XX大學(xué)信息化建設(shè)與管理處

　　第一部分 網(wǎng)絡(luò)與信息安全規(guī)章制度

　　XX大學(xué)信息安全方針

　　第一章 總則

　　第一條 為了給XX大學(xué)的信息安全工作提供清晰的指導(dǎo)方向，加強(qiáng)安全管理工作，保證業(yè)務(wù)系統(tǒng)的安全運(yùn)營，特制定本方針。

　　第二條 信息安全工作是XX大學(xué)運(yùn)營與發(fā)展的基礎(chǔ)和核心，是保證網(wǎng)絡(luò)品質(zhì)的基礎(chǔ)，是保障XX大學(xué)利益的基礎(chǔ)，也是國家安全的需要，因此必須重視網(wǎng)絡(luò)與信息安全工作。

　　第三條 信息安全是XX大學(xué)各部門所有員工共同分擔(dān)的責(zé)任，與每一個(gè)員工的日常工作息息相關(guān)，所有員工必須提高認(rèn)識，高度重視，從自己開始，堅(jiān)持不懈地做好網(wǎng)絡(luò)與信息安全工作。

　　第四條 本方針適用于XX大學(xué)全體員工。

　　第二章 安全目標(biāo)

　　第五條 XX大學(xué)的信息安全使命是：

　　保障業(yè)務(wù)正常和安全運(yùn)行，保證業(yè)務(wù)連續(xù)性;

　　保護(hù)XX大學(xué)的技術(shù)機(jī)密，維護(hù)XX大學(xué)的利益;

　　第六條 XX大學(xué)的信息安全愿景是：

　　建立行業(yè)一流的信息安全保障體系。

　　第三章 安全工作基本原則

　　第七條 安全工作應(yīng)遵循以下基本原則：

　　“分級保護(hù)”原則：應(yīng)根據(jù)各業(yè)務(wù)系統(tǒng)的重要程度以及面臨的風(fēng)險(xiǎn)大小等因素決定各類信息的安全保護(hù)級別，分級保護(hù)，合理投資。

　　“同步規(guī)劃、同步建設(shè)、同步運(yùn)行”原則：安全建設(shè)應(yīng)與業(yè)務(wù)系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行，在任何一個(gè)環(huán)節(jié)的疏忽都可能給業(yè)務(wù)系統(tǒng)帶來危害。

　　“三分技術(shù)、七分管理”原則：網(wǎng)絡(luò)與信息安全不是單純的技術(shù)問題，需要在采用安全技術(shù)和產(chǎn)品的同時(shí)，重視安全管理，不斷完善各類安全管理規(guī)章制度和操作規(guī)程，全面提高安全管理水平。

　　“內(nèi)外并重”原則：安全工作需要做到內(nèi)外并重，在防范外部威脅的同時(shí)，加強(qiáng)規(guī)范內(nèi)部人員行為和審計(jì)機(jī)制。

　　“整體規(guī)劃，分步實(shí)施”原則：需要對XX大學(xué)信息安全建設(shè)進(jìn)行整體規(guī)劃，分步實(shí)施，逐步建立完善的信息安全體系。

　　“風(fēng)險(xiǎn)管理”原則：進(jìn)行安全風(fēng)險(xiǎn)管理，確認(rèn)可能影響信息系統(tǒng)的安全風(fēng)險(xiǎn)，并以較低的成本將其降低到可接受的水平。

　　“適度安全”原則：沒有絕對的安全，安全和易用性是矛盾的，需要做到適度安全，找到安全和易用性的平衡點(diǎn)。

　　第四章 安全組織機(jī)構(gòu)職責(zé)

　　第八條 XX大學(xué)信息安全實(shí)施統(tǒng)一領(lǐng)導(dǎo)、專業(yè)分工負(fù)責(zé)的原則。信息安全采用二級管理體制，分為：組長和副組長負(fù)責(zé)總體的信息安全指導(dǎo)和運(yùn)行管理。各相關(guān)部門負(fù)責(zé)本部門的信息安全指導(dǎo)、運(yùn)行和運(yùn)行管理。

　　第九條 信息安全工作組構(gòu)成及成員

　　XX大學(xué)各部門分管領(lǐng)導(dǎo)為工作組成員，XX大學(xué)各單位技術(shù)業(yè)務(wù)骨干為具體小組操作人員。

　　第十條 信息安全工作組職責(zé)

　　信息安全工作組負(fù)責(zé)具體的安全規(guī)劃、建設(shè)、運(yùn)行和管理的組織。

　　第十一條 信息安全工作組主要職能有：

　　信息安全工作組負(fù)責(zé)信息安全策略的管理、系統(tǒng)配置的管理、安全事件的審計(jì)和安全事故的處理;

　　按照XX大學(xué)規(guī)定進(jìn)行信息系統(tǒng)的運(yùn)行監(jiān)視、安全審核，根據(jù)安全狀況調(diào)整XX大學(xué)內(nèi)信息系統(tǒng)的統(tǒng)一安全策略;

　　安全事件發(fā)生后，信息安全工作組協(xié)調(diào)應(yīng)急響應(yīng)組決定是否啟動(dòng)應(yīng)急流程;

　　組織編制修訂信息安全相關(guān)制度、規(guī)范和流程;

　　監(jiān)督信息安全相關(guān)制度、規(guī)范和流程的執(zhí)行;

　　組織XX大學(xué)的信息安全培訓(xùn);

　　各部門信息安全日常工作職責(zé)

　　各部門負(fù)責(zé)部門內(nèi)的信息安全工作，按照本規(guī)程進(jìn)行日常相關(guān)工作。各部門負(fù)責(zé)人負(fù)責(zé)本部門的信息安全工作，授權(quán)或組織人員進(jìn)行日常信息安全工作。

　　信息化建設(shè)與管理處辦公室負(fù)責(zé)XX大學(xué)整體網(wǎng)絡(luò)安全管理;

