)工作站。（3）重要工作站應(yīng)有冗余備份。第十八條平安管理情況的檢查.建立由平安策略、管理制度、操作規(guī)程等構(gòu)成的全面信息

22、安 全管理制度體系。.嚴(yán)格按管理制度規(guī)定進行管理，按操作規(guī)程進行操作，并進 行記錄。第五章信息平安檢查實施第十九條實施檢查前，檢查小組根據(jù)檢查目的和被檢查部門情 況，確定檢查范圍、檢查重點，制定檢查工作計劃，編制相應(yīng)檢查 表格。第二十條組織進行自查時，被檢查部門應(yīng)如實填寫自查表，對 存在的問題隱瞞不報的，將追究相關(guān)部門和個人責(zé)任。第二十一條進行現(xiàn)場檢查時，檢查小組應(yīng)提前通知被檢查部 門，可根據(jù)需要要求被檢查部門進行自查，以提高現(xiàn)場檢查工作效 率。每次檢查前，檢查小組應(yīng)核查上次檢查提出的整改意見是否落 實，整改措施是否有效。第二十二條被檢查部門應(yīng)積極配合檢查工作，按檢查人員要求 提供與檢查工作相

23、關(guān)的資料，并對所提供資料的真實性、完整性負 責(zé)。第二十三條檢查過程中應(yīng)切實防范檢查操作風(fēng)險，不得對在線 運行系統(tǒng)進行檢查測試和網(wǎng)絡(luò)掃描檢測。因檢查需要需使用輔助檢 測工具時，應(yīng)經(jīng)網(wǎng)絡(luò)信息中心負責(zé)人審批同意后方可使用。第二十四條檢查過程中發(fā)現(xiàn)問題和平安隱患時，檢查小組應(yīng)及 時與被檢查部門溝通確認后，擬定整改建議。對于隨時可能引發(fā)事 故的問題和平安隱患，應(yīng)要求立即整改。第六章信息平安檢查報告第二十五條檢查工作結(jié)束后，檢查小組應(yīng)及時撰寫檢查報告上 報信息化建設(shè)領(lǐng)導(dǎo)小組，根據(jù)批示意見對檢查結(jié)果進行通報，對存 在問題和平安隱患的部門下發(fā)整改意見書，要求限期完成整改工 作。第二十六條檢查小組應(yīng)跟蹤整改工作

24、的落實情況，必要時可對 整改工作落實情況進行確認檢查。信息平安違章行為責(zé)任追究方法第一章總那么第一條為加強學(xué)院工作人員的信息平安責(zé)任意識，界定工作人 員信息平安違章行為，明確信息平安違章責(zé)任追究和處分依據(jù)，特 制定本管理方法。第二條信息平安違章行為分為一般違章和嚴(yán)重違章。信息平安 違章行為由網(wǎng)絡(luò)信息中心負責(zé)組織調(diào)查和認定，并依據(jù)本方法進行 責(zé)任追究。第三條本管理方法中所稱“計算機”包括桌面計算機、便攜式 計算機（含各類上網(wǎng)本），除特別說明，通指內(nèi)網(wǎng)計算機和外網(wǎng)計 算機。第四條本管理方法適用于所有與信息系統(tǒng)相關(guān)的人員。第二章違章行為界定第五條凡具有以下行為之一均屬違章行為：.違反國家信息平安有關(guān)

25、法律和法規(guī)。.違反學(xué)院信息平安管理規(guī)章制度。第六條一般違章界定（一）計算機未設(shè)置操作系統(tǒng)登錄口令；設(shè)置了操作系統(tǒng)登錄口 令，但口令長度低于8位且不是由字母、數(shù)字或符號組合構(gòu)成；未啟 用屏幕保護和超時鎖屏功能。（二）未按規(guī)定安裝運行或自行卸載單位統(tǒng)一的防病毒軟件、補 丁更新策略、桌面終端管理軟件。（三）未按要求使用平安移動存儲介質(zhì)進行內(nèi)外網(wǎng)信息交換，擅 自刪除或破壞已注冊平安移動存儲介質(zhì)內(nèi)的管理軟件。（四）擅自卸載（含格式化）學(xué)院規(guī)定安裝的操作系統(tǒng)和業(yè)務(wù)應(yīng) 用系統(tǒng)客戶端。（五）未使用單位統(tǒng)一的外網(wǎng)郵件系統(tǒng)處理和發(fā)送與工作相關(guān)的電子郵件。（六）計算機外委維修時未撤除硬盤導(dǎo)致與工作有關(guān)的信息外泄;

26、更換計算機和硬盤或在報廢處理前，未對原硬盤進行信息不可恢復(fù)操 作處理（如低級格式化等）。（七）在內(nèi)網(wǎng)計算機上對未關(guān)閉互聯(lián)網(wǎng)訪問功能的手機和PDA等 設(shè)備進行充電或數(shù)據(jù)同步導(dǎo)致發(fā)生違規(guī)外聯(lián)。開啟文件共享且不設(shè)置 共享密碼或共享密碼過于簡單導(dǎo)致共享文件被非授權(quán)訪問和破壞。（八）移動存儲介質(zhì)喪失未向?qū)W院網(wǎng)絡(luò)信息中心和保密管理部門 及時報告，并說明移動存儲介質(zhì)中包含哪些與工作相關(guān)的文件、數(shù)據(jù) 和程序。（九）擅自將本人的門戶及應(yīng)用系統(tǒng)帳號和口令告訴他人由其長 期代為進行業(yè)務(wù)操作。（十）工作人員崗位異動后未及時向網(wǎng)絡(luò)信息中心申請賬號和權(quán) 限的變更。（十一）違反單位信息平安管理規(guī)定被認定為一般違章的其他行

