2024年信息化安全管理制度(3篇)

2024年信息化安全管理制度(3篇)

目录

第1篇高校信息化安全管理方案范本

第2篇信息化安全管理制度

第3篇信息化安全管理制度

高校信息化安全管理方案范本

在高校信息化应用日益深化的今天,信息和资源的整合日益密切,如何保障信息系统的持续稳定运行,确保信息安全是亟待解决的关键问题。从调研显示,目前我国高校网络系统存在许多安全问题,如:非授权访问、破坏数据完整性、干扰系统正常运行和利用网络传播病毒等,产生这些安全问题的原因在于:没有建立完善的网络系统安全体系;没有建立相应的安全组织、管理、技术机构;没有建立完备的网络系统安全措施。

本文从高校信息系统的需求出发,遵从风险管理的理念,在信息化战略规划的基础上,借鉴国际最佳实践经验,研究并实施高校信息化安全管理体系,为高校信息安全管理工作提供借鉴和参考。

规划信息化安全管理体系

分层次建立安全管理制度和手段

信息化安全管理体系规划是高校安全体系建立的第一步,目的是识别安全问题,明确安全管理的范围和内容,建立安全管理的组织管理机制,从管理和技术两个角度,分层次规划各环节的安全管理制度和技术防范手段,形成完整、可行的信息化安全管理体系。我们将高校信息化安全管理规划过程归纳为以下8个步骤:

1.建立安全管理组织:安全管理组织的成员由机构的战略影响者组成,包括来自行政、it、业务、安全、保卫、风险和规划部门的人员。

2.识别保护对象:识别学校目前的关注点、面临的风险及威胁,分析它们存在的原因,将分析结果纳入安全管理体系的规划中重点考虑。

3.评估现有措施:了解学校目前的安全管理措施并评估它们的效力。

4.考虑长期需要:安全整体规划应考虑长期的需要,具有一定的前瞻性,如长期的制度适应性、设备老化、安全人员的发展需要等。

5.纳入学校的建设规划:了解学校新建项目,如办公楼、教学楼、停车场等项目,是否会影响现有的物理安全规划,如有影响,将安全规划纳入学校建设规划中通盘考虑。

6.建立安全工作机制:形成文件化的制度体系和工作条例,明确各岗位的责任、应提供的服务和交付物,这些将有助于确保工作的落实和运作效率。

7.应对新老技术的混合:新技术的规划应考虑对老技术的冲击,新老技术的融合运用将是一个挑战。

8.关键设施重点布局:关键设施指校园中那些需要连续、可靠运行而又相互关联的复杂设施集合,这些设施的安全尤为重要,风险也最为突出。

体系框架的内容

上述的规划步骤从组织、管理和技术三方面较全面地考虑高校信息化安全管理的具体问题,有助于形成完整有效的信息化安全管理体系。图1是高校信息化安全管理体系整体框架,其中包括安全组织体系、安全管理体系和安全技术体系。

图1高校信息化安全管理体系

1.安全组织体系

它是确保信息安全工作贯彻和落实的基石,基本框架应包含决策、管理、运营和应用4个层次。决策层负责信息化安全管理体系的规划、管理制度的审定及重大事项的决策等;管理层负责信息化安全管理体系的实施、安全管理工作机制的研究制订、安全管理制度的贯彻和执行、日常安全管理的组织协调等;运营层具体负责机房、网络和服务器、数据库、信息系统的安全管理和维护;应用层即普通用户,职责包括严格按照系统操作手册正确使用信息系统,不得进行可能危害信息系统安全的操作,不得发布恶意信息等。

2.安全管理体系

它是整个安全管理体系有效运作和持续改进的保障,应在实践中逐步实现规章制度的文件化、工作机制的程序化和监控手段的系统化,基本框架具体包括安全制度的建立、建设与运营工作条例的建立、应急响应机制的建立、审计与评审机制的建立、安全教育与培训。

3.安全技术体系

该体系有力保障信息资源和应用系统免受外部攻击,基本框架由网络层安全技术、系统层安全技术和应用层安全技术构成。网络层安全技术包括防火墙、病毒防范、入侵检测、vpn等;系统层安全技术包括数据备份与恢复、数据库安全审计、应用系统监控、身份认证等;应用层安全技术包括权限管理、信息加密、桌面系统等。

