四川工程职业技术学院
信息安全工作管理制度
总则
目的
为了深入贯彻落实国家信息安全政策文件要求和信息安全等级保护政策要求,加强四川工程职业技术学院的信息安全管理工作,增强四川工程职业技术学院全员信息安全意识,切实提高四川工程职业技术学院信息系统安全保障能力,特制定本方针。
范围
本方针适用于四川工程职业技术学院信息安全管理活动。
职责
由四川工程职业技术学院领导和各科室主管为主体的信息安全领导小组负责本方针文件的审核和修订,由信息中心为主体的信息安全工作小组负责本方针文件的贯彻和执行。
符合性
本方针文件主要遵循《信息安全技术信息系统安全等级保护基本要求(GBT 22239-2008)》标准的要求,同时在部分环节也符合以下两个国际标准。
ISO/IEC 27001 信息安全管理体系要求
ISO/IEC 27002 信息技术—安全技术—信息安全管理实践规范
信息安全方针
四川工程职业技术学院总体安全方针为:提高人员信息安全风险意识,确保信息系统安全;强化信息安全管理,坚持以人为本。
安全管理制度
信息安全方针及安全策略
1主要安全策略
信息安全是四川工程职业技术学院及相关部门正常经营的重要保障,四川工程职业技术学院将遵照“统一规划、分级管理、积极防范、人人有责”的原则,通过风险评估和风险管理,采取一切可能的措施,加强四川工程职业技术学院信息安全的建设和管理。
四川工程职业技术学院设立信息安全领导小组,信息安全领导小组是四川工程职业技术学院信息安全管理的最高机构;信息中心、运维人员、系统管理员等是四川工程职业技术学院信息安全日常工作和执行机构,负责四川工程职业技术学院信息系统及信息安全的日常维护和管理工作。
四川工程职业技术学院全体职工均有参与信息安全管理、保护四川工程职业技术学院及相关部门信息安全的义务和责任。四川工程职业技术学院全体职工应积极参加各种形式的信息安全教育和培训,遵守相关国家法律、法规、部门规章和行业规范,遵守四川工程职业技术学院信息安全管理制度。
承载信息系统的所有软硬件设施及物理环境均应受到适当的保护。
采取必要的措施保护四川工程职业技术学院信息的机密性,以防止未经授权的不当存取;同时应确保信息不会在传递的过程中,或因无意间的行为透漏给未经授权的第三者。
采取必要的措施确保四川工程职业技术学院信息的完整性,以防止未经授权的篡改。
采取必要的措施确保四川工程职业技术学院信息的可用性,以确保使用者需求可以得到满足。
采取必要的措施确保四川工程职业技术学院信息的连续性,以确保业务持续可用。
四川工程职业技术学院相关的信息安全措施或规范应符合现行法令、法规的要求。
四川工程职业技术学院全体员工都有责任通过适当的上报机制,报告所发现的信息安全意外事故或信息安全弱点。
任何危及信息安全的行为,都应诉诸适当的惩罚程序或法律行动。
2信息安全目标
最大限度保证信息系统的完整性、保密性和可用性免遭破坏。确保每年信息安全重大事故的发生频率为可控范围内的最低,目标为“0”次。
3信息安全管理框架
四川工程职业技术学院信息安全管理框架是根据ISO/IEC 27001《信息安全管理体系要求》中的控制目标和控制项,并结合四川工程职业技术学院的实际情况所建立的。符合“PDCA”的管理模式。
P(PLAN)过程是计划过程,指统一规划和设计四川工程职业技术学院的信息安全目标和安全控制策略,指导四川工程职业技术学院整体的信息安全管理工作。
D(DO) 过程是执行过程,指四川工程职业技术学院在开展信息安全工作中需要落实的管理要求,包括信息安全组织制度管理、人员安全管理、系统建设安全管理、信息系统运维管理、变更管理和信息资产安全管理等,指导日常的信息安全管理工作。
C(CHECK)过程是检查过程,指四川工程职业技术学院开展信息安全工作的持续改进机制,通过信息安全风险评估、等级保护测评、检查,监督和审核等方式,指导信息安全管理体系控制要求不断完善。
A(ACTION)过程是处置过程,指四川工程职业技术学院信息安全事件处置和应急预案,通过发现和总结信息安全问题,形成新的管理办法和控制措施,确保信息安全管理体系的适用性和有效性。
四川工程职业技术学院信息安全管理框架通过PDCA各环节的不断完善,实现信息安全管理体系自身的持续改进,从而提高信息安全管理体系的全面性、有效性和适用性。
4信息安全管理原则
a) 主要领导负责原则:信息安全领导小组的主要领导确立四川工程职业技术学院信息安全保障的宗旨和政策,负责提高全员的安全意识,组织有效的安全保障队伍,调动并优化配置必要的资源,协调安全管理工作与各部门工作的关系,并确保其落实、有效;
b) 全员参与原则:跟核心业务信息系统相关的所有运行维护人员应普遍参与信息系统的安全管理,并与相关方面协同、协调,共同保障信息系统安全;
c) 持续改进原则:安全管理是一种动态反馈过程,贯穿整个安全管理的生命周期,随着安全需求和系统脆弱性的时空分布变化,威胁程度的提高,系统环境的变化以及对系统安全认识的深化等,应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级,维护和持续改进信息安全管理体系的有效性;
d) 依法管理原则:信息安全管理工作主要体现为管理行为,应保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理,应由授权者适时发布准确一致的有关信息,避免带来不良的社会影响;
e) 选用成熟技术原则:成熟的技术具有较好的可靠性和稳定性,采用新技术时要重视其成熟的程度,并应首先局部试点然后逐步推广,以减少或避免可能出现的失误;
