第一条 为了进一步规范学院信息系统安全管理制度的管理工作,根据《中华人民共和国计算机信息系统安全保护条例》、《信息安全等级保护管理办法》、《信息系统安全管理要求》(GBT 20269-2006)和其他有关法律法规,结合学院实际,特制定本制度。
第二条 学院信息系统的安全管理制度汇编(以下简称管理制度)的制定、论证、审定、发布、评审和修订工作,适用本制度。
第三条 管理制度包括安全管理策略、安全管理规章制度、操作规程三个层次的文档,包含以下方面的内容:
(一)计算机信息系统资源安全管理方面。
(二)计算机信息系统和数据库安全管理方面。
(三)计算机信息网络安全管理方面。
(四)计算机信息系统应用安全管理方面。
(五)计算机信息系统运行安全管理方面。
(六)计算机信息安全管理方面。
第四条 应制订信息安全管理体系方针,包括总体方针和安全策略两个方面内容。
第五条 总体方针应规定信息安全的基本架构,明确信息安全的根本目标、原则。
第六条 安全策略应从物理、网络、主机、数据、应用等层面分别阐述信息安全的目标和原则。
第七条 应从物理、网络、主机、数据、应用、建设和管理等层面分别建立安全管理制度。
第八条 应建立日常管理的操作规程,如:运维流程、操作手册等。
第九条 所有信息安全方针文件、管理制度和流程文件等构成的全面的信息安全管理制度体系。
第十条 为加强和规范学院信息系统安全工作,保证信息的机密性、完整性和可用性,提高信息系统整体安全防护水平,实现信息安全的可控、能控、在控,依据国家有关法律法规的要求,制定本制度。
第十一条 本制度的目的是为电教网络中心的信息系统安全管理提供一个总体的策略性框架文件,该制度将指导学院信息系统的安全管理体系的建立。安全管理体系的建立是为学院的信息系统的安全管理工作提供参照,以实现学院统一的安全策略管理,提高整体的网络与信息安全水平,确保安全控制措施落实到位,保障信息系统的正常运营。
第十二条 本制度适用于学院信息系统安全管理体系的建立、实施、运行、监视、评审、保持和改进,指导信息系统安全管理体系的制定和使用。
第十三条 本制度的编制参照了以下国家的标准和文件:
(一) 《中华人民共和国计算机信息系统安全保护条例》
(二) 《关于信息安全等级保护建设的实施指导意见》(信息运安[2009]27号)
(三) 《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008)
(四) 《信息安全技术 信息系统安全管理要求》(GB/T 20269—2006)
(五) 《信息安全技术 信息安全管理体系要求》(GB/T 22080—2008)
(六) 《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)
第十四条 信息系统安全总体方针是“安全第一、预防为主、管理和技术并重、综合防范”,实现信息系统安全可控、能控、在控。依照“分区、分级、分域”总体安全防护策略,执行信息系统安全等级保护制度。管理信息网络分为信息内网和信息外网,实现“两网隔离”,信息内网定位为内部办公网络,信息外网定位为对外业务网络和访问互联网用户终端网络。信息内、外网之间实施强逻辑隔离的措施。
第十五条 信息系统安全总体目标是确保信息系统持续、稳定、可靠运行和确保信息内容的机密性、完整性、可用性。防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃,抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏,防止信息内容及数据丢失和失密,防止有害信息在网上传播,防止对外服务中断和由此造成的系统运行事故。
第十六条 信息安全工作的总体原则
(一) 基于安全需求原则
应根据其信息系统担负的使命,积累的信息资产的重要性,可能受到的威胁及面临的风险分析安全需求,按照信息系统等级保护要求确定相应的信息系统安全保护等级,遵从相应等级的规范要求,从全局上恰当地平衡安全投入与效果。
(二) 主要领导负责原则
主要领导应确立其组织统一的信息安全保障的宗旨和政策,负责提高职工的安全意识,组织有效安全保障队伍,调动并优化配置必要的资源,协调安全管理工作与各部门工作的关系,并确保其落实、有效。
(三) 全员参与原则
信息系统所有相关人员应普遍参与信息系统的安全管理,并与相关方面协同、协调,共同保障信息系统安全。
(四) 系统方法原则
按照系统工程的要求,识别和理解信息安全保障相互关联的层面和过程,采用管理和技术结合的方法,提高实现安全保障的目标的有效性和效率。
(五) 持续改进原则
安全管理是一种动态反馈过程,贯穿整个安全管理的生存周期,随着安全需求和系统脆弱性的时空分布变化,威胁程度的提高,系统环境的变化以及对系统安全认识的深化等,应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级,维护和持续改进信息安全管理体系的有效性。
