西安工业大学信息系统安全管理制度
一、系统管理人员工作职责
1、负责系统安全和数据安全。
2、负责系统管理员账号、密码的管理维护。
3、负责数据备份和恢复。
4、负责建立和更新信息系统台账,整理和归档运维管理资料。
5、负责信息系统的安全监测和日常管理,及时排除各类运行故障,保障系统正常运行。
6、定期检查信息系统运行安全情况并进行记录,及时发现和消除操作系统、业务系统存在的安全隐患,及时采取措施修复安全漏洞。
二、安全保护技术措施
1、防范计算机病毒、木马、恶意代码等有害程序。
2、防范后门攻击、漏洞攻击等网络攻击行为。
3、防范信息篡改、信息泄露等信息破坏行为。
4、留存至少90天的系统安全日志,并定期查看。
5、按照最小权限原则,仅启用必要的网络服务(端口)。
6、法律、法规规定应当落实的其他安全保护技术措施。
三、信息安全管理
1、严格执行网站信息先审核、后发布制度,防止发生敏感、隐私、非授权、非公开等信息泄露事件及涉密信息泄露事件。
2、对所发布信息的帐号、内容、登录IP和发布时间等进行记录,并留存归档。
3、不得制作、查阅、复制和传播法律、行政法规禁止的信息。
4、发现有害信息,应当在保留有关原始记录后及时予以删除,并及时报告学校网络安全与信息化工作领导小组办公室。禁止使用互联网免费邮箱(如免费的163、QQ邮箱等)传输、存储工作信息(如合同、文件、稿件等)。
5、发生网络信息安全事件应立即报告学校信息技术中心,涉嫌违法犯罪或泄露国家秘密的,同时还应报告学校保卫处或保密办。
四、数据安全管理
1、结合业务的重要性制定备份计划,定期对重要数据进行异地备份。
2、每年至少开展一次数据恢复演练,验证备份数据的可恢复性,提升数据恢复能力。
五、账号安全管理
1、配置账号登录安全策略,防范账号和密码被猜解或暴力破解。
2、系统管理员和用户账号应强制设置复杂密码并定期进行更改,复杂密码应包括数字、大写字符、小写字符和特殊字符至少三种组合且长度不低于8位。
3、定期清理超过三个月未使用的账号以及其他不必要的账号,防范账号被非法使用。
4、严格控制系统管理员账号的数量和权限,防范系统管理员权限被非法使用。
5、留存至少90天的系统管理员账号操作日志以及用户账号访问日志,并定期进行审计,及时发现和处置异常账号或账号异常操作行为。
校内规章制度