f) 管理与技术并重原则:坚持积极防御和综合防范,全面提高信息系统安全防护能力,立足国情,采用管理与技术相结合,管理科学性和技术前瞻性结合的方法,保障信息系统的安全性达到所要求的目标。
文件评审及发布制度
5体系文件生命周期流程
图1体系文件流程图
6体系文件策划
信息安全工作小组组织相关人员,根据《信息安全技术 信息系统安全等级保护基本要求(GBT 22239-2008)》、《信息安全技术 信息系统安全管理要求(GBT 20269-2006)》、《ISO/IEC 27001:2005 信息安全管理体系》的要求,结合实际的职责和工作流程,策划制定信息安全管理体系文件的架构,并形成《四川工程职业技术学院信息安全管理体系文件框架》(以下简称“文件框架”)。
信息安全工作小组将制定的文件框架汇报给信息安全领导小组,信息安全领导小组对文件框架进行审批确认。
7体系文件架构与编写
信息安全工作小组根据审批后的文件框架及清单,负责组织编写各级文件。
总策略文件为《信息安全方针与安全策略》、《信息安全领导机构组成与职责》,它定义了安全管理的基本原则、基本方向、安全管理的组织框架和职责划分等。程序规范类文件主要包括《人力资源安全管理程序》、《系统建设管理》、《物理与环境安全管理》等管理标准文件,主要规定了各个领域的安全管理的基本原则和目标。记录类文件主要是各个领域安全管理的过程文档,是整个安全管理体系有效执行和落地的主要手段,也是安全管理体系的过程记录,可做为对外的信息安全质量保证。
其中总体策略类文件由信息安全领导小组署名,其他类文件由编写人署名。
编写完成的文档需先经过各相关部门的初审,然后由信息安全工作小组进行评审,最后由信息安全领导小组进行批准定稿。评审记录表见《制度文件评审记录表》。
8体系文件的评审
信息安全工作小组应定期发起对体系文件的评审。对体系文件的评审应至少每年进行一次。评审流程如下:
信息安全工作小组发起对体系文件的评审申请,信息安全领导小组审核确认后批准评审要求。
信息安全工作小组制定评审计划。计划中应确定各文档对应的评审责任人以及实施评审的时间计划。
各评审责任人根据时间计划,结合内部审核、管理评审、风险评估及日常记录的结果,评估现有文件的有效性和充分性。如果确定文档有必要进行修改,应填写《制度文件修订记录》。
如果修改的内容只涉及信息中心,则由信息安全工作小组组长进行审批,在审批同意后,由文档评审责任人进行修改。
如果修改的内容涉及到信息中心以外的部门,需要所有涉及部门的会签。会签后,由文档评审责任人进行文档修改。
修改完毕之后,各责任人将《制度文件评审记录》和完善后的体系文件版本一并报送信息安全工作小组,由信息安全工作小组进行标识和保存。
信息安全工作小组最终对评审结果向信息安全领导小组进行汇报。
9体系文件的作废
在体系文件的评审过程中,如果评审责任人认为文件应当作废,则填写《体系文件作废申请表》,由信息安全工作小组审批后,报信息安全领导小组进行审批。
信息安全领导小组审批完成后,信息安全工作小组负责通知所有相关人员,并对《四川工程职业技术学院信息安全管理体系文件框架》进行更新。
安全管理机构
信息安全领导机构组成与职责
10信息安全领导小组组长职责
组长:负责信息化建设总体规划、设计决策、项目决策、流程决策、人员调配决策以及信息安全事故的应急协调和指挥。
副组长:负责具体项目规划设计、人员召集、组织实施等工作,对工程质量负责,并负责人员培训,流程制定,需求确认,协助实施、安全事故应急响应等具体日程和事务。
11信息安全领导小组具体职责
负责审定信息安全建设与应用总体规划、经费预算、技术标准、管理规范及相关政策措施。
研究决定信息安全体系建设重大事项,监督信息安全体系规划的实施。
及时解决项目建设过程中的决策问题,并对各项工作做出指示
审批发布信息安全方针和管理体系。
审批信息安全规划和项目的批准。
提供信息安全资源保证。
负责信息安全策略审核及推广。
建立与内部/外部专家、权威机构、合作伙伴、供应商之间的沟通渠道。统一控制对外信息发布和通告。
12信息安全工作小组组长职责
组长:直接对信息安全领导小组负责,负责信息安全领导小组宏观策略和项目规划的落地执行;在信息化领导小组的领导下,协调工作小组成员完成方案起草,流程收集,需求汇总等工作;协调信息安全工作小组内部人员的工作分配,人员管理等。
副组长:协助信息安全工作小组组长完成宏观策略和项目规划的落地执行,任命信息安全角色和岗位,并明确各信息安全岗位的职责,组织并实施信息安全管理评审,督促各成员统一协作,完成方案起草,流程收集,需求汇总等工作。
13信息安全工作小组人员职责
负责系统调试、日程维护、人员培训、人员组织、安全管理等具体工作。具体职责如下:
负责信息安全体系建设具体工作实施和推进,与工作小组组长及时沟通并汇报有关情况。
负责与咨询公司沟通协调项目实施情况以及项目在单位内部的推进和后续知识转移。
负责安全管理体系的建立并监督信息安全管理制度的执行。
对信息安全相关项目进行规划和监督,确保信息安全风险评估和管理工作能够落实。
制定年度评审计划,确定评审范围和内审内容。
负责信息安全策略、标准、流程和制度的编写、审核及推广。
制定业务连续性计划。
建立与内部/外部专家、权威机构、利益伙伴之间的沟通渠道。统一控制对外信息发布和通告。
授权及审批管理制度
14内部人员授权管理办法
根据信息安全领导小组的主要职责,信息安全工作小组由信息安全领导小组授权后生效。信息安全工作小组直接对信息安全领导小组负责。