　　信息系統(tǒng)部負(fù)責(zé)網(wǎng)管系統(tǒng)和網(wǎng)絡(luò)安全的建設(shè)和維護(hù)，監(jiān)測網(wǎng)絡(luò)設(shè)備性能參數(shù)和網(wǎng)絡(luò)運(yùn)行狀況，支撐系統(tǒng)網(wǎng)絡(luò)安全及建設(shè)維護(hù)。

　　第五章 安全工作要求

　　第十二條 XX大學(xué)和各部門必須建立和完善信息安全管理規(guī)章制度和操作程序，規(guī)范和加強(qiáng)信息安全管理工作，所有員工必須遵守與其相關(guān)的信息安全規(guī)章制度。

　　第十三條 加強(qiáng)內(nèi)部人員安全管理，依據(jù)最小特權(quán)原則清晰劃分崗位，在所有崗位職責(zé)中明確信息安全責(zé)任，要害工作崗位實(shí)現(xiàn)職責(zé)分離，關(guān)鍵事務(wù)雙人臨崗，重要崗位要有人員備份，定期進(jìn)行人員的安全審查。

　　第十四條 所有員工都應(yīng)簽署保密協(xié)議，并接受信息安全教育培訓(xùn)，提高安全意識，及時(shí)報(bào)告網(wǎng)絡(luò)與信息安全事件。

　　第十五條 必須加強(qiáng)第三方訪問和外包服務(wù)的安全控制，在風(fēng)險(xiǎn)評估的基礎(chǔ)上制定安全控制措施，并與第三方外包服務(wù)商簽署安全責(zé)任協(xié)議，明確其安全責(zé)任。

　　第十六條 各部門必須加強(qiáng)信息資產(chǎn)管理，建立和維護(hù)信息資產(chǎn)清單，維護(hù)最新的網(wǎng)絡(luò)拓?fù)鋱D，建立信息資產(chǎn)責(zé)任制，對信息資產(chǎn)進(jìn)行分類管理和貼標(biāo)簽。

　　第十七條 加強(qiáng)機(jī)房和辦公區(qū)域的安全管理，為設(shè)備的正常運(yùn)行提供物理和環(huán)境安全保障。

　　第十八條 建立日常維護(hù)操作規(guī)程和變更控制規(guī)程，規(guī)范日常運(yùn)行維護(hù)操作，嚴(yán)格控制和審批任何變更行為。

　　第十九條 加強(qiáng)項(xiàng)目建設(shè)的安全管理，配套安全系統(tǒng)必須與業(yè)務(wù)系統(tǒng)“同步規(guī)劃、同步建設(shè)、同步運(yùn)行”，加強(qiáng)安全規(guī)劃、安全審批、安全驗(yàn)收管理。

　　第二十條 加強(qiáng)防范惡意軟件，所有Windows機(jī)器必須安裝網(wǎng)絡(luò)防病毒系統(tǒng)，定期更新病毒特征代碼，及時(shí)報(bào)告發(fā)現(xiàn)的病毒。

　　第二十一條 按照補(bǔ)丁跟進(jìn)和發(fā)布、補(bǔ)丁獲取、補(bǔ)丁測試、補(bǔ)丁加載、補(bǔ)丁驗(yàn)證、補(bǔ)丁歸檔這一流程進(jìn)行補(bǔ)丁安全管理。

　　第二十二條 建立維護(hù)作業(yè)計(jì)劃，嚴(yán)格執(zhí)行維護(hù)作業(yè)計(jì)劃，加強(qiáng)對設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)的運(yùn)行監(jiān)控，編寫日常運(yùn)行維護(hù)報(bào)告。

　　第二十三條 部署網(wǎng)絡(luò)層面和系統(tǒng)層面的訪問控制、安全審計(jì)以及安全監(jiān)控技術(shù)措施，保障業(yè)務(wù)系統(tǒng)的安全運(yùn)行。

　　第二十四條 增強(qiáng)主機(jī)系統(tǒng)的安全配置，定期進(jìn)行安全評估和安全加固。

　　第二十五條 制定各業(yè)務(wù)系統(tǒng)的應(yīng)急方案，定期更新、維護(hù)和測試，做好數(shù)據(jù)備份工作，確保數(shù)據(jù)的及時(shí)恢復(fù)，保證數(shù)據(jù)的安全。

　　第二十六條 加強(qiáng)用戶帳號和權(quán)限管理，按照最小特權(quán)原則為用戶分配權(quán)限，避免出現(xiàn)共用帳號的情況。

　　第二十七條 加強(qiáng)用戶口令的管理，口令長度至少9位，并采用數(shù)字、字母和特殊字符等不少于三種組合，定期修改用戶口令。

　　第二十八條 加強(qiáng)應(yīng)用系統(tǒng)的安全管理，包括軟件開發(fā)安全管理、投產(chǎn)測試和上線安全管理、應(yīng)用軟件版本和配置管理，加強(qiáng)外包開發(fā)的業(yè)務(wù)系統(tǒng)軟件的安全管理。

　　第二十九條 建立安全檢查制度和安全處罰制度，對違反規(guī)章制度的部門和人員按照規(guī)定進(jìn)行處罰。

篇2：XX大學(xué)網(wǎng)絡(luò)與信息安全策略

　　XX大學(xué)信息化建設(shè)與管理處

　　第一部分 網(wǎng)絡(luò)與信息安全規(guī)章制度

　　XX大學(xué)網(wǎng)絡(luò)與信息安全策略

　　第一章 總則

　　第一條 為了建立、健全XX大學(xué)網(wǎng)絡(luò)、信息安全管理制度，加強(qiáng)網(wǎng)絡(luò)與信息安全保障能力，保證網(wǎng)絡(luò)通信暢通和業(yè)務(wù)系統(tǒng)的正常運(yùn)營，按照相關(guān)的國家標(biāo)準(zhǔn)，在學(xué)校安全體系框架下，確定網(wǎng)絡(luò)與信息安全方針和目標(biāo)，對學(xué)校網(wǎng)絡(luò)、信息安全風(fēng)險(xiǎn)進(jìn)行有效管理，規(guī)范安全事件的響應(yīng)和操作流程，改進(jìn)信息安全管理制度的有效性，特制定信息安全策略文檔。

