常州工学院信息系统管理办法

校网教[2018]1号

第一章总则

第一条 为保证学校计算机信息系统能够安全可靠运行，更好地为师生提供服务，特制定本办法。

第二条 本办法涉及的信息系统是指由计算机及其相关的配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的计算机系统。本办法所指的计算机软件是指在学校内部使用的计算机应用软件。

第二章信息系统服务器操作系统安全管理

第三条 各单位信息系统管理员负责信息系统服务器权限分配，权限设定遵循最小授权原则。

1.管理员权限：维护系统，对数据库与服务器进行维护。系统管理员、数据库管理员应权限分离，不能由同一人担任。

2.普通操作权限：对于各个系统的使用人员，针对其工作范围给予操作权限。

3.查询权限：单位管理人员可以以此权限查询数据，但不能输入、修改数据。

第四条普通用户进行登陆操作时，如果输入三次错误口令将被锁定，需要系统管理员对其确认并解锁，此帐号才能够再使用。

第五条 各单位信息系统管理员定期安装系统的最新补丁程序，在安装前进行安全测试，并对重要文件进行备份。

第六条 各单位信息系统管理员需关闭信息系统服务器不必要的服务、端口，并每月对操作系统进行安全漏洞扫描，及时发现最新安全问题，通过升级、打补丁或加固等方式解决。

第七条 各单位信息系统管理员严格管理口令，包括口令的选择、保管和更换，并关闭不必要的用户。

第三章信息系统服务器日志管理

第八条 对于系统重要数据和服务器配置参数的修改，必须征得相关领导批准，并做好相应记录。

第九条 各项操作均应进行日志管理，记录应包括操作人员、操作时间和操作内容等详细信息。

第十条 系统日志应定期做好备份工作，系统日志应包括但不局限于以下内容：重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全事件。

第四章 信息系统服务器数据保密及备份

第十一条 根据数据的保密规定和用途，确定使用人员的存取权限、存取方式和审批手续。

第十二条 严禁泄露、外借和转移专业数据信息。

第十三条 未经信息系统相关管理部门批准，严禁随意更改业务数据。

第十四条 每周应进行数据的备份并将备份文件异地存放，确保系统一旦发生故障时能够快速恢复，备份数据严禁更改。

第十五条 备份文件保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。

第五章 信息系统上线及使用管理

第十六条 新建信息系统上线前必须进行为期一个月的试运行，向学校网络安全工作领导小组办公室提交该信息系统的第三方安全测评报告后方可上线。

第十七条 信息系统操作人员严禁在办公计算机上安装游戏软件、视频点播软件等，以免造成病毒感染。严禁私自更改计算机的设置及安全策略。

第十八条 系统管理员应为办公计算机设置具有屏幕密码保护的用户界面，保证在离开办公计算机时屏幕为锁定状态。

第十九条 严禁将信息系统管理账号给他人操作使用。

第二十条 信息系统操作人员在离职或调职时需交回相关系统账号及密码，系统管理员应及时删除或变更账号。

第六章惩处

第二十一条 如违反本管理办法，将视情节轻重给予相应的批评教育、通报批评、行政处分并追究其他责任。触犯国家法律、法规的，依照有关法律、法规的规定予以处罚；构成犯罪的，依法追究其刑事责任。

第二十二条 本办法自公布之日起执行，由网络与教育技术中心负责解释。