第一条 为了实施有效的信息安全管理,确定宁波市效实中学单位信息安全管理的目标、范围、原则、信息安全框架、管理办法等内容,宁波市效实中学单位按照国家相关标准,制定了信息安全方针策略与管理制度。信息安全方针策略指导信息安全风险管理、信息安全管理制度建设和执行信息安全管理制度建设和执行信息安全工作。
第二条 本制度根据《信息安全技术
网络安全等级保护基本要求》、《信息安全技术 信息系统安全管理要求》、《信息安全技术 信息系统安全工程管理要求》、《中华人民共和国网络安全法》等有关法律、标准、政策、管理规范而制定。
第三条 本纲领适用于宁波市效实中学单位(以下简称“宁波市效实中学单位”)。
第四条 宁波市效实中学单位安全坚持“积极防御、及时发现、快速反应、确保恢复”的总体方针和“同步规划、同步建设、同步运行”的要求,实现信息系统安全可控、能控、在控。依照“分区、分级、分域”总体安全防护策略,执行信息系统安全等级保护制度,维护宁波市效实中学单位信息安全,更好地服务事业发展大局。
第五条 信息系统安全总体目标是确保信息系统持续、稳定、可靠运行,确保信息内容的机密性、完整性、可用性,防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃,抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏,防止信息内容及数据丢失和失密,防止有害信息在网上传播,防止对外服务中断和由此造成的系统运行事故,通过建立健全各项信息安全管理制度、加强宁波市效实中学单位全体职工和信息系统使用、运维相关人员的信息安全培训和教育工作,制定合适的风险控制措施,有效控制信息系统面临的安全风险,保障宁波市效实中学单位信息系统的正常稳定运行。
第六条 信息安全工作的总体原则
(一) 依法管理原则
信息安全管理工作主要体现为管理行为,应保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理,应由授权者适时发布准确一致的有关信息,避免带来不良的社会影响。
(二) 管理与技术并重原则
坚持积极防御和综合防范,全面提高信息系统安全防护能力,立足国情,采用管理与技术相结合,管理科学性和技术前瞻性结合的方法,保障信息系统的安全性达到所要求的目标。
(三) 自保护和国家监管结合原则
对信息系统安全实行自保护和国家保护相结合。组织机构要对自己的信息系统安全保护负责,政府相关部门有责任对信息系统的安全进行指导、监督和检查,形成自管、自查、自评和国家监管相结合的管理模式,提高信息系统的安全保护能力和水平,保障国家信息安全。
(四) 基于安全需求原则
组织机构应根据其信息系统担负的使命,积累的信息资产的重要性,可能受到的威胁及面临的风险分析安全需求,按照信息系统等级保护要求确定相应的信息系统安全保护等级,遵从相应等级的规范要求,从全局上恰当地平衡安全投入与效果。
(五) 主要领导负责原则
主要领导应确立其组织统一的信息安全保障的宗旨和政策,负责提高员工的安全意识,组织有效安全保障队伍,调动并优化配置必要的资源,协调安全管理工作与各部门工作的关系,并确保其落实、有效。
(六) 全员参与原则
信息系统所有相关人员应普遍参与信息系统的安全管理,并与相关方面协同、协调,共同保障信息系统安全。
(七) 系统方法原则
按照系统工程的要求,识别和理解信息安全保障相互关联的层面和过程,采用管理和技术结合的方法,提高实现安全保障的目标的有效性和效率。
(八) 持续改进原则
安全管理是一种动态反馈过程,贯穿整个安全管理的生存周期,随着安全需求和系统脆弱性的时空分布变化,威胁程度的提高,系统环境的变化以及对系统安全认识的深化等,应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级,维护和持续改进信息安全管理体系的有效性。
(九) 分权和授权原则
对特定职能或责任领域的管理功能实施分离、独立审计等实行分权,避免权力过分集中所带来的隐患,以减小未授权的修改或滥用系统资源的机会。任何实体(如用户、管理员、进程、应用或系统)仅享有该实体需要完成其任务所必须的权限,不应享有任何多余权限。
(十) 选用成熟技术原则
成熟的技术具有较好的可靠性和稳定性,采用新技术时要重视其成熟的程度,并应首先局部试点然后逐步推广,以减少或避免可能出现的失误。
第七条 在规划和建设信息系统时,信息系统安全防护措施应按照“三同步”原则,与信息系统建设同步规划、同步建设、同步投入运行。
第八条 总体安全保护策略是:信息安全保护必须符合客观存在和发展规律,其分级、分区域、分类和分阶段是做好信息安全保护的前提。
第九条 宁波市效实中学单位的安全保护策略由宁波市效实中学单位宁波市效实中学部门(以下简称“宁波市效实中学部门”)负责修订。
第十条 宁波市效实中学部门根据信息系统的保护等级、安全保护需求和安全目标,结合宁波市效实中学单位自身的实际情况,依据国家有关信息安全法规和国家标准,制定信息系统的安全保护实施细则和具体管理办法;并根据环境、系统和威胁变化情况,及时调整和制定新的实施细则和具体管理办法。
第十一条 信息系统安全等级的定级决定了系统方案的设计、实施、安全措施、运行维护等信息系统建设的各个环节。信息系统定级遵循“谁主管、谁定级,谁运维、谁定级”的原则。
第十二条 根据信息重要程度、系统重要性和安全策略将信息系统划分为不同的安全域,针对不同的安全域确定不同的信息安全保护等级,并进行相应的保护。
第十三条 宁波市效实中学单位的等级保护工作应从物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理十个部分展开建设,构成信息系统整体安全控制机制。
(一) 物理安全包括:物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等。
(二) 网络安全包括:结构安全、访问控制、安全审计、边界完整性检查、入侵防范、网络设备防护等。
(三) 主机安全包括:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制等。
(四) 应用安全包括:身份鉴别、访问控制、安全审计、通信完整性、通信保密性、软件容错、资源控制等。
(五) 数据安全及备份恢复包括:数据完整性、数据保密性、备份和恢复等。
(六) 安全管理制度是信息系统安全策略、方针性文件,规定信息安全工作的总体目标、范围、原则和安全框架。
(七) 安全管理机构明确不同安全组织、不同安全角色的定位、职责以及相互关系,强化信息安全的专业化管理,实现对安全风险的有效控制。
(八) 人员安全管理从人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理等多个方面制定相应的管理制度和规定。
(九) 系统建设管理根据系统等级、系统重要性和安全策略将信息系统划分为不同的安全域,针对不同的安全域确定不同的信息安全保护等级,并进行相应的保护。信息系统安全等级决定了系统方案的设计、实施、安全措施、运行维护等信息系统建设的各个环节。信息系统定级遵循“谁建设、谁定级,谁运维、谁定级”的原则。
(十) 系统运维管理对环境、资产、介质、设备进行综合监控管理,对支撑重要信息系统的资源进行监控保护。确保密码、病毒、变更等事件要求按照定义好的安全管理策略措施。
第十四条 宁波市效实中学部门负责信息安全管理制度的编制,并以文档形式表述,组织相关人员进行论证、监督检查和修订,经讨论通过后,由宁波市效实中学部门进行发布。
第十五条 信息系统建设部门在信息安全策略总纲的基础上,结合各自系统的特点,细化,编制符合各自系统的信息安全管理制度,并有效执行。
第十六条 由宁波市效实中学单位领导负责文档的评审,对安全策略和制度的有效性进行程序化、周期性评审,并保留必要的评审记录和依据。
第十七条 宁波市效实中学部门负责每年定期组织对安全管理制度的执行情况进行检查。
第十八条 结合上级主管部门每年定期对信息安全检查中发现的问题,对安全管理制度进行有针对性的修订与完善。
第十九条 当发生重大安全事故、出现新的安全漏洞以及技术基础结构发生变更时,宁波市效实中学部门要对安全管理制度的实施细则进行修订,并对修订后的实施细则进行备案。
第一条 为贯彻国家对信息安全的规定和要求,指导和规范宁波市效实中学单位在建设、使用、维护和管理过程中信息系统的安全保护工作,保证信息系统运行的稳定可靠,维护社会秩序、公共利益和国家安全,制定本制度。
第二条 本制度根据《信息安全技术
网络安全等级保护基本要求》、《信息安全技术 信息系统安全管理要求》、《信息安全技术 信息系统安全工程管理要求》、《中华人民共和国网络安全法》等有关法律、标准、政策、管理规范而制定。
第三条 本规定适用于宁波市效实中学单位。
第四条 宁波市效实中学单位应建立信息安全岗位,明确信息安全岗位职责。
第五条 信息安全工作主管的岗位职责如下:
(一) 组织、协调落实各项信息安全工作。
(二) 组织评审信息安全总体策略、规划方案、管理制度和技术规范。
(三) 组织评审信息安全产品技术规格和相关产品安全规格。
(四) 组织监督、检查信息安全工作的落实情况。
第六条 安全审计员的岗位职责如下:
(一) 定期审计信息安全策略执行情况,收集信息系统日志和审计记录,并提供审计报告。
(二) 对安全、网络、系统、应用、数据库、机房管理员的操作行为进行监督,安全职责落实情况进行检查。
(三) 组织检查相关单位和下级单位信息系统安全人员及要害岗位人员的信息安全工作。
第七条 安全管理员的岗位职责如下:
(一) 定期组织信息系统漏洞扫描和信息安全风险评估工作,形成信息系统和整体安全现状报告,并向主管领导进行汇报。
(二) 负责制定总体网络访问控制策略和规则,并对其进行监控和审计工作,定期发布策略执行情况。
(三) 负责制定全员的安全培训计划,组织开展安全培训工作。
(四) 对网络、系统、应用、数据库管理员进行安全指导。
(五) 定期收集信息安全漏洞和公告信息,并告知系统管理员。
(六) 协调外部技术支撑单位。
第八条 资产管理员的安全职责如下:
(一) 确认和更新岗位所辖资产及资产清册,将相关信息录入国家财政专网。
(二) 负责本部门信息系统资产的保管、日常维护、调拨等工作。
(三) 负责非涉密介质的维护、维修工作,及相关系统的建设、日常管理和运行维护等技术支持保障工作。
(四) 协助进行实物盘点、核对工作。
第九条 系统管理员的安全职责如下:
(一) 根据宁波市效实中学单位安全策略定期对系统、网络设备、网络架构、数据库、应用进行自评估。
(二) 依照安全策略对系统、网络设备、安全设备、数据库、应用进行安全配置和漏洞修补,确保安全补丁保持2个月内最新补丁。
(三) 对系统进行日常安全运维管理,定期更改系统账号。
(四) 对网络设备、安全设备进行日常安全运维管理,并定期提交安全运行维护记录或报告。
(五) 对数据库进行日常安全运维管理,定期检查数据库用户,并提交安全运行维护记录或报告。
(六) 对应用进行日常安全运维管理,并提交安全运行维护记录或报告。
(七) 在发生系统异常、数据库异常、应用异常和安全事件时,应能对系统、网络设备、安全设备、数据库以及备份数据、应用进行应急处置和恢复。
第十条
宁波市效实中学部门设立专职的信息安全管理岗位,并由专人负责。
第十一条
宁波市效实中学单位各部门应根据岗位职责,确定岗位所需要的安全技能,并对所有信息安全岗位人员进行对应的安全技能培训,并告知相关的安全责任和惩戒措施。
第十二条
宁波市效实中学单位信息系统的安全技术岗位由其系统管理员兼任,其中网络安全管理、系统安全管理、数据库安全管理以及应用安全管理工作由系统管理员执行。
第十三条 宁波市效实中学单位应根据各个部门和岗位的职责确认授权审批事宜,明确授权审批事项、审批部门和批准人,严格规范关键活动的审批流程,并由审批人进行签字确认。
第十四条 关键活动包括系统投入运行、网络系统接入和重要资源的访问等。
第十五条 宁波市效实中学单位应建立沟通合作机制,建立《信息安全岗位人员联系清单》(附件一),加强各类管理人员、内部机构之间的沟通与合作,讨论安全形势,商议、处理信息安全问题。
第十六条 宁波市效实中学单位应加强与兄弟单位、公安机关、电信公司等外单位建立沟通、合作机制,不定期组织信息安全活动,获取信息安全的最新发展动态,当发生紧急事件的时候能够及时得到支持和帮助。
第十七条 安全管理员负责日常安全检查工作,检查内容包括系统日常运行、系统漏洞和数据备份等情况。
第十八条 安全检查时需填写相关的安全检查记录表。
第一条
为进一步加强宁波市效实中学单位人员信息安全的管理,保障人员安全管理的规范性,依据《中华人民共和国保守秘密法》、《信息安全技术
网络安全等级保护基本要求》及宁波市效实中学单位有关文件要求,特制定本规定。
第二条
本规定适用于宁波市效实中学单位所有员工、承包方和第三方人员,包括有业务联系的第三方人员。
第三条
人员信息安全管理包括与信息化工作有关的人员录用、岗位人选、人员转岗和离岗、人员考核、人员惩戒、人员教育和培训等方面的信息安全管理。
第四条
宁波市效实中学单位人员录用由宁波市效实中学部门负责。
第五条
在对应聘人员进行筛选的过程中,背景调查应该符合相关的法律法规以及道德准则的要求,并根据不同职位的业务需求、所接触的信息级别以及可能由此引发的风险级别做不同程度的调查,具体如下:
(一) 应对候选者的背景进行审查,确保其没有犯罪记录或不良工作记录。审查内容应该从以下方面进行考虑:
1.