27、為。第七條嚴(yán)重違章界定（一）未經(jīng)網(wǎng)絡(luò)信息中心進行平安檢測和許可，擅自將外來人員 的計算機接入信息內(nèi)網(wǎng)或信息外網(wǎng)。（二）擅自更改計算機網(wǎng)卡的MAC地址或IP/MAC地址綁定策略。（三）在計算機上私自開啟DHCP、WWW. FTP、VOD、代理、游戲、論壇等服務(wù)對網(wǎng)絡(luò)訪問造成干擾或信息資源被非授權(quán)訪問。（四）在內(nèi)網(wǎng)計算機上利用 線、電信運營商ADSL、無線上網(wǎng) 卡或具備上網(wǎng)功能的手機和PDA等設(shè)備訪問互聯(lián)網(wǎng)，以及任何具備有 意識或故意性質(zhì)使用內(nèi)網(wǎng)計算機訪問互聯(lián)網(wǎng)。（五）使用手機或PDA設(shè)備的無線WIFI功能訪問信息內(nèi)網(wǎng)或信 息外網(wǎng)。（六）在計算機中存儲和處理國家、單位秘密信息，在外網(wǎng)計算 機中存儲

28、涉及單位重要敏感信息的電子文件。（七）在同一臺計算機（包括具備隔離卡和雙硬盤的計算機）上 安裝兩個操作系統(tǒng)或雙網(wǎng)卡分別接入信息內(nèi)網(wǎng)和信息外網(wǎng)。（八）平安移動介質(zhì)損壞后私自丟棄未交網(wǎng)絡(luò)信息中心處理并造 成單位重要信息外泄。（九）私自在網(wǎng)絡(luò)中接入任何具備網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）、MAC克 隆等功能的網(wǎng)絡(luò)交換機和路由器等有線設(shè)備和無線設(shè)備。（十）擅自組建無線網(wǎng)絡(luò)并接入信息內(nèi)網(wǎng)。（十一）干擾他人正常工作行為，包括：發(fā)布不真實信息、垃圾 信息；散布病毒及木馬；未經(jīng)授權(quán)或通過口令猜想和破解等手段使用 他人設(shè)備、系統(tǒng)、郵箱等。（十二）擅自在計算機中安裝黑客程序、端口掃描或漏洞掃描軟 件并使用其進行網(wǎng)絡(luò)掃描或攻

29、擊破壞。（十三）拒絕網(wǎng)絡(luò)信息中心維護人員對計算機進行平安性檢查和安裝單位統(tǒng)一要求的桌面終端管理軟件、防病毒軟件等。（十四）違反學(xué)院信息平安管理規(guī)定被認定為嚴(yán)重違章的其他行第三章督察與檢查第八條對違章的查處采用專項督查、日常檢查及應(yīng)用工具軟件 檢查相結(jié)合的方式進行。第九條發(fā)生信息平安違章，按照管理權(quán)限，實行分級查處、分 級追究。（一）學(xué)院各部門自查自糾發(fā)現(xiàn)的違章，參照本方法自行處理。（二）網(wǎng)絡(luò)信息中心組織的督查、日常檢查及采用單位統(tǒng)一部署 工具軟件檢查發(fā)現(xiàn)的違章，按照本方法規(guī)定處理。（三）單位督查、日常工作檢查及采用單位統(tǒng)一部署工具軟件檢 查發(fā)現(xiàn)的違章，按本規(guī)定處理并將處理情況報告單位領(lǐng)導(dǎo)。第四

30、章處分規(guī)定第十條在年度內(nèi)第一次發(fā)生一般違章或嚴(yán)重違章，對當(dāng)事人給 予誡勉談話；半年內(nèi)同一當(dāng)事人發(fā)生兩次一般違章或嚴(yán)重違章，對 當(dāng)事人給予通報批評；一年內(nèi)同一當(dāng)事人發(fā)生三次一般違章或嚴(yán)重 違章，對當(dāng)事人給予寫檢討并通報批評，并對當(dāng)事人所屬部門予以 通報批評。平安教育和培訓(xùn)管理方法第一章總那么第一條為規(guī)范學(xué)院信息平安培訓(xùn)及教育工作，對干部職工進行有 關(guān)信息平安管理的理論培訓(xùn)、平安管理制度教育、平安防范意識宣傳 和專門平安技術(shù)訓(xùn)練，確保學(xué)院信息平安策略、規(guī)章制度和技術(shù)規(guī)范 的順利執(zhí)行，特制定本管理規(guī)定。第二章信息平安培訓(xùn)要求第二條信息平安培訓(xùn)工作需要分層次、分階段、循序漸進地進行, 而且必須是能夠覆

31、蓋全員的培訓(xùn)。第三條應(yīng)制定完善的培訓(xùn)計劃，計劃應(yīng)包含培訓(xùn)方式、培訓(xùn) 類別、培訓(xùn)內(nèi)容、培訓(xùn)費用等信息，并且需要相關(guān)領(lǐng)導(dǎo)對培訓(xùn)計劃進 行審批。第四條分層次培訓(xùn)是指對不同層次的人員，如對管理層、信息安 全管理人員，信息平安聯(lián)絡(luò)員和普通干部開展有針對性和不同側(cè)重點 的培訓(xùn)。第五條分階段是指在信息平安管理體系的建立、實施和保持的不 同階段，培訓(xùn)工作要有計劃地分步實施；信息平安培訓(xùn)要采用內(nèi)部和 外部結(jié)合的方式進行。第六條管理層培訓(xùn)（一）管理層培訓(xùn)目標(biāo)是明確建立信息平安體系的重要性，獲 得管理層的支持和承諾。（二）管理層培訓(xùn)方式可以采用聘請外部信息平安培訓(xùn)、專業(yè) 技術(shù)專家和咨詢顧問以專題講座、研討會等形式。

