学院信息系统安全保密管理办法

　　学院信息系统安全保密管理办法

　　第一章 总则

　　第一条. 信息安全应满足国家、行业各级监管部门和关于信息安全保密的各项规定及要求。

　　第二条. 各应用系统维护部门负责本系统信息安全管理，根据系统特点，制定各应用系统的信息安全管理细则，在上级管理部门的指导下，具体开展应用系统的信息安全管理工作。

　　第三条. 若发生系统信息泄密事件，各应用系统维护部门应及时向信息化管理部门进行通报，并按照关于信息安全相关管理制度要求开展补救工作。

　　第二章 安全保密

　　第四条. 联网设备必须采取必要的安全措施，以保障网络的设备安全及所承载业务的信息安全。在计算机上应安装防病毒软件，每天更新病毒库;

　　第五条. 未经变更流程，严禁将业务系统与公众互联网进行连接;严禁未通过鉴权认证的拨号等形式接入信息系统;

　　第六条. 在办公网络、教学网络与互联网或其他外部网络的网络连接处必须安装防火墙，并指定防火墙管理员，只有指定的系统(网络)管理员才能拥有防火墙管理帐号，未经批准，不得进行防火墙策略的更改;

　　第七条. 严禁在学校各业务系统服务器中安装未经授权的软件;不得在办公电脑及学校各业务系统服务器上运行与工作无关的程序;未经批准，不得利用学校业务系统进行培训实习;

　　第八条. 未经批准不得擅自抄录、复制配置资料、技术档案，内部资料不得泄露;

　　第九条. 设备管理和维护人员都应熟悉并严格遵守和执行信息安全保密相关规定。

　　第三章 信息系统密码管理

　　第十条. 对于操作系统、数据库、业务系统，系统(网络)管理员密码使用习惯应严格遵循如下要求：系统(网络)管理员每90天至少更换一次密码，密码的长度不小于8位、且同时包含数字和字母等字符，不得使用最近一次使用过的密码等;

　　第十一条.各类用户在第一次登录时应进行用户密码修改，以后每90天至少修改一次用户密码，且不得使用最近使用过的密码，密码长度不得少于6位;

　　第十二条.重要系统和敏感数据应存放于单机环境，由使用人员设定密码保护，防止非授权人员进行访问，密码位数必须在6位以上;如果存放在文档服务器上，需由信息系统维护部门建立文档服务器访问控制措施，并指定系统管理员;

　　第十三条.严禁在各类系统中“将用户帐号和密码编写在程序中”的作法;系统中的帐号密码不得以明文方式存放;若存在以上系统隐患必须及时整改。

　　第四章 信息系统帐号管理

　　第十四条.系统管理员帐号、系统维护帐号应保证一人一帐号，对于重要操作，可以由系统日志追溯到执行操作的帐号、直至相关操作人员。应严格控制系统超级用户帐号使用范围，能使用低级别帐号进行的操作禁止采用超级用户帐号实施。

　　第十五条.各级应用、维护部门应合理划分用户组，并根据用户所承担职责合理划分用户权限。终端应用人员要求每个员工一个帐号。

　　第十六条.对于用户的增加、删除，用户权限的变更均需预先提出变更申请，在得到维护管理部门书面批准后由系统管理员负责实施。各应用、维护部门应定期组织对用户权限及分配情况进行审核，发现问题及时整改，并记录在案。员工离职或调离工作岗位后，应按照情况，及时对帐号和权限进行调整。

　　第十七条.未经审批，维护人员不得登录数据库对业务数据进行直接操作。

　　第十八条.对于由于操作系统、数据库平台等限制而使用的共享帐号，当使用此共享帐号的任一人员发生变更，必须修改密码，并保留密码变更记录。

　　第十九条.供应商远程维护人员和系统开发人员不得拥有在线系统帐号。若因软件移植或系统维护需要，应事先经维护部门主管领导书面确认(紧急状态下应实现口头申请、事后补文字确认说明)，方可临时授予开发人员操作帐号，并在维护人员全程陪同下进行相关操作，操作完成后，陪同人员负责完成对临时帐号的删除或禁止。供应商远程维护人员和系统开发人员对系统的所有操作均应通过日志记录，并予以备份保存。安全管理员应定期就“远程接入问题”进重点审核。