录用部门应明确被录用人员的安全技能要求,在录用过程中依据技能要求进行考察,并对技能考核结果进行记录。
2.
对应聘人员简历的完整性和准确性进行检查。
3.
对应聘人员声明的学术和专业资格进行证实。
4.
对应聘人员进行独立的身份检查(身份证、护照或类似文件)。
(二) 对于可接触较多敏感信息资产或特殊工种的人员,需要签订保密协议。
第六条
录用条件和约定:
作为合同的一部分,聘用条件和约定需澄清和说明以下具体内容:
(一) 关键岗位人员需签署保密协议,详见《关键岗位人员保密协议》(附件一)。
(二) 员工、承包方和第三方人员的法律职责和权利。
(三) 员工、承包方和第三方人员无视信息安全要求,应采取的措施。
(四) 员工、承包方和第三方人员应承担的责任,并且雇用结束后应持续一段规定的时间。
第七条
明确所有信息安全岗位人员在信息系统安全保护中的职责和权限,其工作、活动范围应当被限制在完成其任务的最小范围内。
第八条
安全管理员、系统管理员等信息安全关键岗位人员,必须经过严格的审查并考核其业务能力。
第九条
终止责任:员工离职或转岗前,应遵守以下规定:
(一) 应重申其离职后一段时间内仍须遵守的安全条款,如在保密协议上签订的相关内容以及可能由此引发的法律责任。
(二) 对于宁波市效实中学单位辞退人员,必须在第一时间完成交接工作。
(三) 应注意防止员工离职前、后,蓄意破坏及盗取资料等行为的发生。
第十条
归还资产:员工离职或转岗前,应归还所持有的信息资产,归还的内容包括:
(一) 归还所有的物理安全设备,包括笔记本、门禁卡、钥匙和证件等。
(二) 归还所有工作资料,包括纸介质和电子介质。
(三) 若员工已购买了单位的设备,或在工作中使用了个人设备,应确保其存储的相关信息被正确返还,同时在设备上永久擦除。
第十一条
撤销访问权限:在员工离职或转岗后,应移除员工对信息系统的访问权限,收回所有此离职人员曾掌握过的密码或密钥,并确认密码或密钥的正确性。对离职或转岗员工需要撤销的账号如下:
(一) 互联网账号;
(二) 系统管理员账号;
(三) 其他能够访问信息系统的账号。
第十二条
宁波市效实中学单位每年对各个岗位人员进行安全考核,内容包括:
(一) 应对所有人员进行安全意识考核。
(二) 对涉及信息安全管理、检查和执行的岗位人员,应定期进行安全技能的考核,包括安全管理知识的掌握程度、所管理业务系统中安全产品的操作技能、所管理业务系统中使用的操作系统和应用软件的安全使用等。
第十三条
对于考核中发现有违反信息安全法规行为的人员或发现不适于承担信息安全关键岗位的人员要及时调离岗位。
第十四条
当人员违反安全策略和规定时,依照其违规程度及影响,适度进行惩戒。如其部门领导未尽监管职责,则负连带责任。处分种类分类:(一)警告;(二)记过;(三)降低岗位等级或者撤职;(四)开除。受处分期间:(一)警告,6个月;(二)记过,12个月;(三)降低岗位等级或者撤职,24个月。处分分级:(一)四级违规行为:过失违反信息安全管理规定,性质较轻,且造成轻微影响或者风险。(二)三级违规行为:过失违反信息安全管理规定,造成一定影响的;或者故意违反信息安全管理规定,但性质不严重且没有造成严重影响或风险。(三)二级违规行为:故意违反信息安全规定,性质严重;或者造成较大影响或较大风险。(四)一级违规行为:盗窃、故意泄露单位保密信息的,或故意违反信息安全管理规定,性质严重或造成重大影响或者风险。违规处罚:(一)四级违规行为:记入关键事件考评结果; 12个月内2次四级违规升级为1次三级违规;部门内部通报处罚决定。(二)三级违规行为:记入关键事件考评结果,一次警告处分; 12个月内2次三级违规升级为1次二级违规。部门内部通报处罚决定。(三)二级违规行为:担任单位管理岗位的人员,进行记过处分;非单位管理岗位的人员,进行降薪处理;如给单位造成相关损失,须赔偿单位损失全单位范围内通报处罚决定。(四)一级违规行为:记入关键事件考评结果,部门内部作降低岗位等级或者撤职处罚。非单位管理岗位人员作开除处罚,如违反法律法规由单位法务部移送公安机关处理;如对单位造成相关损失的,须赔偿单位损失。全单位范围内通报处罚决定
第十五条
如该安全违规涉及法律层面,则可追究该人员的刑事责任。
第十六条
员工入职安全培训:
(一) 新入职员工应熟悉信息安全管理制度。
(二) 员工入职后,应该由部门负责人对岗位职责要求进行口述,解释具体安全职责。
第十七条 人员安全培训:为确保员工意识到信息安全威胁和隐患,并在他们正常工作时遵守宁波市效实中学单位的信息安全策略,需要宁波市效实中学单位提供必要的信息安全教育与培训(有时需要扩大到有关的第三方人员)。
(一) 确定培训内容
根据工作岗位对从业者的能力需求、从业者本身的实际能力以及从业者所面临信息安全风险,确定培训内容。培训应考虑不同层次的职责、能力、文化程度以及所面临的风险。
(二) 制定培训计划
主管部门应该根据各部门提出的培训需求及宁波市效实中学单位对培训的基本要求,制定培训计划,培训计划包括:
1.
培训项目;
2.
主要内容;
3.
主要负责人;
4.
培训日程安排;
5.
培训方式;
6.
培训对象。
(三) 培训实施
按照培训计划实施培训,培训前要写好培训方案,并通知相关人员。
第一条
为进一步加强宁波市效实中学单位外部人员信息安全的管理,保障人员安全管理的规范性,依据《中华人民共和国保守秘密法》、《信息安全技术
网络安全等级保护基本要求》及宁波市效实中学单位有关文件要求,特制定本规定。
第二条
本规定适用于宁波市效实中学单位。
第三条
外部人员指软件开发商、设备供应商、咨询服务商、系统集成商与运维服务商以及其它产品或服务供应商等长期派驻宁波市效实中学单位的员工或临时到宁波市效实中学单位现场工作的人员。
第四条
外部人员的访问类型可分为物理访问和逻辑访问,例如进入机房、接入信息系统等。应审核外部人员的访问需求,进行风险分析,确定控制措施。风险分析时需要考虑的因素有:访问类型、信息的价值、外部人员采取的控制措施以及该访问对宁波市效实中学单位造成的潜在影响。
第五条
需要特别指出的是,应加强对外部人员、临时人员现场访问的管理,清洁人员、餐饮服务人员、保安人员、实习生、咨询顾问等人员也不应被忽视。
第六条
应采取以下措施,对外部人员访问进行控制:
(一) 应与外部人员公司法人签署《外部人员保密协议》(附件一),此项工作应在外部人员获得网络与信息资产的访问权限之前完成。
(二) 实行访问授权管理,未经授权,外部人员不得进行任何形式的访问。
(三) 加强外部人员访问的过程控制,监督其活动及操作。
(四) 对外部人员进行适当的安全宣传与培训。
(五) 外部人员应佩带易于识别的标志,并在访问重要场所时有专人陪同。
第七条
在与外部人员公司签署合同时,应明确规定安全要求。如:安全目标、保护对象、双方责任与权力、服务种类与级别、事件通报处理流程、外部人员引入分包商的规定等。在相应的控制措施未落实之前,或相关合同(保密协议)尚未签署之前,外部人员不得访问宁波市效实中学单位的任何网络与信息系统。
第八条
对受控区域采取隔离控制措施,禁止未经主管部门授权的外部人员接近或进入。对于出入受控区域的活动,该安全控制区域的管理部门应进行监视和记录。
第一条 为贯彻落实国家信息系统等级保护管理相关要求,规范宁波市效实中学单位信息系统安全建设管理工作,根据《信息安全技术
网络安全等级保护基本要求》制定本规定。
第二条 本规定适用于宁波市效实中学单位拟建、在建以及运行的非涉密重要信息系统产品采购和使用管理工作。
第三条 宁波市效实中学单位的安全产品采购实行归口管理,进行统一购置、统一标识、统一发放。
第四条 产品采购由业务部门提出采购需求,明确用途、性能和稳定性方面的要求,以报告的形式提交主管领导审核,审核通过后,信息系统建设部门、运行维护部门依据审批结果完成设备购置、标识和发放等事务性工作。
第五条 采购的设备、配件和材料等产品,应当符合有关产品质量的强制性国家标准或行业标准。
第六条 产品的采购应按照《中华人民共和国招标投标法》和《中华人民共和国政府采购法》的有关规定开展。
第七条 采购信息安全产品时,应要求产品研制、生产单位提供相关材料。包括:营业执照,产品的版权或专利证书,提供的声明和通过国家认定的信息安全产品检测实验室的检测证明,以及计算机信息系统安全专用产品销售许可证等材料。
第八条 第三级以上信息系统应当选择使用符合以下条件的信息安全产品:
(一) 产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格。
(二) 产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能。
(三) 对国家安全、社会秩序、公共利益不构成危害。
(四) 对已列入信息安全产品认证目录的,应当取得国家信息安全产品认证机构颁发的认证证书。
(五) 信息安全产品应具有公安部门颁发的销售许可证书。
(六) 法律、行政法规规定的其它条件。
第九条 不涉及国家秘密的信息和信息系统通过采购和使用商用密码产品进行保护时,应当遵照《信息安全等级保护密码管理办法》、《信息安全等级保护商用密码技术要求》等密码管理规定和相关标准。
第十条 应当按照《商用密码产品目录》选用商用密码产品。使用的商用密码产品,应当是国家密码管理局批准使用或者准予销售的产品,不得采用国外引进或者擅自研制的密码产品;未经批准不得采用含有加密功能的进口信息技术产品。
第十一条 产品采购到货后,宁波市效实中学单位需对供货方的货物进行验收,验收核对产品型号、数量、配置、检测证书等,并进行记录。
第十二条 产品交付给使用人之前,需在资产清单上登记、在设备和介质上贴标签后,才能交付使用人。
第十三条 产品使用过程中如遇到故障,使用人应及时上报宁波市效实中学部门解决。
第十四条 安全产品有下列情形之一的,取消其候选资格,从产品采购清单中剔除:
(一) 安全产品的功能已发生变化,但未通过检测的;
(二) 经使用发现有严重问题的;
(三) 不能提供良好售后服务的;
(四) 国家有关部门取消其销售资格的。
第一条 为贯彻落实国家信息系统等级保护管理相关要求,规范宁波市效实中学单位的信息系统软件开发安全管理方面的工作,确保信息系统的开发整个过程及后续维护得到安全保护,制定本规定。
第二条 本规定根据《GB/T 20271—2006 信息安全技术 信息系统通用安全技术要求》、《信息安全技术 网络安全等级保护基本要求》等有关法律、标准、政策,管理规范而制定。
第三条 本规定适用于宁波市效实中学单位。
第四条 由业务部门提出信息系统软件开发需求,宁波市效实中学单位通过招投标方式选择外包开发单位,并指定业务部门和专人负责软件开发过程中与开发单位的沟通及软件交付后的维护工作。在需求分析中考虑以下信息安全问题:
(一) 需求中是否涉及了适当的安全控制机制,如身份鉴别,访问控制;
(二) 需求中是否已包括了审计功能需求;
(三) 需求中是否涉及信息安全控制方面的内容;
(四) 需求中是否涉及了代码的安全问题。
第五条 应在开发信息系统前考虑系统的安全要求。所有安全要求和具体的规格,包括恢复备份的安排,应在项目的需求调研时提出,当作开发信息系统的一部分,写入《需求申请书》和《需求规格说明书》中。
第六条 在《概要设计说明书》中,要对系统威胁、脆弱性和风险进行说明,并描述所采用的安全措施,并由主管领导进行评估并通过。
第七条 在《详细设计说明书》中详细说明安全措施的实现细节,并经过宁波市效实中学部门审核,安全措施内容包括:
(一) 系统的用户认证和授权应严格、完善,遵循最小授权原则,对用户访问要有日志记录。
(二) 对于分布式系统,各组件之间的通信建议加密,可以考虑SSL、电子证书等安全机制。
(三) 不允许不经加密而用普通文本形式通过网络传输密码。