32、第七條信息平安管理人員培訓(xùn)信息系統(tǒng)平安總體方針第一章總那么第一條為加強和規(guī)范學(xué)院信息平安工作，提高信息平安整體防 護水平，實現(xiàn)信息系統(tǒng)的平安管控，依據(jù)國家有關(guān)法律、法規(guī)的要求， 制定本方針。第二條本方針為學(xué)院信息平安管理提供一個總體性架構(gòu)文件， 指導(dǎo)學(xué)院信息平安管理體系建設(shè)，以實現(xiàn)統(tǒng)一的平安策略管理，提高 整體的網(wǎng)絡(luò)與信息平安水平，保障網(wǎng)絡(luò)暢通和信息系統(tǒng)的正常運行。第三條本方針適用于學(xué)院信息系統(tǒng)資產(chǎn)和信息平安人員的平安 管理，適用于指導(dǎo)學(xué)院信息平安策略的制定、平安方案的規(guī)劃、平安 建設(shè)的實施和平安管理措施的選擇。第二章組織機構(gòu)與職責(zé)第四條學(xué)院信息化建設(shè)領(lǐng)導(dǎo)小組為學(xué)院信息平安工作領(lǐng)導(dǎo)機構(gòu), 領(lǐng)導(dǎo)

33、小組下設(shè)辦公室，由網(wǎng)絡(luò)信息中心負責(zé)信息平安具體工作。學(xué)院 其他部門主要負責(zé)人是落實信息平安管理制度的第一責(zé)任人。第五條學(xué)院信息化建設(shè)領(lǐng)導(dǎo)小組負責(zé)統(tǒng)籌領(lǐng)導(dǎo)學(xué)院信息平安工 作，指導(dǎo)網(wǎng)絡(luò)信息中心負責(zé)的重大的信息平安工作。第三章信息平安體系框架和目標(biāo)（一）信息平安管理人員培訓(xùn)目標(biāo)是理解及掌握信息平安原理 和相關(guān)技術(shù)、強化信息平安意識、支撐信息平安體系的建立、實施和 保持。（二）信息平安管理人員培訓(xùn)方式可以采用聘請外部信息平安 專業(yè)資格授證培訓(xùn)、參加信息平安專業(yè)培訓(xùn)、自學(xué)信息平安管理理論 及技術(shù)和內(nèi)部學(xué)習(xí)研討的方式。第八條信息平安聯(lián)絡(luò)員培訓(xùn)（一）信息平安聯(lián)絡(luò)員培訓(xùn)目標(biāo)是掌握各系統(tǒng)相關(guān)專業(yè)平安技 術(shù)，協(xié)助

34、維護和保障系統(tǒng)正常、平安運行。（二）信息平安聯(lián)絡(luò)員培訓(xùn)方式可以采用外部和內(nèi)部相結(jié)合的 培訓(xùn)以及自學(xué)的方式。第九條普通干部培訓(xùn)（一）普通干部培訓(xùn)目標(biāo)是了解相關(guān)信息平安制度和技術(shù)規(guī)范， 并平安、高效地使用信息系統(tǒng)。（二）普通干部培訓(xùn)方式應(yīng)主要采取內(nèi)部培訓(xùn)的方式。第三章信息平安培訓(xùn)內(nèi)容第十條各級領(lǐng)導(dǎo)及職工應(yīng)明確了解信息平安體系，并明確各自的 平安職責(zé)，明確自身對維護保障系統(tǒng)正常、平安運行所需承當(dāng)?shù)南嚓P(guān) 責(zé)任和義務(wù)。第十一條針對業(yè)務(wù)需求進行相應(yīng)平安意識培訓(xùn)，提高員工的平安意識和防范能力。第十二條針對系統(tǒng)的維護人員和管理員應(yīng)定期開展平安技術(shù)教 育培訓(xùn)（每年至少一次），明確如何平安使用有關(guān)業(yè)務(wù)系統(tǒng)及普通計

35、 算機周邊硬件設(shè)備。第四章信息平安培訓(xùn)管理第十三條信息平安培訓(xùn)發(fā)起：（一）信息平安培訓(xùn)教育，納入學(xué)院的整體培訓(xùn)計劃中。（二）具體操作過程遵守學(xué)院的相關(guān)培訓(xùn)管理制度。第十四條信息平安培訓(xùn)實施：（一）信息平安培訓(xùn)的實施，主要由網(wǎng)絡(luò)信息中心負責(zé)組織和 考核。（二）對專業(yè)性很強的平安培訓(xùn)，由網(wǎng)絡(luò)信息中心負責(zé)聘請外 部專家進行平安培訓(xùn)。（三）具體操作過程遵守相關(guān)培訓(xùn)管理制度。第十五條信息平安培訓(xùn)過程中，要做好培訓(xùn)簽到表，并將參 與培訓(xùn)人員整理、備案。外來人員平安訪問管理方法第一章總那么第一條為了規(guī)范第三方用戶訪問學(xué)院內(nèi)部信息系統(tǒng)時的行為，保 護學(xué)院網(wǎng)絡(luò)與信息系統(tǒng)平安，特制定本管理方法。第二章來訪人員出入

36、管理第二條第三方人員進入學(xué)院所屬單位及其建筑物，應(yīng)遵守學(xué)院相關(guān)安保制度。第三條未經(jīng)學(xué)院特別許可，第三方人員不得在機關(guān)院內(nèi)攝影、拍 昭C第四條學(xué)院干部職工要遵守相關(guān)平安保密規(guī)定，禁止與第三方人 員談?wù)撆c其工作無關(guān)的內(nèi)容。第三章機房出入管理第五條除以下情況外，不得引領(lǐng)和允許第三方人員訪問機房等重 要區(qū)域：（一）學(xué)院領(lǐng)導(dǎo)批準(zhǔn)的參觀活動;（二）必要的儀器設(shè)備現(xiàn)場安裝、維修、調(diào)測;（三）第三方因業(yè)務(wù)需要進入上述區(qū)域的其它情形。第四章網(wǎng)絡(luò)訪問管理第六條學(xué)院信息平安管理人員有義務(wù)向第三方人員說明網(wǎng)絡(luò)接入平安要求。第七條第三方人員不允許私自連接機關(guān)網(wǎng)絡(luò)。如果必要，必須提 出申請，征得網(wǎng)絡(luò)信息中心允許后方可接入

