|
第一章 总 则
第一条 为了提高青岛远洋船员学院(以下简称学院)计算机信息安全管理的科学化和规范化水平,努力预防和避免信息安全事故的发生,建立有效的信息安全事故评估和责任追究制度,维护学院的合法权益和根本利益,根据国家有关法律、法规和学院对此项工作的要求,特制定本规定。
第二条 本规定的信息安全管理主要指以计算机信息系统为特征的计算机信息安全管理,范围包括:机房管理、硬件管理、软件管理、数据管理、网络管理、人员管理以及相关管理制度和流程建设等;内容包括计算机信息保密性、完整性、可用性、可控性的保证:
(一)保密性是保证计算机信息不会被泄漏给未经授权的人;
(二)完整性是保证计算机信息不被未经授权的人随意修改;
(三)可用性是保证计算机信息及信息系统为授权的人所用;
(四)可控性是保证对计算机信息及信息系统实施安全监控。
第三条 学院的计算机信息安全管理工作,必须遵循国家有关计算机信息安全管理的法令法规的总体要求。
第二章 计算机信息安全管理组织和职责
第四条 网络中心是学院计算机信息安全工作的日常管理部门,履行计算机信息安全管理的下列职责:
(一)组织落实国家对企业计算机信息安全工作的相关政策和要求。
(二)制定学院计算机信息安全管理的方针、政策、规定。
(三)对与学院计算机信息安全管理有关的重大事项提出决策建议。
(四)密切注意计算机信息安全管理的新动向,与国家计算机信息安全管理部门保持联系,及时收集相关的动态信息。
(五)组织协调跨单位的计算机信息安全工作,形成联防机制,及时查处通过计算机信息系统进行的违法犯罪行为。
(六)组织检查各部门(科室)计算机信息安全管理的落实情况;对信息化程度较高的重点部门要不定期地进行安全检查和跟踪。
(七)确定计算机信息安全事故的等级和汇报渠道,根据校园网管理委员会的要求,对事故进行评估和处理。
(八)负责对各部门进行计算机信息安全教育培训。
第五条 学院各部门履行下列职责:
(一)各级部门应当对其所拥有、使用和管理的计算机信息承担相关的安全保护责任。
(二)履行学院计算机信息安全管理规定。
(三)协助学院网络中心及有关部门调查和处理重大危及计算机信息安全的事故和事件。
(四)加强本部门人员计算机信息安全教育,加强保密教育。
第三章 对计算机机房的安全管理要求
第六条 计算机机房应根据自身的实际应用情况进行建设。应充分考虑以下因素:供配电和UPS系统、空调系统、火灾报警及消防设施、防水、防静电、防雷击、防鼠害等。核心计算机信息系统和具有数据中心或信息中心职能的机房安全,还应建立灾难备份和恢复体系。
第七条 要针对机房的特点制定相应的规章制度,确保机房安全。
第四章 对计算机硬件的安全管理要求
第八条 未经允许,各部门不得擅自拆卸、安装或更换联网计算机设备。
第九条 计算机硬件设备供应商的联系电话应由专人保管或贴在设备上,以便出现故障后及时联系。
第五章 对计算机软件的安全管理要求
第十条 对于外购的软件,必须购买合法的正版软件以免版权纠纷,对软件的版权许可证应指定专人进行妥善保管。
第十一条 严禁任何人在单位的计算机上擅自安装未经许可的软件。
第十二条 应在计算机服务器和客户端同时安装有效的防病毒软件,及时检测、清除计算机信息系统中的病毒。防病毒软件需备有检测、清除病毒记录。
第十三条 对于自行开发的软件,要建立一套切实可行的软件管理制度,以保证不因为人员的流动而没有留下完整文档资料,以致造成软件系统的“死亡”。要注重知识产权的保护,防止核心技术被窃取或流失。
第六章 对计算机数据的安全管理要求
第十四条 各单位对计算机数据及存储数据的载体必须进行安全、妥善的管理。重要数据必须存储在防火、防水、防盗的安全环境中,同时要做到:
(一)根据业务实际需要定期进行数据备份。
(二)指定专人进行备份操作及存放这些载体﹐并指定工作替代人以确保备份工作不中断。
(三)数据备份的介质要求有规范、清晰的标签标识。备份数据应定期测试,以确保备份数据的可恢复性。
(四)重要的数据载体应异地存放。
第十五条 对于特别敏感数据的存储可采用特殊的保护软件加密存储,采用独立计算机存取而非联网的方式,该计算机要用加锁等方法实施保护。
第十六条 部门及个人在使用电子邮件发送信息时﹐应防止泄漏部门机密数据。同时禁止在联网的计算机上处理和存储涉密文件。
第十七条 当存储过重要数据的介质(如光盘、软盘、磁带等)报废时应由专业技术人员进行物理性销毁。
第七章 对计算机网络的安全管理要求
第十七条 要尽可能利用学院已有的内网资源,并完善内网的管理,从而降低通过公网传输造成计算机信息泄密的概率。
第十八条 网络中心应妥善管理用户清单,并要求用户定期更新密码,以防止他人盗用密码、非法访问,侵害个人甚至部门内部网络安全。网络中心有权随时检查网络状况及用户使用情况。