根据信息安全工作小组的主要职责,信息安全各安全岗位的负责人员由信息安全工作小组授权后生效。各信息安全岗位管理人员对信息安全工作小组负责。
根据信息安全工作小组的主要职责,各业务信息系统的经办人员由各业务单元的相关部门提名产生,最终由信息安全工作小组授权后生效,各业务经办人员对信息安全工作小组负责。
15外包人员审批管理办法
外包运维人员对四川工程职业技术学院信息系统每个环节的参与均需要信息中心主任的审批,或者由信息中心主任授权信息安全工作小组组员进行相关审批;
对于没有经过正式授权的,临时的、紧急的、需要即时审批的信息系统维护需求,可由信息中心主任电话审批同意,但过后需要补充审批记录。
外包运维人员审批内容主要牵涉访问四川工程职业技术学院信息系统。相关审批详细的流程和过程表单参见《第三方安全管理规范》。
16变更审批办法
信息系统变更主要分两大类别:功能优化类变更和系统完善类(bug修订,补丁修复)变更。
功能优化类变更的发起人为各科室业务经办人员。
系统完善类变更的发起人为各科室业务经办人员、系统管理人员或系统运维外包厂商人员。
两类变更的审批办法和流程基本一致,原则是需要有效识别各类系统变更的风险,并严格按照审批程序有效规避风险、落实相关责任方。
17变更审批流程:
变更由上述变更发起人发起,根据变更的具体内容填写相关的变更管理表单。
功能优化类变更审批的第一级部门是业务经办部门,因为不直接牵涉到信息系统的变更,该部分变更由业务经办部门审批,最后一个审批人须是业务经办部门的部门领导或者更高一级的主管领导,具体由业务经办单位自行决定。
功能优化类变更审批的第二级审批部门是信息中心,由信息中心安排专人评估变更的风险和可行性,评估结果可行后,由信息中心主任审批,信息中心主任审批后交由系统运维外包人员具体实施,完成系统变更。
系统完善类变更可能会涉及到系统的内核,影响系统运行的稳定性。此类变更一般由系统管理员发起,要求系统管理员在发起变更的同时需要就本次变更的潜在风险和风险规避措施进行描述后报请信息中心主任进行审批,信息中心主任审批后由系统管理员进行具体实施,完成系统变更。
详细的变更审批流程与过程表单参见《变更管理程序》。
18IT设备采购审批办法
IT设备的采购过程按照《IT产品采购管理制度》规定执行,牵涉到信息中心部门审批的环节,均需要有信息中心主任签字审批认可。IT设备采购审批的最后一个环节按照四川工程职业技术学院现有办法,由总务处负责采购执行。
19其他审批办法
物理访问、系统接入等其他对信息系统(包括四川工程职业技术学院业务网、主机房、各业务信息系统)的访问和修改操作,均由信息中心主任或信息中心主任授权的信息中心其他人员负责审批并监督后续的访问过程。
重要操作,如业务系统功能上的重大调整、重大升级变更、网络架构大的调整,均需要由信息中心主任召集相关人员论证后初审,初审的结果报信息安全领导小组做最后审批后进行。
沟通与合作管理
信息安全领导小组负责高层信息安全例会的发起,信息安全工作小组负责中层信息安全例会的发起。信息中心负责中高层信息安全例会记录工作、与外部相关单位的沟通与协作管理。
20信息安全例会管理:
中层信息安全例会由信息安全工作小组负责发起,至少每月需要组织一次常规的信息安全例会,例会参会人员至少要包括信息安全工作小组主要成员和执行层各角色的管理人员。在发生小范围内信息安全事件时如需要,信息安全工作小组可随时召集发起信息安全工作会议,通知相关人员参加,就信息安全管理各项制度和执行情况做出及时调整和部署。
常规的中层信息安全例会的主要内容是就各阶段的信息安全检查结果进行上会检查和审批,对信息安全检查中发现的各项问题提出解决办法和规避措施,对外包运维人员的工作内容进行确认和审核,就发现的各类信息安全问题及时提出解决方案并落实到相关责任人。
遇有工程或项目时,可根据工程和项目进度情况或者工程和项目的需要随时召开信息安全例会,且可不拘泥于信息安全工作小组范围,可召集相关的合作单位、合作方、内部相关部门的相关人员一起参加信息安全例会,并由信息中心做好例会的记录工作。
高层信息安全例会由信息安全领导小组负责发起,至少每季度需要组织一次常规的高层信息安全例会,例会参会人员包括信息安全领导小组主要成员。在发生大范围的信息安全事件、有重大信息安全事件发生、或者有重大信息系统建设项目时,如有必要,由信息安全领导小组发起,或者由信息安全工作小组提议,由信息安全领导小组发起高层信息安全领导小组会议,通知相关人员参加,及时协调各方资源,共同协作,解决相关问题,或完成各项部署。
常规的高层信息安全例会的主要内容是听取信息安全领导小组的信息安全工作季度报告,就信息安全各项工作根据报告提出调整和解决方案,并协调各方资源,共同协作,完成各项信息安全工作。高层信息安全例会的另一重要内容是就信息安全管理体系的各项管理制度,根据运行中发现的问题,及时进行调整和部署,不断完善四川工程职业技术学院信息安全管理体系。
21外部协作管理:
由信息安全工作小组负责建立并保持与兄弟单位、公安机关、电信公司等对口单位的合作与沟通,就兄弟单位的成熟经验、政策法规、当前的信息热点事件展开交流与合作。如交流与合作内容比较正式,且有正式的会议形式,则需要由信息中心做好会议记录工作,会议记录的模板可用信息安全例会的模板代替,但会议主题需注明为“合作沟通”。
安全检查和审核管理
信息中心负责协调,信息中心安全管理员负责常规的信息系统安全检查和记录。信息安全工作小组负责对四川工程职业技术学院信息系统安全抽查,并由信息中心做好记录。
22安全检查机构分工