(四) 不允许在可访问到的存储设备上用普通文本形式存储密码。
(五) 用来解码和审查密码的内存区域在过程结束后应立刻被清除。
(六) 结果的输出应该有对应的验证机制,保证结果的正确性和完整性。
第八条 在外包软件开发时,应注意以下几个方面:
(一) 选择信誉与质量保证能力好的软件承包商。
(二) 签订软件许可权协议、明确代码所有关系以及知识产权。
(三) 对外包工作质量和准确性进行检验,并保留检查权利。
(四) 明确承包方违约时应该采取的措施。
(五) 明确代码质量的合同要求,如对编程标准的要求。
第九条 开发环境分为测试环境和正式环境。测试环境用于系统开发和测试运行,要求保证安全性;正式环境是在线正式系统运行的生产环境,要求保证正式系统的稳定性和可靠性。
第十条 开发人员接入测试环境中,禁止直接接入正式环境,建议设置单独的网段,测试环境和正式环境之间采用安全隔离措施,在开发过程中要严格监控开发环境的安全。
第十一条 接入测试环境内的计算机设备和软件应进行安全性保护,包括安装防病毒软件,安装最新的系统补丁和安全补丁等措施。
第十二条 测试环境和正式环境内的开发系统数据每两周要保证同步一次,同步完成后,测试环境中的数据应为正式数据处理过的数据,无相关敏感信息,由相关人员进行操作和确认,并进行记录。
第十三条 正式服务器上系统的更新,务必经过系统开发负责人的确认后,由系统管理员进行系统更新。
第十四条 为了减少系统源代码被破坏的可能,应有一套严谨的源程序库的控制,内容包括:
(一) 要求在测试服务器上开发和调试。
(二) 除系统管理员外,其他人不允许访问生产系统中的源代码。
(三) 测试环境中的源代码只有被授权的人员才能访问,由系统管理员负责授权及权限的管理。
(四) 正在开发或维护的程序,不应放在生产系统源程序库中。
(五) 源程序库的更新及发送源程序,应由系统管理员进行。
(六) 旧源程序版本应被保存,并清楚记录运行过的确实日期及时间,以及其它支持软件、作业控制、日期定义及程序。
(七) 源程序库的维护及拷贝应由系统管理员来执行,其他人没有权限访问源代码库。
(八) 系统开发过程中的文档必须由专人妥善保管。
第十五条 对于操作系统安装、源文件的保管和使用应遵守以下内容:
(一) 操作系统、软件的安装须由系统管理员进行操作。
(二) 运行系统只安装经核准的可执行代码,不安装开发代码和编译器。
(三) 应用和操作系统软件只有在全面正确的测试后才能安装,测试包括实用性、安全性。
(四) 应维护对运行程序库的所有更新的审核日志。
(五) 应保留软件的先前版本作为应急措施。
(六) 软件的旧版本,包括需要的信息、参数、过程、配置细节都要归档,配套有文件和数据也要归档。
第十六条 应保护及控制测试数据。控制内容包括:
(一) 访问控制程序,应既适用于生产应用系统,也应适用于测试应用系统。
(二) 当生产系统拷贝到测试应用系统时,应由系统管理员进行复制操作,并做相应的记录,传递过程中数据应加密。
(三) 测试完毕后,生产系统的数据信息应立即从测试应用系统中清除。
(四) 应由系统管理员记录操作信息的拷贝及使用,以便提供审计追踪。
(五) 系统测试过程和文档必须由专人进行完整地记录和保存。
第十七条 系统上线应把运行软件被破坏的风险控制到最低,所要考虑的控制措施包括:
(一) 系统开发商和系统负责人需要在测试系统上对系统的需求进行确认。
(二) 系统上线之前,应采用第三方的商业检测工具检测软件中的恶意代码;并根据开发单位提供的源代码对软件中可能存在的后门和隐蔽信道进行审查,记录审查结果。
(三) 系统负责人需要在测试系统上对系统的设计和代码进行确认。
(四) 系统在正式环境中的上线工作由系统管理员完成,系统开发人员不得进行。
(五) 运行程序库的更新应由系统管理员负责进行。
(六) 所有运行程序库的更新都要有日志记录。
(七) 软件的旧版本应保存,以防万一。
(八) 运行系统所使用的供应商软件应由供应商提供支持维护。任何更新到新版本的决定应考虑版本的安全,如果补丁有帮助,应予以安装。
第十八条 信息系统正式上线后,开发单位应提供软件设计文档和使用指南,并通过培训的方式,指导宁波市效实中学单位系统使用人员及系统运维人员开展系统使用及系统运维工作。
第十九条 上线后的系统遇到用户需求变更必须按照新需求重新进行需求调研。需求变更后不能在正式服务器上直接修改设计,必须在测试服务器上修改设计并测试完成之后刷新到正式服务器。
第二十条 上线后的系统遇到BUG时不能在正式服务器上直接修改设计,必须在测试服务器上修改设计并测试完成之后刷新到正式服务器。
第二十一条
更改操作系统,例如安装一个新的软件版本或补丁。要改动时,应检查及测试应用系统,保证应用系统不会对运作或安全带来不利的影响。这过程应包括:
(一) 需要更改项目用服务器的操作系统,须向系统管理员提出申请,经双方确认后方可执行。
(二) 系统管理员因安全考虑需要更改项目用服务器的操作系统,须经过软件开发人员的确认,经双方确认后方可执行。
(三) 软件开发人员要检查应用系统的控制及完整性程序,确保它们不会被操作系统的改动所影响。
第一条 为贯彻落实国家信息系统等级保护管理相关要求,规范宁波市效实中学单位信息系统安全建设管理工作,根据《信息安全技术
网络安全等级保护基本要求》制定本规定。
第二条 本规定适用于宁波市效实中学单位拟建、在建以及运行的非涉密重要信息系统规划和建设管理工作。
第三条 由宁波市效实中学部门负责信息系统工程实施过程的管理工作。
第四条 宁波市效实中学单位根据工程实际情况,聘请第三方工程监理控制项目的实施过程。
第五条 应由工程实施单位提供其能够安全实施信息系统建设的资质证明和能力保证。
第六条 在工程实施之前,由工程实施单位制定详细的工程实施方案,实施方案需要经主管领导批准认可后方可实施。
第七条 工程实施方案应包括工程时间限制、进度控制和质量控制等方面内容。
第八条 工程实施单位在实际工程实施中应按照工程实施方案内容对工程实施过程进行进度和质量控制,并定期向宁波市效实中学部门提交阶段性工程报告等文档。
第九条 工程实施单位在工程建设过程中需要提交系统建设过程中的相关文档,文档中至少包含系统建设过程文档和系统运行维护文档。
第十条 在工程实施过程中,使用主动控制的方法:
(一) 预测和估计潜在的风险,在问题发生之前采取有效的防范措施。
(二) 评价项目的现状和进展趋势,分析其影响并提出建设性意见。
(三) 对项目状态持续不断的跟踪、监测,有效而经济地预防意外事故。
第十一条 项目进度控制措施:
(一) 组织措施
1.
明确项目控制人员的具体职责;
2.
进行项目工作结构的分解,创建控制时间;
3.
确定项目进度工作制度,如项目控制会议。
(二) 经济措施:确保项目资金的提供;
(三) 信息管理
1.
对影响项目进度的干扰和风险因素进行分析;
2.
进行计划进度和实际进度的比较;
3.
定期制作各种进度情况报告。
第十二条 质量控制的关键:
(一) 加强质量意识:提高所有实施人员特别是负责人的质量意识,认识到质量是项目成功与否的关键。
(二) 明确质量责任:项目经理及有关单位负责人和项目组成员都要明确自己在保证项目质量工作中的责任。
(三) 提高人员素质:选择满足实施需求且高质量的人员组建项目组。
(四) 制定质量标准:建立一套完整的质量标准化体系,根据项目计划工作内容由责任人逐一制定。
第十三条 项目质量的保证措施:
(一) 项目总体目标明确、清晰、量化。如果项目实施过程发生变化,要重新考虑项目目标。
(二) 将项目总体目标分解为阶段目标,并将工作任务分解为最小单位。
(三) 根据工作任务,在计划中设定检查控制点。
(四) 对每项工作任务进行评价,并对各种问题进行总结。
(五) 评价整个项目。项目结束后进行评价总结,系统地分析项目工作成果是否达到了项目目标的要求。
第十四条 项目风险控制和管理:
(一) 风险识别:确定各阶段工作的风险种类、对项目的影响。
(二) 风险量化:对风险及风险产生的影响进行评估。
(三) 应对计划:制定风险管理计划,采取措施增大制约风险的机会。
(四) 风险控制:不断对风险管理计划进行更新,并对风险因素采取预防和纠正措施。
第十五条 项目执行过程中为了保障项目在预期的目标(进度、质量/范围、成本)范围内完成,必须严格执行项目计划,定期进行审查项目进度、质量、范围、成本,尽量避免项目需求变更和人员变更对项目造成影响。如果出现不可预知的因素导致项目变更,必须及时调整项目目标、项目计划,并通知工程管理人员,由其签字确认。
第一条 为贯彻落实国家信息系统等级保护管理相关要求,规范宁波市效实中学单位信息系统安全建设管理工作,根据《信息安全技术
网络安全等级保护基本要求》制定本规定。
第二条 本规定适用于宁波市效实中学单位拟建、在建的非涉密重要信息系统测试与验收管理工作。
第三条 本规定适用于宁波市效实中学单位。
第四条 由系统建设部门负责信息系统测试与验收的管理,并按照本管理规定的要求完成系统测试验收工作。
第五条 由系统建设部门或委托第三方测试机构对系统进行安全性测试。
第六条 在测试验收前,由系统建设部门或委托的第三方测试机构根据设计方案或合同要求等制订测试验收方案,《测试验收方案》的内容包括:
(一) 测试目标:描述测试所达到的目标。
(二) 测试描述:包括测试环境、测试人员安排、测试方法、测试时间安排。
(三) 测试准备:包括环境准备、数据准备、测试人员行为准则、测试用例准备。
(四) 测试内容:包括功能测试、性能测试、安全测试、云服务提供商提供的安全措施的有效性的具体测试指标。
(五) 交付材料:测试完成后,提交测试日志、缺陷报告、测试报告。
第七条 由系统建设部门组织相关部门和人员对测试验收报告进行审定,明确给出验收的结论,项目实施单位应当根据验收意见尽快修正有关问题。
第八条 项目实施完毕后,由项目实施单位向系统建设部门提交验收申请,系统建设部门应组织验收小组负责项目验收工作。
第九条 项目验收应根据设计方案和合同相关要求,审核检查项目建设单位的完成度和符合度。对未完成的工作或不符合要求的工作应提出整改意见,并由项目建设单位进行整改直到符合要求为止。
第十条 对项目建设技术方面的完成度和符合度的验收,可根据测试管理规定进行测试验收。
第十一条 对项目建设其它方面的完成度和符合度的验收,可组织相关人员进行资料审核验收。
第十二条 验收小组应根据合同内容和设计方案要求,对交接的设备、软件和文档等进行清点,确保符合项目要求。
第十三条 项目验收小组应提交验收报告经宁波市效实中学单位相关管理部门进行审核,签字确认后方可通过验收。
第一条 为贯彻落实国家信息系统等级保护管理相关要求,规范宁波市效实中学单位信息系统安全建设管理工作,根据《信息安全技术
网络安全等级保护基本要求》制定本规定。
第二条 本规定适用于宁波市效实中学单位拟建、在建的非涉密重要信息系统交付管理工作。
第三条 本规定适用于宁波市效实中学单位。
第四条 由宁波市效实中学部门负责系统交付的管理工作,并按照规定的要求完成系统交付工作。
第五条 由宁波市效实中学部门与工程实施单位在合同中明确《系统交付清单》(附件一),系统交付清单应分类详细列出系统交付的各类设备、软件、文档等。
第六条 工程验收完成后,由宁波市效实中学部门根据交付清单对所交接的设备、软件和文档进行清点,确保工程实施单位提供系统建设过程中的文档和指导用户进行系统运行维护的文档。
第七条 应对负责系统运行维护的技术人员进行相应的技能培训。
第一条 为规范和加强宁波市效实中学单位机房环境和办公环境的安全管理,以保障宁波市效实中学单位信息系统安全稳定运行,制订本规定。
第二条 本规定根据《GB/T 21052—2007 信息安全技术 信息系统物理安全技术要求》、《信息安全技术