　　第二條 本文檔適用于學(xué)校校園網(wǎng)內(nèi)相關(guān)的所有信息安全管理活動(dòng)。

　　第二章 信息安全范圍

　　第三條 信息安全策略涉及的范圍包括：

　　1. XX大學(xué)全體師生。

　　2. 校園網(wǎng)內(nèi)的各個(gè)數(shù)字化校園信息系統(tǒng)，包括XX大學(xué)網(wǎng)站主頁、XX大學(xué)信息門戶系統(tǒng)、統(tǒng)一身份認(rèn)證系統(tǒng)、人事管理系統(tǒng)、辦公自動(dòng)化系統(tǒng)、網(wǎng)站群系統(tǒng)、學(xué)工管理系統(tǒng)、電子郵件系統(tǒng)等在內(nèi)的所有校園網(wǎng)內(nèi)的業(yè)務(wù)系統(tǒng)。

　　3. 校園內(nèi)現(xiàn)有的信息資產(chǎn)，包括與上述數(shù)字化校園信息系統(tǒng)相關(guān)的數(shù)據(jù)、硬件、軟件、服務(wù)及文檔等。

　　4. 校園內(nèi)的辦公場所和上述信息資產(chǎn)所處的物理位置。

　　第三章 信息安全總體目標(biāo)

　　第四條 通過建立健全XX大學(xué)網(wǎng)絡(luò)安全及各項(xiàng)信息安全管理制度、加強(qiáng)XX大學(xué)師生的網(wǎng)絡(luò)、信息安全培訓(xùn)和教育工作，制定適合我校現(xiàn)狀的網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)控制措施，有效控制校園網(wǎng)內(nèi)網(wǎng)絡(luò)與信息系統(tǒng)面臨的安全風(fēng)險(xiǎn)，從而保障數(shù)字化校園業(yè)務(wù)系統(tǒng)的正常穩(wěn)定運(yùn)行，提高網(wǎng)絡(luò)與信息系統(tǒng)的服務(wù)質(zhì)量，進(jìn)而全面提高我校信息化建設(shè)質(zhì)量及安全水平，為我校信息化建設(shè)的可持續(xù)發(fā)展提供有力保障。

　　第四章 信息安全方針

　　第五條 XX大學(xué)信息化建設(shè)領(lǐng)導(dǎo)小組領(lǐng)導(dǎo)定期組織相關(guān)人員召開網(wǎng)絡(luò)信息安全會(huì)議，并征詢XX大學(xué)信息化專家咨詢小組的意見，對相關(guān)的網(wǎng)絡(luò)信息安全重大問題做出決策。

　　第六條 清晰識別我校的所有信息資產(chǎn)，實(shí)施等級標(biāo)記，對校內(nèi)信息資產(chǎn)進(jìn)行分級、分類管理，并編制和維護(hù)所有重要信息資產(chǎn)的清單。

　　第七條 綜合使用訪問控制、監(jiān)測、審計(jì)和身份鑒別等方法來保證校內(nèi)數(shù)據(jù)、網(wǎng)絡(luò)、信息資源、資產(chǎn)的安全，并加強(qiáng)對校外人員訪問數(shù)字化校園信息系統(tǒng)的控制和監(jiān)測，最大程度降低業(yè)務(wù)系統(tǒng)被非法入侵的風(fēng)險(xiǎn)。

　　第八條 啟用各個(gè)服務(wù)器操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用軟件的日志功能，并盡可能定期地進(jìn)行審計(jì)，做好相應(yīng)的記錄。

　　第九條 明確我校全體師生的信息安全責(zé)任，全校所有的師生必須接受網(wǎng)絡(luò)信息安全方面的相關(guān)教育培訓(xùn)，提高信息安全意識。針對校內(nèi)教職工的各個(gè)不同崗位，制定好不同等級、水平的網(wǎng)絡(luò)信息安全培訓(xùn)計(jì)劃，并定期對各個(gè)崗位教職人員進(jìn)行信息安全技能及信息安全認(rèn)知方面的考核。

　　第十條 建立學(xué)校網(wǎng)絡(luò)與信息安全事件報(bào)告、網(wǎng)絡(luò)信息安全相關(guān)事故應(yīng)答和分類機(jī)制，確定一個(gè)報(bào)告可疑的及已經(jīng)發(fā)生的信息安全事故的完整流程，并讓所有師生及相關(guān)人員了解和執(zhí)行事故處理流程，同時(shí)還要注意妥善保存好網(wǎng)絡(luò)信息安全事件的相關(guān)記錄與證據(jù)。

　　第十一條 對各個(gè)數(shù)字化校園信息系統(tǒng)的用戶權(quán)限和密碼口令進(jìn)行嚴(yán)格管理，要求全校師生逐步將信息系統(tǒng)用戶密碼改為強(qiáng)密碼格式并綁定常用的手機(jī)號，以便重要系統(tǒng)進(jìn)行雙因素認(rèn)證，防止黑客對信息系統(tǒng)的非法訪問和對個(gè)人數(shù)據(jù)信息的惡意篡改或竊取。

　　第十二條 制定出一套完善的數(shù)據(jù)備份策略，對校園網(wǎng)內(nèi)所有重要數(shù)據(jù)進(jìn)行定期的備份。數(shù)據(jù)備份之后還要定期進(jìn)行還原測試，同時(shí)還需注意備份介質(zhì)與原數(shù)據(jù)信息所在場所應(yīng)保持一定的安全距離。

　　第十三條 與信息軟件銷售公司、硬件銷售維保公司等外部單位合作之前，應(yīng)在采購、服務(wù)合同中明確規(guī)定合同參與方的安全要求、安全責(zé)任和安全規(guī)定等相關(guān)安全內(nèi)容，并采取相應(yīng)的措施嚴(yán)格保證雙方對協(xié)議安全內(nèi)容的有效執(zhí)行。