37、。第三方人員連接網(wǎng)絡(luò)要 進行相應(yīng)登記備案，并簽訂網(wǎng)絡(luò)使用平安協(xié)議。第八條長期使用內(nèi)部網(wǎng)絡(luò)的第三方人員的計算機必須接受學(xué)院 的統(tǒng)一客戶端管理，包括客戶端管理軟件的安裝、平安策略的配置等。第九條第三方人員如果需要訪問網(wǎng)絡(luò)資源，須提前明確申請要訪 問資源的類型、范圍和方式，以便管理員進行審批，并提供相應(yīng)的訪 問權(quán)限和訪問方法。第十條第三方人員操作服務(wù)器或網(wǎng)絡(luò)設(shè)備，必須使用臨時帳號, 使用之后由相應(yīng)的管理人員及時清除；對于長期在學(xué)院工作的技術(shù)支 持、顧問、服務(wù)人員，如果需要長期操作服務(wù)器或網(wǎng)絡(luò)設(shè)備，管理人 員應(yīng)該為第三方人員創(chuàng)立單獨的帳號。第十一條學(xué)院有權(quán)對第三方人員在機關(guān)內(nèi)部網(wǎng)絡(luò)的活動進行檢 查、審

38、計和監(jiān)控。第十二條第三方人員的計算機要求安裝有防病毒軟件，不得攜帶 有木馬、病毒等破壞性程序。第十三條第三方人員不準(zhǔn)使用學(xué)院網(wǎng)絡(luò)從事同工作無關(guān)的網(wǎng)絡(luò) 活動。第十四條第三方人員不準(zhǔn)在學(xué)院網(wǎng)絡(luò)內(nèi)部通過撥號或其它手段 直接建立到其它網(wǎng)絡(luò)的物理鏈路。中心機房運行管理方法第一章總那么第一條為了加強學(xué)院中心機房管理規(guī)范，保護重要服務(wù)器、網(wǎng)絡(luò) 設(shè)備、平安設(shè)備、應(yīng)用系統(tǒng)等系統(tǒng)平安，特制定本規(guī)定。第二章職責(zé)及權(quán)限第二條學(xué)院網(wǎng)絡(luò)信息中心是機房管理的主要部門，負責(zé)機房的日常檢查、維護和管理、應(yīng)急處置工作。第三章機房出入管理第三條非機房管理人員，一般情況下禁止進入機房，特殊情況需 進入機房時須由機房管理人員全程陪同，

39、并填寫機房出入登記表 后方可進入；第四條機房管理人員經(jīng)授權(quán)獲得門禁訪問權(quán)限后，憑機房門禁卡 出入機房，并由門禁系統(tǒng)和視頻監(jiān)視系統(tǒng)記錄其在機房的行為；第五條未經(jīng)許可，進入機房人員不得攜帶任何易燃、易爆、腐蝕 性、強電磁、輻射性、流體物質(zhì)等對設(shè)備正常運行構(gòu)成威脅的物品， 不準(zhǔn)攜帶任何磁帶（盤）、磁介質(zhì)和資料進入機房。經(jīng)特許攜帶的, 必須填寫機房進出登記表中相關(guān)項后方可進入；第六條未經(jīng)許可不允許使用攝影、錄像或其它音像記錄設(shè)備等機 房內(nèi)各類設(shè)備、器材須經(jīng)網(wǎng)絡(luò)信息中心機房維護人員批準(zhǔn)，方可進出 機房。對于需要經(jīng)常出入機房的設(shè)備，需在設(shè)備上張貼專用的標(biāo)記。第四章機房平安管理第七條機房維護人員隨時監(jiān)控中心

40、設(shè)備運行狀況，發(fā)現(xiàn)異常情況 應(yīng)立即按照預(yù)案規(guī)程進行操作，并及時上報和詳細記錄；第八條非機房維護人員未經(jīng)許可不得擅自上機操作和對運行設(shè) 備及各種配置進行更改；第九條嚴(yán)格執(zhí)行密碼管理，對操作密碼定期更改，超級用戶密碼由系統(tǒng)管理員掌握;第十條機房維護人員應(yīng)恪守保密制度，不得擅自泄露機房各種信 息資料與數(shù)據(jù)；第十一條機房維護人員應(yīng)對機房內(nèi)設(shè)置的消防器材、監(jiān)控設(shè)備進 行檢查，以保證其有效性。第五章機房環(huán)境管理第十二條機房管理人員對機房環(huán)境每天進行一次檢查，對發(fā)現(xiàn)的問題要及時解決，填寫機房巡檢記錄表；第十三條機房內(nèi)要保持設(shè)備無塵、布線整齊、物品就位、資料齊 全，應(yīng)保持機房整潔；定期進行清掃，進行清掃時禁止

41、使用帶水的潔 具。每年至少應(yīng)聘請一次外部專業(yè)機房清潔單位對機房環(huán)境進行清掃;第十四條機房內(nèi)嚴(yán)禁堆放與工作無關(guān)的其它物品及紙質(zhì)物品。做 好消防滅火設(shè)備檢查工作；第十五條機房內(nèi)禁止飲食、吸煙、打鬧、大聲喧嘩，機房內(nèi)不得 會客、閑談；第十六條機房內(nèi)要保證足夠的照明度，備有緊急照明設(shè)備，并有 專人負責(zé)，定期檢修；第十七條機房內(nèi)需對溫度和濕度進行監(jiān)控，溫度保持在18-25,濕度保持在40%-60%；第十八條UPS必須定期年檢，并填寫檢查報告。第十九條機房接地系統(tǒng)要符合相應(yīng)的技術(shù)標(biāo)準(zhǔn)，各個設(shè)備交流工作電源應(yīng)有工作接地，機柜應(yīng)有效接地。第二十條機房配電柜要有防雷設(shè)施，進出機房的電纜應(yīng)有防雷措施。第二十一條機