网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护实施指南》等级保护技术标准和规范要求,结合宁波市效实中学单位实际情况而制定。
第三条 本规定适用于宁波市效实中学单位。
第四条 计算机机房建设应符合《GB2887-89计算机站场地技术条件》、《GB9361-88计算机场地安全要求》以及等级保护相关标准。
第五条 计算机机房不能与生产区和办公区在一起,更不能当作存放其他物品的仓库,以免进入机房的人员角色混杂。
第六条 保证机房使用面积宽敞,机房应有足够的余留空间,机架密度不能过高。
第七条 机房应聘请专业人员进行网络布线,所有网线均贴上提示标签,光纤尾纤使用塑料套管保护。
第八条 工作间应有良好的人机工作环境,保障工作人员的安全与健康。
第九条 所有机房均采用电源质量改善措施和隔离防护措施,如滤波、稳压、稳频设备等;尽可能使用双路供电,或者使用备用发电机或UPS电源。
第十条 机房应实现温湿度调节、通风等指标,保证空调7×24小时运行。
第十一条 机房应部署充足的消防设备。
第十二条 机房内部不能有水源。
第十三条 机房内选用低辐射显示器设备,采用距离防护、噪声干扰、屏蔽等措施把电磁泄露抑制到最低限度。
第十四条 机房应有防雷地线和其他防雷措施。
第十五条 保持机房内清洁、干燥、空气流通,注意防潮、防尘、防鼠。
第十六条 机房关键设备均有备品备件。
第十七条 机房应对出入机房的人员进行访问控制和出入记录。
第十八条 保证重要机柜上锁状态,临时使用之后必须及时上锁,系统管理员维护系统时尽量通过远程管理方式。
第十九条 机房重要主机尽可能不设光驱、软驱和USB口等输出设备,否则由专人负责机柜上锁。
第二十条 机房设置视频监控系统,有效监控非法物理破坏。
第二十一条 进入机房内的所有设备增加、系统安装、配置变更、线路调整等系统变更情况均需做登记记录。
第二十二条 进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁及其它与机房工作无关的物品。
第二十三条 机房空调应指定专人负责,使机房温、湿度符合机房维护技术指标要求,机房正常温度应保持在20℃-25℃,相对湿度保持在40%-60%。
第二十四条 机房巡视规定:每班最少巡视机房两遍,查看通信设备、空调、供电设备和门窗的状态及温、湿度表,发现问题立即处理,交班时予以记录。
第二十五条 灭火系统管理:定期巡视,按照消防安全有关规范执行。
第二十六条 卫生管理规定:机房由值班人员每天下午下班前打扫卫生一次。
第二十七条 施工和用电管理规定:机房施工必须经机房负责人批准,施工用电须经领导批准。任何设备用电都要经过保护开关,施工过程接受管理员的监督。严禁在机房内进行危险作业。
第二十八条 机房内严禁吸烟、喝饮料、吃食物、嬉戏和进行剧烈运动,保持机房安静。
第二十九条 其它安全措施:动火作业(如气焊气割等)须申请动火证,作业前准备好安全措施。
第三十条 实行机房出入登记制度,严禁无关人员及外来人员进入机房或上机操作,如有特殊需要,须经领导或安全责任人批准并进行登记,指定专人陪同。
第三十一条 未经允许,机房内不得随意拍照和摄影。
第三十二条 机房维护人员、值班人员以及进入机房的其他人员必须更换专用工作鞋或穿鞋套。
第三十三条 重要机房应配置相关人员管理机房人员进出,监控机房运行。
第三十四条 计算机及网络设备的搬运必须通过机房主管部门审批并持有正式的审批文件方可进入或搬离计算机机房。
第三十五条 安全管理员定期对机房出入人员登记表进行审阅,确保所有对机房访问的人员均已通过授权。
第三十六条 若机房采用磁卡门禁系统(以下简称磁卡)进行管理,应当遵循以下管理规范:
(一) 机房磁卡门禁系统的管理部门是机房主管部门;
(二) 需要申领磁卡的机房工作人员,由所属部门主管领导负责,名单上报机房主管部门。机房主管部门审核同意后给予发放;
(三) 对因工作需要临时进机房工作的工程、技术或其他人员,不再发放磁卡。进入机房工作时,有相关部门人员带领,办理相应的机房出入手续;
(四) 持有磁卡的机房工作人员要妥善保管,不得遗失和互相借用;
(五) 定期地对磁卡进行登记检查,遗失磁卡的人员必须及时汇报,不得隐瞒。
第三十七条 机房视频监控系统应当遵循以下管理规范:
(一) 机房工作人员应正确使用视频监控系统;
(二) 机房工作人员有责任通过视频监控系统来检查机房安全情况;
(三) 机房工作人员应备份每天的视频监控系统数据;
(四) 视频监控系统的数据至少应保留6个月。
第三十八条
机房设备必须确保始终处于良好的状态,机房的运行必须保证安全、稳定和可靠。
第三十九条
机房管理员随时监控网络设备运行状况和网络运行情况,发现异常情况应立即按照预案规程进行操作,并及时上报和详细记录。
第四十条 机房内工作人员必须严格按岗位职责完成各自的工作。
第四十一条
非机房工作人员未经许可不得擅自上机操作和对运行设备及各种配置进行更改。
第四十二条
机房工作人员应恪守保密制度,不得擅自泄露机房各种信息资料与数据。
第四十三条
定期对机房内设置的消防器材、监控设备进行检查,以保证其有效性。
第四十四条
机房对外宣布的联系、咨询或申告电话应确保畅通,严禁非正常调用。对用户打入的电话要及时接听、耐心解答,对故障申告电话要及时处理并做好记录。
第四十五条
机房主管部门应对制度的执行情况进行检查,督促各项制度的落实。
第四十六条
机房值班人员应定时检查各项设备的运行状态和指标参数。
第四十七条
机房值班人员应每月一次对检查备用发电机的工作情况进行了解,并进行记录。
第四十八条
机房值班人员应在每年的五一长假和十一长假期间对电力切换情况进行监控并进行记录。
第四十九条
UPS电源必须每月进行放电测试,测试结果反映在厂家提供的服务报告中。
第五十条 对于检查过程中发现的事件和问题,需经过确认排出误报可能后通知相应的管理员。
第五十一条 对于纸质检查记录以及机房出入记录应进行保存,保存期为1年,逾期进行粉碎销毁。
第五十二条 不得在重要区域接待来访人员,特殊情况下,必须经过审核。
第五十三条 办公桌面上不得随意摆放包含敏感信息的重要文档和移动介质。
第五十四条 办公终端不得在屏幕上随意摆放包含敏感信息的电子文档。
第一条
为规范和加强宁波市效实中学单位信息资产管理,明确所有信息资产、落实资产的责任人和确保信息资产得到适当的保护,保障宁波市效实中学单位信息系统的安全稳定运行,特制订本规定。
第二条
本规定根据《GB/T20269-2006 信息安全技术 信息系统安全管理要求》、《信息安全技术
网络安全等级保护基本要求》等级保护技术标准和规范要求,结合宁波市效实中学单位信息资产管理实际情况而制定。
第三条
本规定适用于宁波市效实中学单位。
第四条
信息资产包括以下内容:
(一) 信息资产:包括应用数据、系统数据、安全数据等数据库和数据文档、系统文件、用户手册、培训资料、操作和支持程序、备用系统安排、存档信息等。
(二) 软件资产:包括应用软件、系统软件、开发工具和实用程序。
(三) 有形资产:包括计算机设备(处理器、监视器等)、通信设备(路由器、传真机等)、磁介质(磁带、移动存储介质、光盘等)、其他技术装备(电源,空调设备)、机房。
(四) 应用业务相关资产:包括由信息系统控制的或与信息系统密切相关的应用业务的各类资产。
(五) 服务:包括计算和通信服务。
第五条
资产是宁波市效实中学单位运营与发展的基础和核心,具有不可或缺的重要价值,必须建立严格的资产责任制度,以有效保护信息资产安全。
第六条
必须为信息资产建立详细清单,并维护其准确性与完整性。信息资产清单包括每项资产的责任部门、责任人、所处位置等。
第七条
信息资产由宁波市效实中学部门负责,各部门需要指定信息资产管理员,负责本部门信息资产的保管、日常维护、调拨等工作;系统管理员应协助信息资产负责人进行实物盘点、核对工作。
第八条
根据具体情况,可按部门设置信息资产专管人员,负责本部门信息资产的保管、日常维护、调拨等工作,各部门员工应协助信息资产专管人员定期进行实物盘点、核对工作。
第九条
由各个部门确定的资产管理员负责本部门的信息资产管理、资产命名和贴标识、定期资产核查等工作。
第十条
信息资产采购后交付使用部门的资产管理员,资产管理员对资产按照规则命名和标识,使用人要在本部门《资产清单》上进行领用登记,然后由资产管理员交付资产给使用人。
第十一条
信息资产领取使用后,按照信息资产明细账和信息资产登记卡片,明确信息资产的使用人员和存放地点,使用人员是信息资产保管的责任人,负责固定资产在使用过程中的安全和完整。
第十二条
信息资产的使用人是其资产的第一责任人,要按照产品手册、操作规程、管理制度等要求正确的使用设备或介质资产,防止其被盗、遗失、被未授权修改以及信息的非法泄漏。
第十三条
信息资产的传输、存储、维护或销毁参照介质管理中相关内容执行。
第十四条
信息资产基本信息发生变化时,使用人需要到本部门资产管理员处进行相关的信息变更。
第十五条
含有敏感信息的信息资产在传输过程中必须亲自交给接收方。
第十六条
通过外部运输人员传输的信息资产需要采取接收者签字等措施,以保证传送安全到达。
第十七条
对含有敏感信息的信息资产的传输过程需要有日志记录(包括资产数量、传输地点、接收者姓名等内容)。
第十八条
贵重的、精密程度较高的信息资产应指定专人保管。
第十九条
信息资产日常维护包括清点核查、资产状态检查和巡检维护等。
第二十条
巡检与监控人员对应用系统、网络系统和机房的运行状况进行监控,定期检查系统日志,填写巡检日志,及时报告、处理发生的异常事件,并定期汇总上报到宁波市效实中学部门。
第二十一条
所有信息资产使用人员应爱护资产设备,自觉进行日常清理保洁及相关简单的维护。
第二十二条
信息资产正常报废时,填报《信息资产报废申请表》,办理相关手续。
第二十三条
《信息资产报废申请表》经主管领导审批后,一份作为固定资产管理部门核销固定资产台账依据;一份作为宁波市效实中学部门核销固定资产账和固定资产卡片依据。
第一条
为进一步加强宁波市效实中学单位非涉密介质的管理,依据《中华人民共和国保守秘密法》、《信息安全技术 网络安全等级保护基本要求》、《信息安全技术
网络安全等级保护实施指南》及宁波市效实中学单位有关文件要求,制定本规定。
第二条
本规定适用于宁波市效实中学单位非涉密介质安全管理。
第三条
非涉密介质主要指存储非涉密信息的移动介质,包括移动硬盘、U盘、软盘、光盘、存储卡、磁带、磁盘和身份鉴别密钥(USB KEY)等。
第四条
介质使用人负责非涉密介质的使用、保管等日常工作。
第五条
宁波市效实中学部门负责非涉密介质的安全管理和监督检查。
第六条
各部门资产管理员负责非涉密介质的统一登记和管理。
第七条
非涉密介质的管理主要包括:采购、领用、使用、报废和销毁等内容。
第八条
各部门按照已制定的年度规划和相关采购计划,组织进行非涉密介质的统一采购。
第九条
各部门资产管理员负责介质的统一保管,建立介质台帐并定期报宁波市效实中学部门备案。各部门工作人员根据实际工作需要,到宁波市效实中学部门领取并填写介质管理记录表(附件一)。
第十条
非涉密介质领取时,由资产管理员统一制作粘贴介质标识。标识需妥善管理,信息不得涂改,并与台帐信息保持一致。
第十一条
介质领用人按照操作要求使用介质,并负责介质的保管和维护。如需将非涉密介质交付他人,必须到资产管理员处更新非涉密介质领用台账的信息,接收人需签字确认。
第十二条
介质销毁必须填写信息资产报废申请表报经资产管理部门批准后,按照要求统一销毁或移交给相关部门进行处理。其中磁盘由第三方实现统一销毁。
第十三条
使用人控制下的存储介质和用来备份或是用做灾难恢复的,存放在一定安全级别的区域,或当无人看管时,要将这些介质存放在宁波市效实中学部门或保密柜中。
第十四条
