校信息安全管理制度匯編

XXX學(xué)校

信息安全管理制度匯編

（2016年修訂）

目錄

XXX學(xué)校信息安全工作總體規(guī)定（試行）...................................................1

第一章總則.........................................................................1

第二章方針、目標(biāo)和原則...........................................................1

第三章總體安全策略................................................................3

第四章信息安全總體框架..........................................................10

第五章附則........................................................................11

XXX學(xué)校信息安全制度管理規(guī)定（試行）..................................................12

第一章總則........................................................................12

第二章制度建設(shè)組織管理..........................................................13

第三章制度建設(shè)規(guī)劃與年度計(jì)劃....................................................13

第四章制度起草...................................................................14

第五章審查與批準(zhǔn).................................................................15

第六章修訂與廢止.................................................................16

第七章附則........................................................................17

xxx學(xué)校信息系統(tǒng)“三員”管理規(guī)定（試行）.................................................21

第一章總則........................................................................21

第二章系統(tǒng)管理員職責(zé).............................................................21

第三章安全管理員職責(zé).............................................................22

第四章安全審計(jì)員職責(zé)............................................................23

第五章AB角工作制度.............................................................23

第六章附則........................................................................24

xxx學(xué)校信息系統(tǒng)安全檢查規(guī)定（試行）..................................................25

第一章總則........................................................................25

第二章實(shí)施細(xì)則...................................................................25

第三章附則........................................................................26

xxx學(xué)校人員信息安全管理規(guī)定（試行）..................................................35

第一章總則........................................................................35

第二章內(nèi)部工作人員管理..........................................................35

第三章外部相關(guān)人員管理..........................................................36

第四章附則........................................................................36

xxx學(xué)校信息安全教育和培訓(xùn)管理規(guī)定（試行）............................................40

2

第一章總則.......................................................................40

第二章信息安全教育、培訓(xùn)、考核.................................................40

第三章附則.......................................................................41

xxx學(xué)校信息化建設(shè)項(xiàng)目需求管理辦法（試行）...........................................42

第一章總則.......................................................................42

第二章信息化建設(shè)項(xiàng)目的確立......................................................43

第三章需求方案編制與提交........................................................43

第四章需求方案審核...............................................................44

第五章需求方案變更管理..........................................................45

第六章附則.......................................................................45

xxx學(xué)校信息化建設(shè)項(xiàng)目合同管理辦法（試行）...........................................49

第一章總則.......................................................................49

第二章合同訂立...................................................................49

第三章合同履行...................................................................51

第四章合同管理...................................................................51

第五章風(fēng)險(xiǎn)責(zé)任...................................................................52

第六章附則........................................................................52

xxx學(xué)校信息化建設(shè)項(xiàng)目組織實(shí)施管理辦法（試行）.......................................53

第一章總則.......................................................................53

第二章系統(tǒng)開發(fā)...................................................................53

第三章系統(tǒng)測(cè)試...................................................................54

第四章試點(diǎn)推廣...................................................................55

第五章維護(hù)升級(jí)...................................................................55

第六章附則........................................................................56

xxx學(xué)校信息化建設(shè)項(xiàng)目監(jiān)督檢查管理辦法（試行）.......................................57

第一章總則.......................................................................57

第二章職責(zé)分工...................................................................57

第三章項(xiàng)目監(jiān)督檢查內(nèi)容..........................................................58

第四章監(jiān)督檢查方式...............................................................59

第五章責(zé)任追究...................................................................60

第六章附則........................................................................60

xxx學(xué)校信息化建設(shè)項(xiàng)目驗(yàn)收管理辦法（試行）............................................61

第一章總則.......................................................................61

第二章驗(yàn)收前期準(zhǔn)備.........................................................62

第三章驗(yàn)收內(nèi)容.............................................................63

第四章驗(yàn)收程序.............................................................64

第五章驗(yàn)收結(jié)論.............................................................66

第六章附則.................................................................67

xxx學(xué)校信息化建設(shè)項(xiàng)目資金管理辦法（試行）........................................75

第一章總則.................................................................75

第二章預(yù)算管理.............................................................76

第三章資金支付管理.........................................................77

第四章財(cái)務(wù)決算管理.........................................................77

第五章資產(chǎn)管理.............................................................78

第六章監(jiān)督檢查.............................................................78

第七章附則.................................................................79

xxx學(xué)校信息化建設(shè)項(xiàng)目績(jī)效考評(píng)管理辦法（試行）....................................81

第一章總則.................................................................81

第二章考評(píng)分類和方法.......................................................82

第三章考評(píng)內(nèi)容和指標(biāo).......................................................83

第四章考評(píng)的組織實(shí)施.......................................................84

第五章考評(píng)的工作程序.......................................................85

第六章考評(píng)結(jié)果的應(yīng)用.......................................................86

第七章考評(píng)工作要求.........................................................87

第八章附則.................................................................88

xxx學(xué)校信息系統(tǒng)運(yùn)行維護(hù)管理辦法（試行）............................................89

第一章總則.................................................................89

第二章機(jī)房基礎(chǔ)設(shè)施運(yùn)維管理.................................................89

第三章信息化辦公設(shè)備運(yùn)維管理...............................................90

第四章網(wǎng)絡(luò)系統(tǒng)運(yùn)維管理.....................................................90

第五章主機(jī)、存儲(chǔ)系統(tǒng)運(yùn)維管理...............................................91

第六章應(yīng)用系統(tǒng)、數(shù)據(jù)運(yùn)維管理...............................................91

