XX大學信息化建設與管理處

　　第一部分 網絡與信息安全規章制度

　　XX大學信息系統變更制度

　　第一章 總則

　　制度目標：為了規范系統變更行為，使得信息系統的變更遵循單位信息安全的有關策略。

　　適用范圍：本制度適用于所有信息系統，包括但不限于網絡系統、操作/應用系統、項目開發等范疇，涉及單位范圍內的所有部門以及在特殊情況下的其他第三方組織。

　　制度相關性：本制度主要依據國際標準ISO17799,并遵照我國信息安全有關法律法規、行業規范和相關標準。

　　第二章 通則

　　第一條 信息系統的變更應當遵循以下原則:

　　(一) 保證系統在變更前后的一致性原則;

　　(二) 保證系統在變更前后的完整性原則;

　　(三) 保證變更的可控性原則;

　　(四) 保證變更的協調性原則;

　　(五) 保證變更的可審計性原則。

　　第二條 信息系統的變更控制包括但不局限于下列情況：

　　范疇 內容

　　網絡系統 網絡系統構架(拓撲)變化

　　網絡系統功能變化

　　網絡設備內嵌操作/應用系統版本升級

　　網絡設備配置變化

　　網絡設備變化(設備更新/調配)

　　… …

　　主機系統 主機系統硬件配置變化

　　操作系統構架變化

　　操作系統軟件版本變化

　　操作系統配置變化

　　操作系統功能變化

　　操作系統服務對象變化

　　… …

　　應用系統 應用系統構架變化

　　應用系統軟件版本變化

　　應用系統配置變化

　　應用系統功能變化

　　應用系統服務對象變化

　　… …

　　第三條 信息系統的變更級別應當按照如下的情況進行確認：

　　變更級別 甲級 乙級 丙級 丁級

　　變更需求急迫性要求 急迫 急迫 不急迫 不急迫

　　變更需求重要性要求 重要 不重要 重要 不重要

　　變更范圍 單位重要業務系統的重要功能

　　網絡割接/升級

　　重要的安全補丁和升級

　　重要配置變化

　　網絡系統的重大改變

　　… … 重要業務系統的一般性功能變化

　　一般性安全補丁

　　… … 一般性系統升級

　　系統配置變化

　　服務對象變化

　　網絡系統局部(非重要部分)變化

　　… … 部門內部小范圍變化

　　系統淘汰

　　… …

　　變更影響 影響重要業務系統功能

　　影響網絡性能

　　影響單位整體形象

　　… … 影響業務系統部分功能

　　… … 影響業務系統部分功能

　　… … 對單位整體影響很小

　　對部門/業務系統影響很小

　　… …

　　響應確認時間 24小時之內 48小時之內 48小時之內 無限制

　　第四條 信息系統的變更應當得到上級主管部門(變更控制管理機構)明確的授權和支持，任何沒有獲得上級主管部門(變更控制管理機構)明確授權的變更將被視為非法，不會獲得任何支持。

　　第五條 任何非法變更的發起者和執行者將受到單位相應管理制度和條例的懲戒，懲戒程度視變更的范圍和影響而定。

　　第六條 任何獲得上級主管部門(變更控制管理機構)授權的變更應當獲得單位相應的變更支持，以保證：

　　第七條 單位對變更請求的確認;

　　第八條 單位對變更過程的保護。

　　第九條 信息系統的變更按照變更的級別，由下表確認和授權：

　　變更級別 甲級 乙級 丙級 丁級

　　變更確認和授權部門 單位最高決策機構

　　單位信息管理最高管理機構 單位/部門信息管理機構 單位/部門信息管理機構 部門信息管理機構

　　第十條 信息系統變更請求應當由信息系統的合法擁有者/管理者正式向變更控制管理機構提出。

　　第十一條 信息系統的變更請求應當向上級變更控制管理機構提供包含但不局限于下列內容：

　　變更請求的發起者;

　　變更的目的和意義;

　　變更的緊迫性和重要性(變更級別);

　　變更請求需要的答復響應時間;

　　變更涉及的業務系統范圍;

　　變更對當前系統的影響;