用做一般系统备份的存储介质应与用户控制下的存储介质分开放置,必须被慎重管理以保证在需要恢复的情况下能够得到,同时必须记录在管理员的目录清单里。
第十五条
当所有权发生变化时,必须进行一次存储库盘点。
第十六条
任何的存储介质盘点与检查出现差异必须报告宁波市效实中学部门,并且所有介质,包括打开过的空白带、格式化过的、擦除过的、媒体操作装置中的都必须包括在清单盘点中。对存储介质负责的管理者必须对所有的清单文档签字。
第十七条
对含有敏感信息的存储介质不应该被不需要知道的人知道,不能被放在无人看护的地方,除非该敏感信息介质放在被锁的房间或柜子中。
第十八条
各类存储介质必须被某种机制保护,这种机制保证敏感信息不被非授权的用户访问;如制定硬盘加密,硬盘口令等。
第十九条
存储介质要全面考虑数据分类标签的需求,如磁带,磁盘及其它存储介质等有不同的分类标签。
第二十条
存储介质中含有敏感信息被邮递或在内部传输时,必须被放在标记的密封套子或是包装盒中。敏感信息被邮递或是传输到外部时,内部的标签需要明确标记为敏感信息,外盒或封套不要标记敏感信息字样。
第二十一条
在拷贝或输出敏感信息到存储介质时,需要有人监控(不能让敏感信息自行输出到远程存储介质,特别是远程的存储介质是可移动的)。
第二十二条
对含有敏感信息的存储介质的复制要有跟踪、出处、输送记录。
第二十三条
存储介质的存放时,需要用不同的标签或介质类型来表示是原件还是拷贝件。
第二十四条
含有敏感信息的存储介质在传递过程中必须亲自交给接收方。
第二十五条
通过外部运输人员传递的存储介质需要接收者签字等措施,以保证传送安全到达。
第二十六条
含有敏感信息的存储介质在传递过程中需进行日志记录,记录包括介质数量、传输地点、接收者姓名等信息。
第二十七条
除非存储介质内的敏感信息已经被加密,否则存储介质不许应用在无人看管的可移动设备上。
第二十八条
可移动存储介质必须放在随身携带的手提箱中,而不能放在其他的货物托管地方。
第二十九条
所有含有内部信息的存储介质对外部人员都是保密的,严禁员工、顾问和合作方带走。
第三十条
任何计算机存储介质更换用途前,必须要进行格式化。
第三十一条
不允许将含有敏感信息的存储介质和非敏感信息的存储介质混放在一起。
第三十二条
含有敏感工作信息的存储介质不再使用时,使用人需经所在部门领导批准,交由信息资产管理员,消除这些敏感信息,必要时销毁这些存储介质。
第三十三条
存储介质删除敏感信息后,必须执行重复写操作防止数据恢复。
第三十四条
含有硬拷贝形式的敏感信息存储介质的报废处理方式是切碎或者烧毁。
第三十五条
须对磁带、磁盘和文档库实施访问控制,对该存储介质的访问必须严格限制。访问磁盘、磁带等需要提出申请,由主管领导审批同意方可进行,并登记备案。
第一条 为规范和加强宁波市效实中学单位日常工作及业务运行的设备安全管理,以保障宁波市效实中学单位信息系统安全稳定运行,特制订本规定。
第二条 本规定根据《GB/T 21028—2007 信息安全技术 服务器安全技术要求》、《信息安全技术
网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护实施指南》、《GB/T20279-2006 信息安全技术
网络和终端设备隔离部件安全技术要求》等有关法律、标准、政策、管理规定而制定。
第三条 本规定适用于宁波市效实中学单位。
第四条 正式运行的设备一律安置到机房,严禁在办公场所安置生产运行设备。
第五条 对于机房内部设备的查看须由该设备的系统管理员许可并陪同。
第六条 应遵照设备厂商要求的环境参数来对设备进行安置。
第七条 严禁私自串接未经许可的电源,以规避绕开大厦防雷系统的风险。
第八条 在不使用机架终端系统时一律将该装置缩进机柜内部,以保护该终端系统的正常使用寿命。
第九条 所有正式运行的设备必须放置到机柜中,并上锁。
第十条 机房中设备均需由正常机房电源、UPS电源、应急发电机电源三路供电。
第十一条 应定期检查UPS电池情况,并定期进行放电维护。
第十二条 在出现电力切换时应及时检查是否电力工作正常。
第十三条 在电力回复正常时应检查供电系统是否已经安全切换。
第十四条 对电力设备的检查应参照机房安全规定中相应条款。
第十五条 所有机房和办公场所的主干线路均需使用下走线方式以保护线缆安全。
第十六条 未经允许不得进行不同安全域的明线跨接。
第十七条 走线时电缆和数据线路应部署于各自专用的线槽,以避免线路的干扰。
第十八条 数据线缆两端应使用标签标注,以备排查。
第十九条 所有配线记录应文档化。
第二十条 对于机房中的设备有条件使用光缆且不影响正常运行的,须使用光缆互联。
第二十一条 信息系统负责部门承担定期对各自系统相关的各种设备(包括备份和冗余设备)、线路等进行维护管理的职责。
第二十二条 信息系统的各种软硬件设备的选型、采购、发放和领用均参照《产品采购和使用管理规定》执行。
第二十三条 只有已授权的维护人员才可对设备进行修理和服务。
第二十四条 要保存所有可疑的或实际的故障及所有预防和纠正维护的记录。
第二十五条 如由第三方人员对设备进行维护,必须由该设备的系统管理员全程陪同。
第二十六条 设备出现故障、须开机箱维修的,应由工程师到现场进行维修,严禁私自开机箱维修。现场维修时,应由相关人员全程陪同。维修人员应当认真填写《设备维修记录表》。
第二十七条 设备及硬件资产使用期超过5-6年,可以上报资产管理部门统一处理。
第二十八条 信息资产处理前应检查是否存在敏感信息。
第二十九条 信息资产的报废工作中应首先对敏感信息进行销毁。
第三十条 各部门应将报废的信息系统资产交回资产管理部门,不得自行处置,并需及时办理交接手续,报废信息系统由有关部门统一进行处置。
第三十一条 对于报废的存储介质应采取消磁、物理损毁等手段进行销毁。
第三十二条 对于设备的报废需填写报废登记表。
第三十三条 未经授权不得将宁波市效实中学单位信息资产带离工作场所。
第三十四条 如果必须将信息处理设备带离工作场所,需要由带离人员填写《设备带离审批记录》,经由设备所属部门领导签字后方可带离单位。若含有存储介质的设备带出工作环境时,必须对其所存储的重要数据进行加密处理。
第三十五条 场外设备是指:隶属宁波市效实中学单位,并且存在于组织外部的资产。例如:笔记本电脑或因工作需要放置在场外的设备。场外设备应遵循如下管理规定:
(一) 场外设备应放置在安全的环境下,如服务器等设备应安置在机房环境中;
(二) 场外设备对于环境的安置要求需要遵照设备说明书或厂商的要求;
(三) 对于笔记本电脑在场外的使用同样需遵照信息安全管理体系的各项控制措施;
(四) 未使用设备的放置应进行封存处理;
(五) 设备须有专人进行负责。
第一条 为规范和加强宁波市效实中学单位日常工作及业务运行的网络安全管理,以保障宁波市效实中学单位信息系统安全稳定运行,特制订本规定。
第二条 本规定根据《GB/T 20270—2006 信息安全技术 网络基础安全技术要求》、《信息安全技术
网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护实施指南》等有关法律、标准、政策、管理规范而制定。
第三条 本规定适用于宁波市效实中学单位。
第四条 需要访问互联网的用户,按照互联网用户审批程序办理申请手续。访问互联网的用户应该接受用户入网责任的约束,对于违反用户入网责任的用户,经系统管理员警告无效,管理部门有权注消该用户的互联网账号。
第五条 互联网用户必须严格遵守国家关于互联网访问的规定,严禁利用计算机非法入侵他人或其他组织的信息系统,禁止利用电子邮件收发、转发违反国家有关规定的材料,违反此规定的将依法论处。
第六条 禁止利用互联网出口下载或观看与工作无关的信息,一经查出,将取消当事人访问互联网资格,并通知所在部门领导予以处理。
第七条 禁止在网络内传播未经安全验证的来自互联网的软件、游戏等。
第八条 禁止在网络内尝试使用任何黑客工具、病毒制作工具。
第九条 禁止在网络内故意传播病毒文件或病毒邮件。
第十条 各终端工作计算机未进行安全配置、未安装防火墙或杀毒软件的,不得入网。各计算机终端用户应定期对计算机操作系统、杀毒软件等进行升级和更新,并定期进行病毒清查,不允许下载和使用未经测试和来历不明的软件、不要打开来历不明的电子邮件以及不要随意使用带毒U盘等介质。
第十一条 禁止用户随意改动自己的网络参数配置,包括IP地址、网关、DNS、域服务器(如有)等。
第十二条 禁止用户采用任何工具私自修改网卡的MAC地址。
第十三条 禁止网络内的计算机通过MODEM拨号连接到互联网。
第十四条 对于向网络发动恶意攻击的本单位员工,宁波市效实中学单位相关部门应立即调查处理。一经查实,应立即冻结该员工的网络账户,并及时报告主管领导和上级有关部门,由相关部门根据国家和宁波市效实中学单位的有关规定对该员工进行处罚。
第十五条 不得在互联网上披露涉及国家和宁波市效实中学单位的相关敏感信息。违反保密规定者,取消上网资格并承担法律责任。
第十六条 网络设备的软件版本应该统一升级到较新版本,在升级前应对现有的重要文件进行备份。
第十七条 网络设备的安装、配置、变更、撤销等操作必须严格按照流程进行。
第十八条 对重要网段要进行重点保护,要使用防火墙等安全设备以及VLAN或其他访问控制方式与技术将重要网段与其它网段隔离开。
第十九条 网络结构要按照分层网络设计的原则来进行规划,合理清晰的层次划分和设计,可以保证网络系统骨干稳定可靠、接入安全、便于扩充和管理、易于故障隔离和排除。
第二十条 系统管理员应定期对网络的性能进行分析,以充分了解系统资源的运行情况及通信效率情况,提出网络优化方案。
第二十一条 互连点上必须实施安全措施,如网络访问控制列表、安装防火墙等,并采取集中原则,并考虑安全冗余。
第二十二条 网络互连原则:
(一) 与互联网的连接中,在互连点上的防火墙上应该进行IP地址转换,保护内部接口机或代理服务器真实的IP地址。
(二) 任何部门不得自行建立新的信息平台,如确有需求,需经由上级主管部门和宁波市效实中学部门审核批准后实施。
(三) 互联网接入必须有防火墙等安全防范设备。未经许可,任何部门或个人不得私自在网络内新增与互联网的连接。
第二十三条 办公网络中不同业务的网络之间互连原则:
(一) 互连点上必须实施安全措施,如网络访问控制列表、安装防火墙等。
(二) 网络之间互连点采取集中原则,并考虑安全冗余。
第二十四条 网络设备的软件版本(IOS或VRP等)较低可能会带来安全性和稳定性方面的隐患,因此要求在设备的FLASH容量许可的情况下统一升级到较新的版本,必要情况下可升级设备的FLASH容量。
第二十五条 配置文件存储着网络设备的所有配置信息,网络设备中的运行配置文件和启动配置文件应该随时保持一致。
第二十六条 所有网络设备的拓扑结构、IP地址和网络配置文件应有文档记录。网络设备的配置文件需要定期离线备份。
第二十七条 所有与外部系统的连接均需得到授权和批准。
第二十八条 网络配置信息的修改要获得安全管理员的批准方可进行。
第二十九条 安全管理员定期对网络配置信息的安全状况进行检查,定期对违反网络安全策略的行为进行检查,并做详细记录。
第三十条 要对网络路由器、主交换机和主服务器实行每天24小时监控制度,确保网络设备的安全运转,如需进行断电维护等操作,应报上一级备案。如发现网络异常等问题,要立即向上一级报告。服务器系统须有用户登录的详细日志记录,以备检查之用。
第三十一条 系统管理员负责网络设备的日常检查,对关键设备要做到每日检查,发现问题应迅速解决,全部管理工作应保留记录。
第三十二条 重要的网络结点要有日志,并采取必要措施统一日志,系统管理员定期对这些日志进行分析,检查违规行为,发现异常情况要及时处理和报告安全管理员和上级主管,尽早消除网络安全隐患。
