第十章安全审计管理-科技处-上海海关学院.doc

上海海关信息系统安全管理目录第一章总则第章组织机构和职责第章机房的安全管理第章主机、服务器及操作系统安全管理第章网络安全管理第章第章 第章应用软件及数据的安全管理 第章应用管理第十章 安全突发事件应急管理第十章 第十章 附则第一章 总 则 第一条 根据为规范海关信息系统安全管理工作，保障海关信息系统安全及正常运行信息系统建设情况及应用特点，制定本。本所称信息系统，是指由计算机及其相关和配套设备、设施（含网络）构成的，按照一定的应用目的和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。本规定包括：计算机海关网的管理暂不列入本实施细则。海关信息系统安全管理工作坚持积极防御、综合，重点保障基础网络和重要信息系统安全全面提高信息安全防护能力按照国家有关实行等级保护。 信息系统安全谁主管谁负责，谁使用谁负责逐级建立安全责任制 组织机构及职责 第六条 学院科技应用领导小组是海关信息系统安全管理工作的领导机构，负责审定学院信息系统安全发展规划和管理制度；审批学院重大信息安全项目的建设和实施方案；协调解决涉及学院信息系统安全的重大问题。 第七条 科技处是学院信息系统安全工作的主管部门，负责基础设施建设和技术管理工作。主要包括： （一）组织制定和实施海关信息系统安全策略和管理制度； （二）组织制定和实施学院信息系统安全技术方案； （三）组织实施信息系统安全运行监控与审计； （四）协调解决信息系统安全突发事件； （五）进行信息系统安全的教育培训、制度检查及责任追究。制定安全教育和培训计划，对信息安全基础知识、岗位操作规程等进行培训 第八条 办公室协助科技处协调各部门做好信息系统安全工作的应用管理，协助技术处进行信息系统安全检查及责任追究和奖励，协助做好信息系统安全教育培训工作。 第九条 各应用项目的职能部门是业务应用项目的应用管理部门，负责制定和实施应用项目安全运行管理制度，包括应用项目的操作使用、授权管理、数据管理和业务应急管理等。 第十条 各应用单位的办公室或综合科是本单位客户端管理及计算机信息安全的主管部门，协助技术处完成本单位的信息安全工作，其主要职责如下： （一）协助科技处实施学院信息系统安全策略和管理制度； （二）协助科技处处理信息系统安全突发事件； （三）配合信息系统安全检查工作，并根据检查组反馈的意见协助本单位进行整改； （四）负责制定客户端的管理规范，明确客户端管理和使用的人员及安全责任。 （五）定期对本单位服务器和管理网微机进行例行安全检查，协助业务管理网微机责任人完成安全设置和安全软件的安装； ?（六）协助技术部门解决微机、打印机等计算机设备使用过程中出现的一般性故障； （七）协助技术部门严格控制盗版软件、来历不明软件、具有黑客性质软件在海关网络中的安装、使用和传播。 （八）定期组织对本部门相关人员进行安全意识教育、岗位技能培训和相关安全技术培训。 第三章 机房安全管理第十条 计算机主机房指安装运行主机、服务器及网络核心设备的机房，以下简称主机房。第十条主机房应按照国家机房建设的标准，满足防火、防尘、防水、防电磁干扰、防静电、防雷、防鼠患、接地以及温湿度等要求。第十条 设立24小时值班岗位，明确值班岗位工作职责对机房可能出现的火灾、水灾等威胁建立应急处理方案。第十条 主机房应具有能自动报警及记录功能的安全监控系统，对整个机房实时监控。第十条 主机房应配备双路供电系统，电源线及网络电缆应铺设于专用的通道内。不间断电源UPS）提供的双路供电。主机、服务器存储系统及操作系统安全管理第十条 主机、服务器及存储系统建立备份。系统中所有安装的软件详细记录备案定期备份系统、程序和数据。第条主机、服务器及存储系统的硬件配置不得随意变更如需变更经批运行与开发要分离，。第十条 操作系统授权应严格管理，严禁私自开设账号。特权账号应审批备案专人专用，所有操作应有日志记录。第二十条第二十条 账号的密码应由位以上的数字、字母组成，密码。账号和密码只限于本人使用不得共用、借用、转让，设有效期修改密码。第二十条 对跨主机、服务器节点的数据访问所使用的账号严格控制含有明文信息的须严格保密。第二十条 操作系统中网络配置应按照制定的网络安全方案设置，严格定义路由、网关、地址和配置各种服务，关闭不需要的服务。第条 主机、服务器启动与关闭应做到专人管理，严格按照操作程序执行，不得随意关闭和启动。第条 系统管理员须对系统的运行进行监控和分析，发现异常情况立即处理报告记录系统管理员网络安全管理第三十条业务管理网业务管理网第条 交换机、路由器等网络设备网路拓扑图、信息。第条 第条 第条向技术提出申请，办理安装、开通手续第条的使用单位、使用地点、操作人员、保管者、IP/MAC地址及使用的域名等