长沙商贸旅游职业技术学院
信息系统运行安全管理办法
第一章 总则
第一条 为进一步加强我校信息系统安全运行管理,确保各类信息系统稳定、安全、高效运行,根据国家、教育部及各级主管部门发布的政策文件和技术标准,结合我校信息系统运维管理的实际情况,制定本办法。
第二条 实训与信息技术管理处作为学校信息化规划建设的管理部门,负责学校信息系统运维体系的总体规划、建设和管理。各使用部门的党政主要负责人是相关系统安全运行管理的第一责任人。
第三条 各类信息系统运行期间,使用部门须依据学校安排做好信息系统安全等级保护工作,包括安全等级变更备案与安全测评,不符合要求的须在指定期间内完成整改建设工作,使之持续具备与其安全等级相适应的网络安全防范能力。
第四条 信息系统日常运行维护须从物理安全、网络安全、主机安全、应用安全、数据安全与备份恢复及安全管理措施等方面加强安全管理。
第二章 物理安全
第五条 校内建设信息系统主要运行设施应严格按《长沙商贸旅游职业技术学院机房安全管理办法》相关要求加强管理,保障信息系统运行环境物理安全。
第六条 系统使用部门需编制并保存与信息系统相关的设施清单,根据设施特点制定相应的日常巡查管理办法,通过巡查及时发现相关设施安全隐患并及时排除,保障信息系统相关设施安全运行。
第三章 网络安全
第七条 保障系统运行的网络结构安全合理,关键网络设备的业务处理能力满足系统运行需要,保证接入网络带宽满足系统运行需要。
第八条 确保系统具有合理的访问控制措施。在网络边界部署访问控制设备,启用访问控制功能。
第九条 保证系统所用网络设备得到有效防护。登录密码符合安全要求的长度和复杂程度。当需要对网络设备进行远程管理时,应采取必要措施防止信息在网络传输过程中被截取。
第四章 主机(虚机)安全
第十条 应对登录主机(虚机)操作系统和数据库系统的用户进行身份标识和鉴别。
第十一条 主机(虚机)访问控制。应启用访问控制功能,依据安全策略控制用户对资源的访问。应限制默认帐户的访问权限,重命名系统默认帐户,修改默认口令。应及时删除多余的、过期的帐户,避免共享帐户的存在。
第十二条 入侵和计算机病毒防范。操作系统应遵循最小安装的原则,按需安装组件和应用程序,并保持系统补丁及时得到更新。主机(虚机)应安装防计算机病毒软件或防毒组件,并及时更新软件版本和病毒特征库。
第十三条 根据安全要求设置登录终端的操作超时锁定策略,
限制单个用户对系统资源的最大或最小使用限度。
第五章 应用安全
第十四条 系统身份鉴别机制。信息系统应提供专用的登录控制模块对登录用户进行身份标识和鉴别;提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;启用身份鉴别和登录失败处理功能,并根据安全策略配置相关参数。
第十五条 访问控制机制。信息系统应提供访问控制功能,控制用户组、用户对系统功能和用户数据的访问;应由授权主体配置访问控制策略,并严格限制默认用户的访问权限。
第六章 数据安全及备份恢复
第十六条 采用密码技术确保信息系统重要数据在传输过程中的完整性、在系统中的可用性以及符合特定要求的保密性。
第十七条 应根据数据的重要性及其对系统运行的影响,制定数据的备份策略和恢复策略,备份策略指明备份数据的放置场所、文件命名规则、介质和数据传输方法。
第十八条 信息系统应提供自动保护功能,当故障发生时自动保护当前所有状态,保证系统能够进行恢复。
第十九条 应建立控制数据备份和恢复过程的程序,对备份过程进行记录,所有文件和记录应妥善保存。
第二十条 根据信息系统的备份技术要求,制定相应的应急预案与灾难恢复计划,并对其进行测试以确保各个恢复规程的正确性和计划整体的有效性,测试内容包括运行系统恢复、人员协调、备用系统性能测试、通信连接等,根据测试结果,对不适用的规定进行修改或更新。
第七章 安全管理措施
第二十一条 信息系统运行期间应根据《长沙商贸旅游职业技术学院网络安全人员管理办法》结合系统实际配备信息系统安全运维所需的管理人员并加强人员管理。
第二十二条 信息系统投入运行、网络系统接入和重要资源的访问等关键活动应进行审批、记录。
第二十三条 应对网络设备、主机系统和信息系统进行定期安全漏洞检测评估,及时修补漏洞,整改加固安全防护措施。
第二十四条 应定期对信息系统运行日志和审计数据进行分析,以便及时发现异常情况,采取措施调整纠正。
第二十七条 信息系统应使用符合国家密码管理规定的密码技术或产品。
第二十八条 信息系统重大变更,应制定相应的变更方案,报主管领导审批后方可实施变更,并在实施后向相关业务人员通告。
第二十九条 信息系统运行期间如发生网络安全事件,应按照《长沙商贸旅游职业技术学院网络安全管理办法》、《长沙商贸旅游职业技术学院网络安全事件报告和处置管理办法》规定进行报告处置。
第八章 附则
第三十条 本办法由长沙商贸旅游职业技术学院实训与信息技术管理处负责解释。
第三十一条 本办法自公布之日起实施。