第三十三条 系统管理员要定期对日志文件进行备份,日志文件保存时间应在6个月以上。
第三十四条 要求对网络设备的登录账号设置权限级别,授权要遵循最小授权原则。
第三十五条 保证用户身份标志的唯一性,即不同的个人用户必须采用不同的用户名和口令登录,并且拥有不同的权限级别。不同用户的登录操作在设备日志文件上均有记录,便于追查问题。
第三十六条 网络设备的直接责任人拥有超级用户权限,其他系统管理员按照工作需求拥有相应的用户权限.系统管理员不得私开用户权限给其它人员。
第三十七条 口令必须符合《密码管理规定》的相关内容,这是保证设备安全性的基本条件。
第三十八条 敏感的网络结点配置:不需要的网络服务要禁止,严格配置提供的网络服务,并安装所有与安全有关的补丁。
第三十九条 受限访问的网络,线缆不能通过公共场所,要在接线管内,接口只设在授权的用户处。如果布线施工是外单位完成的,要进行检查。
第四十条 网络设备一般都具有允许远程登录的功能,远程登录给系统管理员带来很多方便,但同时也带来一定的网络安全隐患。通常在网络设备上可以设置相应的ACL限定可远程登录的主机在指定网段范围内,拒绝部分潜在的攻击者,保证网络安全。
第一条 为规范和加强宁波市效实中学单位日常工作及业务运行的系统安全管理,以保障宁波市效实中学单位信息系统安全稳定运行,特制订本规定。
第二条 本规定根据《GB/T 21028—2007 信息安全技术 服务器 安全技术要求》、《信息安全技术
网络安全等级保护基本要求》等有关法律、标准、政策、管理规范而制定。
第三条 本规定适用于宁波市效实中学单位。
第四条 应用系统的用户管理、权限管理应充分利用操作系统和数据库的安全性能,提高后台数据库的安全。
第五条 由系统管理员根据业务需求和系统安全分析制定系统的访问控制策略,控制分配信息系统、文件及服务的访问权限。
第六条 各应用系统的操作流程和操作手册由各应用系统开发厂商提供,经应用系统使用部门确认,各业务部门工作人员在日常工作中按照操作流程执行。
第七条 禁止利用扫描、监听、伪装等工具对网络和服务器进行恶意攻击,禁止非法侵入他人网络和服务器系统。
第八条 参数配置文档、重要计算机信息系统详细开发资料及其源程序等核心技术文档,由各个部门的资产管理员严格管理。
第九条 系统核心技术文档资料的外借应有审批手续和记录,借阅人不得转借给他人,不得复制、泄露和引用具体技术内容。
第十条 系统安全配置由安全管理员负责,其余任何人不得随意更改配置。
第十一条 系统应配置会话非活动失效时间,当操作员在该时间内没有对界面进行任何操作则该应用自动失效。
第十二条 系统应配置会话绝对失效时间,当该时间到期时,不论该会话是否处于活动状态,系统都将断开该会话。
第十三条 系统软件目录设置及其访问权限应有相应的规范,以保证系统的安全性和可维护性。
第十四条 由系统管理员每月对系统进行一次漏洞扫描,对发现的系统安全漏洞及时进行修补;形成漏洞扫描报告,内容包含系统存在的漏洞、严重级别和结果处理等方面。
第十五条 由系统管理员定期对系统安装安全补丁程序,在安装系统补丁前,首先在测试环境中测试通过,并采取磁盘或磁带对重要文件进行备份后,方可实施系统补丁程序的安装。
第十六条 系统应部署适当的数据备份恢复机制,具体内容参见《备份与恢复管理规定》。
第十七条 由系统管理员依据操作手册对系统进行维护,详细记录操作日志,包括重要的日常巡检工作、运行维护记录、参数的设置和修改等内容,严禁进行未经授权的操作。
第十八条 系统需进行监控,应提供硬件和软件的性能监控,并对系统资源的使用进行预测,以确保充足的处理速度和存储容量,系统管理员应随时注意系统资源的使用情况,包括处理器、存储设备和输出设备。
第十九条 系统应提供完善的审计功能,对系统关键数据的每一次增加、修改和删除都能记录相应的修改时间、操作人和修改前的数据记录。系统日志应当支持并配置异地保存。
第二十条 由安全管理员定期对运行日志和审计结果进行分析,形成分析报告,报告内容包括账户的连续多次登录失败、非工作时间的登录、访问受限系统或文件的失败尝试、系统错误等非正常事件。
第一条 为规范和加强宁波市效实中学单位网络与信息系统安全保护,加强恶意代码攻击和病毒感染防范,规范恶意代码及病毒处理流程,特制订本规定。
第二条 本规定根据《信息安全技术
网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护实施指南》等有关法律、标准、政策、管理规范而制定。
第三条 本规定适用于宁波市效实中学单位。
第四条 计算机病毒防范工作,由宁波市效实中学部门负责组织实施,负责整体防病毒安全策略的制订和实施。
第五条 由各部门指定专人为本部门防病毒管理员,负责本部门的恶意代码检测。
第六条 由安全管理员负责指导各防病毒管理员及协调工作,职责如下:
(一) 及时跟踪解决用户反映的病毒问题。
(二) 对用户上报的病毒追踪其根源,查找病毒传播者。
(三) 对于不能立即解决的病毒问题,应及时组织协同相关的技术和业务人员进行跟踪解决,在问题解决前尽快采取相应措施阻止事件进一步扩大。
(四) 对病毒的发作时间、发作现象、清除等信息进行维护、备案,并制作案例。
(五) 日常病毒信息的公告和发布。
(六) 对员工进行病毒防治的教育和培训,提高所有用户的防病毒意识。
(七) 相关工作日志(发送和接受)的保存和归档。
第七条 所有终端安装指定的防病毒软件,并及时更新病毒库。保证开启病毒软件实时查毒功能。
第八条 在读取移动存储设备上的数据以及网络上接收文件或邮件之前,先进行病毒检查,对外来计算机或存储设备接入网络系统之前也应进行病毒检查。
第九条 在安全管理员的指导下采用其他防病毒软件作为辅助查毒手段,但辅助防病毒软件必须是经过公安部门认证的产品,并使用正版软件。
第十条 安全管理员应及时了解操作系统厂商所发布的漏洞情况,对于很可能被病毒利用的远程控制的漏洞,要及时提醒用户安装相关补丁。
第十一条 安全管理员应及时了解国家信息安全机构或安全厂商发布的计算机病毒通告,对有严重破坏力的计算机病毒的爆发日期或爆发条件,安全管理员应及时通知本单位所有部门进行防范。
第十二条 安全管理员每天注意浏览病毒预警信息,并根据要求进行防病毒处理。
第十三条 安全管理员及时更新操作系统补丁,关键补丁安装不得超期一个月,确保操作系统安全健壮。
第十四条 工作中如需共享文件,应当先对要共享的文件进行病毒检测,并对共享文件设置访问密码后方可共享;严禁在共享权限处设置Everyone可读写;共享完毕要及时解除共享。
第十五条 对于接入网络的笔记本电脑,采取有效手段清除可能存在的病毒且更新病毒特征库后方可连入网络。
第十六条 对于已经确认感染病毒的机器,或运行不正常的机器,严禁在网络上使用。
第十七条 对于互联网下载的软件或数据,要求在开启实时查毒功能的情况下采用单线程的方式下载,并确保下载的软件或数据均不携带病毒。
第十八条 浏览互联网和下载软件时,当防病毒软件出现病毒告警,使用者应立即断网处理,并使用防病毒软件清除病毒或删除受感染文件。当确认已经感染病毒后,应立即报告系统管理员,并寻求支持尽快清除病毒。
第十九条 新购置的、借入的或维修返回的计算机,在使用前应当对硬盘认真进行恶意代码检查,确保无恶意代码之后才能投入正式使用。
第二十条 软盘、光盘以及其它移动存储介质在使用前应进行病毒检测,严禁使用任何未经防病毒软件检测过的存储介质。
第二十一条 严禁浏览黄色站点。严禁在宁波市效实中学单位配备的电脑上安装游戏以及其它与工作无关的软件。
第二十二条 网络上使用的所有盘站都必须启用防病毒软件的定期查毒功能。定期查毒周期不能超过一周。所有用户不允许关闭、删除或禁用防病毒软件。
第二十三条 当发现计算机病毒传染迹象时,系统管理员应立即向安全管理员汇报。
第二十四条 安全管理员应隔离被感染的系统和网络,进行处理,不应带“毒”继续运行。对于重要服务器,要先确定被感染情况,不要盲目断网。
第二十五条 安全管理员应确定病毒的类型和传播途径,对于未知病毒,可尽快提交给有关部门或厂商。
第二十六条 对于病毒呈现大面积传播的趋势,安全管理员根据病毒的传播形式,采取技术手段控制病毒的扩散。
第二十七条 对于被感染、无法修复的重要数据文件,安全管理员应通知信息系统负责人请数据恢复的专业人员进行处理。
第二十八条 在对信息系统造成影响严重、感染面积较大的病毒事件,安全管理员在处理完成后必须上报。
第二十九条 病毒事件报告内容应列明发现问题时间、受感染范围、所造成的影响、具体的处理办法、处理效果、问题解决时间、系统所暴露的问题及改进建议。
第三十条 病毒应急处理工作程序参见《应急预案管理规定》。
第一条 为进一步规范宁波市效实中学单位账号口令管理,提高宁波市效实中学单位通信网络及信息系统的安全性,保障各系统及应用数据的安全性,依据《中华人民共和国保守秘密法》、《信息安全技术
网络安全等级保护基本要求》及宁波市效实中学单位有关文件要求,特制定本规定。
第二条 本规定适用于宁波市效实中学单位通信网络及信息系统中所有设备、操作系统和应用系统的口令,包括机房门禁密码、网络安全设备密码、BIOS密码、服务器访问密码、信息系统管理密码、数据库访问密码、终端安全密码等。
第三条 网络安全设备密码的管理:
(一) 登录口令长度不应少于八位;
(二) 应采用组成复杂、不易猜测的口令,一般应是大小写英文字母、数字和特殊字符中任意两者以上的组合;
(三) 应定期更换口令,更换周期不得长于90天;
(四) 账号口令必须是在必要时间或次数内不循环使用。
第四条 BIOS密码口令管理:
(一) 所有的客户端计算机的BIOS密码口令统一由各部门安全管理员管理;
(二) 未经审批,任何人不得更改或清除涉密计算机BIOS密码口令和信息系统用户终端系统密码;
(三) 同时在BIOS策略设置中设置禁止光盘、U盘启动。
第五条 终端安全密码管理:
(一) 操作系统口令长度不应少于八位;
(二) 应采用组成复杂、不易猜测的口令,一般应是大小写英文字母、数字和特殊字符中任意两者以上的组合;
(三) 应定期更换口令,更换周期不得长于90天;
(四) 账号口令必须是在必要时间或次数内不循环使用。
(五) 系统恢复时应设置屏幕保护密码,时间为十分钟;
(六) 密码连续输错五次后账号即被锁定。
第六条 对重要设备和系统可采用一次性口令方式进行认证。
第七条 信息系统间进行远程数据传输时,数据应采取加密措施保护后再进行传输。
第八条 员工应了解进行有效访问控制的责任,特别是密码使用和员工设备安全的责任。员工应保证密码安全,不得向其他任何人泄漏。对于泄漏密码造成的损失,由员工本人负责。
第九条 不要共享个人密码。应避免在纸上记录密码,或以明文方式记录于计算机内。不要在任何自动登录程序中使用密码,如在宏或功能键中存储。各级密码保管落实到人,密码所有人须妥善保存,各级密码不得以任何形式明文存放于可公共访问的设备中。
第十条 允许用户选择和变更他们自己的密码,并且包括确认程序,以便考虑到输入出错的情况。用户忘记密码时,管理员必须在对该用户进行适当的身份识别后才能向其提供临时密码。
第十一条 采取有效措施,保证用户密码在使用、传输和存储时的安全,例如当正在录入时,在屏幕上不显示密码;对密码进行加密传输和保存。
第十二条 当发生以下情况时,相关密码必须立即更改并做好记录:
(一) 掌握密码的网络管理人员离开岗位;
(二) 工程施工、厂商维护完成;
(三) 因工作需要,由相关厂家或第三方公司使用了登陆账号及密码;
(四) 一旦有迹象表明密码可能被泄露。
第十三条 当发生以下情况时,系统或账号管理人员应立即取消账号或更改密码,并做好记录:
(一) 账号使用者已经离开;
(二) 账号使用者由于工作的变动不再需要访问权限;
(三) 账号使用者违背了有关密码管理规定;