日常安全检查由安全管理员负责,安全检查应根据日志中心的安全日志情况,不定期进行,但最少应每月检查一次。
信息安全工作小组可在安全管理员检查的基础上不定期的进行信息安全抽查,或者组织全系统范围内的全面安全检查,但最少应每半年做一次全面的安全检查。
23安全检查审核主要内容
安全管理员的日常安全检查主要内容包括:系统日常运行情况、系统漏洞、数据备份情况、故障受理和处置情况等。
信息安全工作小组的安全检查和审核主要内容包括:系统日常运行情况(就安全管理员的日常检查情况进行汇总)、系统漏洞、数据备份情况、现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。
信息安全工作小组的安全检查和审核结果如需要可在全系统范围内进行通报,通报内容可以删除敏感信息。
人员安全管理
信息系统人员管理制度
1.人力资源部负责四川工程职业技术学院职工聘用与录用。信息系统岗位人员任职期间及离职时的考核管理由信息中心负责。
2.信息中心须与信息系统关键岗位人员签订保密协议。
3.各信息系统使用部门负责本部门员工的日常管理工作。
信息安全培训管理
信息中心负责制订各类岗位和人员的信息安全相关培训计划,并按照计划执行各种形式的信息安全培训。各部门主管协助信息中心开展覆盖本部门范围的相关安全培训,全体职工积极参加信息中心组织的各类信息安全培训。
24信息安全意识培训
24.1信息安全意识培训对象
四川工程职业技术学院职工都应接受信息安全意识的培训。
24.2信息安全意识培训时机
新入职职工在上岗前都应接受信息安全意识培训;
针对现有职工,信息中心应确保每年至少提供一次基础的信息安全意识培训,以确保所有职工都保持必要的信息安全意识。
25信息安全技术培训
25.1信息安全技术培训对象
信息安全技术培训对象主要是信息中心的技术人员,各科室信息专员。
25.2信息安全技术培训时机
信息技术人员在上岗前都应接受信息安全技术培训;
针对现有的信息技术人员,应确保每年至少提供一次基础的信息安全技术培训;
当出现新的信息安全技术时,应确保所有的信息技术人员参加相应的培训。
26信息安全管理培训
26.1信息安全管理培训的对象
信息安全管理培训的对象是中层以上管理人员。
26.2信息安全管理培训的时机
在信息安全管理体系建设过程中,应对中层以上管理人员进行信息安全管理培训,确保他们理解并支持信息安全管理体系的建设,确保信息安全管理体系的实施顺利进行。
应确保每年至少提供一次基础的信息安全管理培训
第三方安全管理规范
四川工程职业技术学院第三方信息安全管理由信息中心负责,并应按照本办法严格落实。
对于与公司合作运营的第三方公司,信息中心要求其按照四川工程职业技术学院网络与信息安全的管理规定,严格落实信息安全责任,建立日常安全运维、检查制度,确保不发生信息泄密、重大安全漏洞。
信息中心需要求在公司开展现场长期服务的第三方公司,在派驻现场设立专职人员,其主要职责包括:负责按照国家及四川工程职业技术学院的信息安全管理要求,开展派驻现场的安全管理,指导和监督派驻现场人员的信息安全,确保不发生违规行为;接受公司的监督和考核等。
第三方公司信息安全管理人员发生变更时,应在变更前1周将有关变更信息报送四川工程职业技术学院信息中心。
信息中心要督促指导第三方公司及人员遵循四川工程职业技术学院的安全管理制度和规范,将安全要求作为考核内容,纳入双方合作协议,定期组织对第三方安全检查。
系统建设管理
安全方案设计
应根据系统的安全保护等级选择基本安全措施,并依据风险分析的结果补充和调整安全措施;
应指定和授权专门的部门对信息系统的安全建设进行总体规划,制定近期和远期的安全建设工作计划;
应根据信息系统的等级划分情况,统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件;
应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定,并且经过批准后,才能正式实施;
应根据等级测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件。
自行软件开发
应确保开发环境与实际运行环境物理分开,开发人员和测试人员分离,测试数据和测试结果受到控制;
应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则;
应制定代码编写安全规范,要求开发人员参照规范编写代码;
应确保提供软件设计的相关文档和使用指南,并由专人负责保管;
应确保对程序资源库的修改、更新、发布进行授权和批准。
系统交付
应制定详细的系统交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点;
应对负责系统运行维护的技术人员进行相应的技能培训;
应确保提供系统建设过程中的文档和指导用户进行系统运行维护的文档;
应对系统交付的控制方法和人员行为准则进行书面规定;
应指定或授权专门的部门负责系统交付的管理工作,并按照管理规定的要求完成系统交付工作。
系统建设完成后,项目承建方要依据项目合同的交付部分向信息中心进行项目交付,交付的内容至少包括:
制定详细的系统交付清单,对照系统交付清单,对交付的设备、软件和文档进行清点;
制定项目培训计划,对系统运维人员进行技能培训,目标是经过培训的系统运维人员能胜任日常的运维工作;
提供系统建设的各类过程文档,包括但不限于:实施方案、实施记录等;
提供系统运行维护的帮助和操作手册;