信息化安全管理体系整改

上海财经大学经过多年的信息化建设,包括教学、学生、办公自动化、招生、人事、财务、公共数据平台、校园一卡通等一大批信息系统得到应用。随着应用的深化,系统中积累大量的业务数据和工作成果,这些信息对学校目前的管理乃至今后的发展都至关重要,因此,信息的安全问题也成为信息化工作的焦点。2009年起,在认真分析学校信息安全管理和技术两方面的问题和原因的基础上,学校从组织、管理、技术三方面入手进行一系列的整改,截至目前,已形成较为完善的组织体系、管理体系和技术体系。

完善信息安全管理的组织结构

2009年,学校对信息安全管理的组织结构进行重新梳理,形成包含决策、管理、维护和应用4个层次在内的较为完善的网络信息系统安全管理组织机构,工作职责更加明确。上海财经大学网络信息系统安全管理组织机构如图2。

图2财经大学网络信息系统安全管理组织机构

1.决策层:在信息化领导小组的职能中明确信息系统的安全管理职能,由信息化领导小组统一规划、部署和统筹资源。

2.管理层:组建安全工作小组作为信息化安全工作的执行机构,工作小组由信息化相关部门领导及专业技术人员和部分管理人员组成。

3.运营层:完善系统运营各岗位人员的工作职责,包括机房管理员、网络及服务器管理员、数据库管理员和信息系统管理员。

4.应用层:进一步明确应用层各院系、部门及用户的安全责任,与各院系、部门签订安全责任书,同时明确各院系、部门信息员的日常信息安全工作职责,使其成为信息安全工作的基础支持队伍。

形成文件化的信息安全整体策略

早在2008年,学校就着手组织制定《上海财经大学信息系统安全管理办法》、《上海财经大学信息系统建设管理办法》和《上海财经大学信息系统运行维护管理办法》,从场地与设施安全管理、设备安全管理、系统安全管理、信息安全管理、建设安全管理、运行维护安全管理和技术文档安全管理7个方面详细制定安全管理规定,并明确系统建设和系统运维过程中相关人员的工作流程和操作规范,为全校的信息系统安全管理提供依据。

2009年至2010年,针对信息安全问题突发性强的特点,为建立健全应急工作机制,提高信息系统安全突发事件的组织指挥和应急处置能力,最大限度地减轻突发事件造成的损失,学校完成《上海财经大学信息系统安全应急预案》的制定,并在it部门建立起突发事件应急响应工作机制。与此同时,为加强日常防控来减少突发事件的发生,学校it部门制定《运行维护工作条例》对硬件维护、操作系统维护、数据库维护和应用系统维护的各个环节的工作流程和操作规程进行更加详细的规定,并在工作中增加安全监控、安全检测、安全策略优化、安全审计等环节加强对信息系统的安全防护。

2010年初,为明确和建立学校的信息安全策略,为各部门制定操作规范和开展安全工作提供指导,学校制定《上海财经大学网络信息系统安全管理整体方案》,从信息安全组织体系、管理体系和技术体系3个层次,详细描述管理策略以及技术手段。该方案的出台极大地推动it部门管理制度的完善和技术改进,同时也促进各院系、部门内部安全管理的强化和人员安全意识的提高。

强化安全管理

信息安全是一项长期的工作,必须将其纳入信息系统的日常管理中常抓不懈,防患于未然。信息系统质量的内涵,除了系统功能和性能满足业务要求外,与信息系统安全有关的系统安全性、可靠性、可用性也是系统质量控制的范畴。主要采取的管理措施如下:

1.增加建设过程中的评审环节

在项目设计、开发阶段成果接近完成时,由项目组会同相关业务部门共同组织技术评审,包括对系统安全性的审查。评审以项目前期形成的方案、文档及学校的相关标准和规范为依据,对该阶段形成的方案、技术文档及系统进行审查、确认等工作,并形成评审结论。

2.进行内部测试和第三方测试

在项目验收前,除了由项目内部和业务部门参与的集成测试外,聘请专业的第三方测试机构进行测试。

3.安全检测与审计双管齐下,全方位监控安全事件

对应用系统和服务器进行每三个月一次的定期安全检测,有效消除潜在的安全隐患;定期进行应用系统的安全审计、数据库的安全审计、服务器的安全审计、配置管理的安全审计等,避免越权操作及数据泄漏事件的发生。