42、房用電要使用獨立的電線，專用變壓器、電源穩(wěn)壓 器等。第二十二條機房的環(huán)境應(yīng)到達機房建設(shè)的設(shè)計要求。第六章機房操作管理第二十三條應(yīng)指定專人負責(zé)機房的操作管理。第二十四條機房值班人員必須密切監(jiān)視中心機房設(shè)備運行狀況 以及各端口運行情況，確保平安、高效運行。第二十五條嚴(yán)格按規(guī)章制度要求做好各種數(shù)據(jù)、文件的備份工作。 重要的服務(wù)器數(shù)據(jù)庫要定期進行備份，并嚴(yán)格實行專人保管。所有重 要文檔定期整理裝訂，專人保管，以備后查。第二十六條各類軟件系統(tǒng)的維護、增刪、配置的更改，各類硬件 設(shè)備的添加、更換必需執(zhí)行變更管理流程；必須按規(guī)定進行詳細登記 和記錄，對各類軟件、現(xiàn)場資料、檔案整理存檔。第二十七條網(wǎng)絡(luò)與信息平

43、安領(lǐng)導(dǎo)小組應(yīng)對制度的執(zhí)行情況進行 檢查，催促各項制度的落實，并作為人員考核之依據(jù)。第七章機房設(shè)備管理第二十八條機房要有完整的網(wǎng)絡(luò)拓撲圖并定期進行更新。第二十九條機房內(nèi)的所有設(shè)備應(yīng)貼有設(shè)備標(biāo)簽，并注明設(shè)備的主 要參數(shù)。第三十條主機系統(tǒng)和網(wǎng)絡(luò)設(shè)備的各類接線的兩端應(yīng)設(shè)置標(biāo)簽，網(wǎng) 絡(luò)接口側(cè)應(yīng)注明連接的設(shè)備。第三十一條對主要網(wǎng)絡(luò)設(shè)備如核心路由器、交換機、防火墻、IDS 等設(shè)備的配置文件定期進行一次評審。第三十二條對機房的主機設(shè)備及核心網(wǎng)絡(luò)交換裝置應(yīng)嚴(yán)格管理, 做好應(yīng)急準(zhǔn)備，制定周密的故障應(yīng)急措施。第三十三條嚴(yán)禁擅自在運行的業(yè)務(wù)系統(tǒng)服務(wù)器、交換機、路由器 等設(shè)備上進行開發(fā)、調(diào)試或?qū)W習(xí)培訓(xùn)等工作。第三十四條

44、進入機房的服務(wù)器應(yīng)遵守機房規(guī)定，安裝最完整系統(tǒng) 補丁、防病毒軟件、管理員責(zé)任明確，各設(shè)備需貼有資產(chǎn)標(biāo)識，并在 標(biāo)識上明確該資產(chǎn)責(zé)任人，責(zé)任人發(fā)生變更時應(yīng)及時更新資產(chǎn)標(biāo)識。信息分類與標(biāo)識管理方法第一章總那么第一條為有利于學(xué)院信息系統(tǒng)相關(guān)信息的識別、保護和利用，加 強學(xué)院信息系統(tǒng)相關(guān)信息的平安管理，特制訂本管理方法。第二條本管理方法適用于學(xué)院信息系統(tǒng)相關(guān)信息的管理。第二章信息分類的定義第三條學(xué)院信息系統(tǒng)相關(guān)信息的分類和標(biāo)識的目的：（一）通過對學(xué)院信息系統(tǒng)相關(guān)信息按無形性質(zhì)（非財務(wù)）進 行分類和標(biāo)識，促進信息的增值利用，提高信息的利用率；（二）促進信息分布的合理化、促進非結(jié)構(gòu)化信息向結(jié)構(gòu)化數(shù) 字信息

45、的轉(zhuǎn)換，降低信息管理本錢;（三）掌握學(xué)院信息系統(tǒng)相關(guān)信息的狀態(tài)，明確信息的使用方 法、保存方式、放置位置、平安分類和責(zé)任人等，加強信息的管 理，為信息系統(tǒng)的日常與應(yīng)急工作提供基本資料；第四條根據(jù)各種信息的敏感度和重要性的不同，制定對信息各 種相應(yīng)的分類保護措施，對各類信息實施適當(dāng)程度的保護。信息指 學(xué)院在生產(chǎn)、經(jīng)營和管理過程中，所需要的以及所產(chǎn)生的，用以支 持（或指導(dǎo)、或影響）學(xué)院生產(chǎn)、經(jīng)營和管理的一切有用的數(shù)據(jù)和 資料等非財務(wù)的無形信息，其范圍包括如下現(xiàn)在的和歷史的信息：（一）學(xué)院的域名、網(wǎng)絡(luò)拓撲結(jié)構(gòu)、網(wǎng)絡(luò)IP地址及分配規(guī)那么；（二）系統(tǒng)配置數(shù)據(jù)、系統(tǒng)授權(quán)信息、口令文件、密鑰及算法文 件、系