　　變更請求涉及和需要的各類資源，包括所必需的各類人力資源和物力資源;

　　變更的必要性與可行性分析;

　　詳細的變更實施計劃，包括但不限于變更實施步驟、緊急情況應對措施等內容;

　　對變更結果的預測與評估。

　　第十二條 信息系統的變更請求依據其變更等級由相應的上級主管部門(變更控制管理機構)負責審批和授權。

　　第十三條 涉及跨部門的變更請求，應當由更上一級主管部門進行協調、審批和授權。

　　第十四條 各級變更控制管理機構在審批變更請求時應當：

　　確認信息系統變更請求者的合法地位;

　　檢查系統/功能的內在/外在風險控制措施在變更過程中不會受到破壞;

　　檢查系統/功能的完整性、可用性、機密性在變更過程中不會受到破壞;

　　審核確認變更所涉及的范圍;

　　審核評估變更對單位/組織的(潛在的)正面/負面影響;

　　審核確認變更所需要的各種資源消耗;

　　審核變更請求中評估結果并對變更做出允許/不允許的決議;

　　維護變更請求以及變更請求者的審計跟蹤記錄;

　　對變更請求進行備案，并報上級主管部門;

　　下發對于變更請求的決議和通知，確保所有相關人員均已知曉變更;

　　批準變更執行計劃，任命合適的變更執行人員/小組;

　　第十五條 對變更執行人員/小組進行必要的授權。

　　第十六條 系統變更由相應的變更控制管理機構所任命/授權的人員/小組負責實施。

　　第十七條 被授權的變更執行者應當：

　　在變更實施之前確保所有的合法用戶都同意變更;

　　在變更實施之前確認所有先決條件均已滿足變更實施要求;

　　在變更實施中，嚴格按照既定的變更方案實施變更，確保變更得到正確的組織和實施，使在變更流程范圍之內，最大限度地減少變更對業務系統的影響;

　　在變更實施中維護變更實施過程紀錄供上級變更控制管理部門和信息安全審計部門審計;

　　確保在變更實施完畢后相關文檔的及時更新，所有的舊文文檔得到妥善的處理(歸檔或者銷毀);

　　變更實施完畢后及時向上級變更控制管理部門/審計機構通報變更執行情況;

　　在變更實施過程中和完畢后接受上級變更控制管理部門/審計機構對變更過程的監督/審計。

　　第十八條 變更控制管理部門在變更實施過程中應當：

　　負責監督變更的實施;

　　負責對變更實施的記錄進行審計;

　　在各個部門之間協調變更的執行;

　　對變更中的突發事件進行控制。

　　第十九條 變更控制管理部門在變更實施完畢后應當：

　　組織相關人員/部門對變更的過程和結果進行評估和審計，以確保變更達到設計目標;

　　向變更的發起者和執行者提供評估/審計結果;

　　對整個變更進行備案。

　　第二十條 在變更過程中如果遇到突發事件，由變更執行人取得相應的授權之后全權處理，但必須在處理完畢后在變更控制管理部門備案。

　　第二十一條 變更紀錄由下級變更管理機構歸檔并報上級變更管理機構備案。

　　第二十二條 對于在變更執行過程中和完畢后違反執行流程的人員和行為，依據其情節的輕重和后果的嚴重程度，由單位有關管理條例和規范實施懲戒。

篇2：大學信息系統日常維護制度

　　XX大學信息化建設與管理處

　　第一部分 網絡與信息安全規章制度

　　大學信息系統日常維護制度

　　第一章 總則

　　第一條 制度目標：為規范信息系統的安全日常維護工作的計劃和工作內容管理，明晰運維人員日常在安全維護時的工作細則，加強對日常安全維護，促進安全維護規范化，特制定本文檔。

　　第二條 適用范圍：本制度適用于用戶擁有的、控制和管理的所有信息系統、數據和網絡環境，適用于屬于用戶范圍內的安全維護人員，包括安全管理員，系統管理員、網絡管理員、數據庫和業務應用管理員等所有維護人員。

　　第三條 信息系統的系統管理員和安全管理員的日常維護工作總則：

　　1、負責用戶與信息安全相關工作的具體實施和有關信息安全問題的處理;