4.建立突发事件应急响应机制

基于《上海财经大学信息安全应急预案》,建立突发事件的应急响应机制,落实信息系统的服务级别管理,实行应急预案演练制度,建立预案库,在突发事件发生后形成处置报告,分析原因,改进工作。

5.加强安全意识宣传与教育

我们可以面向全校师生员工组织一系列的信息安全宣传和教育活动,包括组织面向学生和教师的信息安全知识竞赛活动,开展信息安全意识培训等,提高人员的安全防范意识,发挥人在信息安全对策中的主体作用。

加强技术防范,构筑安全堡垒

系统的日常建设与运行管理中,我们通过构建自动化防控系统来加强系统的安全防范,为应用系统和用户构筑起坚实的安全堡垒,具体措施包括:

1.搭建版本控制系统,确保开发中源代码的安全

在程序开发的过程中,需要多人同时参加和协作,通过搭建版本控制系统,记录系统建设过程中相关文档和源代码的变更过程,防止代码意外丢失、被覆盖等情况的出现。

2.构建三套独立环境,保证正式环境安全

将系统开发环境、系统测试环境和正式系统进行分离,确保开发阶段和测试阶段的工作不影响正式系统的使用。

3.建立备份与恢复机制,保护系统建设成果

建立本地及异地数据备份及恢复规范及方案,研发数据统一管理与备份的相关程序,对系统建设过程中的成果进行及时备份,防止因为误操作或机器故障导致数据丢失,切实保证数据的安全。

4.防火墙与入侵监测,构筑网络屏障

在internet和校园网之间以及校园网和信息系统服务器之间架设两层防火墙,防止校内外用户对服务器的攻击;部署网络分析系统,实时监控网络流量、网络攻击和病毒传播,为网络安全事件的定位和取证提供支持;禁止从公网访问关键信息系统,用户需要通过vpn加密链路才能实现从校外访问关键信息系统。

5.漏洞扫描与日志分析,促进应用安全的不断提升

在应用系统层,我们采用系统日志分析平台对应用进行日志分析,捕捉和定位异常事件;定期对应用服务执行漏洞扫描,对出现的sql注入、跨站脚本攻击、网页非法篡改、强制访问等系统安全风险及时进行分析和整改。

6.主动式监控及时追踪问题

自主完成服务器软硬件运行状态监控系统的开发,实现对服务器运行状态及各信息系统状态进行主动监听和预警;建立统一日志服务器,对所有系统的日志进行集中管理和备份,确保问题发生时通过日志进行定位和追踪。

所谓“三分技术,七分管理”,信息化安全管理问题需要从管理和技术两方面考虑和解决,依靠有效的组织保障、规范的管理流程、安全可靠的系统工具及技术的支撑,才能达到“以较小的代价利用有限资源控制安全风险”的目标,更好地保证信息化建设和应用的成果。

信息化安全管理制度

信息化安全管理包括机房管理和服务器管理两部分。机房、服务器的日常维护、操作都应有专门的信息管理人员负责,未经信息部门许可其他人员不得对随意进出机房、操作服务器。机房管理人员负责机房的日常检修、事故排查;

服务器管理员负责服务器的安装调试、例行维护、日常检查等工作。

炎炎夏日,尤其注意机房内线路排查,做好防火工作,服务器数据备份和系统备份。

一、机房安全管理

1.1机房严格执行门禁制度,未经信息部门允许,任何人不得擅自进入;

1.2机房内禁止堆放杂物,保证设备和办公桌面清洁、卫生、整齐;

1.3机房内禁止存放易燃易爆品;设备设施周围及上方不得堆放物品,特别是液体物品;

1.4机房内电气设备、供电线路必须由专职电工按规范安装;

1.5机房内禁止乱拉临时电源线;

1.6机房内的各类保险丝必须使用符合规定的保险丝,严禁使用铜、铁、铝线代替;

1.7长期使用的电器设备应对其发热情况进行检查,避免发生火灾;

1.8严格明火管理。明火作业必须有相关部门批准、核发“动火证”后方可施做;