46、統(tǒng)說明文檔、用戶手冊等系統(tǒng)基礎(chǔ)數(shù)據(jù)；（三）各類專業(yè)系統(tǒng)的應(yīng)用數(shù)據(jù)庫及數(shù)據(jù)文件、業(yè)務(wù)報表等系統(tǒng) 業(yè)務(wù)數(shù)據(jù)；（四）各類專業(yè)系統(tǒng)的運行方案、運行記錄、變更記錄等系統(tǒng)運 行數(shù)據(jù)以及應(yīng)急計劃；（五）各類專業(yè)的規(guī)劃、方案與策略、業(yè)務(wù)流程、業(yè)務(wù)規(guī)范、操 作規(guī)程等管理數(shù)據(jù)；（六）技術(shù)圖紙、技術(shù)文檔、工程資料等工程數(shù)據(jù)；（七）其他紙介質(zhì)的重要辦公文件（信件）、圖象、影象、錄音 和照片等非結(jié)構(gòu)化辦公資料；（A）單個員工擁有的專家技能和經(jīng)驗等隱性數(shù)據(jù)。第五條學(xué)院信息的平安分類：信息按信息的敏感度分類為機密信息、秘密信息、對內(nèi)公開信息、對外公開信息。第六條信息的存放介質(zhì)分別為電子介質(zhì)、紙介質(zhì)以及其他介質(zhì), 對于存儲介

47、質(zhì)同時有電子介質(zhì)或紙介質(zhì)兩種情況的信息，其最終目標(biāo) 應(yīng)該是信息存儲在電子介質(zhì)。第三章信息的管理與使用第七條信息的存放應(yīng)立足于管理和平安的考慮，為了便于保管、 提取、查詢，信息應(yīng)盡量以電子介質(zhì)的形式存儲，因此，對于存儲在 紙介質(zhì)等其他非結(jié)構(gòu)化的信息，如果技術(shù)上允許并且有必要的話，應(yīng) 及時進行適當(dāng)?shù)奶幚?，轉(zhuǎn)換為結(jié)構(gòu)化的電子信息，并以電子介質(zhì)的形 式存儲。第八條信息的存儲介質(zhì)存放的地點要求如下：（一）對于對外公開信息，存放地點沒有要求；（二）對于對內(nèi)公開信息，如果是結(jié)構(gòu)化的電子信息，應(yīng)存放 在內(nèi)部服務(wù)網(wǎng)絡(luò)中的文件服務(wù)器等；如果是非結(jié)構(gòu)化的其他信息， 應(yīng)存放在室內(nèi)文件柜中，并有明顯的分類標(biāo)識；（三）對

48、于秘密信息，如果是結(jié)構(gòu)化的電子信息，應(yīng)存放在有 嚴(yán)格管理制度、具有足夠的平安防護措施的機房環(huán)境中的相關(guān)服務(wù) 器和存儲設(shè)備上；如果是非結(jié)構(gòu)化的其他信息，應(yīng)存放在室內(nèi)具有 較強防盜竊能力的文件柜中，并造冊登記，分項存放；（四）對于機密信息，如果是聯(lián)機存儲的結(jié)構(gòu)化電子信息，應(yīng) 存放在有嚴(yán)格管理制度、具有高強度的平安防護措施的機房環(huán)境中第六條學(xué)院信息平安體系框架的組成是平安組織、平安策略、安 全技術(shù)和平安運作，四大組成局部協(xié)同構(gòu)建、完成和實現(xiàn)學(xué)院信息安 全工作和目標(biāo)。第七條（一）信息平安組織工作目標(biāo)是建立健全的平安組織，加強人員 的平安管理，為信息平安工作提供組織保障。（二）信息平安策略工作目標(biāo)是制定

49、完善的信息平安管理制度 和技術(shù)規(guī)范，并確保其有效發(fā)布、執(zhí)行和更新，規(guī)范學(xué)院信息平安管 理工作。（三）信息平安技術(shù)目標(biāo)是采用適當(dāng)?shù)募夹g(shù)手段，加強業(yè)務(wù)和支 撐系統(tǒng)的平安防護，為信息平安工作提供技術(shù)工具支撐。（四）信息平安運作目標(biāo)是加強平安工作的運作管理，維護業(yè)務(wù) 和支撐系統(tǒng)的平安運行，及時處理平安問題，為信息平安工作提供運 行保障。第四章信息平安建設(shè)原那么和目標(biāo)第八條學(xué)院信息平安工作的原那么是：滿足和推動服務(wù)業(yè)務(wù)開展,信息系統(tǒng)平安架構(gòu)完整、統(tǒng)一，數(shù)據(jù)集中、信息共享，控制本錢、提 高工作效率，利用國家標(biāo)準(zhǔn)規(guī)范學(xué)院管理。第九條學(xué)院信息平安工作的目標(biāo)是：通過建立和完善信息平安的策略體系、組織體系、技術(shù)體

50、系和運作體系，保障日常工作的開展 和各信息系統(tǒng)的連續(xù)正常穩(wěn)定運行，維護信息系統(tǒng)的數(shù)據(jù)平安，促進 學(xué)院信息化工作健康開展。的相關(guān)服務(wù)器和存儲設(shè)備上；如果是脫機存儲的結(jié)構(gòu)化電子信息， 以及非結(jié)構(gòu)化的其他信息，應(yīng)存放在具有嚴(yán)格保安措施的、專門的 保管環(huán)境中（如機要室等），并造冊登記，分項存放。第九條信息的存儲介質(zhì)使用控制要求如下：（一）對于對外公開信息，介質(zhì)使用沒有限制要求，任何人在 任何場合均可以使用；（二）對于對內(nèi)公開信息，對于存儲在電子介質(zhì)上的信息，必 須通過內(nèi)部網(wǎng)絡(luò)，以注冊的合法身份，登錄訪問和下載使用；對于 非結(jié)構(gòu)化的其他信息，經(jīng)介質(zhì)保存部門同意，可以提取存儲信息的 介質(zhì)使用，使用完畢放回

