XX大學信息化建設與管理處

　　第一部分 網絡與信息安全規章制度

　　XX大學信息系統安全管理制度

　　第一章 總則

　　第一條 為保障XX大學信息系統的操作系統和數據庫管理系統的安全、穩定運行，規范操作系統和數據庫管理系統的安全配置和日常操作管理，特制訂本制度。

　　第二條 本辦法適用于本單位，以及各部門的信息系統的操作系統和數據庫系統的管理和運行。其他聯網單位參照執行。

　　第二章 操作系統運行管理

　　第三條 系統管理員、信息安全管理員、信息安全審計員的任命

　　系統管理員、信息安全管理員、信息安全審計員的任命應遵循“任期有限、權限分散”的原則;

　　對每個操作系統要分別設立系統管理員、信息安全管理員、信息安全審計員，并分別由不同的人員擔任。在多個應用系統的環境下，系統管理員、信息安全管理員、信息安全審計員崗位可交叉擔任;

　　系統管理員、信息安全管理員、信息安全審計員的任期可根據系統的安全性要求而定，最長為三年，期滿通過考核后可以續任;

　　系統管理員、信息安全管理員、信息安全審計員必須簽訂保密協議書。

　　第四條 口令的復雜性、安全性要求和檢查

　　系統賬戶的口令長度設置至少為8位，口令必須從字符(a-z,A-Z)、數字(0-9)、符號(~!@#$%^&*()_<>)中至少選擇兩種進行組合設置;

　　系統賬戶的口令必須經常更改，至少每月更改一次，每次更新的口令不得與舊的口令相同，操作系統應設置相應的口令規則;

　　系統用戶的帳號、口令、權限等禁止告知其他人員;

　　須根據系統的安全要求對操作系統密碼策略進行設置和調整，以確?？诹罘弦?。

　　第五條 系統維護和應急處理記錄

　　系統管理員記錄系統的運行情況;

　　應對系統安裝、設置更改、帳號變更、組變更、備份等系統維護工作進行記錄，以備查閱;

　　應對系統異常和系統故障的時間、現象、應急處理方法及結果作詳細的記錄。

　　第六條 操作系統軟件、資料以及許可證的管理

　　必須對操作系統軟件的介質、資料和許可證進行登記，并設專人負責保管;

　　登記的內容應包括軟件的名稱和版本、軟件出版商、許可證類型和數量、介質的編號和數量、軟件安裝序列號、手冊名稱和數量、購買日期等;

　　應有軟件和資料的借用審批和借還登記手續;

　　對重要的系統軟件介質和資料要進行復制，借用時宜提供復制品，以保護好原件及避免丟失。

　　第七條 操作系統的系統管理員帳戶名稱、口令的管理

　　操作系統的系統管理員賬戶名稱不得使用系統安裝時默認的系統管理員賬戶名，應按照經技術部經理批準的賬戶名稱、權限和有效期予以設置;必須更改系統安裝時默認系統管理員賬戶和具有特殊權限的賬戶的口令，關閉不必使用的賬號;

　　系統管理員帳戶的口令除了要滿足本規范第六條中的口令要求外，還必須每兩周更改一次，發現有異常情況時應立即更改，每次更新的口令不得與舊的口令相同;

　　嚴禁把系統管理員的帳戶名稱和口令告知其他人員。

　　第八條 操作系統配置的備份管理

　　系統管理員應對操作系統的配置參數及相關文件進行備份，當配置發生變更時必須重新備份，以便系統發生故障時能盡快恢復系統配置。

　　第九條 操作系統的安全檢查

　　信息安全管理員應經常檢查操作系統的安全配置，并確保符合安全配置要求;

　　信息安全審計員應定期查看操作系統的運行日志和審計日志，以及時發現出現的安全問題;

　　信息安全管理員應定期使用最新的安全檢查或安全分析工具對系統進行檢查，并及時消除存在的漏洞。特別是在新軟件安裝或軟件更新之后。

　　第三章 數據庫系統運行管理

　　第十條 數據庫管理員、審計員的任命

　　第十一條 數據庫管理員(DBA)的任命應遵循“任期有限、權限分散”的原則;

　　對每個數據庫系統要分別設立數據庫管理員和數據庫審計員，并分別由不同的人員擔任。在多套系統的環境下，數據庫管理員和數據庫審計員崗位應交叉擔任;

　　數據庫管理員、審計員的任期可根據系統的安全性要求而定，最長為三年，期滿通過考核后可以續任;

