系統(tǒng)平安管理制度文檔信息單位名稱煙臺市教育裝備與技術研究中心文檔名稱系統(tǒng)平安管理制度文檔編號YTEDU-CS-4.14受控狀態(tài)受控文件擴散范圍內部使用制作人尹磊審核人姜靜批準人冷作福頁數(shù)共7頁發(fā)布日期生效日期2018.10.10版本歷史系統(tǒng)平安管理制度版本日期說明修訂人1.02018.10.10創(chuàng)立文件尹磊2.02019.07.17修訂尹磊第一章總那么第一條為加強煙臺市教育城域網(wǎng)系統(tǒng)管理工作，保障系統(tǒng)的規(guī)范化建設和平安穩(wěn)定運行,制定本制度。第二條本制度所稱信息系統(tǒng)是指計算機業(yè)務系統(tǒng)及其支持系統(tǒng)。第三條信息平安管理工作的指導方針是預防為主、平安第一、依法辦事、綜合治理。預防為主是信息平安管理工作的基本方針。第四條本文件適用各類系統(tǒng)運行管理。第二章系統(tǒng)規(guī)劃與立項的平安管理第五條計算機信息系統(tǒng)的規(guī)劃和建設應同步做好系統(tǒng)平安保護工作，以確保系統(tǒng)平安目標的實現(xiàn)。第六條計算機信息系統(tǒng)應采取與業(yè)務平安等級要求相應的平安機制，在平安防護方面應符合以下基本平安要求：（一）采取必要的技術手段，建立嚴密的平安管理控制機制，保證數(shù)據(jù)信息在處理、存儲和傳輸過程中的完整性和平安性，防止數(shù)據(jù)信息被非法使用、修改和復制；（二）提供完整的數(shù)據(jù)備份和恢復功能，能方便的根據(jù)系統(tǒng)和數(shù)據(jù)的備份介質進行災難恢復；（三）具有嚴格的用戶和密碼管理，能對不同級別的用戶進行有限授權，特別應嚴格限制和分流特權用戶的權限，防止非法用戶的侵入和破壞；（四）重要計算機信息系統(tǒng)應設置審計監(jiān)控程序，具有身份識別和實體認證功能。能夠自動記錄操作人員的重要操作，具有防止抵賴機制；（五）涉密信息系統(tǒng)的平安設計應符合涉密信息保密管理的有關規(guī)定。第七條重要計算機信息系統(tǒng)立項的平安管理實行審批制度。對工程管理部門初審合格的工程申報材料，煙臺市教育裝備與技術研究中心應進行平安性專項審查，提出審查意見后由工程管理部門最后審批。第八條工程申報材料在符合電子化工程管理規(guī)定有關要求的同時，還應包括以下與信息系統(tǒng)平安有關的內容：（一）業(yè)務主管部門對保證業(yè)務正常開展的平安需求;（二）系統(tǒng)的平安性指標；（三）系統(tǒng)運行平臺的平安性要求；（四）系統(tǒng)采取的平安策略、平安保護措施及其平安功能設計；（五）涉密信息系統(tǒng)的申報還應取得保密主管部門的同意。第九條對沒有通過煙臺市教育裝備與技術研究中心審查的工程，工程管理部門不得予以立項。第三章系統(tǒng)開發(fā)的平安管理第十條計算機信息系統(tǒng)的開發(fā)必須符合軟件工程規(guī)范，并在軟件開發(fā)的各階段按照平安管理目標進行管理和實施。第十一條計算機信息系統(tǒng)的開發(fā)人員或參加開發(fā)的協(xié)作單位應經(jīng)過嚴格資格審查，并簽訂保密協(xié)議書，承諾其負有的平安保密責任和義務。第十二條計算機信息系統(tǒng)的開發(fā)環(huán)境和現(xiàn)場應當與生產(chǎn)環(huán)境和現(xiàn)場隔離，測試數(shù)據(jù)不得直接使用生產(chǎn)環(huán)境數(shù)據(jù)。第十三條計算機信息系統(tǒng)開發(fā)完成后，開發(fā)人員或參加開發(fā)的外部單位應及時移交程序源代碼及其相關技術文檔。第十四條計算機信息系統(tǒng)采用的關鍵平安技術措施和核心平安功能設計不得進行公開學術交流或發(fā)表。