《系统安全管理制度.docx》由会员分享,可在线阅读,更多相关《系统安全管理制度.docx(7页珍藏版)》请在第一文库网上搜索。
1、系统安全管理制度文档信息单位名称烟台市教育装备与技术研究中心文档名称系统安全管理制度文档编号YTEDU-CS-4.14受控状态受控文件扩散范围内部使用制作人尹磊审核人姜静批准人冷作福页数共7页发布日期2018.10.10生效日期2018.10.10版本历史版本日期说明修订人1.02018.10.10创建文件尹磊2.02019.07.17修订尹磊系统安全管理制度第一章总则第一条为加强烟台市教育城域网系统管理工作,保障系统的规范化建设和安全稳定运行,制定本制度。第二条本制度所称信息系统是指计算机业务系统及其支持系统。第三条信息安全管理工作的指导方针是预防为主、安全第一、依法办事、综合治理。预防为主
2、是信息安全管理工作的基本方针。第四条本文件适用各类系统运行管理。第二章系统规划与立项的安全管理第五条计算机信息系统的规划和建设应同步做好系统安全保护工作,以确保系统安全目标的实现。第六条计算机信息系统应采取与业务安全等级要求相应的安全机制,在安全防护方面应符合下列基本安全要求:(一)采取必要的技术手段,建立严密的安全管理控制机制,保证数据信息在处理、存储和传输过程中的完整性和安全性,防止数据信息被非法使用、修改和复制;(二)提供完整的数据备份和恢复功能,能方便的根据系统和数据的备份介质进行灾难恢复;(三)具有严格的用户和密码管理,能对不同级别的用户进行有限授权,特别应严格限制和分流特权用户的权
3、限,防止非法用户的侵入和破坏;(四)重要计算机信息系统应设置审计监控程序,具有身份识别和实体认证功能。能够自动记录操作人员的重要操作,具有防止抵赖机制;(五)涉密信息系统的安全设计应符合涉密信息保密管理的有关规定。第七条重要计算机信息系统立项的安全管理实行审批制度。对项目管理部门初审合格的项目申报材料,烟台市教育装备与技术研究中心应进行安全性专项审查,提出审查意见后由项目管理部门最后审批。第八条项目申报材料在符合电子化项目管理规定有关要求的同时,还应包括以下与信息系统安全有关的内容:(一)业务主管部门对保证业务正常开展的安全需求;(二)系统的安全性指标;(三)系统运行平台的安全性要求;(四)系
4、统采取的安全策略、安全保护措施及其安全功能设计;(五)涉密信息系统的申报还应取得保密主管部门的同意。第九条对没有通过烟台市教育装备与技术研究中心审查的项目,项目管理部门不得予以立项。第三章系统开发的安全管理第十条计算机信息系统的开发必须符合软件工程规范,并在软件开发的各阶段按照安全管理目标进行管理和实施。第十一条计算机信息系统的开发人员或参加开发的协作单位应经过严格资格审查,并签订保密协议书,承诺其负有的安全保密责任和义务。第十二条计算机信息系统的开发环境和现场应当与生产环境和现场隔离,测试数据不得直接使用生产环境数据。第十三条计算机信息系统开发完成后,开发人员或参加开发的外部单位应及时移交程
5、序源代码及其相关技术文档。第十四条计算机信息系统采用的关键安全技术措施和核心安全功能设计不得进行公开学术交流或发表。第十五条计算机信息系统软件开发完成后,须提交业务部门进行整体功能性测试;第十六条计算机信息系统软件开发实行安全审计制度,由烟台市教育装备与技术研究中心牵头组织安全审计。第十七条对计算机信息系统实行外包开发的,除了明确知识产权、保密、服务等责任外,还应对软件程序进行必要的代码检查和安全审计。第四章系统安全的评估与审批第十八条计算机信息系统投入运行前,应向烟台市教育装备与技术研究中心提出安全评估和审批申请,并报送下列材料:(一)系统的用途、总体结构及软硬件配置等基本情况;(二)关于系
6、统安全需求、安全策略、安全性指标、安全保护措施以及安全功能设计等情况的说明;(三)系统安全性测试提纲和测试报告。第十九条烟台市教育装备与技术研究中心应当对计算机信息系统主管部门报送的书面材料进行安全性测试、认证。第二十条对信息系统的安全评估应当包括以下内容:(一)系统的安全策略;(二)系统的安全措施;(S)系统安全功能的实现程度;(四)系统运行的稳定性、可靠性;(五)系统运行平台的安全可靠性。第二十一条烟台市教育装备与技术研究中心应对测试、认证的信息系统提出安全评估报告。第二十二条对符合安全运行要求的信息系统,方可投入运行。对不能保证安全运行的,经修改完善后另行申报评估。第二十三条对尚未经过安
7、全审批但已经投入使用的计算机信息系统,烟台市教育装备与技术研究中心应要求其使用部门报送系统安全建设情况书面材料,并按照上述程序进行安全评估和审批。第五章系统使用与废止的安全管理第二十四条计算机信息系统投入使用时业务部门应当建立相应的操作规程和安全管理制度,以防止各类安全事故的发生。第二十五条计算机信息系统使用人员应严格按照操作规程和有关安全管理制度进行操作,保证系统安全运行。第二十六条对计算机信息系统在运行过程中出现的异常现象,以及有关安全制度在执行过程中出现的问题,操作人员有责任向部门领导报告。第二十七条计算机信息系统的使用部门应当加强对计算机系统运行环境的管理,加强对计算机病毒的防治,保证