　　數據庫管理員、審計員必須簽訂保密協議書。

　　數據庫管理員、審計員帳戶的授權，審批

　　數據庫管理員、審計員人員變更后，必須及時更改帳戶設置。

　　第十二條 其他帳戶的授權，審批

　　本單位其他數據庫賬戶的授權由管理部門負責人批準后，由數據庫管理員進行設置;

　　外單位人員需要使用本單位數據庫系統時，須經相關業務管理部門主管同意，報管理部門負責人批準后，由數據庫管理員按規定的權限、時限設置專門的用戶帳號;

　　嚴禁本單位任何人將自己的用戶帳號提供給外單位人員使用。

　　第十三條 口令的復雜性、安全性要求和檢查

　　數據庫賬戶的口令長度設置至少為6位，口令必須從字符、數字、符號中至少選擇兩種進行組合設置;不宜使用與賬戶名稱中相同的字符或使用姓名、生日和電話號碼等其他容易猜測的字符組合;

　　數據庫賬戶的口令必須經常更改，至少每季度更改一次，每次更新的口令不得與舊的口令相同，應設置相應的口令規則;

　　數據庫用戶的帳號、口令、權限等禁止告知其他人員;

　　必須根據安全要求對數據庫管理系統的密碼策略進行設置和調整，以確?？诹罘弦?。

　　第十四條 系統維護和應急處理記錄

　　數據庫管理員記錄系統的運行情況;

　　應對系統安裝、設置更改、帳號變更、表空間變更、數據對象變更、數據庫備份等系統維護工作進行記錄，以備查閱;

　　應對系統異常和系統故障的時間、現象、應急處理方法及結果作詳細的記錄。

　　第十五條 數據庫系統軟件、資料以及許可證的管理

　　必須對數據系統軟件的介質、資料和許可證進行登記，并設專人負責保管;

　　登記的內容應包括軟件的名稱和版本、軟件出版商、許可證類型和數量、介質的編號和數量、軟件安裝序列號、資料名稱和數量、購買日期等;

　　應有軟件和資料的借用審批和借還登記手續;

　　對數據庫系統軟件介質和資料要進行復制，借用時宜提供復制品，以保護原件及避免丟失。

　　第十六條 數據庫管理員帳戶名稱、口令的管理

　　數據庫管理員賬戶名稱不宜使用系統安裝時默認的管理員賬戶名，應按照《數據庫系統賬戶授權審批表》批準的賬戶名稱、權限和有效期予以設置。必須更改系統安裝時默認的管理員賬戶和具有特殊權限的賬戶的口令，關閉不必使用的賬號;

　　數據庫管理員的口令長度必須設置至少為8位，滿足口令的復雜性要求，還必須每兩周更改一次，發現有異常情況時應立即更改，每次更新的口令不得與舊的口令相同;

　　嚴禁把數據庫管理員的帳戶名稱和口令告知其他人員。

　　第十七條 數據庫系統配置的備份的管理

　　數據庫系統管理員應對數據庫系統的配置參數及相關文件進行備份，當配置發生變更時必須重新備份，以便系統故障時能盡快恢復系統配置。

　　第十八條 數據庫系統數據的備份管理

　　應制定數據庫系統的備份策略，定期對數據庫系統進行備份;

　　數據庫備份策略的制定要以盡可能高效地進行備份與恢復為目標，并且與操作系統的備份最好地結合，宜采用物理備份與邏輯備份相結合;

　　必須對備份權限的設置加以嚴格控制;

　　必須妥善存放和保管備份介質(包括磁帶、從數據庫導出的文件等)，防止非法訪問。對備份的介質應做好標識，存放環境符合要求。

　　第十九條 數據庫系統的安全檢查

　　數據庫管理員應經常檢查數據庫系統的安全配置，并確保符合安全配置要求;

　　數據庫管理員、審計員應定期查看數據庫系統的運行日志和審計日志，以及時發現出現的安全問題;

　　數據庫管理員應定期使用最新的安全檢查或安全分析工具對系統進行檢查，并及時消除存在的漏洞;特別是在新軟件安裝或軟件更新之后。

篇2：北京市公共服務網絡與信息系統安全管理規定（2006）

　　第 163 號

　　《北京市公共服務網絡與信息系統安全管理規定》已經20**年11月9日市人民政府第45次常務會議審議通過,現予公布,自20**年1月1日起施行。

　　市長

　　二〇〇五年十一月十一日

　　北京市公共服務網絡與信息系統安全管理規定

　　第一條 為加強本市公共服務網絡與信息系統(以下簡稱網絡與信息系統)的安全管理,根據國家有關規定,結合本市實際情況,制定本規定。

　　第二條 本市網絡與信息系統的建設和運行維護單位(以下簡稱運營單位)應當做好網絡與信息系統安全工作,保障網絡與信息系統安全可靠運營。

　　本規定所稱公共服務網絡與信息系統,是指由本市行政機關和企事業單位為社會提供的政務、交通、醫療衛生、供水、供電、供氣、供熱、通信、廣播電視以及其他公共服務的網絡與信息系統。