　　2、根據用戶的信息安全需求，每季度提出用戶的信息安全整改意見，上報信息安全管理機構;

　　3、根據信息安全事件的處理情況和對于用戶信息安全檢測的結果， 每季度編制用戶的信息安全狀況報告;

　　4、指導和監督系統管理員和普通用戶的與安全相關的工作。

　　第二章 安全維護工作細則

　　第四條 對新購置的計算機在上線之前及時安裝統一的防病毒軟件，并進行安全加固(具體加固內容及步驟可以參考操作系統加固手冊)，在安全管理員確認后才可上線運行。

　　第五條 根據防病毒產商和安全服務公司的通知，及時的了解重大的病毒發作情況和解決方法，同時馬上采取應對措施，做好及時的防范。

　　第六條 接受用戶的計算機病毒報告，并進行相應的診斷。

　　第七條 每月對重要服務器啟動全盤殺毒功能，對所有的硬盤中的文件進行一次完整的病毒檢查。

　　第八條 對于單位所有的服務器進行防病毒軟件運行情況檢查，包括引擎運行、病毒碼和引擎升級情況、連接情況、病毒感染情況。

　　第九條 查看防火墻的CPU使用率、內存使用率等參數;備份安全設備的配置文件。

　　第十條 安全管理員每季度對防火墻的策略進行檢查，確保防火墻的策略符合用戶要求。

　　第十一條 在網絡出現故障或者出現黑客攻擊事件時，對防火墻日志不定期進行審計。

　　第十二條 當防火墻的OS不能滿足當前的性能和安全要求或者存在一些影響到使用的BUG時，對防火墻的OS進行升級。

　　第十三條 安全管理員每季度對VPN策略進行檢查，保證策略的有效性、符合性。對VPN用戶帳號的有效性和權限進行檢查。對VPN的安全通道進行有效性檢查。

　　第十四條 針對第三方公司的評估工作，提出相關的評估對象、評估的方法和評估的層次。

　　第十五條 對第三方安全評估的結果報告進行檢查。

　　第十六條 當發現網絡結構或監控內容發生變化或者對入侵監測報警的內容有疑惑，應該對入侵檢測系統的采用的配置策略進行審計。

　　第十七條 對所有維護和監控的入侵監測設備每月的進行黑客攻擊特征庫的升級，從而獲得最新的攻擊檢測方法。

　　第十八條 目前安全管理員主要負責用戶增加、刪除、初始化密碼的工作。

　　第十九條 跟蹤和研究各種信息安全漏洞和攻擊手段，在發現可能影響信息安全的安全漏洞和攻擊手段時，及時做出相應的對策，通知并指導系統管理員進行安全防范。

　　第二十條 每季度檢查Windows服務器補丁升級的情況。

　　第二十一條 每兩周對日志做一次全面的分析，對登錄的用戶、登錄時間、所做的配置和操作進行檢查，在分析有異常的現象時及時向網絡管理員進行核實并采取相應的措施。

　　第二十二條 跟蹤和研究各種信息安全漏洞和攻擊手段，在發現可能影響信息安全的安全漏洞和攻擊手段時，及時做出相應的對策，通知并指導網絡管理員進行安全防范。

　　第二十三條 系統一線人員和安全管理員需要編寫相應的安全報告文檔。

　　第二十四條 安全管理員需要根據實際情況更新相應的安全加固手冊。

　　第二十五條 安全管理員需要對于地市的病毒情況、入侵情況、安全事件處理情況的周報、月報和事件處理單進行檢查和審核，同時進行整體統計。

　　第三章 工作量統計

　　工作內容 工作細則 工作成果 工作量統計 人員角色 預期人員數 建議使用產品

　　防病毒工作 升級企業版防病毒的病毒代碼和殺毒引擎 病毒版本登記表 2小時/周 安全管理員

　　重大病毒的發作之前發布病毒預警通知 病毒通知報告 1小時/周 安全管理員

　　接受用戶報警 病毒緊急響應登記表 4小時/周 安全管理員

　　定期對重要服務器進行全盤殺毒 殺毒結果登記表 5小時/周 安全管理員

　　對防病毒日志進行審計 日志審計分析報告 2天/周 安全管理員 使用日志分析軟件可以提高工作效率。預期：1天/周

　　負責所管理計算機的計算機病毒防治產品的安裝和使用 防病毒產品安裝登記表 1天/周 安全管理員