　　第十四條 在自主開發(fā)新業(yè)務(wù)系統(tǒng)或者委托軟件公司建設(shè)新的信息系統(tǒng)時(shí)，應(yīng)當(dāng)充分考慮相關(guān)的安全需求，并嚴(yán)格控制有關(guān)人員對項(xiàng)目相關(guān)文件和源代碼等敏感數(shù)據(jù)的訪問，防止重要信息被竊取或泄露。

　　第十五條 制定好一整套計(jì)劃和方案定期對校園網(wǎng)內(nèi)各個(gè)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評估，并根據(jù)風(fēng)險(xiǎn)評估的結(jié)果，劃分好各系統(tǒng)的風(fēng)險(xiǎn)等級，采取相應(yīng)的有效措施對這些業(yè)務(wù)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)控制。

　　第十六條 上述方針由XX大學(xué)信息化建設(shè)領(lǐng)導(dǎo)小組批準(zhǔn)發(fā)布，并定期評審其適用性和充分性，必要時(shí)予以修訂。

　　第五章 信息安全策略

　　第一節(jié) 安全管理制度策略

　　第十七條 XX大學(xué)信息化建設(shè)領(lǐng)導(dǎo)小組統(tǒng)一制定信息安全工作的總體方針和安全策略，說明安全工作的總體目標(biāo)、范圍、原則和安全框架，形成由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度體系;

　　第十八條 XX大學(xué)網(wǎng)絡(luò)與教育技術(shù)中心各部門相關(guān)領(lǐng)導(dǎo)負(fù)責(zé)與各自部門工作相關(guān)的安全管理制度的制定，安全管理制度應(yīng)具有規(guī)范統(tǒng)一的格式。制定好之后組織XX大學(xué)信息化專家咨詢小組相關(guān)專家對制定的安全管理制度進(jìn)行論證和審定，并通過校園網(wǎng)站主頁及信息門戶平臺(tái)進(jìn)行發(fā)布。

　　第十九條 XX大學(xué)信息化建設(shè)領(lǐng)導(dǎo)小組負(fù)責(zé)定期組織專家及網(wǎng)絡(luò)與教育技術(shù)中心相關(guān)部門、人員對安全管理制度體系的合理性和適用性進(jìn)行審定，對制度體系中存在的不足之處或需要改進(jìn)的地方及時(shí)進(jìn)行修訂和完善。

　　第二節(jié) 安全管理機(jī)構(gòu)策略

　　第二十條 XX大學(xué)信息化建設(shè)領(lǐng)導(dǎo)小組是我校信息化建設(shè)與管理工作的最高領(lǐng)導(dǎo)與決策機(jī)構(gòu)，其下設(shè)辦公室，掛靠信息化建設(shè)與管理處。學(xué)校各單位需明確一名分管信息化工作的領(lǐng)導(dǎo)，負(fù)責(zé)推進(jìn)本單位的信息化工作，并積極配合學(xué)校的相關(guān)信息化工作。此外，可以從以上領(lǐng)導(dǎo)中選拔出一定人員，成立指導(dǎo)和管理信息安全工作的委員會(huì)，全面負(fù)責(zé)信息安全工作，負(fù)責(zé)對安全事件的判斷和報(bào)告以及安全事件應(yīng)急恢復(fù)流程的啟動(dòng)，同時(shí)也可以及時(shí)協(xié)調(diào)處理其所在單位的一般安全事件。

　　第二十一條 信息化建設(shè)與管理處承擔(dān)著學(xué)校信息安全管理的總體職責(zé)，其下屬的網(wǎng)絡(luò)與教育技術(shù)中心作為信息安全管理工作的職能部門，應(yīng)當(dāng)設(shè)立安全主管，并在各業(yè)務(wù)部門設(shè)立安全管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員等崗位，具體明確地定義好各崗位的職責(zé)。遵循“誰主管，誰主辦，誰負(fù)責(zé)”的原則，建立工作責(zé)任制和責(zé)任追究制，明確分工，強(qiáng)化管理。

　　第二十二條 學(xué)校各院系、業(yè)務(wù)處室也應(yīng)當(dāng)設(shè)置一名專職的信息管理人員負(fù)責(zé)本單位相關(guān)信息系統(tǒng)的建設(shè)、管理、本單位網(wǎng)站網(wǎng)絡(luò)的維護(hù)及數(shù)據(jù)安全維護(hù)管理等相關(guān)工作，關(guān)鍵或重要事務(wù)的崗位還應(yīng)配備多人共同管理維護(hù)。

　　第二十三條 針對信息化業(yè)務(wù)系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項(xiàng)應(yīng)當(dāng)建立健全一套完整的審批程序，嚴(yán)格按照審批程序來執(zhí)行審批過程。對重要事務(wù)要建立逐級審批制度，并定期審查審批事項(xiàng)，及時(shí)更新需授權(quán)和審批的項(xiàng)目、審批部門和審批人等信息，并記錄好審批過程并妥善保存好審批文檔。

　　第二十四條 加強(qiáng)學(xué)校信息化建設(shè)領(lǐng)導(dǎo)小組及信息安全管理委員會(huì)組織內(nèi)部的合作與溝通，定期召開協(xié)調(diào)會(huì)議，共同協(xié)作、及時(shí)處理信息安全問題，同時(shí)也應(yīng)加強(qiáng)與外聯(lián)、合作單位(軟件公司，硬件銷售維保單位、通訊運(yùn)營商、公安局、業(yè)界專家、專業(yè)安全公司)等的合作與溝通，并制定外聯(lián)單位聯(lián)系列表。

　　第二十五條 由學(xué)校信息安全管理相關(guān)領(lǐng)導(dǎo)制定一套完善的安全審核和安全檢查制度，以規(guī)范學(xué)校各個(gè)院系、部門相關(guān)人員的安全審核和安全檢查工作。嚴(yán)格督促他們定期按照制度所規(guī)定的程序和流程執(zhí)行各自單位的安全審核和安全檢查工作。