系统交付过程文档必须有项目承建方和信息中心双方项目负责人进行签字确认;
系统交付工作由信息中心、系统交付商共同参与,双方签字后,交付物交由信息中心管理。
必须安照系统交付的要求完成交付工作。
系统运维管理
机房管理制度
四川工程职业技术学院行政区各部门单位必须严格遵守本管理规定,加强信息安全意识。
27管理内容及要求
27.1职能描述
信息安全工作小组负责机房的安全管理,主要包括:
保障机房信息系统的安全运行;
负责机房的环境维护和物理访问管理;
负责机房的设备维护及设备管理;
负责机房内关于本公司事故的上报及处理;
负责制定及修订本公司机房安全管理制度;
信息安全工作小组网络组负责对机房值班人员及技术维护人员(外包方)进行日常工作管理和检查。
27.2管理内容
托管机房物理环境管理
选择的托管机房的物理环境需符合国家标准要求,具体包括防水、供电、选址、温湿度等要求。具体参考信息安全等级保护三级要求。
托管机房物理访问控制
进入托管机房需至少提前一个工作向信息安全工作小组组长提出申请,由组长向托管机房发出预约确定具体访问日期及时间。
本地机房环境管理
本地机房工作区域范围:机房进出访问控制指对机房人员出入、物品进出、数据导入导出等环节通过技术或管理手段进行严格限制,防止未经授权的物理访问。
常规情况下,任何人不得随意进出本公司机房工作区,进出规定如下:
周一至周五的7:30-17:30时段,工作人员须经信息安全工作小组组长同意,由信息安全工作小组指定的机房管理人员陪同进出机房工作区,同时在机房进出登记簿上按要求填写相关内容;
周六、周日全天(含节假日)和周一至周五的17:30-次日7:30时段,工作人员经事先批准后,需由机房值班人员陪同进出本公司机房工作区,并在机房进出记录上按要求填写相关内容。
本公司机房工作区需配备专门的消防设备、电视监控设备和符合要求的专用工具等,严禁易燃易爆物品置放于机房环境内。保持机房充足的照明,配备备用照明电源。
机房人员管理
信息安全工作小组负责本公司机房区域日常的管理,进出机房的人员应遵从机房管理人员的管理。
进出机房工作人员管理
在正常工作时段进出机房应自觉进行登记;
不得将无关人员带入本公司机房区域,并进行计算机操作。
机房值班人员管理
严格执行上下班制度并认真做好交接班工作;工作期间不得随意离开脱岗;
认真做好非机房工作人员出入机房区域登记工作;
严格把好设备、物品进出关,禁止非机房设备或对机房有害设备、物品带入机房;设备、物品带出机房,必须查验信息安全工作小组开具的出门单后方可通行;
每天定时检查机房周围环境安全,以及对机房工作区进行巡检,并认真做好机房巡检记录。
非机房工作人员管理
非本机房工作人员严禁无证进入机房,确因工作需要进入机房须经相关人员的授权后方可进入;
非机房工作人员进出机房必须填写《机房进出记录》;
非机房工作人员进入机房须严格按照本规范要求执行。
机房设备管理
信息安全工作小组负责机房设备日常管理及维护,机房及内部设备应保持干净、整洁。
机房设备的安置必须满足设备供应商要求的物理环境。
机房设施的日常维护应作出维护记录,对失效的设施应及时进行报修。
任何个人,未经同意,不得擅自改变网络设备的连接状态。
机房内的重点设施(设备),如UPS电源、服务器、网络设备等应指定专人管理,日常操作由管理员负责,其他人员未经允许严禁上机操作、更改设置及改动相应的关联设备。
机房内的计算机设备和工作盘片应定期由信息安全工作小组负责进行计算机病毒检查。
机房值班管理
信息安全工作小组负责建立固定规范的值班制度,安排人员进行机房监控和值班,值班人员应遵守本机房管理制度并监督执行。
机房值班人员不得擅离职守,若工作需要,应事先向相关负责人请假,并安排好代班人员。
机房值班人员应认真作好值班记录,遇异常事故应及时通知信息安全工作小组主任,严禁武断行事,以免发生不必要的损失。
机房值班人员要严格按照管理权限、操作程序和技术规范进行业务处理,对于违反规定而导致的责任事故,由当事人负责。
机房物理安全管理
机房内的用电设施应指定专人管理及维护,确保用电设施的安全可靠。
机房内应配置专用的消防系统和烟雾报警装置,并督促、配合相关部门定期进行消防系统的检查工作。
机房内的门窗应安全可靠,平时保持闭合状态。
机房值班人员在下班(岗)时,必须对机房内的用电、防火、防盗等设施进行安全检查。
机房事故处理
对机房内的关键设施(设备)应制定安全应急预案。
机房发生重大问题,如断电、火警、重点设备的异常,应及时采取积极措施排除险情,并按应急预案处理。
机房内发生的各类事故,应由事故直接责任人承担。机房值班人员、机房管理人员和分管负责人也应承担相应的管理责任。造成经济损失的,按损失的大小承担一定的赔偿或处罚。
机房内发生的各类事故,应做好相应的事故记录,对重大事故,同时应向上级管理部门报告。
禁止条款
严禁在机房内吸烟,大声喧哗,不得将食品、饮料带入机房。
机房内严禁带入或存放易燃、易爆物品及危险品。
机房内的设备属工作专用设备,不得用作与本职工作无关的事项。
禁止在机房内下载或传送与工作内容无关的软件或媒体。
严禁在机房内使用游戏软件或与本工作无关的其他软件。
房内的资源(如软件、程序、数据等)未经信息安全工作小组相关部门负责人同意,不得随意复制、外借使用。
违反禁止条款的直接责任者,将视情节轻重做出严肃处理,直至追究法律责任。
资产安全管理制度
规范四川工程职业技术学院信息资产的管理、使用和处置,防止其滥用和丢失,保护数据安全。
技术部:主要负责信息资产的采购、入库、领用、为资产建立台账,
负责使用与处置方法,并监督各部门的执行情况。