第七章視頻會(huì)議系統(tǒng)和12331電話咨詢投訴舉報(bào)系統(tǒng)運(yùn)維管理.....................92

第八章駐場(chǎng)運(yùn)維人員管理.....................................................93

xxx學(xué)校門戶網(wǎng)站管理辦法（試行）..................................................94

第一章總則.................................................................94

4

第二章信息采集與報(bào)送............................................................95

第三章信息審核與發(fā)布............................................................95

第四章信息管理...................................................................96

第五章安全管理...................................................................97

第六章考評(píng)獎(jiǎng)懲規(guī)定..............................................................97

第七章責(zé)任追究規(guī)定..............................................................98

第八章附則......................................................................100

xxx學(xué)校移動(dòng)存儲(chǔ)介質(zhì)管理規(guī)定（試行）.................................................101

第一章總則......................................................................101

第二章購(gòu)買與選型................................................................101

第三章配發(fā)與使用................................................................102

第四章介質(zhì)保存..................................................................102

第五章介質(zhì)接入..................................................................103

第六章介質(zhì)維修、報(bào)廢和銷毀管理................................................103

第七章附則......................................................................104

xxx學(xué)校變更管理辦法（試行）..........................................................109

第一章總則......................................................................109

第二章變更管理..................................................................109

xxx學(xué)校信息系統(tǒng)惡意代碼防范與軟件補(bǔ)丁分發(fā)管理規(guī)定（試行）..........................112

第一章總則......................................................................112

第二章惡意代碼防范管理.........................................................112

第三章安全漏洞與補(bǔ)丁安全管理..................................................113

第四章附則......................................................................114

xxx學(xué)校信息系統(tǒng)備份與恢復(fù)管理制度（試行）...........................................117

第一章總則......................................................................117

第二章系統(tǒng)和數(shù)據(jù)的備份與恢復(fù)..................................................117

第三章備份與恢復(fù)策略...........................................................118

第四章附則......................................................................121

xxx學(xué)校信息系統(tǒng)安全審計(jì)管理規(guī)定（試行）.............................................125

第一章總則......................................................................125

第二章審計(jì)管理..................................................................125

第三章附則......................................................................126

xxx學(xué)校第三方和外包安全管理規(guī)定（試行）.............................................127

第一章總則......................................................................127

第二章程序......................................................................127

第三章附則......................................................................128

xxx學(xué)校網(wǎng)絡(luò)信息安全責(zé)任追究制度（試行）.............................................130

第一章總則......................................................................130

第二章責(zé)任追究..................................................................130

第四章附則......................................................................131

xxx學(xué)校網(wǎng)絡(luò)與信息安全信息通報(bào)制度（試行）...........................................133

第一章總則......................................................................133

第二章網(wǎng)絡(luò)與信息安全通報(bào)管理..................................................133

第五章附則......................................................................135

6

XXX學(xué)校

信息安全工作總體規(guī)定（試行）

第一章總則

第一條為加強(qiáng)和規(guī)范XXX學(xué)校信息系統(tǒng)安全工作，提高信

息系統(tǒng)整體安全防護(hù)水平，實(shí)現(xiàn)信息安全的可控、能控、在控，

依據(jù)國(guó)家有關(guān)法律法規(guī)規(guī)定，結(jié)合xxx學(xué)校工作實(shí)際，制定本規(guī)

定。

第二條本規(guī)定中信息系統(tǒng)是指部署在XXX學(xué)校數(shù)據(jù)中心機(jī)

房?jī)?nèi)的各類主機(jī)存儲(chǔ)設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)，以

及各部門用戶終端的集合。

第三條本規(guī)定適用于XXX學(xué)校信息系統(tǒng)的安全保護(hù)總體方

針、策略和規(guī)劃方面的工作。

第二章方針、目標(biāo)和原則

第四條XXX學(xué)校信息安全工作應(yīng)堅(jiān)持“積極預(yù)防、全面保障、

動(dòng)態(tài)管理、持續(xù)改進(jìn)''的總體方針，實(shí)現(xiàn)信息系統(tǒng)安全可控、能控、

在控。依照“分區(qū)、分級(jí)、分域”總體安全防護(hù)策略，執(zhí)行信息系

統(tǒng)安全等級(jí)保護(hù)制度。

第五條XXX學(xué)校信息安全工作的總體目標(biāo)是確保信息系統(tǒng)

持續(xù)、穩(wěn)定、可靠運(yùn)行和確保信息內(nèi)容的機(jī)密性、完整性、可用

1

性，防止因信息系統(tǒng)本身故障導(dǎo)致信息系統(tǒng)不能正常使用和系統(tǒng)

崩潰，抵御黑客、病毒、惡意代碼等對(duì)信息系統(tǒng)發(fā)起的各類攻擊

和破壞，防止信息內(nèi)容及數(shù)據(jù)丟失，防止系統(tǒng)對(duì)外服務(wù)中斷和由

此造成的系統(tǒng)運(yùn)行事故。

第六條信息安全工作的總體原則

（一）需求導(dǎo)向原則

根據(jù)其信息系統(tǒng)承載的業(yè)務(wù)，信息資產(chǎn)的重要性，可能受到

的威脅及面臨的風(fēng)險(xiǎn)分析安全需求，按照信息系統(tǒng)等級(jí)保護(hù)要求

確定相應(yīng)的信息系統(tǒng)安全保護(hù)等級(jí)，遵從相應(yīng)等級(jí)的規(guī)范要求，

從全局上平衡安全投入與效果。

（二）領(lǐng)導(dǎo)負(fù)責(zé)原則

一把手負(fù)總責(zé)，分管領(lǐng)導(dǎo)在職責(zé)范圍內(nèi)各負(fù)其責(zé)的信息安全

管理。

（三）全員參與原則

信息系統(tǒng)所有相關(guān)人員須參與信息系統(tǒng)的安全管理，共同保

障信息系統(tǒng)安全。

（四）標(biāo)準(zhǔn)化原則

按照信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系的要求，采用管理和技術(shù)結(jié)