　　統計 5天/周

　　防火墻維護 防火墻策略檢查 防火墻策略統計表 2小時/周 安全管理員

　　防火墻日志定期審計 防火墻日志分析報告 1天/周 安全管理員

　　防火墻日志不定期審計 防火墻日志分析報告;安全緊急響應報告 2小時/周 安全管理員

　　新購置的防火墻上線前策略審計 防火墻策略登記表 不定 安全管理員

　　防火墻OS升級 防火墻資產登記 不定 安全管理員

　　統計 2天/周

　　VPN維護 VPN加密算法檢查 VPN配置登記表 1小時/周 安全管理員

　　VPN策略審計 VPN配置登記表 1小時/周 安全管理員

　　VPN用戶審計 VPN配置登記表 1小時/周 安全管理員

　　VPN日志審計 VPN日志分析報告 1小時/周 安全管理員

　　統計 4小時/周

　　掃描工作維護 主機、網絡設備和數據庫漏洞掃描 漏洞分析報告 2天/周 安全管理員

　　負責掃描工具的安裝和使用 不定 安全管理員

　　統計 2天/周

　　入侵監測維護 入侵檢測策略審計 策略登記表 2小時/周 安全管理員

　　入侵檢測平臺的攻擊行為實時監控 監控登記表 2天/周 監控人員

　　攻擊特征庫的升級工作 策略登記表 2天/周 安全管理員

　　入侵監測硬件設備性能檢查 監控登記表 1天/周 監控人員

　　統計 3天/周 安全管理員;

　　3天/周 監控人員;

　　在當前沒有監控人員的情況下，安全管理員負責該工作

　　主機安全維護 定期的主機人工評估 人工評估報告 2天/周 系統管理員

　　審核不必要的用戶 人工評估報告 2小時/周 系統管理員

　　定期分析操作系統日志 日志分析報告 3天/周 系統管理員 如果日志審計系統或安全集中監控分析系統，可以大大的提供工作效率。

　　預期工作量：5小時/周

　　定期查看信息安全站點的安全公告 漏洞登記表;安全通告; 4小時/周 安全管理員

　　主機系統加固和補丁程序升級 主機系統加固和登記表 4小時/周 系統管理員

　　統計 6天/周 系統管理員;

　　4小時/周 安全管理員

　　網絡設備安全維護 定期的網絡設備的漏洞掃描 漏洞掃描報告 1小時/周 安全管理員

　　定期分析網絡設備日志 日志分析報告 1天/周 網絡管理員 如果日志審計系統或安全集中監控分析系統，可以大大的提供工作效率。

　　預期工作量：2小時/周

　　定期查看信息安全站點的安全公告 漏洞登記庫;安全通告 1小時/周 安全管理員

　　網絡設備加固和補丁程序升級 網絡設備加固報告 1小時/周 網絡管理

　　統計 1天/周 網絡管理員;

　　2小時/周 安全管理員

　　應用服務安全維護 審核不必要的應用程序中的用戶 應用程序配置登記表 3小時/周 系統管理員

　　定期分析應用程序訪問日志 日志分析報告 5小時/周 系統管理員

　　應用程序加固和補丁程序升級 加固報告 2小時/周 系統管理員

　　驗證數據備份策略的有效性 備份登記表 5小時/周 系統管理員

　　統計 2天/周

　　最終工作量統計 安全管理員 22天/周 系統管理員 8天/周 網絡管理員 1天/周

篇3：XX大學信息系統安全管理制度

　　XX大學信息化建設與管理處

　　第一部分 網絡與信息安全規章制度

　　XX大學信息系統安全管理制度

　　第一章 總則

　　第一條 為保障XX大學信息系統的操作系統和數據庫管理系統的安全、穩定運行，規范操作系統和數據庫管理系統的安全配置和日常操作管理，特制訂本制度。

　　第二條 本辦法適用于本單位，以及各部門的信息系統的操作系統和數據庫系統的管理和運行。其他聯網單位參照執行。

　　第二章 操作系統運行管理

　　第三條 系統管理員、信息安全管理員、信息安全審計員的任命

　　系統管理員、信息安全管理員、信息安全審計員的任命應遵循“任期有限、權限分散”的原則;