(四) 发生其他情况,由上级主管人员认为不应再具有访问权限的。
第十四条 系统管理员修改账号密码时,应提前(或同时)通知账号使用人,以免影响其正常使用。
第十五条 系统的超级管理员账号的密码属于系统最高机密,应该严格限定使用范围;其他人员确因工作需要而使用超级管理员账号和密码的,应严格控制。
第十六条 用户应对系统中的账户密码进行定期核实,对不符合要求的应及时进行整改。
第十七条 第三方人员使用系统账号权限时,同样需要遵守“最小权限原则”。
第一条 为规范和加强宁波市效实中学单位日常工作及业务运行的安全管理,保证系统变更的合法性、正确性和有效性,保证数据的安全,防止数据被盗用、篡改或毁坏,有效地防范各种案件,避免系统管理和操作失误,提高应急、应变能力和加快运行故障处理时间,保障宁波市效实中学单位信息系统安全稳定运行,特制订本规定。
第二条 本规定根据《信息安全技术
网络安全等级保护基本要求》等有关法律、标准、政策、管理规范而制定。
第三条 本规定适用于宁波市效实中学单位。
第四条 变更是指对于被管理的系统中某对象所进行的修改。变更管理是对变更从提出、审议、批准到实施、完成的整个过程的管理,其目标是确保使用规范的方法和过程实现快速、有效的变更过程,减少变更带来的突发事件,促进日常工作的正常进行。对于计算机、网络设备和软件、系统软件、应用软件、基本配置、相关文档的修改都应该有变更管理规范和记录。
第五条 信息系统发生重大变更导致系统安全保护等级变化时,业务部门和系统管理部门应重新确定信息系统的安全保护等级,按相应程序报备,并按新的等级要求调整保护措施。
第六条 影响系统安全状态的变更包括:
(一) 新的版本或修订;
(二) 作业系统执行状态的变化;
(三) 作业系统调度变更;
(四) 网络设备软件安装补丁、更新。
(五) 增/减软件或补丁;
(六) 软件修改或增强;
(七) 操作系统升级;
(八) 增加/移动/变更相关业务部门硬件配置,包括磁盘、磁带、CPU等;
(九) 硬件和网络设备。
第七条 宁波市效实中学部门是变更管理的职能部门,主要职责为:
(一) 审核变更申请的准确性;
(二) 确认变更申请的记录信息的完整性;
(三) 确保执行计划和变更失败倒回程序的质量;
(四) 对变更申请予以批复;
(五) 监督变更申请的执行情况;
(六) 确保相关业务部门根据变化情况修订有关文件和记录。
第八条 各信息系统维护人员职责:
(一) 监督变更期间生产系统/平台的正常服务情况;
(二) 在变更申请超出限制或影响服务时,警告变更执行者采取恢复/倒回措施;
(三) 确保倒回程序的实施足以恢复正常服务;
(四) 根据情况的变化修订有关的文件和记录;
(五) 监督变更期间的出错报告并在报告有意外服务影响时,通知变更执行者和相关业务部门。
第九条 变更执行人员职责:
(一) 执行已获批准的变更申请;
(二) 变更失败时执行倒回程序。
第十条 变更申请人职责:
(一) 确保变更可执行;
(二) 列出变更范围;
(三) 提出变更申请;
(四) 指出变更影响的区域和相关各方;
(五) 编制变更执行计划;
(六) 编制倒回程序;
(七) 确保必要时变更影响的用户都能得到通知。
第十一条 变更申请人填写《变更申请审批表》和变更方案,并提交主管领导进行评审,审批通过后,方可进行变更操作。变更申请审批应在计划变更实施日期之前预留必要的准备时间,变更方案包括不限于:
(一) 对相关业务部门/用户/系统/平台的影响;
(二) 变更前的准备工作;
(三) 变更执行步骤;
(四) 保证变更成功的测试方法。
第十二条 对于有计划的变更申请需要进行审批。变更前应预留一定的时间通知变更有关各方,通知时限取决于变更的严重程度。
第十三条 应急变更是为了改正正式环境下的某一个重要问题而必须立即实施的变更。应急变更也需要进行审批,但在紧急情况下可免去通知时间和正常的变更程序要求。
第十四条 一般变更需求由变更执行人根据变更方案执行,并记录变更实施过程。如果变更还涉及到其他信息部门,则提交部门负责人,由其去协调,经过其他部门审批后,由变更执行人执行。
第十五条 变更实施前,执行人应通知相关业务部门的系统管理员,以便变更进行时监控变更期内系统和服务的正常运行。
第十六条 如发现对服务有影响,维护人员应通知实施者,如果是因变更导致的影响,变更执行人应立即对问题进行调查,如问题严重,变更执行人应采取紧急恢复措施或倒回程序,和维护人员配合,务求恢复服务。
第十七条 运行操作日志中应记录变更事件以备后查。
第十八条 变更程序开发完成后由实施方或协同各业务部门制订测试文档(包含测试用例)进行测试,并填写测试结果及签字确认。如未通过规定的测试,变更程序不得被移植入正式环境。变更程序的测试必须在独立于正式环境的测试环境中进行。
第十九条 完成变更后,变更执行人应将变更情况向相关人员进行通告。
第二十条 应急变更属于特殊的变更申请,可以因问题紧迫取得特别批准,一般需要在变更申请批准后24小时内实施完成。申请人应随后创建一份变更申请,并补充相应的测试及审批文档。
第一条 为保障宁波市效实中学单位信息系统的数据安全,降低因信息系统发生故障对业务造成的影响,及时恢复系统的正常运行,制定本规定。
第二条 本规定依据《信息安全技术
网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护实施指南》等有关法律、标准、政策、管理规范,并结合实际情况制定。
第三条 信息系统负责部门,在负责系统正常运行和维护的同时,必须做好系统的备份和恢复工作。
第四条 本规定适用于宁波市效实中学单位。
第五条 根据信息系统的资产价值以及系统故障对业务的影响进行需求分析,确定系统需要备份的目标。
第六条 重要服务器上的数据必须进行定期备份,原则上每天增量备份,每周全备,备份数据至少保存半年。具体备份策略根据各应用系统的具体情况进行制定,备份策略中应指明备份数据的放置场所、文件命名规则、介质替换频率和将数据离站运输的方法。
第七条 关键业务数据在充分考虑系统的应用需求的基础上必须采取有效备份措施,防止因异常事故发生而导致备份数据与业务数据被同时破坏。
第八条 对于部署在云平台的数据应依据备份策略及时备份到本地。
第九条 应对非涉密信息系统的关键设备和电源进行备份。
(一)
非涉密信息系统的关键设备(如重要的服务器、核心交换机)必须有备份,必要时进行双机热备份。
(二)
为保证信息系统正常运行,网络交换机、路由器和服务器必须采用UPS不间断电源进行电源备份。
第十条 综合分析应用需要,设计合理、完善的备份和恢复策略,并以文档的形式记录保存。定期对备份和恢复策略进行测试,保证其有效性并记录相关测试信息。
第十一条 系统恢复预案。各个系统应制定详细的系统恢复预案,充分考虑系统恢复过程中非涉密信息的保密问题,每年至少进行一次系统恢复演练,并根据演练结果对预案进行评估和修订。平时应结合预案做好系统内用户的培训,并记录培训的相关内容。
第十二条 发生信息系统整体或部分功能被破坏或发生故障时,应具有在12小时内对系统基本功能进行恢复或重建的能力。
第一条 为规范和加强宁波市效实中学单位安全事件报告和处置管理,明确安全事件的现场处理、事件报告和后期恢复的管理职责,保障宁波市效实中学单位信息系统的安全稳定运行,制定本规定。
第二条 本规定根据《信息安全技术
网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护实施指南》、《GB/Z20986-2007 信息安全技术
信息安全事件分类分级指南》等有关法律、标准、政策和管理规范制订。
第三条 本规定适用于宁波市效实中学单位。
第四条 信息安全事件是指对计算机系统或网络系统的可用性、完整性、保密性造成危害的事件,或者是在计算机系统或网络系统中发生的对社会造成负面影响的其他事件。
第五条 信息安全事件的主体是指信息安全事件的制造者或造成信息安全事件的最终原因。
第六条 信息安全事件的客体是指受信息安全事件影响或发生信息安全事件的计算机系统或网络系统。依据计算机系统和网络系统的特点,信息安全事件的客体可分为信息系统、信息内容和网络基础设施三大类。
第七条 本规定主要包括安全事件定级与分类、安全事件处理流程、安全事件管理要求三部分内容。
第八条 安全事件分类:宁波市效实中学单位通信网络中的安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件及其他事件等。
(一) 有害程序事件:包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。
(二) 网络攻击事件:包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。
(三) 信息破坏事件:包括信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。
(四) 信息内容安全事件:包括通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。
(五) 设备设施故障:包括软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。
(六) 灾害性事件:包括由自然灾害等其他突发事件导致的网络与信息安全事件。
(七) 其他事件:包括不能归为以上6个基本分类的信息安全事件。
第九条 安全事件分级:根据信息系统中断的时间长短、影响范围,以及信息系统中的数据丢失或被窃取、篡改、假冒时对国家安全和社会稳定构成威胁的严重程度或者造成的经济损失来对安全事件进行等级划分。同时参照《GB/Z20986-2007 信息安全技术 信息安全事件分类分级指南》,将宁波市效实中学单位通信网络中的安全事件分为四级:特别重大(I级)、重大(II级)、较大(III级)、一般(IV级)。
(一) 特别重大安全事件 (I级)
是指能够导致特别严重影响或破坏的信息安全事件,包括以下情况:使特别重要的信息系统遭受特别严重的系统损失;产生特别重大社会影响。
(二) 重大安全事件 (II级)
是指能够导致严重影响或破坏的信息安全事件,包括以下情况:使特别重要的信息系统遭受严重的系统损失,或使重要的信息系统遭受特别严重的系统损失;产生重大的社会影响。
(三) 较大安全事件 (III级)
是指能够导致较严重影响或破坏的信息安全事件,包括以下情况:使特别重要的信息系统遭受较大的系统损失,或使重要的信息系统遭受严重的系统损失、一般信息系统遭受特别严重系统损失;产生较大的社会影响。
(四) 一般安全事件((IV级)
是指不满足以上条件的信息安全事件,包括以下情况:使特别重要的信息系统遭受较小的系统损失,或使重要的信息系统遭受较大的系统损失,一般信息系统遭受严重或严重以下级别的系统损失;产生一般的社会影响。
第十条 安全事件处理流程包括:安全事件发现、安全事件上报、安全事件处理三个环节进行。
第十一条 安全事件发现:用户发现对业务造成影响的异常情况,告知的安全事件;系统管理员通过信息安全监控工具发现安全告警得知的安全事件。
第十二条 安全事件上报及处理:信息安全事件发生后,事发单位(系统维护单位)应立即启动相关安全事件报告和处理程序,实施处置并及时报送信息。
(一) 事发单位需第一时间向宁波市效实中学部门及主管领导报告安全事件情况。
(二) 事发单位采取各种技术措施,及时控制事态发展,最大限度地防止事件蔓延。
(三) 快速判断事件性质和危害程度。尽快分析事件发生原因,根据网络与信息系统运行和承载业务情况,初步判断事件的影响、危害和可能波及的范围,提出应对措施建议。
(四) 做好事件发生、发展、处置的记录(附件一)和证据留存。
