第一章总则
第一条 数据是学校重要的信息资源。数据的丢失、泄露将给学校带来不同程度的影响或损失。为保障学校信息系统的数据安全,根据国家有关法规,结合学校实际,制定本办法。
第二条 学校信息系统数据安全管理的目的,是为了防止信息系统数据的丢失、泄露与被破坏以及非法生成、变更, 确保数据的完整性、可用性、保密性。
第三条 学校信息系统安全管理的核心是数据安全管理。学校的信息系统必须从数据的采集、传输、处理、存储、发布、提供等各环节进行严格控制和管理,确保数据的安全。
第二章数据安全管理的范围
第四条 学校信息系统数据安全管理的数据包括:所有利用计算机和计算机网络进行输入、存储、传输、处理、再加工和输出的数据。包括:文字材料、数据报表、各类原始凭证、图形图像等输入处理对象,计算机内部存储和网络传输的各类数据,计算机输出的磁存储、光存储及各类纸介质打印数据。其数据安全管理的范围包括数据输入、数据存储、数据传输、数据检查以及数据库管理。
第五条 本规定适用于学校内部,如有通过其他方式接入到学校网络系统的单机和局域网系统请参照执行。
第三章信息系统数据管理
第六条 各类操作系统及数据库管理系统的系统管理员应由政治可靠、工作责任心强和业务技术水平高的人员担任,负责对系统的维护管理。该类系统管理员必须对系统进行严格的工作记录,系统工作异常或发生与数据安全有关事件,系统管理员应做好备案并上报相关责任领导。
第七条 系统管理员必须与应用系统管理员分离,严禁系统管理员操作业务数据。
第八条 为保障数据安全、防止非法用户进入系统,对系统的访问应采用个人识别码加口令的方式进行身份验证。操作系统管理员、数据库管理系统管理员及网络系统安全管理员必须采用识别码、口令加个人唯一识别特征进行身份验证。
第九条 系统应建立对资源访问的审计跟踪系统,审计记录:身份及验证机制的使用,用户对系统资源的访问,操作系统、数据库管理系统及网络系统安全管理员的行为,以及与数据安全相关的事件。审计记录的访问只能是被授权的只读访问,任何人不得修改。
第十条 系统应建立可信数据恢复系统,使系统出现异常情况或发生故障时,在不停止运行或短暂停止运行情况下可信地恢复到正常状态,保障系统的数据不丢失、不被破坏。
第四章数据输入安全管理
第十一条 数据输入应确保及时、真实、准确。
第十二条 数据输入人员应自觉遵守国家及学校相关法律、法规和制度,不得在非涉密计算机上输入涉密信息数据, 不得在其他单位、企业或私人的计算机上输入工作数据。
第十三条 所有重要数据(特别是涉密数据)的输入必须做好书面记录,如实记载输入的时间、数量(大小)、数据类型、输入人姓名等有关情况。
第十四条 数据输入设备必须安放在安全、可靠的地点,未经许可,不得在数据输入设备上擅自下载、安装、使用与工作无关的程序、软件,不得在非涉密计算机上安装、运行涉密程序、软件,不得使用非涉密计算机联接、访问涉密信息网络。
第五章数据存储安全管理
第十五条 所有数据必须按照业务类型、所属部门、保密等级、保密类型分开进行存储。
第十六条 所有数据的存储须存储在指定的存储介质或存储设备中,不得在非涉密存储介质中存放涉密数据;不得在非涉密网络中使用涉密存储介质;不得在其他单位或私人的存储介质中存放工作数据。
第十七条 所有重要数据(特别是涉密数据)的存储必须做好书面记录,如实记载存储的时间、数据(大小)、数据类型、介质类型、输入人姓名等有关情况。
第十八条 所有数据存储设备必须安放在安全、可靠的地点,未经许可,不得在存储介质或存储设备上擅自存储与工作无关的程序、文件、图片,不得擅自删除存储介质或存储设备中的任何数据。
第十九条 所有已存数据的删除、复制、转移、更改等操作必须经过信息与网络中心的同意方可进行。
第六章数据传输安全管理
第二十条 所有重要数据(包括涉密数据)的传输必须由指定人员负责进行数据传输操作,一般工作数据传输时必须经过压缩加密或利用文件安全传输系统进行数据传输。
第二十一条 信息与网络中心应对各部门的业务系统管理人员明确管理责任,每日对系统网络运行情况进行检查,如实记录网络运行日志,发现网络运行故障及时予以排除,确保整个网络通畅运行。网络运行日志应包括运行日期、各个端口运行状况、服务器工作状况、通信设备工作状况、故障处理排除情况、责任人员签名等内容。
第二十二条 网络维护人员应对将要发送的信息和数据进行最后检查,对有缺、错、漏项的应要求数据输入部门和人员进行补正,对违反网络安全有关规定或存在安全隐患的应拒绝发送。信息数据发送完成后,应及时通知接收方查收。
