淮北师范大学信息系统运维管理制度 (修订)
第一章 总则
第一条 为规范学校信息系统维护管理工作,提高信息系统运行维护水平,加强信息系统网络安全防护能力,根据《中华人民共和国网络安全法》《信息安全等级保护管理办法》《网络数据安全管理条例》等相关法律法规,结合学校信息化工作实际,特制定本制度。
第二条 适用范围。列入学校信息化建设项目或在学校信息化基础平台上运行的信息系统均适用本制度,其他信息系统(租用平台、云部署平台等)运维管理可参照本制度执行。
信息系统是指所有运行于网络上以满足学校教学、科研、管理和服务而建设的用于信息收集、存储、传输、处理、维护、使用和发布等用途的计算机软件系统。
第三条 运维管理原则。信息系统运维管理应遵循“谁建设谁管理,谁使用谁负责”的原则,对信息系统实行信息安全等级保护,对信息系统数据实行分类分级保护。
第四条 单位与职责。网络与信息管理中心负责为信息系统安全运行提供可靠的运行环境,包括信息系统备案、等级保护测评、安全检测和故障排除等工作。信息系统使用单位负责本单位信息系统的安全运维管理,包括数据备份与恢复、密码与访问控制、补丁升级和测评整改等工作。
第五条 对运行关键业务的信息系统进行安全监控和防护。安装必要的防护软件,监控系统安全状态,防止外部攻击。
第六条 不得随意重启信息系统服务器、相关网络设备和安全设备,不得安装与业务无关的其它软件。
第七条 每天查看关键网络、安全设备运行日志,定期对系统日志进行审计、备份。
第八条 对主机系统上开放的网络服务和端口进行检查,发现不需要开放的网络服务和端口时及时关闭。
第九条 对系统运行情况进行记录,每月对记录结果进行分析、统计,并形成分析报告向部门负责人汇报。
第十条 有信息交互的信息系统须配备关键字过滤措施,防止出现有害信息和非法言论。
第十一条 按照国家相关要求定期开展信息安全等级保护和风险评估工作,排除信息系统安全隐患。
第十二条 不同的业务系统应采取不同的保护措施,达到等级保护二级以上标准时,应向公安部门提交备案申请并取得备案编号。
第十三条 已在公安部门备案的信息系统要根据信息安全等级保护要求开展测评和整改工作。
第十四条 涉密信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护和管理。
第十五条 信息系统运维管理实行网络安全闭环管理。信息系统上线前,信息系统使用单位需确定信息系统管理员,提供第三方安全检测报告,完成系统登记备案、数据分类分级等工作,审核同意方可上线运行。信息系统运行过程中,须接受日常安全监测扫描,根据扫描报告,完成补丁更新、漏洞整改等工作。信息系统停用时,信息系统使用单位须及时通报网络与信息管理中心,并关闭该系统。
第十六条 信息系统使用单位负责本单位信息系统的数据备份工作,确保备份数据的可用性、完整性和保密性,保障业务连续性。
第十七条 数据备份策略应包括:备份对象、责任人、操作步骤、频率、方式、存储介质、命名规则、保存期以及有效性测试周期等;数据恢复策略应包括:责任人、触发条件、操作步骤等。
第十八条 备份数据应存储在访问受控的专用存储设备或者存储介质中,定期对备份数据进行检查和测试,确保备份数据的可恢复性。
第十九条 备份周期根据使用情况确定。重要系统的业务数据及系统配置信息的备份应至少保留两份,一份为本地备份、一份为异地备份。
第二十条 进行数据恢复时,要制定恢复计划,经信息系统使用单位同意,方可进行数据恢复工作。
第四章 密码与访问控制管理
第二十一条 遵循密码相关国家标准和行业标准,使用国家密码管理的主管部门认证核准的密码技术和产品,规范密码管理。
第二十二条 信息系统的管理密码应符合复杂度要求,包含字母大小写、数字及特殊符号,密码至少每三个月更换一次。
第二十三条 信息系统应设置管理地址限制,仅允许运维管理人员使用的设备进行登录管理。信息系统应设置登录失败处理及登录超时锁定策略。
第二十四条 应定期对信息系统的访问权限进行核查,确认当前网络访问权限设置符合业务和管理上的需求,对于不符合的部分应当予以及时更正、调整。
升级
第二十五条 网络与信息管理中心定期(每月)对信息系统进行漏洞扫描,协助信息系统使用单位对发现的信息系统漏洞和风险进行修复。
第二十六条 每季度至少对信息系统设备(包括:主机、网络设备、数据库等)进行一次深度扫描,并对扫描报告进行分析、整改和归类存档。
第二十七条 在安装信息系统各类补丁前须对补丁的兼容性和安全性进行评估和检测,确保新补丁不影响信息系统的正常运行。
第二十八条 当出现应对高危漏洞的信息系统补丁时,应在第一时间组织补丁的测试工作,并对漏洞进行修补。
第二十九条 本制度由淮北师范大学网络与信息管理中心负责解释。原《淮北师范大学信息系统运维管理制度》(校行字〔2021〕89号)同时废止。
第三十条 本制度自发布之日起执行。
用户登录