合的方法，實(shí)現(xiàn)信息安全目標(biāo)。

（五）同步實(shí)施原則

新建信息系統(tǒng)時(shí)，應(yīng)充分考慮信息化發(fā)展趨勢(shì)，遵循信息化

2

建設(shè)與信息安全建設(shè)同步規(guī)劃、同步建設(shè)、同步實(shí)施的原則，確

保信息化建設(shè)與信息安全建設(shè)同步進(jìn)行。

（六）管理與技術(shù)并重原則

堅(jiān)持積極防御和綜合防范，全面提高信息系統(tǒng)安全防護(hù)能力，

采用管理與技術(shù)相結(jié)合，管理科學(xué)性和技術(shù)前瞻性結(jié)合的方法，

保障信息系統(tǒng)的安全性達(dá)到所要求的目標(biāo)。

第三章總體安全策略

第七條物理安全策略

（一）機(jī)房和辦公場(chǎng)地選擇在具有防震、防風(fēng)和防雨等能力

的建筑內(nèi)，機(jī)房場(chǎng)地避免設(shè)在建筑物的高層或地下室，以及用水

設(shè)備的下層或隔壁。

（二）機(jī)房有專人值守，重要區(qū)域應(yīng)配置電子門禁系統(tǒng)，控

制、鑒別和記錄進(jìn)入的人員。

（三）需進(jìn)入機(jī)房的來(lái)訪人員經(jīng)過(guò)申請(qǐng)和審批流程，并限制

和監(jiān)控其活動(dòng)范圍。

（四）對(duì)機(jī)房劃分區(qū)域進(jìn)行管理，區(qū)域和區(qū)域之間設(shè)置物理

隔離裝置，在重要區(qū)域前設(shè)置交付或安裝等過(guò)渡區(qū)域。

（五）機(jī)房?jī)?nèi)部署基礎(chǔ)防護(hù)系統(tǒng)和設(shè)備，如電子門禁系統(tǒng)、

監(jiān)控報(bào)警系統(tǒng)、防雷設(shè)備、消防系統(tǒng)、防水監(jiān)控系統(tǒng)、溫濕度控

制系統(tǒng)和UPS供電系統(tǒng)。

第八條網(wǎng)絡(luò)安全策略

3

（一）保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，保

證網(wǎng)絡(luò)各個(gè)部分的帶寬，以滿足業(yè)務(wù)高峰期需要。

（二）根據(jù)各部門的工作職能、重要性和所涉及信息的重要

程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的

原則為各子網(wǎng)、網(wǎng)段分配地址段。

（三）應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部

信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段。

（四）應(yīng)在網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備，根據(jù)實(shí)際安全需求

設(shè)置訪問(wèn)控制策略啟用訪問(wèn)控制功能。

（五）對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶

行為等進(jìn)行審計(jì)，并對(duì)審計(jì)記錄數(shù)據(jù)進(jìn)行分析，生成審計(jì)報(bào)表，

且保護(hù)審計(jì)數(shù)據(jù)。

（六）能夠?qū)Ψ鞘跈?quán)聯(lián)接行為進(jìn)行檢查，準(zhǔn)確定出位置，并

對(duì)其進(jìn)行有效阻斷。

（七）在網(wǎng)絡(luò)邊界處監(jiān)視攻擊行為，記錄發(fā)生的攻擊行為。

（八）在網(wǎng)絡(luò)邊界處監(jiān)視，并維護(hù)惡意代碼庫(kù)的升級(jí)和檢測(cè)

系統(tǒng)的更新。

（九）對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，并設(shè)置

身份標(biāo)識(shí)和鑒別方式。

第九條主機(jī)安全策略

（一）對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和

4

鑒別，并設(shè)置身份標(biāo)識(shí)和鑒別方式。

（二）啟用訪問(wèn)控制功能，設(shè)置訪問(wèn)控制策略，依據(jù)安全策

略控制用戶對(duì)資源的訪問(wèn)。

（三）對(duì)服務(wù)器和重要客戶端的重要用戶行為、系統(tǒng)資源的

異常使用和重要系統(tǒng)命令的使用等內(nèi)容進(jìn)行安全審計(jì)，并對(duì)審計(jì)

記錄數(shù)據(jù)進(jìn)行分析，生成審計(jì)報(bào)表，且保護(hù)審計(jì)數(shù)據(jù)。

（四）確保操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)用戶的鑒別信息，系統(tǒng)內(nèi)

的文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間，被釋放或重

新分配給其他用戶前得到完全清除。

（五）能夠?qū)χ匾?wù)器進(jìn)行入侵的行為和對(duì)重要程序的完

整性進(jìn)行檢測(cè)。

（六）安裝防惡意代碼軟件，并及時(shí)更新防惡意代碼軟件版

本和惡意代碼庫(kù)，并支持防惡意代碼的統(tǒng)一管理。

第十條應(yīng)用安全策略

（一）提供專用的登錄控制模塊對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和

鑒別，并設(shè)置身份標(biāo)識(shí)和鑒別方式。

（二）提供訪問(wèn)控制功能，依據(jù)安全策略控制用戶對(duì)文件、

數(shù)據(jù)庫(kù)表等客體的訪問(wèn)。

（三）提供覆蓋到每個(gè)用戶的安全審計(jì)功能，對(duì)應(yīng)用系統(tǒng)重

要安全事件進(jìn)行審計(jì)，形成審計(jì)記錄，并對(duì)審計(jì)記錄數(shù)據(jù)進(jìn)行分

析，生成審計(jì)報(bào)表，且保護(hù)審計(jì)數(shù)據(jù)。

5

（四）確保應(yīng)用系統(tǒng)用戶的鑒別信息，系統(tǒng)內(nèi)的文件、目錄

和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間，被釋放或重新分配給其他

用戶前得到完全清除。

（五）具有在請(qǐng)求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)