51、原處；（三）對于秘密信息，對于存儲在電子介質(zhì)上的信息，原那么上 要求聯(lián)機使用，信息只能通過應(yīng)用系統(tǒng)專用界面使用，使用者必須 具有足夠的使用權(quán)限；秘密信息的脫機提取或抄錄，必須有相關(guān)領(lǐng) 導(dǎo)的書面批準(zhǔn)意見，其提取或抄錄的相關(guān)細節(jié)必須記錄在案，使用 者必須對其提取或抄錄秘密信息的平安保密負責(zé)；對于非結(jié)構(gòu)化信 息的使用，必須符合秘密級文件的相關(guān)使用規(guī)定，信息的提取或抄 錄必須有相關(guān)領(lǐng)導(dǎo)的書面批準(zhǔn)意見，其相關(guān)細節(jié)必須記錄在案，使 用者必須對其提取或抄錄秘密信息的平安保密負責(zé)；（四）對于機密信息，對于存儲在電子介質(zhì)上的信息，必須聯(lián) 機使用，信息只能通過應(yīng)用系統(tǒng)專用界面使用，使用者必須具有足 夠的使用權(quán)限；

52、機密信息絕對禁止的脫機提取，特殊信息的抄錄， 必須有相關(guān)領(lǐng)導(dǎo)及保密人員的書面批準(zhǔn)意見，抄錄的過程及內(nèi)容必 須有保密人員現(xiàn)場監(jiān)督檢查，抄錄的相關(guān)細節(jié)必須記錄在案，使用 者必須對其抄錄的機密信息的平安保密負責(zé)；對于非結(jié)構(gòu)化信息的 使用，必須符合機密級文件的相關(guān)使用規(guī)定，特殊信息的抄錄必須 有相關(guān)領(lǐng)導(dǎo)及保密人員的書面批準(zhǔn)意見，其相關(guān)細節(jié)必須記錄在 案，使用者必須對其提取或抄錄秘密信息的平安保密負責(zé)。信息系統(tǒng)資產(chǎn)管理方法第一章總那么第一條為加強學(xué)院信息系統(tǒng)資產(chǎn)管理，保證信息系統(tǒng)資產(chǎn)的安 全完整，提高其使用效率，根據(jù)學(xué)院實際情況，特制定本管理辦 法。第二條信息系統(tǒng)資產(chǎn)包括硬件資產(chǎn)和軟件資產(chǎn)，硬件資產(chǎn)包括

53、 服務(wù)器、網(wǎng)絡(luò)設(shè)備、平安設(shè)備、計算機設(shè)備、數(shù)據(jù)庫等，軟件資產(chǎn) 包括應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具和實用程序等。第三條本管理方法適用于網(wǎng)絡(luò)信息中心。第二章組織機構(gòu)與職責(zé)第四條學(xué)院信息系統(tǒng)資產(chǎn)管理實行二級管理原那么。一級管理：網(wǎng)絡(luò)信息中心負責(zé)學(xué)院的信息系統(tǒng)相關(guān)的硬件資產(chǎn)和 軟件資產(chǎn)的管理，是其責(zé)任部門；二級管理：在網(wǎng)絡(luò)信息中心監(jiān)督、指導(dǎo)下，個人使用的計算機設(shè) 備由本人負責(zé)管理，對所使用的計算機設(shè)備的平安完整負責(zé)，是其責(zé) 任人。第三章信息系統(tǒng)資產(chǎn)的驗收、登記及領(lǐng)用第五條學(xué)院的信息系統(tǒng)相關(guān)資產(chǎn)購進后，按規(guī)定程序辦理驗 收、登記、領(lǐng)用手續(xù)。驗收。按歸口原那么由網(wǎng)絡(luò)信息中心組織專人辦理驗收手續(xù)。驗 收內(nèi)容主

54、要包括：核對發(fā)票所列工程、數(shù)量、價格與實物是否一 致，實物是否完好無損。登記。驗收合格后，網(wǎng)絡(luò)信息中心的資產(chǎn)管理員對資產(chǎn)進行分類 編號，明細登記（編號、錄入）每項信息系統(tǒng)資產(chǎn)的資料（包括臺賬 編號、實物編號、資產(chǎn)名稱、購置時間、數(shù)量、購置價格、存放地點、 供應(yīng)商、保修期、購置人、驗收入、使用部門、使用人等）。領(lǐng)用。辦理驗收、登記后，由學(xué)院總體資產(chǎn)管理部門安排信息系 統(tǒng)資產(chǎn)的領(lǐng)用，并辦理有關(guān)領(lǐng)用手續(xù)。第四章信息系統(tǒng)資產(chǎn)的使用、維護第六條網(wǎng)絡(luò)信息中心應(yīng)定期對信息系統(tǒng)資產(chǎn)進行維護保養(yǎng)，以保證信息系統(tǒng)資產(chǎn)處于良好狀態(tài)，充分發(fā)揮其效能。信息系統(tǒng)資產(chǎn) 使用期間發(fā)生故障或損壞時，運維人員應(yīng)立即通知網(wǎng)絡(luò)信息中

55、心負 責(zé)人，及時組織維修。重要或大宗信息系統(tǒng)資產(chǎn)由網(wǎng)絡(luò)信息中心安排維保單位定期進行修理。第七條所有信息系統(tǒng)資產(chǎn)因公用或維修搬出辦公樓必須進行出庫登記。第五章信息系統(tǒng)資產(chǎn)的實物臺賬管理第八條網(wǎng)絡(luò)信息中心負責(zé)建立健全信息系統(tǒng)資產(chǎn)實物臺賬。信 息系統(tǒng)資產(chǎn)管理員具體負責(zé)對資產(chǎn)入庫、處置、清查盤點、報廢等 的臺賬記錄和管理。第九條實物臺賬登記的基本要求：（一）按信息系統(tǒng)資產(chǎn)類別和編號進行明細登記。（二）信息系統(tǒng)資產(chǎn)購建后，按規(guī)定程序辦理驗收入庫、登記領(lǐng) 用手續(xù)，同時進行分類登記。（三）信息系統(tǒng)資產(chǎn)責(zé)任人變動，資產(chǎn)管理員必須及時進行臺賬 登記。介質(zhì)平安管理方法第一章總那么第一條為加強和規(guī)范數(shù)據(jù)備份及存儲介