　　第三條 市和區、縣信息化主管部門對本行政區域內的網絡與信息系統安全工作負責綜合協調和監督管理。

　　公安、國家安全和質量技術監督等政府有關部門,按照各自職責分工,依法對網絡與信息系統安全相關工作實施監督管理。

　　第四條 運營單位應當加強對本單位網絡與信息系統的安全管理,做好下列工作:

　　(一)明確網絡與信息系統安全工作的主管負責人和主管機構,并配備具有相應能力的工作人員;

　　(二)建立健全網絡與信息系統安全管理責任制,制定管理制度和操作規程,并定期檢查落實情況;

　　(三)保障網絡與信息系統安全的資金投入;

　　(四)定期進行網絡與信息系統安全教育和培訓。

　　第五條 市信息化主管部門應當會同政府有關部門統一規劃和組織建設本市網絡與信息系統的安全測評、電子認證、災難備份和應急處理等安全基礎設施。

　　第六條 本市對網絡與信息系統實行安全等級保護。

　　網絡與信息系統安全等級分為五級:

　　(一)第一級為自主保護級,由運營單位進行自主保護;

　　(二)第二級為指導保護級,由運營單位在有關主管部門的指導下進行保護;

　　(三)第三級為監督保護級,由運營單位在備案監督部門的監督下進行保護;

　　(四)第四級為強制保護級,由運營單位在備案監督部門的強制下進行保護;

　　(五)第五級為?？乇Ｗo級,由運營單位在備案監督部門的?？叵逻M行保護。

　　第七條 運營單位應當按照安全等級保護制度的管理規范和技術標準確定本單位網絡與信息系統的安全等級,并根據安全等級保護制度的要求進行建設。

　　網絡與信息系統安全等級確定為第三級、第四級、第五級的,運營單位應當將安全等級確定情況報送備案。其中,涉及電子政務的網絡與信息系統運營單位,應當報市信息化主管部門備案;其他的運營單位應當報市公安部門備案。

　　市信息化主管部門、市公安部門應當在30日內對備案單位的網絡與信息系統安全等級確定情況進行評估,并提出審查意見。

　　第八條 運營單位選用網絡與信息系統相關安全產品或者選擇安全測評、電子認證等服務時,應當符合國家和本市有關網絡與信息系統安全管理的技術規范。

　　使用財政資金投資建設的網絡與信息系統選用安全產品和服務時,應當依法實行政府采購。

　　第九條 運營單位應當依據網絡與信息系統安全管理要求,對信息系統和信息數據進行備份。

　　第十條 運營單位應當制定網絡與信息系統安全事件應急預案,并定期進行演練。

　　市和區、縣人民政府有關行政主管部門應當組織制定相關行業的網絡與信息系統安全事件應急預案,組織、協調有關單位做好應急預案的落實工作。

　　第十一條 發生網絡與信息系統安全事件后,運營單位應當迅速采取措施降低損害程度,防止事件擴大,保存相關記錄,并按規定要求及時向同級信息化主管部門報告。

　　第十二條 本市組建信息安全應急救援服務體系,為發生信息安全事件的單位提供救援服務。信息安全應急救援服務組織應當公布救援電話,在接到救援請求時,及時提供救援服務。

　　第十三條 運營單位違反本規定,有下列情形之一的,由市或者區、縣信息化主管部門責令限期改正,給予

　　警告,視情節輕重處3萬元以下罰款:

　　(一)違反本規定第四條規定,未按要求建立并落實安全管理制度的;

　　(二)違反本規定第九條規定,未按要求對信息系統和信息數據進行備份的;

　　(三)違反本規定第十條第一款規定,未按要求制定網絡與信息系統安全事件應急預案的;

　　(四)違反本規定第十一條規定,對網絡與信息系統安全事件情況隱瞞不報、謊報或者拖延不報的。

　　行政機關違反前款規定的,市或者區、縣信息化主管部門可以對責任單位給予通報批評;造成重大損失的,由上級主管部門或者監察機關依法追究責任單位主要負責人和有關責任人員的行政責任。

　　第十四條 對于有危害公共安全、國家安全、泄露國家秘密以及其他違反法律、法規和規章規定行為的,由公安、國家安全、保密以及其他監督管理部門依法處理;構成犯罪的,依法追究刑事責任。