原發(fā)、接收證據(jù)的功能。

（六）應(yīng)用系統(tǒng)須具有軟件容錯(cuò)功能，提供數(shù)據(jù)有效性檢驗(yàn)

功能和自動(dòng)保護(hù)功能。

第十一條數(shù)據(jù)安全策略

（一）能夠檢測(cè)到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)

在傳輸和存儲(chǔ)過(guò)程中完整性受到破壞，并在檢測(cè)到完整性錯(cuò)誤時(shí)

采取必要的恢復(fù)措施。

（二）采用加密或其他有效措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信

息和重要業(yè)務(wù)數(shù)據(jù)傳輸和存儲(chǔ)保密性。

（三）應(yīng)提供本地?cái)?shù)據(jù)備份與恢復(fù)功能，完全數(shù)據(jù)備份至少

每天一次，備份介質(zhì)場(chǎng)外存放。

第十二條安全管理制度

（一）制定信息安全工作的總體方針和安全策略，說(shuō)明機(jī)構(gòu)

安全工作的總體目標(biāo)、范圍、原則和安全框架等。

（二）組織相關(guān)人員對(duì)制定的安全管理制度進(jìn)行論證和審定。

（三）定期或不定期對(duì)安全管理制度進(jìn)行檢查和審定，對(duì)存

在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂。

6

第十三條安全管理機(jī)構(gòu)

（一）設(shè)立信息安全管理工作的職能部門，設(shè)立安全主管、

安全管理各個(gè)方面的負(fù)責(zé)人崗位，并定義各負(fù)責(zé)人的職責(zé)。

（二）配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理

員等。

（三）針對(duì)系統(tǒng)變更、重要操作、物理訪問(wèn)和系統(tǒng)接入等事

項(xiàng)建立審批程序，按照審批程序執(zhí)行審批過(guò)程，對(duì)重要活動(dòng)建立

逐級(jí)審批制度。

（四）加強(qiáng)各類管理人員之間、組織內(nèi)部機(jī)構(gòu)之間以及信息

安全職能部門內(nèi)部的合作與溝通，定期或不定期召開協(xié)調(diào)會(huì)議，

共同協(xié)作處理信息安全問(wèn)題。

（五）制定安全審核和安全檢查制度規(guī)范安全審核和安全檢

查工作，定期按照程序進(jìn)行安全審核和安全檢查活動(dòng)。

第十四條人員安全管理

（一）嚴(yán)格規(guī)范人員錄用過(guò)程，對(duì)被錄用人的身份、背景、

專業(yè)資格和資質(zhì)等進(jìn)行審查，對(duì)其所具有的技術(shù)技能進(jìn)行考核。

（二）嚴(yán)格規(guī)范人員離崗過(guò)程，及時(shí)終止離崗員工的所有訪

問(wèn)權(quán)限，取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬

件設(shè)備。

（三）定期對(duì)各個(gè)崗位的人員進(jìn)行安全技能及安全認(rèn)知的考

核，對(duì)關(guān)鍵崗位的人員進(jìn)行全面、嚴(yán)格的安全審查和技能考核。

7

（四）對(duì)定期安全教育和培訓(xùn)進(jìn)行書面規(guī)定，針對(duì)不同崗位

制定不同的培訓(xùn)計(jì)劃，對(duì)信息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等進(jìn)

行培訓(xùn)。

（五）確保在外部人員訪問(wèn)受控區(qū)域前先提出書面申請(qǐng)，批

準(zhǔn)后由專人全程陪同或監(jiān)督，并登記備案。

第十五條系統(tǒng)建設(shè)管理

（一）明確信息系統(tǒng)的邊界和安全保護(hù)等級(jí)，并組織相關(guān)部

門和有關(guān)安全技術(shù)專家對(duì)信息系統(tǒng)定級(jí)結(jié)果的合理性和正確性進(jìn)

行論證和審定。

（二）根據(jù)信息系統(tǒng)的等級(jí)劃分情況，統(tǒng)一考慮安全保障體

系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)

劃和詳細(xì)設(shè)計(jì)方案，并形成配套文件

（三）制定詳細(xì)的工程實(shí)施方案控制實(shí)施過(guò)程，并要求工程

實(shí)施單位能正式地執(zhí)行安全工程過(guò)程。

（四）在測(cè)試驗(yàn)收前根據(jù)設(shè)計(jì)方案或合同要求等制訂測(cè)試驗(yàn)

收方案，在測(cè)試驗(yàn)收過(guò)程中應(yīng)詳細(xì)記錄測(cè)試驗(yàn)收結(jié)果，并形成測(cè)

試驗(yàn)收?qǐng)?bào)告。

（五）對(duì)已定級(jí)系統(tǒng)的相關(guān)備案材料報(bào)相應(yīng)公安機(jī)關(guān)備案。

（六）三級(jí)及三級(jí)以上信息系統(tǒng)運(yùn)行過(guò)程中，至少每年對(duì)系

統(tǒng)進(jìn)行一次等級(jí)測(cè)評(píng)，發(fā)現(xiàn)不符合相應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要求的及時(shí)

整改。

8

第十六條系統(tǒng)運(yùn)維管理

（一）指定部門負(fù)責(zé)機(jī)房安全，并配備機(jī)房安全管理人員，

對(duì)機(jī)房的出入、服務(wù)器的開機(jī)或關(guān)機(jī)等工作進(jìn)行管理。

（二）建立監(jiān)控和安全管理中心，對(duì)通信線路、主機(jī)、網(wǎng)絡(luò)

設(shè)備和應(yīng)用軟件的運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行監(jiān)測(cè)和

報(bào)警，對(duì)設(shè)備狀態(tài)、惡意代碼、補(bǔ)丁升級(jí)、安全審計(jì)等安全相關(guān)