8、系统安全运行。第二十八条计算机信息系统的使用部门应当严格用户和密码(口令)的管理,严格控制各级用户对数据的访问权限。第二十九条计算机信息系统应定期进行数据备份,对备份介质应按有关规定指定专人妥善保管,重要业务系统的备份介质必须异地保存。第三十条重要计算机信息系统应当制定信息安全保护的应急计划,保证业务的不间断运行。第三十一条重要计算机信息系统应严格执行保密管理的有关规定,确保国家秘密的安全。第三十二条对计算机信息系统使用部门及有关操作人员报告的安全问题,烟台市教育装备与技术研究中心应当认真受理并及时反馈处理意见。第三十三条计算机信息系统的废止实行备案制度,退出使用应向烟台市教育装备与技术研究中
9、心报告并备案。第三十四条对废止的计算机信息系统,在业务规定的保存期限内应当对软硬件和数据备份媒体妥善加以保管。第五章系统运行安全管理第一节系统安全运行基本要求第三十五条计算机信息系统的使用部门应建立系统运行维护日志,记录运行和维护过程中的事件、处理过程和处理结果等信息。第三十六条计算机信息系统的运行场所应满足相应的安全等级要求。第三十七条计算机信息系统应配备必要的计算机病毒防范工具。第三十八条重要计算机信息系统应配备必要的备份设备和设施。第三十九条信息安全员经烟台市教育装备与技术研究中心批准,可对网络进行安全检测、扫描和评估,网络管理人员须对检测、扫描和评估的过程给予协助和监督。严禁未经烟台市
10、教育装备与技术研究中心批准的单位和个人对网络进行安全检测和扫描。第二节系统数据的安全管理第四十条烟台市教育装备与技术研究中心应按规定进行数据备份,并定期检查备份数据的有效性。第四十一条应对备份数据统一编号,并标明备份日期、密级及保密期限。第四十二条应对备份定期进行检查,确保数据的完整性、可用性。第四十三条应建立备份介质的销毁审批登记制度,并采取相应的安全销毁措施。第四十四条重要计算机信息系统所用计算机设备的维修,应保证数据信息的完整性和安全性。在维修过程中不得泄露涉密数据信息。第四十五条重要计算机信息系统使用的计算机设备更换或报废时,应彻底清除相关业务信息,并拆除所有相关的涉密配件,由使用部门
11、登记封存。第三节系统运行平台的安全管理第四十六条系统管理人员应合理配置操作系统、数据库管理系统所提供的安全审计功能,以达到相应安全等级标准。第四十七条系统管理人员应屏蔽与应用系统无关的所有网络功能,防止非法用户的侵入。第四十八条系统管理人员应及时安装正式发布的系统补丁,修补系统存在的安全漏洞。第四十九条系统管理人员应启用系统提供的审计功能,监测系统运行日志,掌握系统运行状况。第五十条系统管理人员不得泄露操作系统、数据库的系统管理员账号、密码。第五十一条联网设备的IP地址及网络参数,必须按照网络管理规范及其业务应用范围进行设置,非系统管理人员不得修改。第四节口令密码、密钥安全管理第五十二条计算机
12、信息系统关键人员的口令密码编制应具有一定的复杂性,对记录密码的载体应严格管理,确保其物理安全。第五十三条计算机信息系统关键岗位人员的口令密码,应定期或不定期进行更换,独享使用,不得泄露。第五十四条应用密钥保障信息安全时,对所用密钥生命周期的全过程(产生、存储、分配、使用、废除、归档、销毁)应实施严格的安全保密管理。第五十五条密钥必须作为绝密数据由专人保管。密钥必须通过机要渠道传递或采用加密通信方式网内分配。第五十六条密钥必须定期更换,对已泄漏或怀疑泄漏的密钥必须及时废除。旧密钥必须安全归档,并在安全管理负责人的严格监督下,由管理责任人定期销毁。第五十七条密钥备份是针对主要密码设备和保密工作人员
13、的意外事件而采取的必要措施,密钥副本的保存必须是物理安全的。必须有在紧急情况下销毁密钥的手段和措施,以防密钥丢失。笫五节系统文档安全管理第五十八条网络参数配置文档、重要计算机信息系统详细开发资料及其源程序等核心技术文档,由烟台市教育装备与技术研究中心严格管理。第五十九条系统核心技术文档资料的外借应有审批手续和记录,借阅人不得转借给他人,不得复制、泄露和引用具体内容。笫六节系统的安全监测第六十条安全人员要经常监测、分析计算机信息系统运行状况,发现异常情况应立即采取应对措施。第六十一条业务操作人员应审查业务处理结果,发现问题应及时查明原因。对不能确认的异常现象,必须向烟台市教育装备与技术研究中心报告。第六十二条对计算机信息系统安全运行的监测记录及其分析结果应严格管理,未经烟台市教育装备与技术研究中心许可不得对外发布或引用。第六章附则第六十三条本制度由烟台市教育装备与技术研究中心负责解释和修订。第六十四条本制度自印发之日起执行。