(六) 依法管理原则
信息安全管理工作主要体现为管理行为,应保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理,应由授权者适时发布准确一致的有关信息,避免带来不良的社会影响。
(七) 分权和授权原则
对特定职能或责任领域的管理功能实施分离、独立审计等实行分权,避免权力过分集中所带来的隐患,以减小未授权的修改或滥用系统资源的机会。任何实体(如用户、管理员、进程、应用或系统)仅享有该实体需要完成其任务所必须的权限,不应享有任何多余权限。
(八) 选用成熟技术原则
成熟的技术具有较好的可靠性和稳定性,采用新技术时要重视其成熟的程度,并应首先局部试点然后逐步推广,以减少或避免可能出现的失误。
(九) 分级保护原则
按等级划分标准确定信息系统的安全保护等级,实行分级保护;对多个子系统构成的大型信息系统,确定系统的基本安全保护等级,并根据实际安全需求,分别确定各子系统的安全保护等级,实行多级安全保护。
(十) 管理与技术并重原则
坚持积极防御和综合防范,全面提高信息系统安全防护能力,立足国情,采用管理与技术相结合,管理科学性和技术前瞻性结合的方法,保障信息系统的安全性达到所要求的目标。
(十一) 自保护和国家监管结合原则
对信息系统安全实行自保护和国家保护相结合。组织机构要对自己的信息系统安全保护负责,政府相关部门有责任对信息系统的安全进行指导、监督和检查,形成自管、自查、自评和国家监管相结合的管理模式,提高信息系统的安全保护能力和水平,保障国家信息安全。
第十七条 安全工作的范围是建立相应的安全管理机构,制定相应的安全操作规程;制定信息系统的风险管理计划;提供信息系统安全的自动监视和审计;提供信息系统的认证、验收及使用的授权的规定;提供对信息系统进行强制安全保护的能力和设置必要的强制性安全管理措施,确保数据信息免遭非授权的泄露和破坏,保证信息系统安全运行。
第十八条 在规划和建设信息系统时,信息系统安全防护措施应按照“三同步”原则,与信息系统建设同步规划、同步建设、同步投入运行。
第十九条 物理安全策略
(一) 机房和办公场地必须选择在经过防震、防火、防风、防雨、防雷击验收合格的办公大楼内部,机房的窗户需要有防雨水渗透的能力。
(二) 机房的位置避免设在大楼的高层或地下室,机房的正上方或隔壁不能是用水量大的房间。
(三) 机房出入口必须有专人值守,对工作人员进行登记。
(四) 进入机房的工作人员必须由安全管理员或是机房管理员全程陪同。
(五) 机房内部必须划分重要设备区、一般设备区、过渡区等区域,对不同区域分别进行管理,区域与区域之间进行物理隔离。
(六) 机房内部必须部署基础防护系统和设备,如电子门禁系统、监控报警系统、防雷设备、消防灭火系统、防水监控系统、温湿度控制系统、UPS供电系统和电磁屏蔽设备。
第二十条 网络安全策略
(一) 网络中必须部署路由器、交换机、防火墙、防毒墙、IPS设备和内网网络管理、补丁分发级等系统。
(二) 网络设备除接入交换机之外,必须进行双机热备,除接入交换机链接工作终端的线路外,其他线路必须进行双线冗余。
(三) 整体网络不能出现流量瓶颈,保证带宽充足。
(四) 各部门必须划分不同网段IP地址。
(五) 划分网络带宽,突出优先级。
(六) 网络边界处必须部署防火墙、IPS等安全设备。
(七) 网络设备必须开启日志审计功能。
第二十一条 主机安全策略
(一) 登录操作系统和数据库系统的用户必须进行身份标识和鉴别。
(二) 操作系统和数据库系统管理用户身份标识不能出现同名用户,口令应有复杂度要求并定期更换。
(三) 操作系统和数据库系统必须启用登录失败处理功能。
(四) 对服务器进行远程管理时,必须采取必要措施,防止鉴别信息在网络传输过程中被窃听。
(五) 为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性,不能出现重名情况。
(六) 操作系统和数据库必须及时删除多余的、过期的账户,避免共享账户的存在。
(七) 主机必须开启日志审计功能。
(八) 主机必须安装防恶意代码产品,并进行统一管理。
第二十二条 应用安全策略
(一) 应用系统必须在登录时要求输入用户名和口令。
(二) 登录应用系统必须进行两种或两种以上复合身份验证。
(三) 应用系统中设置的用户都必须是唯一用户,不能名称相同,且不能出现多人使用同一账户的情况。
(四) 应用系统必须开启登录失败处理功能。
(五) 应用系统必须开启登录连接超时自动退出等措施。
(六) 应用系统必须开启身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据案情策略配置相关参数。
(七) 应用系统必须开启日志审计功能。