第十三条 事件信息一般包括以下要素:事件发生时间、发生事故网络信息系统名称及运营使用管理单位、地点、原因、信息来源、事件类型及性质、危害和损失程度、影响单位及业务、事件发展趋势、采取的处置措施等。
第十四条 II级响应:主管领导启动II级响应,统一指挥、协调、组织应急处置工作。
(一) 启动指挥体系。组织专家顾问组专家、人才库专家及专业技术人员研究对策,提出处置方案建议,为领导决策提供支撑。
(二) 掌握事件动态。事件影响单位及时将事态发展变化情况和处置进展情况及时上报,组织全面了解机关网络与信息系统运行情况,及时汇总有关情况并上报。
(三) 处置实施。控制事态防止蔓延。现场处理组全力组织事发单位及应急队伍,采取各种技术措施、管理手段,最大限度地阻止和控制事态发展。
(四) 做好处置消除隐患。现场指挥人员组织专家、应急技术力量、事发单位尽快分析事件发生原因、特点、发展趋势,快速制定具体的解决方案,组织实施处置,对业务连续性要求高的受破坏网络与信息系统要及时组织恢复。
第十五条 III级响应:事件发生单位主管部门启动III级响应,按照相关预案进行事件处置,宁波市效实中学部门根据需要指导、检查、协助应急处置工作。
(一) 启动指挥体系。系统主管部门、宁波市效实中学部门组织相关专家指导现场处置。
(二) 掌握事件动态。现场处理人员及时了解事发单位主管范围内的信息系统是否受到事件的波及或影响,并将有关情况及时报主管领导。
(三) 处置实施。控制事态防止蔓延。现场处理人员及时采取技术措施阻止事件蔓延;发布预警信息,督促、指导相关运行单位有针对性地加强防范。
(四) 尽快分析事件发生原因,并根据原因有针对性地采取措施,恢复受破坏信息系统,使其正常运行。
第十六条 IV级响应:事件发生单位启动IV级响应,按照相关预案进行事件处置。
(一) 启动指挥体系。事件发生单位负责人及时赶赴现场,组织协调、指挥所属技术力量进行事件处置工作,必要时请求主管部门、宁波市效实中学部门支援处置。
(二)
掌握事件动态。事发单位负责将事件信息、处置进展情况及时向主管领导报告。
(三)
处置实施。根据需要,主管领导有关人员及时赶赴现场,指导、检查事发单位开展事件处置工作,协调相关专家、技术队伍参加事件处置。
(四)
尽快分析事件发生原因,并根据原因有针对性地采取措施,恢复受破坏信息系统,使其正常运行。
第十七条 网络与信息系统重大信息安全事件的报告和处置管理工作坚持“统一领导、归口负责”的原则。
第十八条 发生信息安全事件的单位首先以口头方式立即向系统主管部门报告。同时应当立即对发生的事件进行调查核实、保存相关证据,并在事件被发现或应当被发现时起5小时内将有关材料报至系统主管部门。
第十九条 对于重大的信息安全事件,系统主管部门接到报告后,应当立即上报主管领导,并负责组织协调相关成员单位对事件进行调查和处理。
第二十条 发生重大信息安全事件的单位应当在事件处理完毕后5个工作日内将处理结果报系统主管部门备案。
第二十一条 发生重大信息安全事件的单位应当按照规定及时如实地报告事件的有关信息,不得瞒报、缓报或者授意他人瞒报、缓报。
第二十二条 任何单位或个人发现有瞒报、缓报、谎报重大信息安全事件情况时,有权直接向主管领导举报。
第二十三条 发生重大信息安全事件,有关责任单位、责任人有瞒报、缓报和漏报等失职情况,将予以通报批评;对造成严重不良后果的,将视情节由有关主管部门追究责任领导和责任人的行政责任;构成犯罪的,由有关部门依法追究其法律责任。
第二十四条 恢复重建工作按照“谁主管谁负责,谁运行谁负责”的原则,由事发单位负责组织制定恢复、整改或重建方案,报相关主管部门审核实施。
第一条 为规范宁波市效实中学单位通信网络信息安全事件应急响应管理制度,明晰信息安全事件处理的分工和安全职责,保证信息安全事件能够得到及时有效的应急响应处理,特制订本规定。
第二条 本规定根据《信息安全技术
网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护实施指南》等有关法律、标准、政策、管理规范制定。
第三条 本规定适用于宁波市效实中学单位。
第四条 成立信息安全应急指挥小组,主要职责是:
(一) 承担信息安全值守应急工作;
(二) 收集、分析工作信息,及时上报重要信息;
(三) 负责宁波市效实中学单位通信网络与信息安全的监测预警和风险评估控制、隐患排查整改工作;
(四) 组织制订、修订网络与信息安全突发事件相关的应急预案;
(五) 负责组织协调网络与信息安全突发事件应急演练;
(六) 负责对宁波市效实中学单位通信网络与信息安全突发事件的宣传教育与培训。
第五条 借助外部力量成立网络与信息安全专家顾问组,专家顾问组的职责:
(一) 在网络与信息安全突发事件预防与应急处置时,提供咨询与建议,必要时参与值班;
(二) 在制定网络与信息安全应急有关规定、预案、制度和项目建设的过程中提供参考意见;
(三) 及时反映网络与信息安全应急工作中存在的问题与不足,并提出改进建议;
(四) 对宁波市效实中学单位通信网络与信息安全突发事件发生和发展趋势、处置措施、恢复方案等进行研究、评估,并提出相关建议;
(五) 参与网络与信息安全突发事件应急培训及相关教材编审等工作。
第六条 各应用系统应在安全事件应急预案框架的基础上结合各自系统的特点制定针对性的应急预案。
第七条 各部门配合信息安全应急指挥小组开展应急响应工作。
第八条 信息安全突发事件发生时,发现人需上报宁波市效实中学部门,宁波市效实中学部门对信息安全突发事件进行评估,明确其安全事件的类型,并向主管领导汇报,若事件涉及信息内容安全方面,需告知相关业务部门,通力配合。
第九条 宁波市效实中学部门根据需要制定并发布信息安全事件应急预案,以指导安全事件的处理机制和流程。
第十条 安全事件应急预案框架的内容:
(一) 启动应急预案的条件。描述启动每个计划前应遵循的过程;
(二) 应急处理流程。描述危及业务操作的事故发生之后所要采取行动的应急程序;
(三) 描述如何将基本业务活动或支持服务移到替代的临时地方,并在要求的时段内使业务过程回到运行状态的动作的回退程序;
(四) 恢复和复原未完成时应遵循的临时操作程序;
(五) 描述恢复正常业务操作的动作的恢复程序;
(六) 规定如何及何时要检验该计划的维护时间表,以及维护该计划的过程;
(七) 教育和培训活动,用来创建理解业务连续性过程,确保过程持续有效;
(八) 各个人的职责,描述谁负责执行计划的哪个部分。若需要,应指定可替换的人;
(九) 实行紧急的、回退和恢复程序所需的关键资产和资源。
第十一条
系统故障应急预案:
(一) 当发生系统故障事件时,发现人应及时通知信息安全应急指挥小组,同时根据情况及时上报宁波市效实中学部门及主管领导;
(二) 信息安全应急指挥小组领导组织安全管理员、系统管理员及网络管理员等相关单位和人员及时分析事件发生源头,切断事件源头,控制事件范围,必要时停止系统运行;
(三) 安全管理员应及时查看安全审计日志,对异常事件发生源头、发生原因、影响范围做出判断,并提出补救措施;
(四) 系统管理员立即停止发生问题的应用系统,对异常事件内容和范围予以确认;
(五) 针对事件原因查找系统漏洞,提出系统安全策略调整方案,并上报审批;
(六) 审批通过后根据系统安全策略调整方案,对安全设备、应用系统等的安全控制策略做出相应调整,确认无误后恢复系统运行。
第十二条
网络攻击应急预案:
(一) 网络管理员根据安全设备的报警和审计日志,确定攻击目标和攻击来源;
(二) 通知系统管理员对攻击目标采取关闭或隔离措施,详细检查被攻击系统是否留有恶意代码,更改密码增强安全防范策略,必要时对系统和数据进行紧急备份;
(三) 网络管理员对攻击来源进行隔离,分析原因,停止攻击行为,调整安全防范策略;
(四) 网络管理员、系统管理员和安全管理员在对系统进行安全评估后,恢复系统上线运行;
(五) 安全管理员对于恶意攻击需及时上报有关主管部门。
第十三条
病毒爆发应急预案:
(一) 安全管理员根据安全设备和网络杀毒软件的报警和日志,分析攻击来源,对攻击来源和攻击区域及时采取隔离措施;
(二) 对重要的网络服务器和业务应用系统紧急备份,防止因病毒造成数据丢失,必要时可暂停系统运行;
(三) 及时通知防病毒厂商,上报病毒爆发情况并寻求技术支持;
(四) 获得处理建议后及时通过邮件、电话等渠道公布并通知各部门网络安全员处理措施,控制病毒进一步传播、升级病毒库、清除病毒;
(五) 分析病毒产生原因,传播途径,采取补救措施,纠正违规行为;
(六) 安全管理员、系统管理员和网络管理员在对系统进行安全评估,确认病毒已得到控制或清除后,恢复系统上线运行;
(七) 安全管理员对于恶意制造或传播病毒的情况需结合实际情况上报有关部门。
第十四条
机房突发事件应急预案:
(一) 火警。值班人员要随时提高警惕,如发现机房内有异常气味,应仔细、认真地巡视机房各处,直到查清原因,确定无危险情况为止。如发现机房内有烟雾,甚至火焰。首先切断电源(每个值班人员均应清楚电源开关位置并确保其畅通无阻)。对烟雾产生处,应检查原因,尽力扑灭,尤其应注意活动地板下的情况。对火情,一方面要尽快报警,同时要采取一切措施控制并扑灭火焰。
(二) 水警。机房内如有水管破裂等严重水情时,要切断电源,然后设法排水,保护机房内各种设备的安全。对无法控制的严重水情,要立即报警。机房顶部漏水时,应设法用容器及塑料布保护机房各种设备不被淋湿。情况严重时应切断电源,并通知维修部门采取必要的措施。
(三) 停电。网络系统因停电而启动暂停和恢复程序统一由系统管理员负责,如遇紧急情况需要由其他人启动,应得到系统管理员或信息安全应急指挥小组授权;接到停电通知后,系统管理员应提前一天通过有效方式发布通知公告,通知内容应包括网络暂停原因、暂停时间及恢复时间等事项;如遇重大故障或系统受到攻击,需停机进行维护时,系统管理员应及时通知业务主管部门。为保证系统暂停程序有足够的时间,系统暂停应在停电前一小时开始操作;系统恢复应在确认来电后半小时内启动;发现意外停电应及时通知安全保密管理员和系统管理员,并通知宁波市效实中学单位领导。询问物业部门,确定停电原因和初步恢复时间,如无法及时恢复系统,系统管理员应及时正常地关闭重要的网络设备、服务器、UPS 和主电源。通知部门领导和重要部门,报告采取的措施及恢复供电和系统运行时间。确认供电恢复后,启动网络设备和服务器恢复系统运行。
第十五条
网络设备及应用服务器异常事件的应急预案:
(一) 信息安全应急指挥小组组织安全管理员、系统管理员、网络管理员对网络设备及应用服务器异常事件进行原因分析;
(二) 及时发布信息对事件原因、处理措施及恢复时间进行通知公告;
(三) 如属于硬件故障及时启用备用设备,并将故障设备报修;
(四) 如属于软件故障需根据故障程度进行紧急调试或启用最近一次备份进行数据恢复。
第十六条
为确保应急预案有效运行,信息安全应急指挥小组定期或不定期地举办不同层次、不同类型的培训班或研讨会,以便不同岗位的应急人员都能全面熟悉并掌握信息安全应急处理的知识和技能。
第十七条 应定期对应急计划中各种安全事件的应急恢复方案进行演练和测试,确保应急恢复方案的可行性和可靠性,锻炼应急恢复人员的应急响应速度和熟练程度,每次应急恢复演练和测试均应当作详细的记录。各科室负责组织编制应急预案演练指南,提出规范各类突发事件应急预案演练的组织与实施的方法,指导相关应急预案演练活动。应急预案应每年至少演练一次,信息安全领导小组开展演练评估工作,总结分析应急预案存在的问题。
白杨校区:宁波市白杨街178 东部校区:宁波市百丈东路1907号
教辅专项整治工作监督电话:0574-83062018
Copyright© 2001-2026 宁波效实中学 版权所有
浙公网安备 33020302000081号 浙ICP备10205169号
微信扫码进入校友会
全屏
二维码链接