各部门:按照相关规定,对信息资产进行有效使用和管理。
28信息资产的使用规范
28.1硬件资产的使用规范
所有的硬件资产必须明确设备的使用人员/管理人员,明确职责。
硬件资产的使用人(或管理人),在使用或管理硬件资产时,要注意硬件资产的安全性、机密性、完整性,防止信息载体的毁坏和信息的泄密,防止信息处理设施的滥用。
对设备定期进行维护保养,发生毁坏,丢失等问题时能够及时处置。
新硬件设备接入网络按照相关规定处理。
当设备迁移时,如果设备中存储有重要信息时候,需事先进行备份;
设备迁移完成后,需要检查设备是否损坏;
设备迁移出四川工程职业技术学院时,检查人员在检查时要格外注意,禁止设备中存放重要信息,以防止四川工程职业技术学院机密信息泄露或泄露的风险增加。
离开四川工程职业技术学院的设备和介质,如客户现场的设备和介质需要有人值守或委派负责人(或者公共场所放置的需要有人值守或监视系统)。
在旅行时便携式计算机(笔记本电脑)要作为手提行李携带,若可能宜伪装起来;
制造商保护设备用的说明书要始终加以遵守,例如,防止暴露于强电磁场内;
28.2软件资产的使用规范
所有的软件资产必须设置专人管理,明确职责,避免软件资产的丢失,泄密。
所有正版软件实体由技术部保管,在安装软件时要规定使用权限,防止非授权访问。
四川工程职业技术学院自己开发系统软件的源代码应进行备份。
对四川工程职业技术学院重要系统,如邮件系统,文件服务器系统进行备份。
当人员离职或岗位变动,需要回收有关的软件,必要时,由技术部人员对离职人员使用的软件进行卸载,删除。
28.3电子数据的使用规范
对所有电子数据进行分类/分级,标识未授权人员的访问限制,不同安全级别的数据应存储在不同的区域,按类按级传达,便于信息的安全管理。
不同类型的电子文件按照统一规律存放在个人电脑或服务器中,便于整理和查阅以及工作交接时转移。
所有电子文件保存在电脑或服务器中,并按照规定的备份频率定期进行备份。
对于存于服务器上的电子数据的访问,会根据服务器提供服务的不同与部门/职务的不同,设备不同的访问权限,减少非受权的访问.
对于机密级别的电子信息,要由专人管理,存放在受权限控制的路径下。
对于内部公开级别的电子信息,其使用要控制在四川工程职业技术学院内部,禁止带出四川工程职业技术学院。
28.4实体信息的使用规范
所有的机密级的实体信息资料要(通过标签或其它方式)标识出资产的保密级别,分类存放,不同安全级别的实体信息应按类按级传达,便于实体信息的安全管理。
对于比较重要的机密实体信息必要时保存在带锁的柜子或保险柜子中,柜子钥匙由专人保管。
对于实体信息的保存期限依据备份相关制度进行实施。
对于比较重要的实体信息的使用过程,应注意信息的保密,确保信息的完整性和可用性;
对于比较重要的实体信息的传输,应采取适当的安全措施加以保护,如专人递送、分散传输等。
29信息资产的发布
29.1责任部门
对外信息披露的责任部门为行政人事部。
29.2对外信息披露的流程
1)信息的报送:各部门根据工作需要对外发布及传送信息时,需提前通知信息安全工作小组,并将对外公布信息内容、信息披露的渠道等报送行政人事部审批;
2)信息的审批:行政人事部对各部门对外公布信息内容和渠道进行审批,审批通过后由行政人事部统一执行对外信息发布的工作。重要对外信息的审批则需上报总经理审批,审批通过后由行政人事部进行发布工作。
注:对于经常性或较为适于职能部门发布的信息,经行政人事部审批后,可由相应部门负责对外信息发布,发布信息内容则必须在行政人事部留档。
3)发生费用的控制:对于因信息发布披露而产生的费用,各部门在年初时需制订相应的预算,在具体信息对外公布执行中,财务部按照预算进行控制。对于超出预算或其他特殊情况的费用,则需相应部门上报公司总经理进行审批,审批通过后予以执行。
4)对外披露信息的存档:对外披露的信息由行政人事部统一存档、保留。
30用户数据的保护
30.1责任部门
由单位负责人、其他部门负责人、信息管理主要技术人员组成的信息数据安全小组,以充分保护用户的个人隐私、保障用户信息安全。
30.2小组职责
1、定期对相关人员进行网络信息安全培训并进行考核,使网站相关管理人员充分认识到网络安全的重要性,严格遵守相应规章制度。
2、尊重并保护用户的个人隐私,除了在与用户签署的隐私保护协议和网站服务条款以及其他公布的准则规定的情况下,未经用户授权不随意公布和泄露用户个人身份信息。
3、对用户的个人信息严格保密,并承诺未经用户授权,不得编辑或透露其个人信息及保存在本网站中的非公开内容,但下列情况除外:
①违反相关法律法规或本网站服务协议规定;
②按照主管部门的要求,有必要向相关法律部门提供备案的内容;
③因维护社会个体和公众的权利、财产或人身安全的需要;
④被侵害的第三人提出合法的权利主张;
⑤为维护用户及社会公共利益、本网站的合法权益的需要;
⑥事先获得用户的明确授权或其它符合需要公开的相关要求。
30.3用户数据所有权
本公司有责任保护用户数据,每个用户都要对其账号中的所有活动和事件承担全部责任。
1、用户应当严格遵守网站用户账号使用登记和操作权限管理制度,并对自己的用户账号、密码妥善保管,定期或不定期修改登录密码,严格保密,严禁向他人泄露。
2、用户同意若发现任何非法使用用户账号或安全漏洞的情况,有义务立即通告本网站。
3、如用户不慎泄露登陆账号和密码,应当及时与网站管理员联系,请求管理员及时锁定用户的操作权限,防止他人非法操作;在用户提供有效身份证明和有效凭据并审查核实后,重新设定密码恢复正常使用。
设备安全管理制度