　　對每個操作系統要分別設立系統管理員、信息安全管理員、信息安全審計員，并分別由不同的人員擔任。在多個應用系統的環境下，系統管理員、信息安全管理員、信息安全審計員崗位可交叉擔任;

　　系統管理員、信息安全管理員、信息安全審計員的任期可根據系統的安全性要求而定，最長為三年，期滿通過考核后可以續任;

　　系統管理員、信息安全管理員、信息安全審計員必須簽訂保密協議書。

　　第四條 口令的復雜性、安全性要求和檢查

　　系統賬戶的口令長度設置至少為8位，口令必須從字符(a-z,A-Z)、數字(0-9)、符號(~!@#$%^&*()_<>)中至少選擇兩種進行組合設置;

　　系統賬戶的口令必須經常更改，至少每月更改一次，每次更新的口令不得與舊的口令相同，操作系統應設置相應的口令規則;

　　系統用戶的帳號、口令、權限等禁止告知其他人員;

　　須根據系統的安全要求對操作系統密碼策略進行設置和調整，以確?？诹罘弦?。

　　第五條 系統維護和應急處理記錄

　　系統管理員記錄系統的運行情況;

　　應對系統安裝、設置更改、帳號變更、組變更、備份等系統維護工作進行記錄，以備查閱;

　　應對系統異常和系統故障的時間、現象、應急處理方法及結果作詳細的記錄。

　　第六條 操作系統軟件、資料以及許可證的管理

　　必須對操作系統軟件的介質、資料和許可證進行登記，并設專人負責保管;

　　登記的內容應包括軟件的名稱和版本、軟件出版商、許可證類型和數量、介質的編號和數量、軟件安裝序列號、手冊名稱和數量、購買日期等;

　　應有軟件和資料的借用審批和借還登記手續;

　　對重要的系統軟件介質和資料要進行復制，借用時宜提供復制品，以保護好原件及避免丟失。

　　第七條 操作系統的系統管理員帳戶名稱、口令的管理

　　操作系統的系統管理員賬戶名稱不得使用系統安裝時默認的系統管理員賬戶名，應按照經技術部經理批準的賬戶名稱、權限和有效期予以設置;必須更改系統安裝時默認系統管理員賬戶和具有特殊權限的賬戶的口令，關閉不必使用的賬號;

　　系統管理員帳戶的口令除了要滿足本規范第六條中的口令要求外，還必須每兩周更改一次，發現有異常情況時應立即更改，每次更新的口令不得與舊的口令相同;

　　嚴禁把系統管理員的帳戶名稱和口令告知其他人員。

　　第八條 操作系統配置的備份管理

　　系統管理員應對操作系統的配置參數及相關文件進行備份，當配置發生變更時必須重新備份，以便系統發生故障時能盡快恢復系統配置。

　　第九條 操作系統的安全檢查

　　信息安全管理員應經常檢查操作系統的安全配置，并確保符合安全配置要求;

　　信息安全審計員應定期查看操作系統的運行日志和審計日志，以及時發現出現的安全問題;

　　信息安全管理員應定期使用最新的安全檢查或安全分析工具對系統進行檢查，并及時消除存在的漏洞。特別是在新軟件安裝或軟件更新之后。

　　第三章 數據庫系統運行管理

　　第十條 數據庫管理員、審計員的任命

　　第十一條 數據庫管理員(DBA)的任命應遵循“任期有限、權限分散”的原則;

　　對每個數據庫系統要分別設立數據庫管理員和數據庫審計員，并分別由不同的人員擔任。在多套系統的環境下，數據庫管理員和數據庫審計員崗位應交叉擔任;

　　數據庫管理員、審計員的任期可根據系統的安全性要求而定，最長為三年，期滿通過考核后可以續任;

