白城师范学院信息资产安全管理制度


第一章 总 则

第一条 本管理制度的主要目的是对信息资产进行安全管理,落实资产的安全责任,明确资产管理流程,具体为:

(一)通过对信息资产进行合理的等级分类,为信息资产管理提供科学、有效的方式;

(二)对现有信息资产进行信息安全属性的赋值,并对其进行等级划分,从而进行有针对性的保护,同时为以后的安全解决方案提供依据。

第二条 本管理制度适用于白城师范学院所管理的所有信息资产和全体信息工作人员。

第二章 信息资产责任

第三条 网络安全与信息化委员会是白城师范学院信息资产安全管理工作的最高领导机构,负责白城师范学院信息资产的安全,网络安全与信息化委员会指定信息资产管理员,信息资产管理员负责汇总维护白城师范学院完整的信息资产清单。

第四条 信息资产应明确其所有者、管理者及使用者三类角色,对于每一个信息资产必须有且仅有一个所有者角色,同时必须有且仅有一个管理者角色。

第五条 信息资产所有者是指对资产具有所有权的单位、部门或个人,信息资产所有者对资产的获取、使用及处置具有最高决策权;信息资产的管理者通常可以是信息资产的所有者,也可以是得到信息资产所有者授权的其他部门或个人,信息资产管理者根据信息资产所有者的授权行使对信息资产的日常管理,对于超出授权范围的管理要求,需要单独向所有者申请相应权限。

第六条 对于具有多个所有者或管理者的信息资产,由网络安全与信息化委员会根据实际工作需要,指定一个唯一的所有者或管理者。

第三章 信息资产分类

第七条 白城师范学院的信息资产包括以下五类:

(一)文档与数据类资产:数据库和数据文件、合同和协议、系统文件、程序代码、用户手册、培训材料、操作或支持程序、业务连续性计划、审计记录、归档的信息;

(二)硬件与设备类资产:计算机设备、通信设备、可移动介质和其他设备;

(三)软件与系统类资产:应用软件、系统软件、开发工具和实用程序;

(四)服务类资产:计算和通信服务、通用公用事业,例如,供暖,照明,能源,空调;

(五)人员类资产:与信息安全相关的重要人员,如网络管理员、系统管理员等。

第四章 信息资产分级和标识管理

第八条 对信息资产的分级方法如下:

(一)特别重要:是最重要的白城师范学院资产,一旦损坏或泄露会使白城师范学院的安全、权益和利益遭受特别严重的损害。

(二)重要:是重要的白城师范学院资产,一旦损坏或泄露会使白城师范学院的安全、权益和利益遭受严重的损害,给白城师范学院造成重大损失。

(三)一般:是不宜公开对外的,公开后会对白城师范学院的安全、形象、权益和利益产生不利后果的一般文件、信息和材料。

(四)公开:包含可对社会公开的信息,公用的信息处理设备和系统资源等。

第九条 对信息资产的标识方法如下:

(一)对“一般”和“公开”信息资产须进行标识,对“特别重要”和“重要”信息资产须进行标识和声明。

(二)对于文件形式的信息资产,须由信息资产管理者在文件明显位置标识其类别、级别、失效日期(失效日期指信息级别的有效性截止日期。到达失效日期后,应对信息进行重新定级,否则默认为“公开”信息。)等,且文件和标识不能分开。标识应该醒目,标识格式应统一,标识方法应便于检查。对于非文件形式的“特别重要”和“重要”信息,如无法标识,必须声明。

(三)对于“特别重要”和“重要”信息,须由管理者对信息资产名称、类别、级别、失效日期等以声明文件的形式进行声明,声明文件须由网络安全与信息化委员会审核签字。声明文件须跟随信息资产一起保管和传递。

(四)多个不同级别的信息资产合并在一起时,按最高级别给混合信息资产进行标识和声明。

第五章 信息资产使用管理

第十条 严格禁止内部工作人员和外部人员对“特别重要”类资产的非授权访问,一旦发现有对“特别重要”类信息的非授权使用,必须立即作为安全事件向信息安全管理组报告,核实后上报网络安全与信息化委员会。

第十一条 对“特别重要”类资产的授权使用过程中须注意以下事项:

(一)特别重要文件必须放在有安全保障的防火保险柜内加锁保存,并由专人保管;传阅特别重要文件时,必须严格限制在文件规定的发放范围内,使用者在内部阅读时需要签名登记,阅读完毕要及时收回;

(二)对于特别重要类应用系统需要采取严格的授权和强审计的留痕机制。

(三)对于含有特别重要信息的系统,建议在适当的地点建立物理隔离和网络逻辑隔离的使用环境;

(四)禁止在网络上传送特别重要类电子数据;

(五)对特别重要类数据的存储要建立强逻辑访问控制机制;要进行可靠的备份,并定期进行测试;要采用严格的物理访问控制,信息应当被存储在采取物理保护措施的计算机上;

(六)含特别重要信息的纸件不得重复使用,纸质文件要通过专门设备彻底粉碎或烧毁;电子文件要使用专门的清除软件安全清除;存储介质需要可靠地擦除或物理上彻底销毁;

(七)我校将对有意或无意地暴露特别重要信息的行为进行处罚,对于性质严重,危害较大的事件,触及法律的,由司法机关处理。

第十二条  “重要”类资产是一类极其敏感的资产。对白城师范学院来说,在没有相应授权的前提下,严格禁止内部工作人员和外部人员对“重要”类资产的访问,一旦发现有对“重要”类信息的非授权使用,必须立即作为安全事件向本部门信息安全责任人或本部门主管领导报告,核实后上报信息安全管理组。