技术部负责对四川工程职业技术学院所有IT设备的统一采购管理。各部门负责采购前申请和领用后的保管、使用、维修申请、报废申请等。
31IT设备操作使用规范
计算机主机的放置必须与音箱、打印机等设备保持适当距离,以防止信号相互干扰及过热现象。
计算机及其外部设备必须放置在干燥、通风凉爽、避免阳光直晒的地方,以防止潮湿引起电路短路。
计算机及其外部设备必须定期进行清洁除尘工作,以保持其干净清洁。
开机时应该先给外部设备加电,然后才给主机加电。
在电脑运行过程中,机器的各种设备不得随便移动,严禁带电插拔各种接口卡(USB接口除外),严禁带电装卸外部设备和主机之间的信号电缆。如有上述动作,则必须关机断开电源进行操作。
不得频繁开关机。关机后如果需要重新启动设备,则应该在关闭计算机主机后等待10秒钟以上后重新开机。
计算机病毒防治。计算机病毒一般通过数据交换的途径传播,尤其盗版软件与网络是病毒传播的重要途径。因此,计算机的防病毒应做到以下几点:
发现计算机病毒应当及时清除;无法清除的,应当及时通知技术部,并采取断网等隔离措施,防止再次对有毒数据进行访问。
其它
定期对计算机重要数据进行备份,防止因计算机故障及其它原因造成的数据丢失。
严禁在计算机上安装游戏软件。
严禁在计算机上安装非法盗版软件,凡在计算机上安装非法盗版软件造成版权问题的,属于个人侵权问题,与公司无关。
严禁随意对单位计算机软件或其它数据进行更改、删除、卸载。
网络安全管理制度
32网络系统维护具体要求
32.1网络配置管理:
检查当前运行的网络配置数据与网络现状是否一致,如不一致应及时更新。
检查缺省启动的网络配置文件是否为最新版本,如不是应及时更新。
网络发生变化时,及时更新网络配置数据,并做相应记录。
网络配置数据应及时备份,备份结果至少要保留到下一次修改前。
对重要网络数据备份应实现异质备份、异址存放。
重要的网络设备策略调整,如安全策略调整、服务开启、服务关闭、网络系统外联、连接外部系统等变更操作必须填写《网络维护审批表》经技术部主管同意后方可调整。
32.2网络运行管理
网络资源命名按技术部规范进行,建立完善的网络技术资料档案(包括:网络结构,设备型号,性能指标等)。
重要网络设备的口令要定期更改,一般要设置八个字符以上,口令设置应无任何意义,最好能包含非数字和字母在内的字符,同时采用大小写混用的方式;口令要存档保存。
需建立并维护整个系统的拓扑结构图,拓扑图体现网络设备的型号、名称以及与线路的链接情况等。
涉及与外单位联网,应制定详细的资料说明备案;需要接入内部网络时,必须通过相关的安全管理措施,报主管领导审批后,方可接入和接出。
内部网络不得与互联网进行物理连接;不得将有关涉密信息在互联网上发布,不得在互联网上发布非法信息;在互联网上下载的文件需经过检测后方可使用,不得下载带有非法内容的文件、图片等。
尽量减少使用网络传送非业务需要的有关内容,尽量降低网络流量;禁止涉密文件在网上共享。
所有网络设备都必须根据采购要求购置,并根据安全防护等级要求放置在相应的安全区域内或区域边界处,合理设置访问规则,控制通过的应用及用户数据。
网络设备(包括传统网络设备和网络安全设备)的日志要保存归档,如设备本身提供日志存储空间,可利用设备本身的存储空间存储日志,如设备本身不提供存储空间,须由网络管理员定期或实时将日志备份存储在外部存储空间。要求网络设备的运行日志至少要保存半年后方可删除。
网络管理员应定期但至少每月一次对网络设备、网管及配套设施进行巡视巡检,巡检的主要内容为机房各网络设备的外观报警情况、设备链路连接情况、各网络设备的运行日志。检查完毕后需填写《网络违规行为记录表》,重点将检查中发现的违规行为,如乱搭乱接、非法外联等违规行为记录在案。
系统安全管理制度
33管理细则
33.1运维组织
技术部主管统筹安排力量,建立以业务、技术支持为主体、以总体运维为依托、以基础运维为基础的高效、有序的应用系统运行维护管理体系。
对于各个应用系统,应确定其运维负责主管,各应用系统有关的部门还应设立联络人。
重要应用系统,技术部确定两名以上技术人员担任系统管理员,实行AB岗制。
对于应用系统,由技术部指定多人成立负责小组,负责组织、协调该应用系统的日常运维。
技术部建立统一的应用系统运行维护管理平台(常规通过堡垒机实现),实现各类应用系统的日常运维管理、行为审核,并通过实现运维信息共享。
日常运维人员、第三方维护人员必须通过堡垒机系统来实现运维管理。
33.2数据修改流程
对于应用系统运行过程中出现的因录入错误或程序原因造成错误数据,需要进行修改的,适用本流程。
数据修改应尽量利用应用系统提供的前台功能模块进行,前台能够修改的数据一般不允许做后台修改。
对于按照应用系统的岗责权限设置,对本人录入数据具有修改权限的,可以直接使用修改功能进行操作。
对于本人无权进行修改的,参照《变更管理程序》规定执行:
对于无法通过前台软件修改、且不修改会造成后续业务无法运行的或者严重影响数据质量的特殊情况,可以进行后台数据修改。后台数据修改的提报和处理必须参照《变更管理程序》规定执行完成:
对于错误原因和处理方法比较明确的常见问题,为提高运行效率,可以由主管部门申请,经批准后可简化或取消部分流程。
对于因软件功能不完善或者程序错误造成的后台数据修改问题,主管业务部门和技术部门应及时向领导小组反映,争取通过修改软件来从根本上解决问题。
33.3系统配置调整流程
对于涉及应用系统日常运行的系统参数、初始化代码、业务参数、打印参数、批处理设置、工作流配置等系统配置调整工作,适用本流程。