事項(xiàng)進(jìn)行集中管理，形成記錄并妥善保存。

（三）建立網(wǎng)絡(luò)、系統(tǒng)安全管理制度，對(duì)網(wǎng)絡(luò)安全配置、日

志保存時(shí)間、安全策略、升級(jí)與打補(bǔ)丁、口令更新周期、系統(tǒng)安

全策略、安全配置、日志管理和日常操作流程等方面作出規(guī)定，

并嚴(yán)格執(zhí)行相關(guān)規(guī)定。

（四）建立惡意代碼防范管理制度，對(duì)防惡意代碼軟件的授

權(quán)使用、惡意代碼庫(kù)升級(jí)、定期匯報(bào)等作出明確規(guī)定，并嚴(yán)格執(zhí)

行相關(guān)規(guī)定。

（五）建立變更管理制度，系統(tǒng)發(fā)生變更前，向主管領(lǐng)導(dǎo)申

請(qǐng)，變更和變更方案經(jīng)過(guò)評(píng)審、審批后方可實(shí)施變更，并在實(shí)施

后將變更情況向相關(guān)人員通告。

（六）在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同事件的應(yīng)急預(yù)案，

并定期對(duì)應(yīng)急預(yù)案進(jìn)行演練。

9

第四章信息安全總體框架

第十七條應(yīng)在信息安全策略的指導(dǎo)下，通過(guò)構(gòu)建安全管理、

安全技術(shù)和安全運(yùn)維三大體系，在既定方針目標(biāo)的指引下，相互

支撐，相互促進(jìn)，構(gòu)成實(shí)時(shí)、動(dòng)態(tài)和持續(xù)改進(jìn)的全生命周期防護(hù)

體系。

第十八條信息安全管理體系

應(yīng)參照《信息安全技術(shù)信息系統(tǒng)安全管理要求》(GB/T

20269—2006)、《信息安全技術(shù)信息系統(tǒng)安全工程管理要求》(GB/T

20282-2006)和《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》

(GB/T22239-2006)等標(biāo)準(zhǔn)規(guī)范，建立健全xxx學(xué)校信息安全管理

制度體系。

第十九條信息安全技術(shù)體系

應(yīng)參照《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》

(GB/T22239-2006)、《信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)

技術(shù)要求》(GB/T25070-2010)等標(biāo)準(zhǔn)規(guī)范，在云安全、物理安全、

網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全方面，同步建設(shè)和優(yōu)

化信息安全設(shè)施，完善xxx學(xué)校信息安全技術(shù)體系。

第二十條信息安全運(yùn)維體系

應(yīng)根據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》

(GB/T22239-2006)、《信息技術(shù)安全技術(shù)信息安全事件管理指南》

(GB/Z20985—2007)和《信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》

10

(GBT20988-2007)等標(biāo)準(zhǔn)規(guī)范，在機(jī)房基礎(chǔ)設(shè)施、信息化辦公

設(shè)備、網(wǎng)絡(luò)系統(tǒng)、應(yīng)用系統(tǒng)、主機(jī)存儲(chǔ)系統(tǒng)等方面完善XXX學(xué)校

信息安全運(yùn)維體系。

第五章附則

第二H—條本規(guī)定由XXX學(xué)校信息化工作領(lǐng)導(dǎo)小組負(fù)責(zé)解

釋。

第二十二條本規(guī)定自發(fā)布之日起施行。

XXX學(xué)校

2016年1月1號(hào)

11

XXX學(xué)校

信息安全制度管理規(guī)定（試行）

第一章總則

第一條為促進(jìn)XXX學(xué)校信息系統(tǒng)安全制度的制定與管理工

作規(guī)范化、程序化，提高建章立制質(zhì)量，結(jié)合xxx學(xué)校實(shí)際，制

定本規(guī)定。

第二條本規(guī)定適用于xxx學(xué)校各項(xiàng)信息安全制度的規(guī)劃、

起草、審核、發(fā)布、修訂和廢止等相關(guān)活動(dòng)。

第三條制度制定應(yīng)當(dāng)遵循下列原則：

（一）依照法定權(quán)限和程序制定原則，法律、法規(guī)已經(jīng)明確

規(guī)定的原則上不作重復(fù)規(guī)定。

（二）全面性原則，既包括制度范圍的全面性，也包含制度

本身的全面性。

（三）準(zhǔn)確性原則，規(guī)章制度用語(yǔ)應(yīng)當(dāng)準(zhǔn)確、簡(jiǎn)潔，條文內(nèi)

容應(yīng)當(dāng)明確、具體。

（四）可操作性原則，切合XXX學(xué)校信息安全管理的實(shí)際需

求，具有操作的相關(guān)流程，明確相關(guān)工作的負(fù)責(zé)部門和責(zé)任崗位。

（五）適度超前原則，推動(dòng)XXX學(xué)校制度的建設(shè)和創(chuàng)新。

（六）協(xié)調(diào)性原則，避免各項(xiàng)制度相互重復(fù)、沖突和遺漏。

12

第二章制度建設(shè)組織管理

第四條XXX學(xué)校信息化工作領(lǐng)導(dǎo)小組分別依照國(guó)家法律法

規(guī)及XXX學(xué)校相關(guān)規(guī)定行使信息安全制度的審核、批準(zhǔn)、修訂和

廢止權(quán)。

第五條XXX學(xué)校信息化工作領(lǐng)導(dǎo)小組是信息安全制度的具

體編寫實(shí)施部門。其主要職責(zé)是：

（一）負(fù)責(zé)信息安全制度體系編制工作。

（二）負(fù)責(zé)組織起草信息安全制度。

（三）負(fù)責(zé)組織信息安全制度草案的論證、修改、定稿和報(bào)