第二十三条 接收方网络维护人员应及时对接收数据进行检查,发现数据溢出、数据断点、接收失败应及时排除问题并通知发送方重新发送,确保数据库的完整。
第二十四条 不经过网络维护人员处理的直报信息、数据,由发送部门和接收部门按照上述要求进行处理,网络维护人员应给予技术帮助。
第二十五条 在启动应急预案时,网络维护人员应按照应急预案要求,确保网络畅通并及时发送、接收信息数据。
第二十六条 数据传输设备(包括加密设备和网络设备)必须按要求安放在安全、可靠的地点(如中心机房、配线间等),涉密数据不得通过非涉密数据传输网络进行传输; 所有重要数据(包括涉密数据)不得以明码形式而必须采用 加密的方式进行数据传输。
第七章数据检查安全管理
第二十七条 学校信息与网络中心及各业务部门应定期或不定期组织数据质量检查工作。
第二十八条 数据检查项目,应根据上级主管部门的要求和实际情况,针对存在的问题具体拟订。
第二十九条 对于在数据检查中发现的数据质量问题,应在三个工作日内及时通报信息与网络中心和对接部门进行补正和重传,信息与网络中心接到通报后,应在七个工作日内完成补正和重传工作,确因工作量大等原因,不能在七个工作日内完成的,应及时报告学校主管部门,并组织力量在最短时间内完成补正和上传工作。
第三十条 对于在检查中发现的擅自改变数据指标体系,擅自违反或扩大数据指标逻辑内涵进行处理的数据,应比照前款规定及时予以纠正和补传。
第三十一条 学校各部门对于数据质量检查和补正上传工作应当积极配合,不得设置人为障碍或无故拖延。
第八章数据库安全管理
第三十二条 学校信息与网络中心及各部门应指定专人负责对数据库的管理,数据库管理人员应明确管理职责,定时对数据库进行检查,检查情况应记入运行日志。
第三十三条 数据库管理人员应视工作量情况,以不影响工作为原则,每1〜5天进行一次数据备份。不得因数据备份不及时、不完整造成工作损失。
第三十四条 数据库管理人员发现数据库安全隐患或病毒威胁时,应采取措施加以预防或制止,必要时可以切断用户接入并向有关领导报告,安全隐患或病毒威胁消除后,应及时将切断用户接入。
第三十五条 计算机使用人员应自觉接受数据库管理人员的监督,不得在非涉密计算机上录入、传输、查询、保存涉密信息数据,不得在非涉密计算机上安装、运行涉密程序、软件,不得使用非涉密计算机联接、访问涉密信息网络。未经许可,不得擅自下载、安装、使用与工作无关的程序、软件。
第三十六条 数据库批量录入、查询必须做好书面记录,如实记载录入查询的时间、数量、录入查询人姓名等有关情况。
第三十七条 数据库中的过期、冗余数据每半年进行一次清理,清理中发现需要删除的数据,应书面报学校主管部门和信息与网络中心,经核对批准后方能进行。未经正式批准,不得擅自删除数据。
第九章数据备份管理
第三十八条 数据备份工作主要是指系统数据备份,数据备份工作是确保学校系统安全可靠运行,防范故障的必要措施。
第三十九条 数据备份对象包括所有应用系统、网络设备、安全设备及终端设备上的系统数据、业务数据和日志数据。
第四十条 数据备份必须保存在离线的存储介质,如光盘、移动硬盘等,原则上禁止保存在原数据所在的硬盘上。
第四十一条 数据备份工作必须严格按照流程执行,系统数据备份尽量在现场执行,并应实行一人操作、一人检查制,避免操作失误。
第四十二条 数据备份过程中如发生问题,操作人员无法解决,应该保护现场,并立即向上级汇报。
第四十三条 数据备份工作完成后,应在存储体上贴好标签,放置在规定的位置,并填写相关记录。
第四十四条 数据备份存储体必须保存在设备现场,由专人管理,保持整齐干净,不得随意取放。
第四十五条 备份工作完成后,应采取措施对备份数据进行验证,确保备份数据准确、有效。
第四十六条 业务数据备份后,应立即检查存储体上的文件是否齐全,文件大小是否和设备上的文件一致,检查结果做好记录。
第四十七条 系统数据备份后,在有条件的情况下,应在试验机或厂商试验机上进行验证。
第四十八条 以上工作应认真填写记录,要求字迹清晰、内容完整,信息与网络中心负责人应定期检查。
第十章附则
第四十九条 本办法自颁布之日起施行。在实施过程中,如与上级新规定存在不一致之处,以上级的新规定为准; 如与本校其他规定存在不一致之处,则以本细则为准。
第五十条 本办法由信息与网络中心负责解释。
广州理工学院 信息与网络中心 办公地址:11栋信息楼208室