　　第三節(jié) 人員安全策略

　　第二十六條 XX大學(xué)人事處負(fù)責(zé)員工錄用，應(yīng)嚴(yán)格規(guī)范人員的錄用過程，對被錄用人的身份、背景、專業(yè)資格和資質(zhì)等進(jìn)行詳細(xì)審查，對其所具有的技術(shù)技能進(jìn)行嚴(yán)格專業(yè)的考核，并簽署保密協(xié)議。

　　第二十七條 XX大學(xué)全體教職工應(yīng)根據(jù)各自的崗位職責(zé)要求嚴(yán)格履行其安全角色和職責(zé)，主要包括：保護(hù)學(xué)校信息、數(shù)據(jù)資產(chǎn)免受未經(jīng)授權(quán)的訪問、泄漏、惡意篡改、銷毀或干擾，遵照信息安全制度規(guī)定的流程定期執(zhí)行特定的安全檢查工作，報(bào)告檢查過程中發(fā)現(xiàn)的安全事件或存在的其他安全風(fēng)險(xiǎn)。

　　第二十八條 信息化建設(shè)與管理處應(yīng)組織學(xué)校各院系、部處分管領(lǐng)導(dǎo)定期對本單位各個(gè)崗位的人員進(jìn)行安全技能及安全認(rèn)知的考核，對處于學(xué)校重要關(guān)鍵崗位的人員更要定期執(zhí)行全面、嚴(yán)格的安全審查和技能考核。

　　第二十九條 校外單位人員在訪問校內(nèi)信息處理設(shè)施前必須簽署保密協(xié)議，保密協(xié)議內(nèi)容包括校外單位人員訪問信息資產(chǎn)的權(quán)利、承擔(dān)的安全責(zé)任、違反職責(zé)要承擔(dān)的后果等。負(fù)責(zé)接待的人員或部門要保證校外單位人員詳細(xì)了解保密協(xié)議的條款和內(nèi)容，并同意履行協(xié)議規(guī)定的責(zé)任。

　　第三十條 在學(xué)校網(wǎng)絡(luò)與信息資產(chǎn)暴露于重大威脅時(shí)，XX大學(xué)信息化建設(shè)與管理處有關(guān)領(lǐng)導(dǎo)和信息系統(tǒng)管理人員應(yīng)當(dāng)預(yù)見并嚴(yán)格監(jiān)控可能發(fā)生的重大變化，根據(jù)安全事件的類型和級別定義判斷安全事件，及時(shí)指揮、協(xié)調(diào)、督促并審查已經(jīng)發(fā)生的安全事件的處理，并控制其危害蔓延，同時(shí)要負(fù)責(zé)落實(shí)學(xué)校信息安全的各項(xiàng)工作，負(fù)責(zé)學(xué)校各院系、部門信息安全工作的監(jiān)督、考核、指導(dǎo)以及審批。學(xué)校各個(gè)院系、部門相關(guān)分管領(lǐng)導(dǎo)和信息系統(tǒng)管理人員也應(yīng)當(dāng)對一般安全事件的發(fā)生、處理辦法進(jìn)行記錄，并將《安全事件記錄單》及相關(guān)文檔提交信息化建設(shè)與管理處辦公室進(jìn)行備案，處理和匯報(bào)流程參見《安全事件處理流程》。在處理一般安全事件過程中，各個(gè)領(lǐng)導(dǎo)和信息系統(tǒng)管理員都需要對事件的嚴(yán)重程度進(jìn)行判斷，如果已經(jīng)上升到重大安全事件，應(yīng)啟動(dòng)《應(yīng)急響應(yīng)流程》。

　　第三十一條 學(xué)校信息化建設(shè)領(lǐng)導(dǎo)小組應(yīng)制定針對不同人員的培訓(xùn)計(jì)劃，定期開展全校師生和各崗位工作人員的信息安全培訓(xùn)活動(dòng)，培訓(xùn)內(nèi)容包括安全方針、策略、程序以及信息處理設(shè)施的正確使用方法，提高他們的安全意識和安全技能。保證他們都能認(rèn)識到信息安全問題和信息安全事件，清晰地傳達(dá)安全角色和職責(zé)給每個(gè)人,使他們能按照各自的安全角色履行安全職責(zé)。

　　第三十二條 學(xué)校信息安全管理委員會(huì)應(yīng)當(dāng)制定正式的信息安全紀(jì)律處理制度和流程，來嚴(yán)肅處理安全違規(guī)的師生，以對其他師生產(chǎn)生威懾作用，防止他們違反安全策略、程序和其他安全制度違規(guī)。對待違反紀(jì)律人員的處理過程要正確、公平、公正、公開，要根據(jù)違規(guī)的性質(zhì)、嚴(yán)重程度、重要性和對校內(nèi)業(yè)務(wù)的影響大小等因素區(qū)別對待。

　　第三十三條 當(dāng)校內(nèi)員工離職或調(diào)離原來所在崗位、校外單位駐校人員合同期滿時(shí)，應(yīng)立即終止其原來的安全角色和安全職責(zé)，并通知與其工作相關(guān)的其他人員，讓他們能及時(shí)清楚人員的變動(dòng)。

　　第三十四條 當(dāng)校內(nèi)員工離職或調(diào)離原來所在崗位、校外單位駐校人員合同期滿時(shí)，應(yīng)及時(shí)歸還其工作中使用的所有信息資產(chǎn)，如設(shè)備、軟件、文件、相關(guān)工作證件、電子資料等，防止其對資產(chǎn)的非授權(quán)使用，及時(shí)刪除其對校園網(wǎng)內(nèi)信息業(yè)務(wù)系統(tǒng)和信息處理設(shè)施的賬戶和訪問權(quán)限。

　　第四節(jié) 信息化項(xiàng)目范圍和管理

　　第三十五條 信息化項(xiàng)目是指以計(jì)算機(jī)和通信等現(xiàn)代信息技術(shù)為主要手段，直接應(yīng)用于學(xué)校教學(xué)、科研、管理和服務(wù)工作的非涉密的信息系統(tǒng)和相關(guān)基礎(chǔ)設(shè)施建設(shè)。主要包括以下內(nèi)容：

