系統(tǒng)安全管理制度

系統(tǒng)平安管理制度文檔信息單位名稱煙臺市教育裝備與技術(shù)研究中心文檔名稱系統(tǒng)平安管理制度文檔編號YTEDU-CS-4.14受控狀態(tài)受控文件擴(kuò)散范圍內(nèi)部使用制作人尹磊審核人姜靜批準(zhǔn)人冷作福頁數(shù)共7頁發(fā)布日期生效日期2018.10.10版本歷史系統(tǒng)平安管理制度版本日期說明修訂人1.02018.10.10創(chuàng)立文件尹磊2.02019.07.17修訂尹磊第一章總那么第一條為加強(qiáng)煙臺市教育城域網(wǎng)系統(tǒng)管理工作，保障系統(tǒng)的規(guī)范化建設(shè)和平安穩(wěn)定運(yùn)行,制定本制度。第二條本制度所稱信息系統(tǒng)是指計算機(jī)業(yè)務(wù)系統(tǒng)及其支持系統(tǒng)。第三條信息平安管理工作的指導(dǎo)方針是預(yù)防為主、平安第一、依法辦事、綜合治理。預(yù)防為主是信息平安管理工作的基本方針。第四條本文件適用各類系統(tǒng)運(yùn)行管理。第二章系統(tǒng)規(guī)劃與立項的平安管理第五條計算機(jī)信息系統(tǒng)的規(guī)劃和建設(shè)應(yīng)同步做好系統(tǒng)平安保護(hù)工作，以確保系統(tǒng)平安目標(biāo)的實(shí)現(xiàn)。第六條計算機(jī)信息系統(tǒng)應(yīng)采取與業(yè)務(wù)平安等級要求相應(yīng)的平安機(jī)制，在平安防護(hù)方面應(yīng)符合以下基本平安要求：（一）采取必要的技術(shù)手段，建立嚴(yán)密的平安管理控制機(jī)制，保證數(shù)據(jù)信息在處理、存儲和傳輸過程中的完整性和平安性，防止數(shù)據(jù)信息被非法使用、修改和復(fù)制；（二）提供完整的數(shù)據(jù)備份和恢復(fù)功能，能方便的根據(jù)系統(tǒng)和數(shù)據(jù)的備份介質(zhì)進(jìn)行災(zāi)難恢復(fù)；（三）具有嚴(yán)格的用戶和密碼管理，能對不同級別的用戶進(jìn)行有限授權(quán)，特別應(yīng)嚴(yán)格限制和分流特權(quán)用戶的權(quán)限，防止非法用戶的侵入和破壞；（四）重要計算機(jī)信息系統(tǒng)應(yīng)設(shè)置審計監(jiān)控程序，具有身份識別和實(shí)體認(rèn)證功能。能夠自動記錄操作人員的重要操作，具有防止抵賴機(jī)制；（五）涉密信息系統(tǒng)的平安設(shè)計應(yīng)符合涉密信息保密管理的有關(guān)規(guī)定。第七條重要計算機(jī)信息系統(tǒng)立項的平安管理實(shí)行審批制度。對工程管理部門初審合格的工程申報材料，煙臺市教育裝備與技術(shù)研究中心應(yīng)進(jìn)行平安性專項審查，提出審查意見后由工程管理部門最后審批。第八條工程申報材料在符合電子化工程管理規(guī)定有關(guān)要求的同時，還應(yīng)包括以下與信息系統(tǒng)平安有關(guān)的內(nèi)容：（一）業(yè)務(wù)主管部門對保證業(yè)務(wù)正常開展的平安需求;（二）系統(tǒng)的平安性指標(biāo)；（三）系統(tǒng)運(yùn)行平臺的平安性要求；（四）系統(tǒng)采取的平安策略、平安保護(hù)措施及其平安功能設(shè)計；（五）涉密信息系統(tǒng)的申報還應(yīng)取得保密主管部門的同意。第九條對沒有通過煙臺市教育裝備與技術(shù)研究中心審查的工程，工程管理部門不得予以立項。第三章系統(tǒng)開發(fā)的平安管理第十條計算機(jī)信息系統(tǒng)的開發(fā)必須符合軟件工程規(guī)范，并在軟件開發(fā)的各階段按照平安管理目標(biāo)進(jìn)行管理和實(shí)施。