第十五條計算機信息系統(tǒng)軟件開發(fā)完成后，須提交業(yè)務部門進行整體功能性測試；第十六條計算機信息系統(tǒng)軟件開發(fā)實行平安審計制度，由煙臺市教育裝備與技術研究中心牽頭組織平安審計。第十七條對計算機信息系統(tǒng)實行外包開發(fā)的，除了明確知識產(chǎn)權、保密、服務等責任外，還應對軟件程序進行必要的代碼檢查和平安審計。第四章系統(tǒng)平安的評估與審批第十八條計算機信息系統(tǒng)投入運行前，應向煙臺市教育裝備與技術研究中心提出平安評估和審批申請，并報送以下材料：（-）系統(tǒng)的用途、總體結構及軟硬件配置等基本情況；（二）關于系統(tǒng)平安需求、平安策略、平安性指標、平安保護措施以及平安功能設計等情況的說明；（三）系統(tǒng)平安性測試提綱和測試報告。第十九條煙臺市教育裝備與技術研究中心應當對計算機信息系統(tǒng)主管部門報送的書面材料進行平安性測試、認證。第二十條對信息系統(tǒng)的平安評估應當包括以下內容：（一）系統(tǒng)的平安策略；（二）系統(tǒng)的平安措施；（三）系統(tǒng)平安功能的實現(xiàn)程度；（四）系統(tǒng)運行的穩(wěn)定性、可靠性；（五）系統(tǒng)運行平臺的平安可靠性。第二十一條煙臺市教育裝備與技術研究中心應對測試、認證的信息系統(tǒng)提出平安評估報告。第二十二條對符合平安運行要求的信息系統(tǒng)，方可投入運行。對不能保證平安運行的，經(jīng)修改完善后另行申報評估。第二十三條對尚未經(jīng)過平安審批但已經(jīng)投入使用的計算機信息系統(tǒng)，煙臺市教育裝備與技術研究中心應要求其使用部門報送系統(tǒng)平安建設情況書面材料，并按照上述程序進行安全評估和審批。第五章系統(tǒng)使用與廢止的平安管理第二十四條計算機信息系統(tǒng)投入使用時業(yè)務部門應當建立相應的操作規(guī)程和平安管理制度，以防止各類平安事故的發(fā)生。第二十五條計算機信息系統(tǒng)使用人員應嚴格按照操作規(guī)程和有關平安管理制度進行操作，保證系統(tǒng)平安運行。第二十六條對計算機信息系統(tǒng)在運行過程中出現(xiàn)的異常現(xiàn)象，以及有關平安制度在執(zhí)行過程中出現(xiàn)的問題，操作人員有責任向部門領導報告。第二十七條計算機信息系統(tǒng)的使用部門應當加強對計算機系統(tǒng)運行環(huán)境的管理，加強對計算機病毒的防治，保證系統(tǒng)平安運行。第二十八條計算機信息系統(tǒng)的使用部門應當嚴格用戶和密碼（口令）的管理，嚴格控制各級用戶對數(shù)據(jù)的訪問權限。第二十九條計算機信息系統(tǒng)應定期進行數(shù)據(jù)備份，對備份介質應按有關規(guī)定指定專人妥善保管，重要業(yè)務系統(tǒng)的備份介質必須異地保存。第三十條重要計算機信息系統(tǒng)應當制定信息平安保護的應急計劃，保證業(yè)務的不間斷運行。第三十一條重要計算機信息系統(tǒng)應嚴格執(zhí)行保密管理的有關規(guī)定，確保國家秘密的安全。第三十二條對計算機信息系統(tǒng)使用部門及有關操作人員報告的平安問題，煙臺市教育裝備與技術研究中心應當認真受理并及時反應處理意見。第三十三條計算機信息系統(tǒng)的廢止實行備案制度，退出使用應向煙臺市教育裝備與技術研究中心報告并備案。第三十四條對廢止的計算機信息系統(tǒng)，在業(yè)務規(guī)定的保存期限內應當對軟硬件和數(shù)據(jù)備份媒體妥善加以保管。第五章系統(tǒng)運行平安管理第一節(jié)系統(tǒng)平安運行基本要求第三十五條計算機信息系統(tǒng)的使用部門應建立《系統(tǒng)運行維護日志》，記錄運行和維護過程中的事件、處理過程和處理結果等信息。第三十六條計算機信息系統(tǒng)的運行場所應滿足相應的平安等級要求。第三十七條計算機信息系統(tǒng)應配備必要的計算機病毒防范工具。