　　第十五條 國家和本市對涉及國家秘密、國家安全的網絡與信息系統有特殊規定的,從其規定。

　　第十六條 本規定自20**年1月1日起施行。

篇3：北京市公共安全圖像信息系統的管理辦法（2007）

　　北京市公共安全圖像信息系統管理辦法

　　【文號】市政府令[20**]185號

　　【頒布單位】北京市人民政府

　　【頒布日期】20**-12-15

　　【生效日期】20**-04-01

　　【法律層級】地方規章

　　第一條 為了規范本市公共安全圖像信息系統的建設和管理,提高預防和處置突發公共事件的能力,保障公共安全,保護公民的合法權益,制定本辦法。

　　第二條 本辦法適用于本市行政區域內公共安全圖像信息系統的建設和管理。

　　第三條 本辦法所稱的公共安全圖像信息系統,是指利用圖像采集設備和其他相關設備對涉及公共安全的區域進行信息記錄的視頻系統。

　　第四條 市人民政府有關部門和區、縣人民政府負責本行業、本系統、本地區公共安全圖像信息系統建設的組織實施,并協助做好公共安全圖像信息系統使用、維護等方面的監督管理工作。

　　市和區、縣公安機關負責公共安全圖像信息系統建設、使用、維護的日常監督管理工作。

　　第五條 下列單位和區域,應當安裝公共安全圖像信息系統:

　　(一)黨政機關、國家機關所在地,廣播電臺、電視臺,電信、郵政、金融、服務單位,博物館、檔案館、重點文物保護單位,危險物品生產、銷售、存放場所等重要單位;

　　(二)賓館、飯店、商場、醫院、學校、幼兒園、文化娛樂場所,舉辦體育賽事的場館、場地,住宅區、停車場等人員聚集的公共場所;

　　(三)重點道路、路段和主要交通路口,地下通道、過街天橋,機場、火車站、地鐵和城鐵車站,公共電汽車的重要交通樞紐等;

　　(四)城市供排水、電力、燃氣、熱力設施,城市河湖及其他重要水務工程等重要城市基礎設施;

　　(五)國家法律、法規規定的其他地點和區域。

　　公共安全圖像信息系統建設的市級主管部門可以根據需要確定其他應當安裝公共安全圖像信息系統的區域,報市人民政府批準。

　　第六條 單位按照本辦法規定自建公共安全圖像信息系統,應當符合政府的統一規劃和要求,不得采集本單位范圍以外的公共區域的圖像信息。

　　第七條 交通道路、廣場等公共場所公共安全圖像信息系統的建設由政府負責,其他任何單位和個人不得在該區域設置公共安全圖像信息系統。

　　第八條 公共安全圖像信息系統的建設,應當符合國家和本市的技術規范和標準。

　　市質量技術監督、信息化主管部門和公安機關共同制定本市公共安全圖像信息系統的技術規范和標準,公共圖像信息系統應當具有采集、錄像、傳輸等功能。

　　第九條 設置公共安全圖像信息系統,不得侵犯公民個人隱私;對涉及公民個人隱私的圖像信息,應當采取保密措施。

　　涉及國家秘密、商業秘密的公共安全圖像信息系統的建設,按照國家有關規定執行。

　　第十條 新建、改建、擴建建設項目應當安裝公共安全圖像信息系統的,公共安全圖像信息系統應當與項目主體工程同步規劃、同步建設、同時投入使用。

　　第十一條 公共安全圖像信息系統的使用單位,應當自系統竣工驗收合格之日起30日內,將公共安全圖像信息系統的建設情況按照保衛隸屬關系向市或者區、縣公安機關備案;沒有保衛隸屬關系的,向本單位所在地的區、縣公安機關備案。

　　本辦法施行前已經建成的公共安全圖像信息系統的使用單位應當自本辦法施行之日起30日內,將公共安全圖像信息系統的建設情況按照前款規定向公安機關備案。

　　第十二條 公共安全圖像信息系統的使用單位,應當采取下列措施,保證公共安全圖像信息系統安全運行:

　　(一)對與公共安全圖像信息系統密切接觸的人員進行崗位技能和保密知識的培訓;

　　(二)建立安全檢查、運行維護、應急處理等制度;

　　(三)保持圖像信息畫面清晰,保證系統正常運行;

　　(四)不得擅自改變公共安全圖像信息系統的用途和攝像設備的位置。

　　使用單位委托其他單位運營、維護、管理公共安全圖像信息系統的,雙方應當明確保證系統安全運行的責任。

　　第十三條 公共安全圖像信息系統的使用單位,應當建立、健全圖像信息安全管理制度,遵守下列規定:

　　&n

　　bsp; (一)建立值班監看制度,發現涉及公共安全的可疑信息及時向公安機關報告;

　　(二)建立圖像信息使用登記制度,對圖像信息的錄制人員、調取時間、調取用途等事項進行登記;

　　(三)按照規定期限留存圖像信息,不得擅自刪改、破壞留存期限內圖像信息的原始數據記錄。

　　第十四條 負責圖像信息監看的工作人員,應當遵守各項圖像信息安全管理制度,堅守崗位,愛護儀器設備,保守秘密。

　　與圖像信息監看工作無關的人員不得擅自進入監看場所。留存的圖像信息除按照本辦法的規定使用外,任何人不得擅自查閱、復制、提供、傳播。

　　第十五條 在公共場所設置公共安全圖像信息系統,應當設置標識。

　　第十六條 發生社會治安、自然災害、事故災難、公共衛生等突發公共事件時,具有突發公共事件調查、處置權的政府有關主管部門有權查看、調取、復制圖像信息,有關單位應當予以配合。

　　第十七條 政府有關主管部門工作人員查看、調取、復制圖像信息時,應當遵守下列規定:

　　(一)工作人員不得少于二人;

　　(二)出示工作證件和證明文件;

　　(三)填寫查看、調取、復制圖像信息情況登記表;

　　(四)遵守圖像信息的使用、保密制度,不得擅自提供、傳播圖像信息,對涉及國家秘密、商業秘密和公民個人隱私的圖像信息予以保密。

　　第十八條 公安機關應當對公共安全圖像信息系統的日常使用、維護情況進行監督檢查,發現問題督促相關單位及時整改;必要時,質量技術監督、信息化主管部門在技術檢測等方面應當予以協助。

　　第十九條 違反本辦法的規定,應當建設公共安全圖像信息系統不建設或者不按照規范和標準建設的,由公安機關責令限期整改并予以警告;逾期不整改或者整改不合格的,對單位處1萬元以上3萬元以下的罰款,對單位主要負責人、直接責任人員分別處500元以上1000元以下的罰款。

　　第二十條 違反本辦法第六條的規定,單位設置公共安全圖像信息系統擅自采集本單位范圍以外的公共區域的圖像信息的,由公安機關責令改正,并對單位處1萬元以上3

　　萬元以下的罰款,對單位主要負責人、直接責任人員分別處500元以上1000元以下的罰款。

　　第二十一條 違反本辦法第七條的規定,擅自在公共場所設置公共安全圖像信息系統,由公安機關責令拆除;單位設置的,對單位處1萬元以上3萬元以下的罰款,對單位主要負責人、直接責任人員分別處500元以上1000元以下的罰款;個人設置的,對個人處500元以上1000元以下的罰款。

　　第二十二條 違反本辦法第十一條的規定,不遵守備案制度的,由公安機關

　　責令改正,并對單位處1000元以上1萬元以下的罰款,對單位主要負責人、直接責任人員分別處500元以下的罰款。

　　第二十三條 違反本辦法第十二條的規定,未采取保障圖像信息系統運行安全管理措施,影響系統安全運行的,由公安機關責令限期整改,可以對單位并處1000元以上1萬元以下的罰款,對單位主要負責人、直接責任人員分別處500元以下的罰款;逾期不整改或者整改不合格的,對單位處1萬元以上3萬元以下的罰款,對單位主要負責人、直接責任人員分別處500元以上1000元以下的罰款。

　　第二十四條 違反本辦法第十三條、第十四條的規定,未建立、健全或者違反圖像信息安全管理制度,以及擅自查閱、復制、提供、傳播圖像信息的,由公安機關對單位處1萬元以上3萬元以下的罰款,對單位主要負責人、直接責任人員分別處500元以上1000元以下的罰款;構成違反治安管理行為的,由公安機關依法處罰;構成犯罪的,依法追究刑事責任。

　　第二十五條 違反本辦法第十六條的規定,拒不提供圖像信息的,由公安機關對單位處1萬元以上3萬元以下的罰款,對單位主要負責人、直接責任人員分別處500元以上1000元以下的罰款;構成違反治安管理行為的,由公安機關依法處罰;構成犯罪的,依法追究刑事責任。

　　第二十六條 違反本辦法第十七條的規定,政府有關主管部門的工作人員查看、調取、復制圖像信息時違反相關管理制度,由主管部門追究其行政責任。構成犯罪的,依法追究刑事責任。

　　第二十七條 本辦法自20**年4月1日起施行。