　　數據庫管理員、審計員必須簽訂保密協議書。

　　數據庫管理員、審計員帳戶的授權，審批

　　數據庫管理員、審計員人員變更后，必須及時更改帳戶設置。

　　第十二條 其他帳戶的授權，審批

　　本單位其他數據庫賬戶的授權由管理部門負責人批準后，由數據庫管理員進行設置;

　　外單位人員需要使用本單位數據庫系統時，須經相關業務管理部門主管同意，報管理部門負責人批準后，由數據庫管理員按規定的權限、時限設置專門的用戶帳號;

　　嚴禁本單位任何人將自己的用戶帳號提供給外單位人員使用。

　　第十三條 口令的復雜性、安全性要求和檢查

　　數據庫賬戶的口令長度設置至少為6位，口令必須從字符、數字、符號中至少選擇兩種進行組合設置;不宜使用與賬戶名稱中相同的字符或使用姓名、生日和電話號碼等其他容易猜測的字符組合;

　　數據庫賬戶的口令必須經常更改，至少每季度更改一次，每次更新的口令不得與舊的口令相同，應設置相應的口令規則;

　　數據庫用戶的帳號、口令、權限等禁止告知其他人員;

　　必須根據安全要求對數據庫管理系統的密碼策略進行設置和調整，以確?？诹罘弦?。

　　第十四條 系統維護和應急處理記錄

　　數據庫管理員記錄系統的運行情況;

　　應對系統安裝、設置更改、帳號變更、表空間變更、數據對象變更、數據庫備份等系統維護工作進行記錄，以備查閱;

　　應對系統異常和系統故障的時間、現象、應急處理方法及結果作詳細的記錄。

　　第十五條 數據庫系統軟件、資料以及許可證的管理

　　必須對數據系統軟件的介質、資料和許可證進行登記，并設專人負責保管;

　　登記的內容應包括軟件的名稱和版本、軟件出版商、許可證類型和數量、介質的編號和數量、軟件安裝序列號、資料名稱和數量、購買日期等;

　　應有軟件和資料的借用審批和借還登記手續;

　　對數據庫系統軟件介質和資料要進行復制，借用時宜提供復制品，以保護原件及避免丟失。

　　第十六條 數據庫管理員帳戶名稱、口令的管理

　　數據庫管理員賬戶名稱不宜使用系統安裝時默認的管理員賬戶名，應按照《數據庫系統賬戶授權審批表》批準的賬戶名稱、權限和有效期予以設置。必須更改系統安裝時默認的管理員賬戶和具有特殊權限的賬戶的口令，關閉不必使用的賬號;

　　數據庫管理員的口令長度必須設置至少為8位，滿足口令的復雜性要求，還必須每兩周更改一次，發現有異常情況時應立即更改，每次更新的口令不得與舊的口令相同;

　　嚴禁把數據庫管理員的帳戶名稱和口令告知其他人員。

　　第十七條 數據庫系統配置的備份的管理

　　數據庫系統管理員應對數據庫系統的配置參數及相關文件進行備份，當配置發生變更時必須重新備份，以便系統故障時能盡快恢復系統配置。

　　第十八條 數據庫系統數據的備份管理

　　應制定數據庫系統的備份策略，定期對數據庫系統進行備份;

　　數據庫備份策略的制定要以盡可能高效地進行備份與恢復為目標，并且與操作系統的備份最好地結合，宜采用物理備份與邏輯備份相結合;

　　必須對備份權限的設置加以嚴格控制;

　　必須妥善存放和保管備份介質(包括磁帶、從數據庫導出的文件等)，防止非法訪問。對備份的介質應做好標識，存放環境符合要求。

　　第十九條 數據庫系統的安全檢查

　　數據庫管理員應經常檢查數據庫系統的安全配置，并確保符合安全配置要求;

　　數據庫管理員、審計員應定期查看數據庫系統的運行日志和審計日志，以及時發現出現的安全問題;

　　數據庫管理員應定期使用最新的安全檢查或安全分析工具對系統進行檢查，并及時消除存在的漏洞;特別是在新軟件安裝或軟件更新之后。