第十一條計算機(jī)信息系統(tǒng)的開發(fā)人員或參加開發(fā)的協(xié)作單位應(yīng)經(jīng)過嚴(yán)格資格審查，并簽訂保密協(xié)議書，承諾其負(fù)有的平安保密責(zé)任和義務(wù)。第十二條計算機(jī)信息系統(tǒng)的開發(fā)環(huán)境和現(xiàn)場應(yīng)當(dāng)與生產(chǎn)環(huán)境和現(xiàn)場隔離，測試數(shù)據(jù)不得直接使用生產(chǎn)環(huán)境數(shù)據(jù)。第十三條計算機(jī)信息系統(tǒng)開發(fā)完成后，開發(fā)人員或參加開發(fā)的外部單位應(yīng)及時移交程序源代碼及其相關(guān)技術(shù)文檔。第十四條計算機(jī)信息系統(tǒng)采用的關(guān)鍵平安技術(shù)措施和核心平安功能設(shè)計不得進(jìn)行公開學(xué)術(shù)交流或發(fā)表。第十五條計算機(jī)信息系統(tǒng)軟件開發(fā)完成后，須提交業(yè)務(wù)部門進(jìn)行整體功能性測試；第十六條計算機(jī)信息系統(tǒng)軟件開發(fā)實(shí)行平安審計制度，由煙臺市教育裝備與技術(shù)研究中心牽頭組織平安審計。第十七條對計算機(jī)信息系統(tǒng)實(shí)行外包開發(fā)的，除了明確知識產(chǎn)權(quán)、保密、服務(wù)等責(zé)任外，還應(yīng)對軟件程序進(jìn)行必要的代碼檢查和平安審計。第四章系統(tǒng)平安的評估與審批第十八條計算機(jī)信息系統(tǒng)投入運(yùn)行前，應(yīng)向煙臺市教育裝備與技術(shù)研究中心提出平安評估和審批申請，并報送以下材料：（-）系統(tǒng)的用途、總體結(jié)構(gòu)及軟硬件配置等基本情況；（二）關(guān)于系統(tǒng)平安需求、平安策略、平安性指標(biāo)、平安保護(hù)措施以及平安功能設(shè)計等情況的說明；（三）系統(tǒng)平安性測試提綱和測試報告。第十九條煙臺市教育裝備與技術(shù)研究中心應(yīng)當(dāng)對計算機(jī)信息系統(tǒng)主管部門報送的書面材料進(jìn)行平安性測試、認(rèn)證。第二十條對信息系統(tǒng)的平安評估應(yīng)當(dāng)包括以下內(nèi)容：（一）系統(tǒng)的平安策略；（二）系統(tǒng)的平安措施；（三）系統(tǒng)平安功能的實(shí)現(xiàn)程度；（四）系統(tǒng)運(yùn)行的穩(wěn)定性、可靠性；（五）系統(tǒng)運(yùn)行平臺的平安可靠性。第二十一條煙臺市教育裝備與技術(shù)研究中心應(yīng)對測試、認(rèn)證的信息系統(tǒng)提出平安評估報告。第二十二條對符合平安運(yùn)行要求的信息系統(tǒng)，方可投入運(yùn)行。對不能保證平安運(yùn)行的，經(jīng)修改完善后另行申報評估。第二十三條對尚未經(jīng)過平安審批但已經(jīng)投入使用的計算機(jī)信息系統(tǒng)，煙臺市教育裝備與技術(shù)研究中心應(yīng)要求其使用部門報送系統(tǒng)平安建設(shè)情況書面材料，并按照上述程序進(jìn)行安全評估和審批。第五章系統(tǒng)使用與廢止的平安管理第二十四條計算機(jī)信息系統(tǒng)投入使用時業(yè)務(wù)部門應(yīng)當(dāng)建立相應(yīng)的操作規(guī)程和平安管理制度，以防止各類平安事故的發(fā)生。第二十五條計算機(jī)信息系統(tǒng)使用人員應(yīng)嚴(yán)格按照操作規(guī)程和有關(guān)平安管理制度進(jìn)行操作，保證系統(tǒng)平安運(yùn)行。