送等工作。

（四）負(fù)責(zé)收集制度執(zhí)行中存在的問(wèn)題，提出完善、修改和

廢止有關(guān)規(guī)章制度的建議。

（五）負(fù)責(zé)規(guī)章制度的編號(hào)、保管、存檔工作。

第三章制度建設(shè)規(guī)劃與年度計(jì)劃

第六條XXX學(xué)校信息化工作領(lǐng)導(dǎo)小組制定制度體系的整體

規(guī)劃，根據(jù)信息安全需要進(jìn)行調(diào)整。

第七條各部門可臨時(shí)提議并由XXX學(xué)校信息化工作領(lǐng)導(dǎo)小

組決定將某些重要規(guī)章制度的制定列入調(diào)整計(jì)劃。

13

第四章制度起草

第八條起草信息安全制度應(yīng)注意制度之間的協(xié)調(diào)和銜接，

并就制度之間對(duì)同一事項(xiàng)的不同具體規(guī)定在上報(bào)時(shí)做出說(shuō)明。

第九條信息安全制度的起草，按下列步驟進(jìn)行：

（一）收集資料，掌握有關(guān)法律、法規(guī)以及其他信息安全的

相關(guān)規(guī)定。

（二）調(diào)查研究，提出符合實(shí)際情況的制度框架。

（三）撰寫草案。

（四）將草案送相關(guān)部門征求意見。被征求意見部門或個(gè)人

應(yīng)認(rèn)真填寫《信息安全制度征求意見表》。

（五）匯總意見，修改草案，填寫《信息安全制度審批表》，

提交至信息化工作領(lǐng)導(dǎo)小組。

第十條信息安全制度一般應(yīng)包括下列內(nèi)容：

（一）目的：清晰簡(jiǎn)潔說(shuō)明本制度控制的活動(dòng)和內(nèi)容。

（二）適用范圍：明確制度所涉及的有關(guān)部門（單位）、人

員、事項(xiàng)和活動(dòng)。

（三）職責(zé)：規(guī)定實(shí)施本制度的部門（單位）或人員的責(zé)任

和權(quán)限。

（四）制度規(guī)范的內(nèi)容、要求與程序，對(duì)相應(yīng)安全活動(dòng)的約

束與要求。

（五）相應(yīng)活動(dòng)、事項(xiàng)的詳細(xì)流程。

14

（六）支持性文件和相關(guān)記錄、圖表，包括與本制度相關(guān)的

支持性文件、規(guī)定，各種應(yīng)保留的相關(guān)記錄、表格、單據(jù)等。

（七）違反規(guī)定的相關(guān)責(zé)任。

（A）制度的實(shí)行時(shí)間及有效期限。

第十一條信息安全制度結(jié)構(gòu)排列可根據(jù)內(nèi)容多少分為章、條、

款、項(xiàng)、目結(jié)構(gòu)表達(dá)，內(nèi)容簡(jiǎn)單的也可直接以條的方式表達(dá)。章、

條的序號(hào)用中文數(shù)字依次表述；款不編序號(hào)；項(xiàng)的序號(hào)用中文數(shù)

字加括號(hào)依次表述；目的序號(hào)用阿拉伯?dāng)?shù)字依次表述。

第五章審查與批準(zhǔn)