1.9规范配备灭火器材,定期进行消防报警设施试验,严禁使用其他物品将烟感包裹,禁止吸烟;

1.10禁止携带食品进入机房,并定期灭鼠;

1.11机房内温度和湿度严格控制在:温度:18-25℃,相对湿度:60%—80%;

1.12机房值班人员要坚守岗位,早进入、晚离开时要检查设备情况,上班时密切监视网络的工作情况,防止黑客袭击,做好每天的数据备份,不得无故脱离岗位。下班时,要做好交接班记录,要对所有计算机的电源进行细致的检查,该关的要切断电源,离开时察看灯、门、窗、锁是否关闭好。双休日、节假日,要有专人值班,检查网络运行情况,如发现问题应及时解决,并做好记录处理,解决不了的要及时报告;

1.13不得随意合闸拉闸,不得同意不得擅自对程控交换机、核心交换机、路由器、服务器等设备设施进行停、断电;

1.14员工负责设备设施性能测试,及时排除故障,下班前必须做全面检查,不留安全隐患;

1.15机房内所有设备设施维护工作必须在计划内完成;计划外操作必须得到同意;

1.16不得利用职务之便拨打与工作无关的外线电话;

1.17未经批准,不得擅自关闭、重启各系统服务器、接口机;

1.18未经批准,不得随意开关外线;

1.19如遇紧急情况和突发事件必须在第一时间内通知主管人员;

二、服务器安全管理

1.1物理环境要求

1.1.1服务器须放置在机房或具备服务器运行相关条件的空间内。

1.1.2系统管理员应在每季度末对服务器进行一次硬件检测和除尘工作,并填写《服务器硬件检测记录单》(附录a)。

1.2软件环境要求

1.2.1无特殊情况,服务器要关闭网络文件与打印服务、qos、终端服务、授权服务、siteserverils服务、消息队列服务(msmq)、远程存储、证书服务等其他暂时不用的服务。

1.2.2服务器操作系统需设置安全策略,策略设定后要进行有效性检查,确保有效执行。

1.2.3服务器应禁用匿名/默认账户或严格限制访问权限。

1.2.4为了保证该服务器的运行效能和安全,除了安装解压缩、杀毒软件等必要的应用软件外,一般不安装其他非必要的软件,包括office等。

1.2.5服务器上至少要设置两个以上(含两个)的逻辑卷。

1.2.6服务器严禁安装游戏、聊天工具等与系统运行无关的程序及文件。

1.3服务器开关机

1.3.1各单位系统管理员负责服务器的开关机操作,操作完成后填写《服务器开关机记录表》(附录b)。

1.3.2除安装调试或者例行维护外,服务器不得频繁开关机。服务器维护应安排在非工作时间段进行。

1.3.3服务器在出现严重故障非重起不能解决时,系统管理员应及时通知服务器用户,在用户保存完正在操作的数据后方可中断数据库连接并进行重起操作。

1.4日志管理

1.4.1系统管理员应在每周末检查服务器的“事务日志”,发现有“严重错误”的,必须立即检查并排除故障,服务器所有日志在得到“事务已经满”提示的情况下,必须立即备份到制定目录下,事务日志备份完毕应立即清空。

1.4.2服务器日志至少保留半年,只允许授权用户访问,且不能进行修改。

1.5磁盘检查

1.5.1系统管理员应在每周末检查服务器的磁盘情况,如果发现磁盘的使用容量超过70%以上时,应及时删除不必要的文件腾出磁盘空间,必要时申购新的磁盘。

1.5.2服务器外出维修时系统管理员必须删除磁盘数据。

1.5.3系统管理员在每月末对服务器进行磁盘碎片整理工作。

1.6病毒和补丁管理

1.6.1为保障服务器性能,工作时间段内一般不进行查杀病毒和安装补丁的操作。

1.6.2每日22:00设置服务器自行查杀病毒。

1.6.3服务器杀毒软件的病毒库应设置为自动更新。

1.6.4在得知有重大病毒流行时应立即确认病毒库是否为最新且是否有效防护,如果病毒库不能有效防护应下载相关专杀工具或进行相关技术处理。

1.6.5系统管理员应在每月末登陆操作系统厂商网站查看是否有最新的更新通知,在得知有最新的安全漏洞时,应下载经测试后在非工作时间段内安装补丁。对于重大的安全漏洞应第一时间进行更新。