第十九条 网络管理员应定期更换管理员密码,及时注销无效用户;及时发现并处理网络安全问题。不允许单位以外人员单独接触计算机网络系统资源。各用户要加强安全保密意识,注意个人ID及密码的保密,不得与他人共用系统的账号。
第二十条 对于与互联网相连的网络必须安装防火墙和防病毒系统,并根据系统和网络的实际情况采用入侵检测、访问控制、漏洞扫描等技术手段,以防止“黑客”和病毒的侵入、攻击和破坏,并应定期更新防卫系统的数据,以确保防卫系统的有效性。要注重及时更新各操作系统的安全补丁。
第二十一条 严禁访问不良站点,严禁制作、传播、复制、接收、浏览有碍社会治安、有伤风化的不良信息和垃圾信息。严禁利用网络进行电子游戏,以免浪费资源,传播病毒。对于来历不明的电子邮件不要开启,并立刻删除。
第八章 计算机信息安全审验
第二十二条 计算机信息系统和计算机机房的规划、设计、建设应当按照国家有关规定和标准,同步落实安全保护制度和措施。
第三十条 计算机信息系统和计算机机房存在下列情形之一的,应当进行安全检测和审验:
(一)组织或技术基础架构发生重大变更;
(二)实施新系统、新项目;
(三)安全审验时间满一年;
(四)发生重大安全案件或安全事故;
(五)学院认为应当进行安检和其他应当进行安全审验的情形。
第九章 计算机信息安全培训
第二十三条 学院网络中心应负责组织计算机信息安全培训工作,每年至少安排一次计算机信息安全教育。
第二十四条 下列人员必须参加计算机信息安全培训:
(一)计算机信息系统使用单位的安全管理责任人;
(二)重点单位或核心计算机信息系统的维护和管理人员;
(三)其他从事计算机信息系统安全保护工作的人员;
(四)能够接触到敏感数据或机密信息的关键用户。
第十章 计算机信息安全事故处理
第二十五条 本规定所称计算机信息安全事故(以下简称事故),是指学院正常的教学活动因信息安全问题而受到严重影响或对外造成不良影响的情况。
第二十六条 发生事故的报告程序 学院发生计算机信息安全事故,由相关职能部门负责人向网络中心报告。
第二十七条 网络中心收到事故报告后,应在2小时内派人到达事故现场,同时向院办和分管院领导报告事故简要情况。
第二十八条 发生事故的单位(个人),必须采取必要的措施保护好事故现场,做好详细记录,减少不必要的损失。
第二十九条 根据事故造成后果的严重程度,由学院组成事故调查组,进行调查。
第三十条 事故调查组有权向发生事故的部门、人员了解情况和索取有关资料。任何部门和个人不得阻碍、干涉事故调查。
第三十一条 事故调查组应按下列原则确定事故性质:
(一)由于有关人员过失造成的事故,为责任事故;
(二)由于不可抗力发生的事故,为非责任事故。
第三十二条 事故调查组应按下列原则确定事故责任者:
(一)与事故发生有直接关系的人员为直接责任者;
(二)对事故发生负有领导责任的部门领导为领导责任者;
(三)对事故发生起主要作用的人员为主要责任者。
第三十三条 有下列情况之一造成责任事故的,应当追究领导责任者的责任:
(一)未按规定对员工进行安全保密教育的;
(二)计算机信息安全管理系统运转不正常,对员工违章操作制止不力的;
(三)对事故隐患未进行整改,又未采取防范措施的。
第三十四条 有下列情况之一造成责任事故的,应当追究有关责任者的责任:
(一)违章操作、违反劳动纪律(如泄密等)的;
(二)擅离职守、不履行岗位责任的;
(三)擅自更改、毁坏、拆除安全装置或系统参数设置的;
(四)对本岗位隐患不及时处理和采取措施的。
第三十五条 有下列情况之一的,应当追究有关人员的责任:
(一)发生事故,瞒报、谎报或拖延报告的;
(二)在事故调查中,拒绝提供有关情况和资料或弄虚作假的;
(三)事故发生后,不及时组织抢救,致使经济损失扩大的;
(四)袒护、包庇事故责任者的;
(五)故意破坏事故现场或伪造事故现场的;
(六)发生事故后不采取防范措施,致使同类事故重复发生的。
第三十六条 事故调查组在查明事故情况后,如果对事故的分析和处理意见不一致时,网络中心有权提出结论性意见。
第三十七条 事故原因查清后,发生事故的部门必须制定纠正措施,并限期完成。
第三十八条 对避免重大事故发生或恢复生产系统有功人员,由学院予以表彰奖励。
第三十九条 对造成责任事故的主要责任者、领导责任者和直接责任者,根据情节,建议有关部门给予一定的行政处分;构成犯罪的,送司法机关依法追究刑事责任。
第四十条 事故调查组成员,不履行职责、玩忽职守、徇私舞弊或打击报复的,由有关部门给予行政处分。
第十一章 附则
第四十条 本规定自发布之日起施行。
第四十一条 本规定的解释权在学院办公室。
|
