宁波大学信息系统管理制度V2.0.doc

目录 第一章 总则 2 第二章 安全管理机构 3 第三章 人员安全管理制度 7 第四章 系统建设管理制度 8 第五章 机房管理制度 10 第六章 介质管理制度 12 第七章 网络安全管理制度 13 第八章 主机系统安全管理制度 14 第九章 恶意代码防范制度 15 第十章数据备份制度 16 第十一章 应急预案管理制度 16 附件： 23 一、管理制度评审记录 23 二、项目交付培训记录表 24 三、出入机房登记表 25 四、物品出门证 26 五、机房基础设施巡检记录表 27 六 机房温湿度记录表 28 七、机房基础设施维护表 29 八、介质归档登记表 30 九、介质借用登记表 31 十、宁大校园网络入网申请表（个人） 32 十一、 应急预案培训记录 33 宁波大学信息安全管理制度 第一章 总则 【总体目标】 为了进一步规范宁波市宁波大学信息安全工作，满足业务发展和监管机构对宁波大学信息安全保障工作的要求，构建安全、稳定、持续运行的信息安全保障体系，现根据《中华人民共和国计算机信息系统安全保护条例》、《浙江省计算机信息系统安全保护管理办法》等有关规定结合宁波大学实际，制定本制度。本制度适用于宁波大学各部门计算机信息系统。本制度根据时效性和适用性，定期评审，及时补充修改并记录（附件一、《管理制度评审记录》）所有业务活动、信息和信息系统，以及第三方人员。 【总体要求】 宁波大学信息安全管理工作的总体要求： 1、遵从国家相关法律法规和行业监管要求。 2、信息安全建设与信息技术建设和业务发展同步规划、同步建设。 3、信息安全保障应遵循管理和技术并重的原则，从安全管理和技术防范两方面构建信息安全保障体系，实施持续、动态管理。 4、废止信息安全管理制度的销毁需经信息安全领导小组批准后方可进行，销毁过程应有相关人员监督和档案记录。 【职责分工】 信息安全领导小组负责对本的和管理安全职责分离原则非经系统主管领导批准，任何信息系统的工作人员都不得打听、了解或参与其职责以外的任何与系统安全有关的事情。及时调整相应的授权信息安全管理架构信息安全管理架构是实施系统安全，进行安全管理的必要保证。在一个中，安全角色与责任的不明确是实施信息安全过程中的最大障碍，建立安全组织与落实责任是实施信息安全管理的第一步。主要负责非技术性的、常规的安全工作，如信息处理场地的卫，办公室安全，验证出人信息中心的手续和多项规章制度的落实。第三章 人员安全管理制度 1、操作人员必须爱护电脑设备，保持办公室和电脑设备的清洁卫生。 2、操作人员必须懂得正确操作和使用计算机，加强计算机知识的学习。 3、不得让任何无关的人员使用自己计算机，不要擅自或让其他非专业技术人员修改自己计算机系统的重要设置。 4、严禁利用计算机系统上网发布、浏览、下载、传送反动、色情及暴力的信息。 5、严格遵守《中华人民共和国计算机信息网络国际联网管理暂行规定》，严禁利用计算机非法入侵他人或其他组织的计算机信息系统。 6、计算机各终端用户应保管好自己的用户帐号和密码。严禁随意向他人泄露、借用自己的帐号和密码；严禁不以真实身份登录系统。计算机使用者更应定期更改密码、使用复杂密码。 7、每年度对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训，并对相关人员进行考核，并记录相关成绩。 8、规范人员的录用过程，对被录用人的身份、背景和专业资格等进行审查，对其所具有的技术技能进行考核，对从事关键岗位的人员签署必威体育官网网址协议。 9、人员离岗过程中，应及时终止离岗员工的所有访问权限，收回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备，应办理严格的调离手续。 第四章 系统建设管理制度 一、安全方案设计 应以书面的形式描述对系统的安全保护要求、策略和措施等内容，形成系统的安全方案； 应对安全方案进行细化，形成能指导安全系统建设、安全产品采购和使用的详细设计方案； 应组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定，并且经过批准后，才能正式实施。 二、产品采购和使用 应确保安全产品采购和使用符合国家的有关规定； 应确必威体育官网网址码产品采购和使用符合国家密码主管部门的要求； 应指定或授权专门的部门负责产品的采购。 三、自行软件开发 应确保开发环境与实际运行环境物理分开； 制定软件开发管理制度，明确说明开发过程的控制方法和人员行为准则； 应确保提供软件设计的相关文档和使用指南，并由专人负责保管。 四、外包软件开发 应根据开发要求检测软件质量； 应确保提供软件设计的相关文档和使用指南； 应在软件安装之前检测软件包中可能存在的恶意代码； 应要求开发单位提供软件源代码，并审查软件中可能存在的后门。 五、工程实施 应指定或授权专门的部门或人员负责工程实施过程的管理； 应制定详细的工程实施方案，控