对于按照应用系统的岗责权限设置,对本部门业务参数具有前台设置权限的,可以直接使用设置功能进行操作。
对于涉及全局性的系统参数、业务参数以及其它系统配置,按照《变更管理程序》规定执行。
33.4系统升级与版本管理
系统升级部分的所有审批和流程参照《变更管理程序》执行。
为保证应用软件版本的统一,应用软件的版本和升级补丁由应用系统的系统管理员集中统一管理。
系统管理员应对下载的程序和文档进行检查,检查版本是否包含修改说明和安装说明,程序及文档是否和说明中的文档清单相一致,如果缺少内容,联系业务主管部门了解原因并获取正确版本。
系统管理员搭建升级测试环境,在测试环境中完成版本升级和技术测试,并填写《补丁测试记录》。
主管(或牵头主管)业务部门运维岗应组织相关部门,对照升级文档,按照各自职责分工在测试环境中完成业务功能测试,并确定升级相关的业务调整。
技术测试和业务测试时应注意升级对其它相关应用系统的影响,并及时协调相关应用系统的系统管理员和业务运维岗进行相关调整。
系统管理员与相关业务运维岗根据升级测试情况以及业务应用的需要,共同确定正式升级时间。升级时间一般应避免选择应用系统的运行高峰时间。
系统管理员应在升级前发布升级通知,明确升级的时间,并将升级说明、注意事项告知相关部门。
系统管理员应制定应用系统升级操作规程,在正式升级时按照规程要求做好相关数据库、系统配置、软件版本的备份,并按照操作顺序完成数据库、应用程序等的升级及升级后的测试。
各部门及相关人员应按照发布的升级要求,做好软件升级以及升级前后的业务准备、调整工作。
对经技术或业务测试发现有问题的升级版本,由系统管理员联系业务主管部门或人员,确认是否属技术问题。如属技术问题,申请重新下发升级程序;如属业务需求问题,由主管业务处室提报二次需求。
33.5运维安全与用户权限管理
仅系统管理员掌握应用系统的特权账号,系统管理员需要填写《系统特权用户的授权记录》,该记录由技术部文档管理员保管留存。
为保证应用系统安全,保证权限管理的统一有序,除另有规定外,各应用系统的用户及其权限,由系统管理员负责进行设置。
用户权限设置,按照确定的岗责体系以及各应用系统的权限规则进行。
新增、删除或修改用户权限,应通过运维平台的用户权限调整流程来完成:
应用系统的系统管理员应加强对各类用户账号与口令的管理,制定口令管理安全策略,加强对口令安全性的监督检查,强化系统的权限管理。
应用系统用户的登录密码,不得使用默认密码或弱口令。应定期更换口令。用户不得将自己的登录名与口令转交他人使用。
应定期至少每季度一次对应用系统进行漏洞扫描,生成扫描报告存档,并对扫描发现的问题及时进行处理。
需要安装补丁时,必须做好数据备份工作之后才可进行补丁安装实施工作。
加强系统运行日志和运维管理日志的记录分析工作,并定期至少每季度一次记录本阶段内的系统异常行为,记录结果填入《系统异常行为分析记录单》
33.6故障与应急管理
应用系统在建设、部署过程中应充分考虑系统的高可用性和可靠性要求,采取合理有效的技术手段,尽可能消除单点故障。
应用系统的系统管理员应协同其它技术岗位,制定应用系统的日常监控工作规程和技术应急预案,并做好应用系统的程序、数据、参数等的备份工作。
各应用系统的主管(或牵头主管)业务部门应制定各应用系统的业务应急预案,明确在应用系统无法使用时手工办理相关业务的处理流程。
备份与恢复管理制度
数据库管理员:负责存储备份系统的管理,包括存储设备的规划和空间分配管理、光纤交换机Zone管理、制订备份恢复策略、组织实施备份恢复工作等。
当日值班员:负责存储备份系统的日常保养,包括系统日常巡检、故障上报及维护工作许可、并配合系统管理员完成排除故障工作等。
系统集成商和原厂商:负责提供存储备份系统的售后技术支持与服务,包括系统调优并对日常运行维护中的技术难点提供解决方案与支持。
34管理细则
34.1备份范围和备份方式
数据备份范围包括重要系统的操作系统、系统配置文件、数据文件和数据库。
备份方式有全备份(Full)、增量备份(Differential Incremental)、积累备份(Cumulative Incremental)和数据库日志备份(transation log)。
各系统管理员根据自己负责系统的具体情况选择备份方式,基本原则是:保证数据的可用性、完整性和保密性均不受影响,且不破坏业务的连续性。
34.2存储备份系统日常管理
存储备份系统由技术部安排专人负责管理和日常运行维护,禁止不相关人员对系统进行操作。系统集成商或原厂商须经许可,方可进行操作,并要服从管理、接受监督和指导。
任何人员不得随意修改系统配置、恢复数据,如需修改、恢复,须严格执行工作制度,经批准后方可操作。
对系统的变更操作须在系统配置文档中进行记录。
重要系统的数据必须保证至少每周作一次全备份,每天作一次增量备份,备份有效时间为半年。
应定期(每半年)对备份恢复工作进行测试,以确保备份数据的可恢复性。
当存储备份系统出现告警或工作不正常,引起应用系统无法访问、系统不能备份时,应立即启动应急预案,恢复系统正常运行,并及时上报。
日常巡检管理
系统需定期(每半年)进行一次健康检查,检查内容及工作方案由系统管理员配合系统集成商和原厂商制定,经批准后方可执行,并提交详细的定检报告。
34.3存储备份介质管理
所有备份介质未经同意一律不准外借,不准流出公司。
备份介质需定期(每半年)进行检查,一旦发现介质损坏,应立即更换。
退出运行的系统所有的存储介质、备份介质必须严格遵照四川工程职业技术学院介质管理制度进行统一回收、统一销毁。