第十二條XXX學(xué)校信息化工作領(lǐng)導(dǎo)小組對(duì)信息安全制度草案

進(jìn)行下列審查：

（一）與XXX學(xué)?，F(xiàn)行規(guī)章制度是否協(xié)調(diào)。

（二）草案結(jié)構(gòu)、條款是否符合規(guī)章制度的要求和技術(shù)規(guī)范。

（三）是否切合XXX學(xué)校實(shí)際和體現(xiàn)權(quán)責(zé)對(duì)等原則。

第十三條經(jīng)審查符合要求的，審批后下發(fā)實(shí)行。

第十四條制度采取試行辦法，首次頒布的制度試行期為一年,

試行期后經(jīng)修訂審批為正式制度，正式制度如需修訂則按照修訂

與廢止的相關(guān)程序辦理。

第十五條信息安全制度一經(jīng)發(fā)布生效，相關(guān)人員必須嚴(yán)格遵

守。

15

第六章修訂與廢止

第十六條為加強(qiáng)信息安全制度管理，制度實(shí)施過(guò)程中，XXX

學(xué)校信息化工作領(lǐng)導(dǎo)小組定期向各相關(guān)部門征求制度執(zhí)行意見，

搜集執(zhí)行過(guò)程中存在的問(wèn)題，以便修訂。

第十七條各相關(guān)部門在執(zhí)行信息安全制度過(guò)程中，對(duì)制度存

在的問(wèn)題應(yīng)及時(shí)記錄，填寫《信息安全制度修訂、廢止建議表》

交XXX學(xué)校信息化工作領(lǐng)導(dǎo)小組。

第十八條信息安全制度的修訂和廢止應(yīng)由XXX學(xué)校信息化工

作領(lǐng)導(dǎo)小組提出，信息化工作領(lǐng)導(dǎo)小組審定。

第十九條信息安全制度符合下列情形之一的，應(yīng)進(jìn)行修訂。

（一）規(guī)定事項(xiàng)不能切合現(xiàn)行信息安全方針或事實(shí)需要。

（二）規(guī)定事項(xiàng)局部已不適用。

（三）制度的局部與國(guó)家有關(guān)政策法規(guī)相抵觸。

（四）所涉及的部門名稱，與現(xiàn)實(shí)不符，或原規(guī)定事項(xiàng)主管

或執(zhí)行部門已經(jīng)變更。

第二十條信息安全制度符合下列情形之一者，應(yīng)予以廢止。

（一）規(guī)定事項(xiàng)與現(xiàn)行信息安全方針相?；虿环?。

（二）與現(xiàn)實(shí)情況完全不相切合。

（三）同事項(xiàng)已有新規(guī)定并已公布施行。

（四）規(guī)定事項(xiàng)已執(zhí)行完畢，或因情勢(shì)變遷，已無(wú)繼續(xù)施行

必要。

16

（五）其它情形下，無(wú)保留或繼續(xù)適用必要。

第七章附則

第二H—條XXX學(xué)校信息化工作領(lǐng)導(dǎo)小組定期組織對(duì)已公

布實(shí)施的信息安全制度執(zhí)行情況進(jìn)行修訂，并重新印刷下發(fā)。

第二十二條本規(guī)定由XXX學(xué)校信息化工作領(lǐng)導(dǎo)小組負(fù)責(zé)解

釋。

第二十三條本規(guī)定自發(fā)布之日起施行。

XXX學(xué)校

2016年1月1號(hào)

17

附件:

附件一信息安全制度征求意見表

擬定制度名稱

擬頒定時(shí)間

起草部門

擬實(shí)行范圍

部門意見或建議

部門負(fù)責(zé)人：

18

附件二信息安全制度審批表

擬定制度名稱

起草部門

擬稿人核稿人

審核部門

審核部門

修改意見和建議

審核人

19

附件三信息安全制度修定、廢止建議表

制度名稱

印發(fā)時(shí)間印發(fā)文號(hào)

提請(qǐng)人部門負(fù)責(zé)人

建議內(nèi)容

20

XXX學(xué)校

信息系統(tǒng)“三員”管理規(guī)定（試行）

第一章總則

第一條為加強(qiáng)和規(guī)范XXX學(xué)校信息系統(tǒng)管理，依據(jù)國(guó)家安全

有關(guān)規(guī)定和技術(shù)要求，制定本規(guī)定。

第二條本規(guī)定所稱“三員”指系統(tǒng)管理員、安全管理員、安全

審計(jì)員，分別負(fù)責(zé)系統(tǒng)運(yùn)行、系統(tǒng)安全和安全審計(jì)工作：

（一）系統(tǒng)管理員主要負(fù)責(zé)系統(tǒng)日常運(yùn)行維護(hù)工作；

（二）安全管理員主要負(fù)責(zé)系統(tǒng)日常安全管理工作；

（三）安全審計(jì)員主要負(fù)責(zé)對(duì)系統(tǒng)管理員、安全管理員的操

作行為進(jìn)行審計(jì)跟蹤分析和監(jiān)督檢查，以及時(shí)發(fā)現(xiàn)違規(guī)行為，并

定期向系統(tǒng)安全管理機(jī)構(gòu)匯報(bào)相關(guān)情況。

第二章系統(tǒng)管理員職責(zé)

第三條系統(tǒng)管理員分為網(wǎng)絡(luò)管理員、應(yīng)用系統(tǒng)管理員、終端

設(shè)備管理員。

網(wǎng)絡(luò)管理員職責(zé)：

（-）合理規(guī)劃網(wǎng)絡(luò)、主機(jī)、存儲(chǔ)架構(gòu)，并部署。

（二）服務(wù)器、網(wǎng)絡(luò)設(shè)備等日常管理和維護(hù)。

（三）定期搜集、統(tǒng)計(jì)、報(bào)送網(wǎng)絡(luò)運(yùn)行和管理情況。

21

（四）接受網(wǎng)絡(luò)和主機(jī)事件報(bào)告，并及時(shí)處理。

應(yīng)用系統(tǒng)管理員職責(zé)：

（-）應(yīng)用系統(tǒng)結(jié)構(gòu)和性能優(yōu)化，消除性能瓶頸；

（二）應(yīng)用系統(tǒng)日常管理和維護(hù)，故障處理。

（三）定期搜集、統(tǒng)計(jì)、報(bào)送安全管理情況。

（四）定期數(shù)據(jù)備份，并在事件發(fā)生時(shí)及時(shí)恢復(fù)。

（五）接受軟件和系統(tǒng)事件報(bào)告，并及時(shí)處理。

終端設(shè)備管理員職責(zé)：

（一）終端計(jì)算機(jī)設(shè)備配置、維護(hù)、管理。

（二）終端操作系統(tǒng)及應(yīng)用系統(tǒng)客戶端狀態(tài)監(jiān)控。

（三）定期對(duì)系統(tǒng)終端進(jìn)行病毒掃描和病毒庫(kù)更新。

（四）終端操作系統(tǒng)及應(yīng)用系統(tǒng)客戶端軟件升級(jí)、補(bǔ)丁安裝

等。

（五）定期報(bào)送終端使用管理情況和異常事件統(tǒng)計(jì)信息。

（六）受理來(lái)自終端設(shè)備用戶的故障報(bào)告，并及時(shí)處理。

（七）其他信息化辦公設(shè)備的配置、維護(hù)、管理。

第三章安全管理員職責(zé)

第四條制定并實(shí)施信息系統(tǒng)安全策略。

第五條安全設(shè)備和安全軟件日常管理和維護(hù)，包括升級(jí)更新、

故障處理。

第六條監(jiān)控安全設(shè)備和安全軟件運(yùn)行狀態(tài)，定期審查、維護(hù)

22

權(quán)限列表，并對(duì)日志進(jìn)行分析，及時(shí)發(fā)現(xiàn)安全隱患并妥善處理。

第七條系統(tǒng)管理員賬戶、權(quán)限管理，應(yīng)用系統(tǒng)管理員權(quán)限管

理，定期審查、維護(hù)權(quán)限列表，并對(duì)日志進(jìn)行分析，及時(shí)發(fā)現(xiàn)安

全隱患并妥善處理。

第八條定期報(bào)送安全管理情況和異常事件統(tǒng)計(jì)信息。

第九條信息系統(tǒng)安全事件處理。

第四章安全審計(jì)員職責(zé)

