中华女子学院关于进行校字〔2020〕34号
一、总则
为全面加强我校信息系统的信息安全,使我校的信息资源、业务数据得到有效的保护,避免窃密和泄露事件的发生,依据国家有关法律、法规,制定本管理办法。
本办法适用于现代教育技术中心及所有系统使用部门和人员。
二、职责划分
现代教育技术中心负责全校的信息系统及业务数据的安全管理,定期开展安全监测和隐患排查工作,并提供相应的技术支持。
业务部门负责信息系统用户和权限设定,严格按照安全操作规程进行业务操作、数据备份,并配合现代教育技术中心保障信息安全。一旦发现系统运行异常及时向现代教育技术中心报告。
三、安全措施
信息系统在安装、调试完毕后,信息系统建设单位必须提交准确无误的系统安装、配置文档,该文档由现代教育技术中心统一进行备案。
现代教育技术中心及信息系统建设单位应对信息系统运行服务器、数据库、应用等定期检查并详细记录,发现漏洞应及时升级和安装补丁程序,消除系统和设备的潜在安全隐患。
所有服务器、数据库、应用系统等管理员应严格管理自己的帐号和密码,并定期检查和更换密码,确保访问权限分配合理、正确,做好记录,妥善保管,以增加应用系统的安全性。管理人员离职或调职时,应及时交回账号和密码,经系统管理员删除或变更密码后方能离职或调职。
所有信息系统的所有管理员及信息系统建设单位应签署保密协议,违反协议将根据情节严重性追求其责任,触犯法律构成犯罪的,依法追究刑事责任。
四、应用安全
信息系统建设的负责单位在进行信息系统建设规划时,必须同步设计和实施网络与信息安全系统,应充分考虑到信息系统的安全建设的重要性,信息系统的设计和实施必须满足安全运行和信息保密的需要。应当按照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,提升信息系统的安全。
项目承担单位在信息系统开发过程中应符合软件工程规范,依据安全需求进行安全设计,不得在程序代码中植入后门和恶意代码程序。各业务系统上线运行之前,项目承担单位应组织制定安全测试方案,进行系统上线前的自测试并形成测试报告,提交现代教育技术中心进行安全审查,未通过安全审查的任何新建或改造系统不得上线运行。
五、数据安全
学校数据中心采取双机热备,数据管理要制定一套完善的数据备份和数据恢复的整体方案。重要数据至少采用两种以上不同的数据备份方法和技术手段,对数据进行备份,备份的数据应注意保密,不得随意存放。
严格控制对运行数据库和试运行库的直接访问。数据库管理人员、技术支持人员可以直接访问,其他人员访问数据库必须得到相关领导批准并备案。
各单位业务部门应严格管理业务数据的增加、修改、删除等变更操作,适时进行业务数据有效性检查,按照既定备份策略执行数据备份任务,并定期测试备份数据的有效性和预演数据恢复流程。
各单位负责定期导出重要数据和系统日志文件并明确标识存储内容、时间等信息。日志文件应至少保留三个月,妥善保管。
六、事件上报
信息系统安全事件发生时,应及时信息安全事件应急处置领导小组,并在时间处置工作中做好完整的过程记录,及时报告处置工作进展情况,保存各相关系统日志,直至处置工作结束。
七、其他
本办法自2020年9月23日发文之日起施行,由现代教育技术中心负责解释。