第二十六條對計算機(jī)信息系統(tǒng)在運(yùn)行過程中出現(xiàn)的異?，F(xiàn)象，以及有關(guān)平安制度在執(zhí)行過程中出現(xiàn)的問題，操作人員有責(zé)任向部門領(lǐng)導(dǎo)報告。第二十七條計算機(jī)信息系統(tǒng)的使用部門應(yīng)當(dāng)加強(qiáng)對計算機(jī)系統(tǒng)運(yùn)行環(huán)境的管理，加強(qiáng)對計算機(jī)病毒的防治，保證系統(tǒng)平安運(yùn)行。第二十八條計算機(jī)信息系統(tǒng)的使用部門應(yīng)當(dāng)嚴(yán)格用戶和密碼（口令）的管理，嚴(yán)格控制各級用戶對數(shù)據(jù)的訪問權(quán)限。第二十九條計算機(jī)信息系統(tǒng)應(yīng)定期進(jìn)行數(shù)據(jù)備份，對備份介質(zhì)應(yīng)按有關(guān)規(guī)定指定專人妥善保管，重要業(yè)務(wù)系統(tǒng)的備份介質(zhì)必須異地保存。第三十條重要計算機(jī)信息系統(tǒng)應(yīng)當(dāng)制定信息平安保護(hù)的應(yīng)急計劃，保證業(yè)務(wù)的不間斷運(yùn)行。第三十一條重要計算機(jī)信息系統(tǒng)應(yīng)嚴(yán)格執(zhí)行保密管理的有關(guān)規(guī)定，確保國家秘密的安全。第三十二條對計算機(jī)信息系統(tǒng)使用部門及有關(guān)操作人員報告的平安問題，煙臺市教育裝備與技術(shù)研究中心應(yīng)當(dāng)認(rèn)真受理并及時反應(yīng)處理意見。第三十三條計算機(jī)信息系統(tǒng)的廢止實(shí)行備案制度，退出使用應(yīng)向煙臺市教育裝備與技術(shù)研究中心報告并備案。第三十四條對廢止的計算機(jī)信息系統(tǒng)，在業(yè)務(wù)規(guī)定的保存期限內(nèi)應(yīng)當(dāng)對軟硬件和數(shù)據(jù)備份媒體妥善加以保管。第五章系統(tǒng)運(yùn)行平安管理第一節(jié)系統(tǒng)平安運(yùn)行基本要求第三十五條計算機(jī)信息系統(tǒng)的使用部門應(yīng)建立《系統(tǒng)運(yùn)行維護(hù)日志》，記錄運(yùn)行和維護(hù)過程中的事件、處理過程和處理結(jié)果等信息。第三十六條計算機(jī)信息系統(tǒng)的運(yùn)行場所應(yīng)滿足相應(yīng)的平安等級要求。第三十七條計算機(jī)信息系統(tǒng)應(yīng)配備必要的計算機(jī)病毒防范工具。第三十八條重要計算機(jī)信息系統(tǒng)應(yīng)配備必要的備份設(shè)備和設(shè)施。第三十九條信息平安員經(jīng)煙臺市教育裝備與技術(shù)研究中心批準(zhǔn)，可對網(wǎng)絡(luò)進(jìn)行平安檢測、掃描和評估，網(wǎng)絡(luò)管理人員須對檢測、掃描和評估的過程給予協(xié)助和監(jiān)督。嚴(yán)禁未經(jīng)煙臺市教育裝備與技術(shù)研究中心批準(zhǔn)的單位和個人對網(wǎng)絡(luò)進(jìn)行平安檢測和掃描。第二節(jié)系統(tǒng)數(shù)據(jù)的平安管理第四十條煙臺市教育裝備與技術(shù)研究中心應(yīng)按規(guī)定進(jìn)行數(shù)據(jù)備份，并定期檢查備份數(shù)據(jù)的有效性。第四十一條應(yīng)對備份數(shù)據(jù)統(tǒng)一編號，并標(biāo)明備份日期、密級及保密期限。第四十二條應(yīng)對備份定期進(jìn)行檢查，確保數(shù)據(jù)的完整性、可用性。