　　1.信息化基礎(chǔ)設(shè)施建設(shè)。包括各類網(wǎng)絡(luò)弱電工程建設(shè)、升級改造、光纜、無線網(wǎng)絡(luò)建設(shè)、各類網(wǎng)絡(luò)接入及安防監(jiān)控系統(tǒng)等。

　　2.信息化軟件系統(tǒng)建設(shè)。包括各類管理和服務(wù)信息系統(tǒng)，涉及全校業(yè)務(wù)范圍的應(yīng)用系統(tǒng)及應(yīng)用平臺(tái)的采購、開發(fā)和集成(不包括僅供部門使用的專業(yè)軟件、操作系統(tǒng))，各類中間件、數(shù)據(jù)庫等建設(shè)以及后期的維護(hù)保養(yǎng)和升級。

　　3.信息化相關(guān)的硬件設(shè)備建設(shè)項(xiàng)目。包括服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)交換機(jī)、路由器、防火墻等設(shè)備的采購，以及后期的維護(hù)保養(yǎng)和升級更換。

　　第三十六條 學(xué)校對信息化項(xiàng)目實(shí)行統(tǒng)籌管理，信息化建設(shè)與管理處負(fù)責(zé)信息化建設(shè)項(xiàng)目具體管理。信息化項(xiàng)目原則上按年度申報(bào)，每年底單位向信息化建設(shè)與管理處報(bào)送下一年建設(shè)計(jì)劃，信息化建設(shè)與管理處匯總、論證后報(bào)學(xué)校信息化建設(shè)領(lǐng)導(dǎo)小組審定。

　　第三十七條 財(cái)務(wù)處負(fù)責(zé)信息化建設(shè)經(jīng)費(fèi)的落實(shí)，負(fù)責(zé)信息化項(xiàng)目經(jīng)費(fèi)的管理，并根據(jù)信息化建設(shè)與管理處階段審核結(jié)果支付階段項(xiàng)目款。

　　第三十八條 實(shí)驗(yàn)室與設(shè)備管理處負(fù)責(zé)信息化建設(shè)項(xiàng)目資產(chǎn)管理，并根據(jù)檔案驗(yàn)收和信息化建設(shè)與管理處組織的專業(yè)驗(yàn)收結(jié)果予以資產(chǎn)入賬。

　　第三十九條 基建處負(fù)責(zé)學(xué)校新建設(shè)樓宇及改造、擴(kuò)建等基建項(xiàng)目中的網(wǎng)絡(luò)建設(shè)項(xiàng)目管理。建設(shè)方案和網(wǎng)絡(luò)項(xiàng)目驗(yàn)收須經(jīng)信息化建設(shè)與管理處審批。

　　第四十條 保衛(wèi)處負(fù)責(zé)學(xué)校安防監(jiān)控系統(tǒng)的建設(shè)與管理，建設(shè)方案須經(jīng)信息化建設(shè)與管理處審批。

　　第四十一條 信息化建設(shè)與管理處負(fù)責(zé)信息化建設(shè)項(xiàng)目的過程控制和文檔管理，須加強(qiáng)項(xiàng)目建設(shè)效果評估并建立項(xiàng)目責(zé)任追究機(jī)制。

　　第五節(jié) 信息化基礎(chǔ)設(shè)施建設(shè)

　　第四十二條 學(xué)校新建、擴(kuò)建和大修樓宇內(nèi)和樓宇之間的綜合布線及基礎(chǔ)網(wǎng)絡(luò)系統(tǒng)由基建處會(huì)同信息化建設(shè)與管理處統(tǒng)一規(guī)劃、立項(xiàng)、采購、建設(shè)，各類安防監(jiān)控系統(tǒng)由基建處會(huì)同保衛(wèi)處統(tǒng)一規(guī)劃、立項(xiàng)、采購、建設(shè)。后期對樓宇綜合布線系統(tǒng)及樓宇網(wǎng)絡(luò)接入設(shè)備的維護(hù)和維修由信息化建設(shè)與管理處負(fù)責(zé)實(shí)施，對安防監(jiān)控系統(tǒng)的維護(hù)和維修由保衛(wèi)處負(fù)責(zé)實(shí)施。

　　第四十三條 建設(shè)單位采購信息化相關(guān)硬件以及接入校園網(wǎng)絡(luò)的相關(guān)設(shè)備應(yīng)選擇業(yè)內(nèi)的主流產(chǎn)品，且須符合校園網(wǎng)的接入標(biāo)準(zhǔn)。全校各單位在組織實(shí)施與校園網(wǎng)聯(lián)接的網(wǎng)絡(luò)布線工程時(shí)，要有設(shè)計(jì)圖紙及施工方案。網(wǎng)絡(luò)布線的設(shè)計(jì)要符合《建筑與建筑群綜合布線系統(tǒng)工程設(shè)計(jì)規(guī)范》。設(shè)計(jì)圖紙及施工方案需報(bào)信息化建設(shè)與管理處審查備案后方可施工。

　　第四十四條 在施工時(shí)要選擇有資質(zhì)的施工隊(duì)伍，施工人員應(yīng)受過專業(yè)的培訓(xùn)，施工工藝要符合工程的驗(yàn)收規(guī)范。在施工過程中和施工結(jié)束驗(yàn)收時(shí)，應(yīng)按《建筑與建筑群綜合布線系統(tǒng)工程驗(yàn)收規(guī)范》進(jìn)行驗(yàn)收。施工驗(yàn)收前，施工人員必須對每一條線路進(jìn)行測試，形成測試數(shù)據(jù)文檔。在工程結(jié)束后，施工單位必須建立完整的布線文檔，文檔中應(yīng)清楚的標(biāo)注每一個(gè)信息點(diǎn)的位置及接入校園網(wǎng)的路由。