　　第二十条.本办法由信息化处负责解释，自印发之日起执行。

篇2:XX学院信息系统安全保密制度

　　学院网络中心规章制度

　　XX学院信息系统安全保密制度

　　信息系统的安全保密工作是保证数据信息安全的基础，同时给全校的信息安全保密工作提供了一个工作指导。为了加强我校信息系统的安全保密管理工作，根据上级要求，结合我校的实际情况，现制定如下制度。

　　第一章 总则

　　第一条 XX学院校园网和各类信息系统的服务对象是学校教学、科研和管理机构，全校教职工和学生。

　　第二条 我校内任何部门及个人不得利用校园网危害国家安全、泄露国家秘密，不得侵犯国家、社会、集体利益和个人的合法权益，不得从事违法犯罪活动。

　　第三条 未经批准，任何单位或个人不得将校园网及各类信息系统延伸至校外或将校外网络引入至校园内。未经批准，任何数据业务运营商或代理商不得擅自进入XX学院内进行工程施工，开展因特网业务。

　　第四条 各部门应按照国家信息系统等级保护制度的相关法律法规、标准规范的要求，落实信息系统安全等级保护制度。

　　第五条 各部门要规范信息维护、信息管理、运行维护等方面的工作流程和机制，指定专人负责系统运行的日常工作，做好用户授权等管理服务工作。

　　第二章 数据安全

　　第六条 本制度中的数据是指各类信息系统所覆盖的所有数据，包括教务系统、财务系统、图书馆系统、一卡通系统以及学校网站等网站和系统的所有数据。

　　第七条 各部门要及时补充和更新管理系统的业务数据，确保数据的完整性、时效性和准确性。

　　第八条 保证各系统相关数据安全。各部门和系统管理人员，要对自己所管理的数据负责，保证数据安全，防止数据泄漏。

　　第九条 学校数据信息主要用于教学、科研、管理、生活服务等，申请数据获取的单位有义务保护数据的隐秘性，不得将数据信息用于申请用途外的活动。

　　第十条 未经批准，任何部门和个人不得擅自提供信息系统的内部数据。对于违反规定、非法披露、提供数据的单位和个人，应依照相关规定予以处罚。

　　第三章 信息安全

　　第十一条 任何部门和个人不得利用校园网及各系统制作、复制、传播和查阅下列信息：

　　(一)危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的。

　　(二)损害国家荣誉和利益的。

　　(三)煽动民族仇恨、民族歧视，破坏民族团结的。

　　(四)破坏国家宗教政策，宣扬邪教和封建迷信的。

　　(五)散布谣言，扰乱社会公共秩序，破坏国家稳定的。

　　(六)散步淫秽、色情、暴力、凶杀、恐怖或者教唆犯罪的。

　　(七)侮辱和诽谤他人，侵害他人合法权益的。

　　(八)含有国家法律和行政法规禁止的其他内容的。

　　(九)煽动抗拒、破坏宪法和法律、法规实施的。

　　第十二条 未经批准，任何个人和部门不能擅自发布、删除和改动学校网站和系统信息。凡发布信息，必须经过严格审核。

　　第十三条 校园网用户必须自觉配合国家和学校有关部门依法进行的监督、检查。用户若发现违法有害信息，有义务向学校有关部门报告。

　　第十四条 学校内部所有人员上网均需实名制，并执行严格的实名备案制度。一经发现上述本制度禁止信息，要尽快查处，情节严重者交由公安机关。

　　第四章 网站安全

　　第十五条 学校网站是学校的门户，学校网站信息安全是至关重要的。XX学院网站已按照相关部门要求备案。

　　第十六条 凡上线网站，XX学院实行网站备案，未经备案的网站，学校一律停止该网站的运行。

　　第十七条 各部门网站信息发布严格实行信息发布审核登记制度，发现有害信息，应当在保留有关原始记录后，及时予以删除，并在第一时间向学校办公室和网络中心报告。发现计算机犯罪案件，要立即向公安机关网警部门报案。

　　第十八条 学校办公室、网络中心负责对学校网站进行监督、检查。对于存在安全隐患的网站，网络中心有权停止其对外服务。

　　第五章 其他

　　第十九条 违反本管理规定的，视情节轻重采用以下其中一种或多种处理措施：

　　(一)批评整改。

　　(二)报相关部门领导处理。

　　(三)移交公安、司法部门处理。

　　第二十条 本规定由网络中心负责解释。

　　第二十一条 本规定自公布之日起生效。

　　网络中心