(八) 应用系统存储用户信息的设备在销毁、修理或转其他途径时,必须清楚内部存储的信息。
第二十三条 数据安全策略
(一) 业务应用数据和设备配置文档都必须进行备份,以便发生问题时进行恢复。
(二) 数据备份至其他设备上时,必须使用专门的备份通道,保证数据传输的完整性。
(三) 数据本机备份时应检测其完整性。
(四) 数据备份时必须使用专业的备份设备和工具,在数据传输和数据存储时,都必须是加密传输和存储。
(五) 数据进行异地备份时,必须利用通信网络将关键数据定时批量传送至备用场地。
第二十四条 学院网络信息安全工作领导小组负责组织、指导管理制度的制定、发布和实施。电教网络中心为学院信息安全职能部门,负责具体承担管理制度的草拟、论证并上报领导小组审定。
第二十五条 安全管理策略根据信息安全领导小组提出的总体方针制定,包括总体策略和具体策略;安全管理规章制度根据安全管理策略制订;操作规程根据安全管理规章制度和实际工作需要制订。
第二十六条 管理制度应经过由网络信息安全工作领导小组和信息安全专家组成的论证小组论证通过,并保存相应的记录。
第二十七条 管理制度论证通过后,按照学院审核、审批程序,经过领导小组的审定,经网络信息安全工作领导小组组长签发后,以公文形式发布。
第二十八条 管理制度应注明发布范围,且收发过程要有收发文登记,应由所有信息系统建设者、管理者、使用者阅知。电子版应在电子政务网上发布,内网门户网站上设立“安全管理制度”栏目,发布通过审定的管理制度,提供给通过内网登录的用户查阅。
第二十九条 管理制度标识的规定
其中, MS为管理制度代码;XX为顺序号(2位数字,从01开始升序排列)。
管理制度的版本号在其封面进行标注。
管理制度的编号一般在很长时间固定不变,除非重新发布管理制度。
第三十条 记录表格模板标识的规定
记录表格模板编号格式如下图所示:
其中,GISM为XXXX(单位名称)有限公司代码;MT为记录表格代码;YY为对应制度的章节号;XX为记录表格的顺序号;XX为记录表格变更时需要更改的顺序号(2位数字,从01开始升序排列)。
记录表格模板编号的前四部分一般不发生变化,除非记录表格模板发生重大变化。后两位数字与版本号的作用相似,当对模板做微调时,只需改变最后两位数字即可。
表格内容的编号以年月日+顺序号表示(年月日分别取2位)。
第三十一条 版本号规定
文件的起始版本号为A/0版,如部分文件发生变更时,则该部分文件版本号可以不断变更为A/1、A/2、A/3、A/4、…,此时文件的发布年份无需改变。如文件发生重大变化时,版本号可根据需要直接晋升为B、C、D、…;此时文件的发布年份如果发生变化也应随之改变。
第三十二条 管理制度的评审和修订工作在网络信息安全工作领导小组的指导下,由信息安全职能部门具体负责;评审内容为对管理制度合理性和适用性进行审定,并保留必要的评审记录和依据,目的是找出在信息安全保护工作中的不足或需要改进的地方,形成评审报告并作为管理制度修订的依据;修订工作主要针对存在不足或需要改进的管理制度进行,应在一个月内完成。
第三十三条 评审应定期或不定期进行,定期评审每年一次,一般在第四季度进行,列入年度工作计划;不定期评审应在以下情况之一发生后进行:上级机关发布新的信息安全等级保护规定、被安全监管部门告知存在重大安全隐患、发生安全风险事件、信息系统出现新的安全漏洞、技术基础机构及组织机构等发生变化、安全保护技术出现新动向、收到信息安全测评报告或整改通知。
第三十四条 评审和修订工作的程序为:信息安全职能部门负责人指定文档责任人;责任人收集该文档已不具备合理性或适用性的资料;责任人草拟是否需要进行修订以及修订内容的初步意见;初步意见经相关安全管理人员核对后,报部门负责人审核。
第三十五条 对安全管理策略、安全管理规章制度的修订由电教网络中心负责人审核通过后上报领导小组审定;对管理制度的实质性内容做出重大修订的意见,应按照第八条的规定进行论证后上报领导小组审定;审定和发布按照规定执行。操作规程的一般性修订由学院电教网络中心负责人审定后发布,并报送领导小组备案。
第五章 附 则
第三十六条 本制度由学院电教网络中心负责解释。
第三十七条 本制度自公布之日起执行。
附件1 管理制度评审表
制度名称 | 日期 | ||
提交部门 | 提交人 | ||
评审依据 | |||
评审内容: | |||
评审的意见和建议: | |||
评审结论: | |||
评审人员会签 | |||
审核意见 |
签字: 日期: | ||
附件2 文件发放登记表
序号 | 文件名称 | 编号 | 份数 | 部门 | 接收人 | 日期 | 备注 |
附件3 管理制度修订记录表
文件名称 | 文件编号 | ||
制定部门 | 制定日期 | ||
修订记录 | |||
序号 | 修订内容 | 修订日期 | |
生效日期 | 批准人 | ||