第十三条 对“重要”类资产的授权使用过程中须注意以下事项:

(一)重要文件必须放在有安全保障的库房或文件柜内加锁保存,并由专人保管;传阅重要文件时,必须严格限制在文件规定的范围内,使用者在内部阅读时需要签名登记,阅读完毕要及时收回;

(二)对于重要类应用系统需要采取严格的授权和强审计的留痕机制;

(三)对于含有重要性信息的系统,建议在适当的地点建立物理隔离的使用环境;

(四)禁止在网络上传送未加密的重要类电子数据;

(五)对重要类数据的存储要建立强逻辑访问控制机制;要进行可靠的备份,并定期进行测试;要采用严格的物理访问控制,信息应当被存储在采取物理保护措施的计算机上;

(六)含重要信息的纸件不得重复使用,纸质文件要通过专门设备彻底粉碎或烧毁;电子文件要使用专门的清除软件安全清除;存储介质需要可靠地擦除或物理上彻底销毁;

(七)我校将对有意或无意地暴露重要信息的行为进行处罚,对于性质严重,危害较大的事件,触及法律的,由司法机关处理。

第十四条  “一般”类资产仅限于白城师范学院内部工作人员使用,一般避免向外扩散,外部人员要使用 “一般”类信息,需要得到必要的授权。

第十五条 对“一般”类资产的授权使用过程中须注意以下事项:

(一)内部工作人员使用与其工作相关的“一般”类数据没有限制;

(二)对于一般类应用系统需要根据访问控制要求为使用用户分配用户名和口令;

(三)“一般”类信息可以在白城师范学院的所有内部网上使用,但禁止在外网上传送;

(四)如果因业务需要,要在外网传送“一般”类电子数据时,要得到部门主管领导的批准,应采用加密的方式传送电子数据;

(五)对一般类数据的存储要建立逻辑访问控制机制;要进行可靠的备份,并定期进行测试;

(六)含一般信息的纸质文件要通过专门设备彻底粉碎或烧毁;电子文件要使用专门的清除软件安全清除;存储介质需要可靠地擦除或物理上彻底销毁;

(七)我校将对有意或无意地暴露一般信息的行为进行处罚。

第十六条  “公开”类资产是指可以公共访问的资产和对外发布的信息,并且信息可以自由散布而不会产生任何安全问题。

第十七条 “公开”类文件可以向第三方人员公开,并允许对外进行发布,但是要注明一般信息的来源出处;应将资产的访问权限设为“只读”,只对少数需要修改、更新公开信息的人员开放“写”和“删除”的权限。

第六章 信息资产清单管理

第十八条 信息资产清单必须详细记录白城师范学院所有的各类信息资产,其内容包括信息资产分类、信息资产编号、资产名称、资产描述、资产位置、资产所有者、管理者、使用者、重要程度等内容。

第十九条 信息资产管理员负责维护和保存白城师范学院的信息资产清单,并定期检查信息资产清单的正确性和完整性;在信息资产发生变更时,需及时更新信息资产清单。

第七章 附 则

第二十条 本管理制度的解释和修改权属于网络安全与信息化委员会。

第二十一条 本管理制度自发布之日起执行。


白城师范学院信息化软硬件安全管理制度

第一章 总 则

第一条 为了将与白城师范学院的信息化软硬件相关的系统活动流程形成规范化文件,使所有的计算机软硬件在选型、采购、使用、维护等各个流程形成规范化操作,特制定本管理制度。

第二条 本管理制度适用于白城师范学院各类计算机软硬件的全生命周期管理,适用于白城师范学院计算机软硬件选型、采购、发放、使用和维护过程中涉及到的所有部门和工作人员。

第二章 选型管理

第三条 严禁采购和使用未经国家信息安全测评机构认可的信息安全软硬件产品。

第四条 尽量采用我国自主开发研制的信息安全技术和设备。

第五条 必须采用境外信息安全产品时,该产品必须通过国家信息安全测评机构的认可。

第六条 严禁使用未经国家密码管理部门批准和未通过国家信息安全质量认证的国内密码设备。

第三章 使用与维护管理

第七条 机房动力系统和环境支持系统必须有相关的操作规程或操作手册,相关管理人员须严格参照执行并保留操作记录。

第八条 须针对业务系统、核心网络设备、边界安全设备和其他重要软硬件设备制定安全操作手册,手册应包含但不限于:设备开关机流程、登录方式、系统内工具的使用、维护要求、注意事项、备份操作、在作业执行期间可能出现的处置差错或其它异常情况的说明、系统失效时备用系统的起动和原系统的恢复程序、审计跟踪和系统日志信息的管理、在操作或技术上困难的情况下如何获取支持等。

第九条 所有软硬件设备的操作手册必须确保所需人在需要参阅时能得到,包括非白城师范学院人员。

第十条 软件使用要求:

(一)使用符合安全性要求的软件,系统软件要及时进行补丁更新;

(二)只能安装通过测试、满足安全性要求的操作系统和应用软件;

(三)须采取必要的措施防范病毒、木马和流氓软件等恶意程序;

第十一条 办公终端使用要求:

(一)办公终端设备须置于安全的环境中存放和使用。使用人不得故意将办公终端置于过热、过冷、强磁或潮湿的环境中存放和使用,以免损坏设备;

(二)工作人员应妥善保管办公终端设备,防止盗窃及硬件损害等情况的发生。若发生失窃情况,将追究各相关人员的责任,并按所负责任进行适当的处罚;

(三)工作人员不得将办公终端设备接入不安全的网络环境中;

第四章 附 则

第十二条 本管理制度的解释和修改权属于网络安全与信息化委员会。

第十三条 本管理制度自发布之日起执行。