中国音乐学院信息系统安全管理办法

中国音乐学院 信息系统安全管理办法

 

一、总则

第一条 为全面加强我院信息系统的网络安全和信息安全，使我院的网络资源、信息资源得到有效的保护，避免窃密和泄密事件的发生，依据国家有关法律、法规，制定本管理办法。

第二条 信息系统是指由计算机及其相关和配套设备、设施（含网络）构成的，按照一定应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

第三条 本办法适用我院所有信息系统。

二、职责划分

第四条 网络信息中心负责全校的信息系统安全监测和隐患排查等工作，定期组织开展安全监测及安全培训等工作，并提供相应的技术支持。

第五条 按照“谁主办谁负责、谁运行谁负责、谁使用谁负责”原则，各部门负责本部门信息系统的安全工作，并根据网络信息中心出具的监测报告进行整改，信息系统及相关资料交由网络信息中心备案。

三、安全措施

第六条 网络安全

（一）信息系统的规划、设计和实施必须满足安全运行和信息保密的需要。

（二）信息系统建设过程中，必须同步设计和实施网络与信息安全系统。

（三）信息系统所采用的网络和信息安全产品，必须有国家认可的相关机构的测评认证，并履行相关的审批手续。

第七条 系统安全

（一）信息系统相关的网络设备、服务器设备、网络操作系统、数据库管理系统在安装、调试完毕后，必须有准确无误的系统安装、配置文档，该文档除由专人统一妥善保管外，还应在网络信息中心进行备案。

（二）管理员在修改和调整以上设备和系统的配置参数后，要及时、准确地做好操作记录，并妥善保管。

（三）管理员应定期修改和更换以上设备和系统的系统口令和管理口令，并做好记录，妥善保管。

（四）管理员要经常检查设备和系统的漏洞，及时升级系统和安装补丁程序，消除系统和设备的潜在安全隐患。

第八条 应用安全

（一）信息系统的设计、开发要确保系统的用户访问权限、帐号和口令具有可管理性。管理员要确保用户权限分配合理，帐号口令设置严密，并定期对帐号、口令进行更改，以增加应用系统的安全性。

（二）管理员要定期对应用系统的管理员帐号、用户帐号进行检查，确保帐号设置的有效性和唯一性，确保访问权限的资源分配合理、正确。

第九条 数据安全

管理员对数据库服务器的数据管理要制定一套完善的数据备份和数据恢复的整体方案。重要数据至少采用两种以上不同的数据备份方法和技术手段，对数据进行备份。

第十条 内容安全

（一）涉密信息系统计算机禁止与互联网或其他公共信息网络连接。

（二）禁止使用互联网、互联网邮箱、即时通信工具等处理、传递、转发涉密或敏感信息。

（三）通过信息系统向网络发布信息时，应采取身份鉴别、访问控制等防护技术措施。

（四）网络信息发布工作应有领导分管，专人负责实施，并做到先审查后发布。

第十一条 文档、资料保密

（一）各部门要落实专人对管理信息系统的技术文挡、资料、程序代码等进行集中、妥善保管，资料的内部借阅和使用要履行部门主管审批手续，并做好借阅和使用记录。

（二）技术文挡、资料的对外借阅必须报主管领导的审批。

第十二条 防病毒安全

信息系统要具备网络防病毒能力，保证网络杀毒软件的及时自动更新。管理员要及时检查和跟踪网络杀毒软件的运行效果。

第十三条 培训

网络信息中心将定期开展安全培训，通过普及计算机信息安全知识，提高计算机网络用户的防病毒意识，合法、规范使用计算机软件和信息资源，提高网络系统抵御计算机病毒的整体安全性。

第十四条 学院职工应当遵守国家有关法律、法规，不得制作、复制、发布和传播含有以下内容的信息：违反国家宪法所规定的信息，危害国家安全、泄露国家秘密、颠覆国家政权、破坏国家统一的信息，损害国家荣誉和利益的信息，煽动民族仇恨、民族歧视，破坏民族团结的信息，散布淫秽、色情、赌博、暴力、凶杀、恐怖或教唆犯罪的信息，欺辱或诽谤他人、侵害他人合法权益的信息，含有法律、行政法规禁止的其他内容的信息。

第十五条 未经网络管理人员许可，校内师生不得进行任何干扰网络运行和使用的以下行为：私自修改网络配置参数，非法访问和盗用网络系统的信息资源，利用黑客工具和其他专用工具软件对网络系统进行攻击，其他干扰网络运行的行为，国家法律、学院规章禁止的行为。

四、附则

第十六条 本管理办法由网络信息中心负责解释。

第十七条 本实施细则自公布之日起执行。