第十條對(duì)系統(tǒng)各用戶名和口令管理與變更記錄進(jìn)行審計(jì)。

第十一條對(duì)系統(tǒng)安全策略執(zhí)行情況進(jìn)行審計(jì)。

第十二條定期備份安全審計(jì)日志。

第十三條監(jiān)督系統(tǒng)管理員和安全管理員對(duì)事件（包括報(bào)送事

件）處理過(guò)程。

第十四條定期對(duì)系統(tǒng)管理員和安全管理員工作和相關(guān)文檔

進(jìn)行檢查，形成審計(jì)記錄，并向主管領(lǐng)導(dǎo)報(bào)送，發(fā)現(xiàn)異常情況及

時(shí)報(bào)告。

第十五條對(duì)審計(jì)的安全事件進(jìn)行及時(shí)處理，并對(duì)處理結(jié)果進(jìn)

行記錄。

第五章AB角工作制度

第十六條為進(jìn)一步明確工作責(zé)任，提高工作效率，實(shí)行該制

度。

23

第十七條AB角工作制度是指A角不在崗的情況下，由B

角負(fù)責(zé)頂崗的工作制度。各科應(yīng)對(duì)本科承擔(dān)的各項(xiàng)工作進(jìn)行合理

分工及安排，認(rèn)真落實(shí)AB角制度，避免出現(xiàn)無(wú)人頂崗的現(xiàn)象。

第十八條各科在安排工作時(shí)，原則上保證AB角有一人在崗。

互為AB角的人員，原則上不能同期休假，不能同時(shí)出差。

第十九條B崗責(zé)任人在頂崗期間，應(yīng)做好本職工作，并負(fù)

有A崗責(zé)任人的職責(zé)，對(duì)A崗的工作認(rèn)真負(fù)責(zé)。

第二十條全體人員應(yīng)加強(qiáng)學(xué)習(xí)，AB角之間要不斷地進(jìn)行相

互溝通，A角暫離崗位時(shí)，要切實(shí)做好交接工作，確保B角能夠

銜接到位。

第二H—條各科AB角分工情況應(yīng)及時(shí)報(bào)綜合科備案。

第六章附則

第二十二條本規(guī)定由XXX學(xué)校信息化工作領(lǐng)導(dǎo)小組負(fù)責(zé)解

釋。

第二十三條本規(guī)定自發(fā)布之日起施行。

XXX學(xué)校

2016年1月1號(hào)

24

XXX學(xué)校

信息系統(tǒng)安全檢查規(guī)定（試行）

第一章總則

第一條為加強(qiáng)和規(guī)范XXX學(xué)校信息系統(tǒng)安全監(jiān)督檢查工作，

保障信息系統(tǒng)安全穩(wěn)定運(yùn)行，根據(jù)國(guó)家信息安全等級(jí)保護(hù)有關(guān)規(guī)

定和xxx學(xué)校信息系統(tǒng)安全有關(guān)管理規(guī)定制定本規(guī)定。

第二條本規(guī)定適用于xxx學(xué)校信息系統(tǒng)建設(shè)、使用和運(yùn)維管

理中安全監(jiān)督檢查工作。

第三條xxx學(xué)校信息化工作領(lǐng)導(dǎo)小組負(fù)責(zé)組織監(jiān)督檢查工作:

人員管理、教育培訓(xùn)等相關(guān)檢查由信息化工作領(lǐng)導(dǎo)小組具體執(zhí)行;

安全技術(shù)相關(guān)檢查由網(wǎng)絡(luò)中心具體執(zhí)行。

第二章實(shí)施細(xì)則

第四條檢查內(nèi)容主要包括信息系統(tǒng)安全技術(shù)措施有效性和安

全管理制度執(zhí)行情況。

第五條專項(xiàng)檢查應(yīng)填寫檢查登記表，檢查結(jié)果匯總后報(bào)XXX

學(xué)校信息化工作領(lǐng)導(dǎo)小組，發(fā)現(xiàn)問(wèn)題及時(shí)整改。

第六條定期對(duì)系統(tǒng)進(jìn)行安全性能檢測(cè)，確保系統(tǒng)安全穩(wěn)定運(yùn)

行。

第七條系統(tǒng)安全性能檢測(cè)由系統(tǒng)管理員、安全管理員和安全

25

審計(jì)員共同完成。

第八條檢查人員應(yīng)利用漏洞掃描等工具對(duì)整個(gè)系統(tǒng)進(jìn)行安全

檢查，進(jìn)行網(wǎng)絡(luò)系統(tǒng)、應(yīng)用系統(tǒng)、安全防護(hù)系統(tǒng)、用戶終端的安

全分析，發(fā)現(xiàn)漏洞或安全隱患及時(shí)整改。

第九條及時(shí)記錄安全檢查和整改操作情況。

（一）物理安全檢查由網(wǎng)絡(luò)管理員負(fù)責(zé)，并根據(jù)檢查情況填

寫《物理安全檢查表》。

（二）網(wǎng)絡(luò)設(shè)備、服務(wù)器安全性能檢查由網(wǎng)絡(luò)管理員負(fù)責(zé)，

安全設(shè)備安全性能檢查由安全管理員負(fù)責(zé)，并根據(jù)檢查情況填寫

《網(wǎng)絡(luò)系統(tǒng)安全性能檢測(cè)表》、《系統(tǒng)安全漏洞檢測(cè)記錄表》、《主

機(jī)和存儲(chǔ)安全性能檢查表》。

（三）應(yīng)用系統(tǒng)安全性能檢測(cè)由應(yīng)用系統(tǒng)管理員負(fù)責(zé)，并根

據(jù)檢測(cè)情