56、質(zhì)的平安管理，確保各類 數(shù)據(jù)的完整性、保密性和可用性，特制定本管理方法。第二條本管理方法所指的備份存儲介質(zhì)是指用于備份數(shù)據(jù)的存 儲載體，包括磁帶、磁盤（U盤、移動硬盤）、光盤等。第三條本管理方法適用于學(xué)院備份存儲介質(zhì)在使用、保存和傳送 過程中的管理。第二章介質(zhì)的檢查和維護第四條存儲介質(zhì)的管理部門，對介質(zhì)應(yīng)有詳細的文檔記錄，記錄 信息應(yīng)包括：介質(zhì)的編號、存儲的內(nèi)容、存儲數(shù)據(jù)的記錄時間、轉(zhuǎn)存 日期、保存期限、維護人員等。第五條應(yīng)定期檢查各備份存儲介質(zhì)的狀態(tài)和容量，并定期進行數(shù) 據(jù)恢復(fù)測試。第六條備份存儲介質(zhì)在保存前，應(yīng)仔細閱讀介質(zhì)的說明書，將介 質(zhì)存放在適合的地方。遠離電磁干擾和灰塵，盡量通風(fēng)，使

57、用適合的 容器、柜子、儲存室以防止非法訪問。第三章介質(zhì)的傳送第七條存儲介質(zhì)在傳送途中需采用牢固、可靠的包裝方式，以使 其防止碰撞、受熱、受潮。第八條備份存儲介質(zhì)在傳送途中需根據(jù)其存儲數(shù)據(jù)的敏感程度, 采用有效的包裝方式，以使其防止被非授權(quán)獲取。第九條備份存儲介質(zhì)無論使用何種傳送形式，都必須有可追溯的 明確標(biāo)識。第十條備份存儲介質(zhì)在單位內(nèi)部傳送過程中，同樣需要采取以上 的平安措施。第四章介質(zhì)的備份第十一條對于特地為傳送而制作的備份存儲介質(zhì)，原那么上要求在傳送前為該存儲介質(zhì)制作至少一個備份，用于存儲介質(zhì)在傳送過程中被損壞或喪失后的快速重新傳送和對喪失數(shù)據(jù)的評估。第五章介質(zhì)的使用第十二條磁帶和磁盤（

58、U盤、移動硬盤）允許重復(fù)使用，光盤不 允許重復(fù)使用。第十三條任何涉密介質(zhì)和非涉密介質(zhì)嚴(yán)禁交叉使用。第六章介質(zhì)的數(shù)據(jù)清理第十四條數(shù)據(jù)清理應(yīng)根據(jù)信息存儲介質(zhì)特性、運行本錢和業(yè)務(wù)部 門對數(shù)據(jù)使用、清理周期、清理內(nèi)容等的要求進行實施。第十五條數(shù)據(jù)清理前必須對數(shù)據(jù)進行備份，在確認備份正確后方 可進行清理操作。第十六條需要長期保存的數(shù)據(jù)要在介質(zhì)有效期內(nèi)進行轉(zhuǎn)存，防止 存儲介質(zhì)過期失效。第十七條借用數(shù)據(jù)介質(zhì)時必須嚴(yán)格遵守數(shù)據(jù)介質(zhì)借用登記、審批、 交接和歸還的流程，并保證備份數(shù)據(jù)完好無缺。第十八條外單位人員對存放數(shù)據(jù)的設(shè)備進行維修、維護時，必須 由學(xué)院設(shè)備管理人員現(xiàn)場全程監(jiān)督。有關(guān)設(shè)備或介質(zhì)需送交外單位維 修

59、、維護前，設(shè)備使用人員應(yīng)確認設(shè)備或介質(zhì)內(nèi)的重要數(shù)據(jù)已經(jīng)清除。第七章介質(zhì)的銷毀第十九條存儲介質(zhì)在銷毀前必須登記備案。第二十條存儲介質(zhì)在銷毀過程必須由兩個或兩個以上的專人進 行監(jiān)督和核對。第二十一條備份磁帶、磁盤和光學(xué)貯存介質(zhì)必須在處置前進行物理銷毀，并由兩個或兩個以上的專人進行監(jiān)督和核對。第二十二條銷毀磁盤，需使用專用的消磁設(shè)備進行消磁后，再使用工具物理破壞磁盤，然后丟棄。設(shè)備平安管理方法第一章總那么第一條為促進學(xué)院信息化設(shè)備管理規(guī)范化，提高工作效率，特制 定本管理方法。第二條本管理方法中的信息處理設(shè)備包括計算機及打印機、刻錄 機、掃描儀等所有附屬設(shè)備。第三條網(wǎng)絡(luò)信息中心是信息化設(shè)備的歸口管理部

60、門，負責(zé)相關(guān)設(shè) 備的計劃、運維、日常管理等。第二章組織機構(gòu)與職責(zé)第四條網(wǎng)絡(luò)信息中心負責(zé)信息化設(shè)備的年度預(yù)算、選型、采購計 劃、驗收、報廢等事項的管理。第五條行政部門負責(zé)信息化設(shè)備的采購。第三章設(shè)備選型和采購第六條網(wǎng)絡(luò)信息中心根據(jù)下年度工程建設(shè)計劃和各單位的設(shè)備 現(xiàn)狀與需求，與各單位對接的基礎(chǔ)上，編制出設(shè)備需求計劃。第七條設(shè)備的選型。桌面計算機等低端設(shè)備要選用性價比高、售 后服務(wù)好的品牌產(chǎn)品。所選設(shè)備需配備軟件的必須安裝正版軟件。第八條設(shè)備采購過程中，由網(wǎng)絡(luò)信息中心人員負責(zé)做好硬件驗機 及軟件測試工作，確保設(shè)備的可行性。第四章設(shè)備發(fā)放和領(lǐng)用第九條信息化設(shè)備管理部門為網(wǎng)絡(luò)信息中心，責(zé)任部門為各使用