计算机信息系统安全管理的目标,信息安全方针目标与策略.doc

信息安全方针目标与策略.doc

中山火炬职业技术学院信息安全管理制度

第一章 总则

第一条 为进一步加强和规范信息安全管理工作，保障信息系统安全稳定运行，实现信息有效管理和风险控制，结合本单位实际制定本制度。

第二条 本制度适用于学院各部门的信息化管理工作。

第三条 本制度所称系统主管部门是指该系统所承载或处理业务工作的主管部门，信息主管部门是指负责信息化工作的学院现代教育技术中心。

第二章 信息安全管理方针、目标和策略

第三条 信息安全管理方针： 遵守法律法规、实施风险管理、保障信息安全、实现持续改进。

第四条 信息安全管理目标：对信息的来源进行判断，能对伪造来源的信息予以鉴别；保证不泄露学院信息和机密信息；保证数据的一致性，防止数据被非法篡改；对信息的传播及内容具有控制能力。

第五条 信息安全管理策略：通过各项管理制度与措施，识别各方面的信息安全风险，并采取适当的，使风险水平降低到可以接受的程度。

息化应用系统建设遵循统一规划，整合资源；统一协调，务求实效；统一网络，系统集成；统一标准，共享信息的原则项目原则上由统一规划立项组织实自行投资须批准立项方可投资建设Windows服务器应采用启用SSL加密功能的远程桌面管理或采用具备加密方式的远程管理工具，其他操作系统服务器应采用SSH等加密方式远程管理。

(2)数据库应采用本地管理，需要通过远程管理数据库的须采用包含SSL等加密功能的方式，并通过技术手段，对远程维护过程进行严格的监督和控制，在远程维护结束后，及时关闭远程维护活动使用的进程和远程连接。

(3)启用访问控制功能，依据安全策略严格控制用户对资源的访问，关闭默认共享。

(4)应通过设定终端接入方式、网络地址范围等条件限制终端登录，根据安全策略设置登录终端的操作超时锁定。

(5)对用户的授权应以满足其工作需要的最小权限为原则，不应分配与用户职责无关的权限。特别是应实现关键主机的操作系统和数据库系统特权用户的权限分离。

第九条 信息系统用户及密码管理

(一)用户密码管理应遵循行业与信息安全的规定，原则上用户口令的长度应不少于8位数字与字母组合，每季度至少进行一次口令更换。

(二)应限制默认账号的访问权限，重命名系统默认账号(无法重命名时应设置复杂密码)，修改这些账号的默认口令。

(三)应及时删除多余的、过期的账号，避免共享账号的存在。

(四)按要求启用登录失败处理、结束会话、限制非法登录次数和自动退出等措施。

第十条 系统权限管理

(一)对信息系统使用人员新增、变更、注销系统权限，需填报《信息系统用户或权限变更申请表》，经所属部门负责人审批后，提交信息主管部门审核及处理。

(二)本部门人员申请其他部门负责的权限，须经本部门权限负责人审批后，提交信息主管部门处理。

第十一条 故障处理

(一)发现应用系统使用异常时，应用人员应及时告知系统管理员进行故障检查处理；系统管理员无法排除故障时，应及时上报上级主管部门和应用系统服务集成商的相关人员请求协助处理；处理完毕后系统管理员应填写《信息系统故障处理汇总表》予以备案。

(二)故障按等级处理时限如下：

1、出现一般性故障的，不影响业务运行的，一般在24小时内解决；

2、出现严重性故障，影响到局部业务运行的，应立即报告现代教育技术中心负责人妥善安排，并联系设备或软件运维方处理，一般在8小时内解决；

3、出现重大性事故，影响到生产经营业务运行的，应立即报告现代教育技术中心负责人，现代教育技术中心负责人应及时向信息主管领导汇报，同时应通知受影响的相关单位及部门做好妥善安排工作，并尽快组织相关方对故障进行排查和处理，一般在4小时内处理完毕。

(三)故障处理办法：系统发生故障时，系统管理员应先对故障进行初步排查及处理，若无法处理时，应及时向信息主管部门报告处理。

第十二条 信息系统升级或变更管理

(一)系统升级维护流程

1、系统升级维护需使用部门提出申请或现代教育技术中心根据上级信息部门安排及学院系统使用情况进行；

2、系统升级维护尽量选择非业务时间，并在系统备份后方可进行；

3、系统升级维护后由系统主管部门会同信息主管部门进行系统功能测试确认。

(二)系统变更管理

1、信息系统变更由系统主管部门经领导批准后以书面形式向现代教育技术中心提交变更申请；

2、系统变更影响到生产及主营业务正常运行时，须报领导同意后方可进行；

3、现代教育技术中心应制定系统变更计划，并严格按照计划予以实施，变更前应对有关系统和数据进行备份，变更后的系统上线前必须经过严格的测试并制定紧急预案，以确保变更后的系统发生故障时能切回到原有系统，不影响原有业务的正常进行；

4、系统变更完成后，实施人员以书面形式详细记录系统变更的实施过程，并存档备案。

第十三条 系统数据备份

系统数据备份管理工作应指定专职人员负责，备份管理人员负责制

相关资源：台湾版平彼电脑测试软件_比鲁大师好的测试电脑软件-硬件开发其他…

来源：彼女的秘密