　　第四十五條 校園網(wǎng)基礎(chǔ)設(shè)施和應(yīng)用建設(shè)完成后，建設(shè)單位應(yīng)向信息化建設(shè)與管理處提交施工圖、布線文檔和測試報(bào)告文檔。如果不能完整提供以上文檔，信息處有權(quán)拒絕該新建網(wǎng)絡(luò)接入校園網(wǎng)。任何校園網(wǎng)基礎(chǔ)設(shè)施和應(yīng)用建設(shè)完成后都必須經(jīng)過信息化建設(shè)與管理處驗(yàn)收合格后方可接入校園網(wǎng)。

　　第四十六條 為提高網(wǎng)絡(luò)服務(wù)器和存儲(chǔ)系統(tǒng)的利用率，便于管理，網(wǎng)絡(luò)服務(wù)器和存儲(chǔ)系統(tǒng)由信息化建設(shè)與管理處統(tǒng)一規(guī)劃，實(shí)行集中管理和維護(hù)，原則上各單位不得單獨(dú)采購。

　　第六節(jié) 信息化軟件系統(tǒng)建設(shè)

　　第四十七條 信息化軟件系統(tǒng)建設(shè)項(xiàng)目可采用自主研發(fā)、合作開發(fā)、外包、采購等方式進(jìn)行建設(shè)。無論采取何種方式，都必須執(zhí)行學(xué)校的信息化建設(shè)規(guī)范和標(biāo)準(zhǔn)，以便各個(gè)應(yīng)用系統(tǒng)能有效地實(shí)現(xiàn)信息交換和資源共享，保證數(shù)據(jù)的一致性和完整性。對于需要身份驗(yàn)證的系統(tǒng)，必須與信息化建設(shè)與管理處統(tǒng)一身份認(rèn)證系統(tǒng)相集成。信息系統(tǒng)建設(shè)前，還應(yīng)明確該系統(tǒng)的邊界和安全保護(hù)等級，并明確說明該系統(tǒng)為某個(gè)安全保護(hù)等級的方法和理由，同時(shí)組織信息處和信息化咨詢專家小組的專家對信息系統(tǒng)定級結(jié)果的合理性和正確性進(jìn)行論證和審定，再對定級結(jié)果予以批準(zhǔn)。

　　第四十八條 信息化建設(shè)與管理處負(fù)責(zé)對信息系統(tǒng)建設(shè)的質(zhì)量和進(jìn)度進(jìn)行全程監(jiān)控、管理和協(xié)調(diào)，包括需求分析、技術(shù)方案制定、系統(tǒng)開發(fā)或購置、安裝及測試等階段，還要負(fù)責(zé)對信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃，制定近期和遠(yuǎn)期的安全建設(shè)工作計(jì)劃。根據(jù)信息系統(tǒng)之前劃分的安全保護(hù)等級，統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計(jì)方案，并形成配套文件。

　　第四十九條 項(xiàng)目申請和立項(xiàng)。信息系統(tǒng)軟件申請單位要進(jìn)行廣泛的需求調(diào)研，明確建設(shè)目標(biāo)，進(jìn)行業(yè)務(wù)流程梳理和優(yōu)化，填寫立項(xiàng)申請書，報(bào)信息化建設(shè)與管理處，由信息化建設(shè)與管理處根據(jù)信息化建設(shè)規(guī)劃對該項(xiàng)目的系統(tǒng)需求、可行性研究和項(xiàng)目計(jì)劃進(jìn)行論證和審核。經(jīng)費(fèi)額度較大或涉及面廣的需報(bào)分管校領(lǐng)導(dǎo)審定，同時(shí)還要組織信息化咨詢小組有關(guān)專家對總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件的合理性和正確性進(jìn)行論證和審定，并且經(jīng)過批準(zhǔn)后，才能正式實(shí)施。

　　第五十條 業(yè)務(wù)系統(tǒng)的開發(fā)、測試和運(yùn)行設(shè)施要分離并進(jìn)行控制，控制措施包括敏感數(shù)據(jù)不能拷貝到測試系統(tǒng)環(huán)境中、禁止開發(fā)和測試人員訪問運(yùn)行系統(tǒng)及其信息等，以減少對運(yùn)行設(shè)施及其信息的未授權(quán)訪問和帶來的潛在風(fēng)險(xiǎn)。

　　第五十一條 定期根據(jù)外包服務(wù)協(xié)議中的安全要求，監(jiān)視、評審由外部單位提供的服務(wù)、報(bào)告和記錄，監(jiān)督協(xié)議規(guī)定的信息安全條款和條件的嚴(yán)格執(zhí)行。監(jiān)視、評審內(nèi)容包括監(jiān)視服務(wù)執(zhí)行效率，評審服務(wù)報(bào)告，審查外包服務(wù)的安全事件、操作問題、故障、失誤追蹤和破壞的記錄。

　　第五十二條 授權(quán)專門的部門或人員負(fù)責(zé)工程實(shí)施過程的管理，工程實(shí)施前應(yīng)制定詳細(xì)的工程實(shí)施方案控制實(shí)施過程，并要求工程實(shí)施單位能正式地執(zhí)行安全工程過程，并制定工程實(shí)施方面的管理制度，明確說明實(shí)施過程的控制方法和人員行為準(zhǔn)則。

　　第五十三條 新業(yè)務(wù)系統(tǒng)或升級版本在正式上線前，要進(jìn)行合適的測試，并由信息化建設(shè)與管理處組織相關(guān)專家人員根據(jù)學(xué)校信息化建設(shè)標(biāo)準(zhǔn)與規(guī)范和驗(yàn)收要求、標(biāo)準(zhǔn)進(jìn)行正式的驗(yàn)收，以證實(shí)全部驗(yàn)收準(zhǔn)則完全被滿足。對于驗(yàn)收合格的項(xiàng)目方可按合同約定支付項(xiàng)目進(jìn)度款。