1.7故障管理

1.7.1服务器的故障包括:软件故障,硬件故障,入侵与攻击,其他不可预料的未知故障等。应建立服务器故障记录,当出现服务器故障,系统管理员对故障现象及解决过程进行详细记录,填写《服务器故障处理记录单》(附录c)

1.7.2当服务器出现硬件故障时,系统管理员应立即通知服务器厂商,并督促和配合厂商工作人员尽快维修或更换相关配件。

1.7.3对于不能尽快处理的故障,系统管理员应立即通过电话通知上级主管领导,并保护好故障现场。

1.8相关记录文档

1.8.1《服务器硬件检测记录单》保存期3年

1.8.2《服务器开关记录表》保存期3年

1.8.3《服务器故障处理记录单》保存期3年

信息化安全管理制度

第一张:总则

第一条,为加强信息化安全规范化管理,有效提高信息化管理水平,防止失密、泄密时间的发生。根据有关文件规定,特制定本制度。

第二条,本制度所指信息化系统包括医院管理系统、办公自动化、妇幼卫生统计直报系统,疫情直报系统、儿童免疫规划直报系统等。

第三条,信息安全是指为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。

第二章环境和设备

第四条机房安全

1、有服务器的单位要检录独立的机房。

2、机房应设置在独立的房间,环境相对安静的地段。

3、机房内门窗应增设防盗(防盗门、铁栅栏等)、防火(灭火器)措施。

4、未经网络管理员允许.任何人员不得进入机房,不得操作机房任何设备。

5、除网络服务器和联网设备外,工作人员离开机房时,必须关掉其它设备电源和照明电源。

6、严禁使用来历不明或无法确定其是否有病毒的存储介质。

第五条两个或两个以上专用网络(医院内部管理网、妇幼卫生统计直报系统)的单位,互联网与各个专用网络之间不能相通,必须专网专机管理。

第六条电脑实行专人专管,任何人不得在不经电脑使用人许可的情况下擅自动用他人电脑。如遇电脑使用人外出,则须在征得该电脑使用人所在的科室领导或相关领导的同意后方可使用。

第七条计算机名称、lp地址由网管中心统一登记管理,如需变更,由网管中心统一调配。

第八条pc机(个人使用计算机)应摆设在相对通风的环境,在不使用时,必须切断电源。

第九条开机时,应先开显示器再开主机:关机时,应在退出所有程序后,先关主机,再关显示器。下班时,应在确认电脑被关闭后,方可离开单位。

第十条更换电脑时,要做好文件的拷贝工作,同时在管理人员的协助下检查电脑各方面是否正常。

第十一条离职时,应保证电脑完好、程序正常、文件齐全,接手人在确认文件无误后方可完善手续。

第三章软件与网络

第十二条禁止在工作时间内利用电脑做与工作无关的事情,如网上聊天、浏览与工作内容无关的网站、玩电脑游戏等。禁止在电脑上安装任何游戏软件。

第十三条外来存储介质在本单位内计算机上使用时,必须进行杀毒处理后方可使用。

第十四条为防止恶意代码植入系统,预防计算机病毒感染.在收到不明来历的电子邮件时应注意不要随意打开,并立即予以删除。

第十五条上网用户不得利用网络危害国家安全、泄露国家机密,不得侵犯国家、社会、单位、集体的利益和公民合法权益,不得从事违法犯罪活动。

第十六条上网用户不得在任何网络上制作、复制和传播下列信息

(一)煽动抗拒、破坏宪法和法律、行政法规实施:

(二)煽动颠覆国家政权推翻社会主义制度:

(三)煽动分裂国家、破坏国家统一:

(四)煽动民族仇恨、民族歧视,破坏民族团结:

(五)捏造或者歪曲事实,散布谣言.扰乱社会秩序:

(六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪:

(七)公然悔辱他人或者捏造事实诽谤他人:

(八)损害形象和利益:

(九)其他违反宪法和法律、

第十七条上网用户不得从事下列危害计算机信息网络安全的活动

(一)未经允许,对自己或他人的计算机网络功能进行删除、修改或者增加;

(二)未经允