第三十八條重要計算機信息系統(tǒng)應配備必要的備份設備和設施。第三十九條信息平安員經(jīng)煙臺市教育裝備與技術研究中心批準，可對網(wǎng)絡進行平安檢測、掃描和評估，網(wǎng)絡管理人員須對檢測、掃描和評估的過程給予協(xié)助和監(jiān)督。嚴禁未經(jīng)煙臺市教育裝備與技術研究中心批準的單位和個人對網(wǎng)絡進行平安檢測和掃描。第二節(jié)系統(tǒng)數(shù)據(jù)的平安管理第四十條煙臺市教育裝備與技術研究中心應按規(guī)定進行數(shù)據(jù)備份，并定期檢查備份數(shù)據(jù)的有效性。第四十一條應對備份數(shù)據(jù)統(tǒng)一編號，并標明備份日期、密級及保密期限。第四十二條應對備份定期進行檢查，確保數(shù)據(jù)的完整性、可用性。第四十三條應建立備份介質的銷毀審批登記制度，并采取相應的平安銷毀措施。第四十四條重要計算機信息系統(tǒng)所用計算機設備的維修，應保證數(shù)據(jù)信息的完整性和安全性。在維修過程中不得泄露涉密數(shù)據(jù)信息。第四十五條重要計算機信息系統(tǒng)使用的計算機設備更換或報廢時，應徹底清除相關業(yè)務信息，并撤除所有相關的涉密配件，由使用部門登記封存。第三節(jié)系統(tǒng)運行平臺的平安管理第四十六條系統(tǒng)管理人員應合理配置操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)所提供的平安審計功能,以到達相應平安等級標準。第四十七條系統(tǒng)管理人員應屏蔽與應用系統(tǒng)無關的所有網(wǎng)絡功能，防止非法用戶的侵入。第四十八條系統(tǒng)管理人員應及時安裝正式發(fā)布的系統(tǒng)補丁，修補系統(tǒng)存在的平安漏洞。第四十九條系統(tǒng)管理人員應啟用系統(tǒng)提供的審計功能，監(jiān)測系統(tǒng)運行日志，掌握系統(tǒng)運行狀況。第五十條系統(tǒng)管理人員不得泄露操作系統(tǒng)、數(shù)據(jù)庫的系統(tǒng)管理員賬號、密碼。第五十一條聯(lián)網(wǎng)設備的IP地址及網(wǎng)絡參數(shù)，必須按照網(wǎng)絡管理規(guī)范及其業(yè)務應用范圍進行設置，非系統(tǒng)管理人員不得修改。第四節(jié)口令密碼、密鑰平安管理第五十二條計算機信息系統(tǒng)關鍵人員的口令密碼編制應具有一定的復雜性，對記錄密碼的載體應嚴格管理，確保其物理平安。第五十三條計算機信息系統(tǒng)關鍵崗位人員的口令密碼，應定期或不定期進行更換，獨享使用，不得泄露。第五十四條應用密鑰保障信息平安時，對所用密鑰生命周期的全過程（產(chǎn)生、存儲、分配、使用、廢除、歸檔、銷毀）應實施嚴格的平安保密管理。第五十五條密鑰必須作為絕密數(shù)據(jù)由專人保管。密鑰必須通過機要渠道傳遞或采用加密通信方式網(wǎng)內分配。第五十六條密鑰必須定期更換，對已泄漏或懷疑泄漏的密鑰必須及時廢除。舊密鑰必須平安歸檔，并在平安管理負責人的嚴格監(jiān)督下，由管理責任人定期銷毀。第五十七條密鑰備份是針對主要密碼設備和保密工作人員的意外事件而采取的必要措施，密鑰副本的保存必須是物理平安的。必須有在緊急情況下銷毀密鑰的手段和措施，以防密鑰喪失。第五節(jié)系統(tǒng)文檔平安管理第五十八條網(wǎng)絡參數(shù)配置文檔、重要計算機信息系統(tǒng)詳細開發(fā)資料及其源程序等核心技術文檔，由煙臺市教育裝備與技術研究中心嚴格管理。第五十九條系統(tǒng)核心技術文檔資料的外借應有審批手續(xù)和記錄，借閱人不得轉借給他人,不得復制、泄露和引用具體內容。第六節(jié)系統(tǒng)的平安監(jiān)測第六十條平安人員要經(jīng)常監(jiān)測、分析計算機信息系統(tǒng)運行