第四十三條應(yīng)建立備份介質(zhì)的銷毀審批登記制度，并采取相應(yīng)的平安銷毀措施。第四十四條重要計算機(jī)信息系統(tǒng)所用計算機(jī)設(shè)備的維修，應(yīng)保證數(shù)據(jù)信息的完整性和安全性。在維修過程中不得泄露涉密數(shù)據(jù)信息。第四十五條重要計算機(jī)信息系統(tǒng)使用的計算機(jī)設(shè)備更換或報廢時，應(yīng)徹底清除相關(guān)業(yè)務(wù)信息，并撤除所有相關(guān)的涉密配件，由使用部門登記封存。第三節(jié)系統(tǒng)運(yùn)行平臺的平安管理第四十六條系統(tǒng)管理人員應(yīng)合理配置操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)所提供的平安審計功能,以到達(dá)相應(yīng)平安等級標(biāo)準(zhǔn)。第四十七條系統(tǒng)管理人員應(yīng)屏蔽與應(yīng)用系統(tǒng)無關(guān)的所有網(wǎng)絡(luò)功能，防止非法用戶的侵入。第四十八條系統(tǒng)管理人員應(yīng)及時安裝正式發(fā)布的系統(tǒng)補(bǔ)丁，修補(bǔ)系統(tǒng)存在的平安漏洞。第四十九條系統(tǒng)管理人員應(yīng)啟用系統(tǒng)提供的審計功能，監(jiān)測系統(tǒng)運(yùn)行日志，掌握系統(tǒng)運(yùn)行狀況。第五十條系統(tǒng)管理人員不得泄露操作系統(tǒng)、數(shù)據(jù)庫的系統(tǒng)管理員賬號、密碼。第五十一條聯(lián)網(wǎng)設(shè)備的IP地址及網(wǎng)絡(luò)參數(shù)，必須按照網(wǎng)絡(luò)管理規(guī)范及其業(yè)務(wù)應(yīng)用范圍進(jìn)行設(shè)置，非系統(tǒng)管理人員不得修改。第四節(jié)口令密碼、密鑰平安管理第五十二條計算機(jī)信息系統(tǒng)關(guān)鍵人員的口令密碼編制應(yīng)具有一定的復(fù)雜性，對記錄密碼的載體應(yīng)嚴(yán)格管理，確保其物理平安。第五十三條計算機(jī)信息系統(tǒng)關(guān)鍵崗位人員的口令密碼，應(yīng)定期或不定期進(jìn)行更換，獨(dú)享使用，不得泄露。第五十四條應(yīng)用密鑰保障信息平安時，對所用密鑰生命周期的全過程（產(chǎn)生、存儲、分配、使用、廢除、歸檔、銷毀）應(yīng)實(shí)施嚴(yán)格的平安保密管理。第五十五條密鑰必須作為絕密數(shù)據(jù)由專人保管。密鑰必須通過機(jī)要渠道傳遞或采用加密通信方式網(wǎng)內(nèi)分配。第五十六條密鑰必須定期更換，對已泄漏或懷疑泄漏的密鑰必須及時廢除。舊密鑰必須平安歸檔，并在平安管理負(fù)責(zé)人的嚴(yán)格監(jiān)督下，由管理責(zé)任人定期銷毀。第五十七條密鑰備份是針對主要密碼設(shè)備和保密工作人員的意外事件而采取的必要措施，密鑰副本的保存必須是物理平安的。必須有在緊急情況下銷毀密鑰的手段和措施，以防密鑰喪失。第五節(jié)系統(tǒng)文檔平安管理第五十八條網(wǎng)絡(luò)參數(shù)配置文檔、重要計算機(jī)信息系統(tǒng)詳細(xì)開發(fā)資料及其源程序等核心技術(shù)文檔，由煙臺市教育裝備與技術(shù)研究中心嚴(yán)格管理。第五十九條系統(tǒng)核心技術(shù)文檔資料的外借應(yīng)有審批手續(xù)和記錄，借閱人不得轉(zhuǎn)借給他人,不得復(fù)制、泄露和引用具體內(nèi)容。第六節(jié)系統(tǒng)的平安監(jiān)測第六十條平安人員要經(jīng)常監(jiān)測、分析計算機(jī)信息系統(tǒng)運(yùn)行