　　第五十四條 系統(tǒng)建設(shè)完成后應(yīng)制定詳細(xì)的系統(tǒng)交付清單，并根據(jù)交付清單對所交接的設(shè)備、軟件和文檔等進(jìn)行清點(diǎn);應(yīng)提供系統(tǒng)建設(shè)過程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)行維護(hù)的文檔，同時(shí)對負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)。

　　第五十五條 信息化建設(shè)與管理處辦公室負(fù)責(zé)管理系統(tǒng)定級的相關(guān)材料，并控制這些材料的使用;將系統(tǒng)等級及相關(guān)材料報(bào)系統(tǒng)主管部門和相應(yīng)公安機(jī)關(guān)備案。

　　第五十六條 信息化建設(shè)與管理處辦公室負(fù)責(zé)信息系統(tǒng)等級測評的管理，并在系統(tǒng)運(yùn)行過程中，對三級信息系統(tǒng)應(yīng)每年進(jìn)行一次等級測評，應(yīng)選擇具有國家相關(guān)技術(shù)資質(zhì)和安全資質(zhì)的測評單位，發(fā)現(xiàn)不符合相應(yīng)等級保護(hù)標(biāo)準(zhǔn)要求的及時(shí)整改;同時(shí)在系統(tǒng)發(fā)生變更時(shí)及時(shí)對系統(tǒng)進(jìn)行等級測評，發(fā)現(xiàn)級別發(fā)生變化的及時(shí)調(diào)整級別并進(jìn)行安全改造，發(fā)現(xiàn)不符合相應(yīng)等級保護(hù)標(biāo)準(zhǔn)要求的及時(shí)整改。

　　第五十七條 在選擇安全服務(wù)商時(shí)應(yīng)符合國家的有關(guān)規(guī)定，并與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議，明確約定相關(guān)責(zé)任，同時(shí)確保選定的安全服務(wù)商提供技術(shù)培訓(xùn)和服務(wù)承諾，必要的與其簽訂服務(wù)合同。

　　第七節(jié) 信息安全運(yùn)維策略

　　第五十八條 所有的信息資產(chǎn)要指定專人責(zé)任，并對責(zé)任人賦予相應(yīng)的職責(zé)，確保所有信息資產(chǎn)都可以核查。

　　第五十九條 根據(jù)信息資產(chǎn)的重要性、業(yè)務(wù)價(jià)值、依賴程度，對所有信息資產(chǎn)進(jìn)行分類、分級，編制信息資產(chǎn)的清單。對信息資產(chǎn)清單妥善保管，并在信息資產(chǎn)變更時(shí)及時(shí)更新清單，確保可以對信息資產(chǎn)進(jìn)行有效的保護(hù)。

　　第六十條 應(yīng)對磁帶、磁盤、閃盤、可移動(dòng)硬件驅(qū)動(dòng)器、CD、DVD、打印媒體等進(jìn)行有效的管理，防止非授權(quán)的使用和破壞。對可移動(dòng)存儲(chǔ)介質(zhì)的管理包括所有介質(zhì)應(yīng)存儲(chǔ)在符合制造商說明的安全、保密環(huán)境中，使用介質(zhì)要進(jìn)行授權(quán)、登記并追蹤審計(jì)等。

　　第六十一條 應(yīng)對不再需要的數(shù)據(jù)介質(zhì)進(jìn)行安全處置，降低數(shù)據(jù)介質(zhì)中的敏感信息泄漏給未授權(quán)人員的風(fēng)險(xiǎn)。

　　第六十二條 應(yīng)對信息系統(tǒng)相關(guān)的各種設(shè)備(包括備份和冗余設(shè)備)、線路等指定專門的部門或人員定期進(jìn)行維護(hù)管理。

　　第六十三條 應(yīng)建立配套設(shè)施、軟硬件維護(hù)方面的管理制度，對其維護(hù)進(jìn)行有效的管理，包括明確維護(hù)人員的責(zé)任、涉外維修和服務(wù)的審批、維修過程的監(jiān)督控制等，應(yīng)確保信息處理設(shè)備必須經(jīng)過審批才能帶離機(jī)房或辦公地點(diǎn)。

　　第六十四條 應(yīng)對通信線路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行監(jiān)測和報(bào)警，形成記錄并妥善保存;同時(shí)組織相關(guān)人員定期對監(jiān)測和報(bào)警記錄進(jìn)行分析、評審，發(fā)現(xiàn)可疑行為，形成分析報(bào)告，并采取必要的應(yīng)對措施。

　　第六十五條 指定專人對網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測并保存檢測記錄;定期檢查信息系統(tǒng)內(nèi)各種產(chǎn)品的惡意代碼庫的升級情況并進(jìn)行記錄，對主機(jī)防病毒產(chǎn)品、防病毒網(wǎng)關(guān)和郵件防病毒網(wǎng)關(guān)上截獲的危險(xiǎn)病毒或惡意代碼進(jìn)行及時(shí)分析處理，并形成書面的報(bào)表和總結(jié)匯報(bào)。

　　第六十六條 應(yīng)建立信息系統(tǒng)變更管理制度，某一信息系統(tǒng)發(fā)生變更前，需制定好完善的變更方案，同時(shí)向信息化建設(shè)與管理處主管領(lǐng)導(dǎo)提出申請。信息系統(tǒng)的變更方案應(yīng)經(jīng)過相關(guān)領(lǐng)導(dǎo)、信息專家評審、審批后方可實(shí)施變更，并在實(shí)施后將變更情況向相關(guān)業(yè)務(wù)人員通告。

　　第六十七條 信息化建設(shè)與管理處應(yīng)遵照信息安全事故報(bào)告機(jī)制，報(bào)告可能對學(xué)校的信息資產(chǎn)安全造成影響的不同種類的安全事故和弱點(diǎn)，并確保全校所有的師生、合同方和外部單位人員都遵守執(zhí)行這套報(bào)告程序。

　　第六十八條 信息化建設(shè)與管理處對安全事故進(jìn)行分類和分級，及時(shí)對信息安全事故的類型、頻率和影響等進(jìn)行評估，并采取適當(dāng)措施防止事故再次發(fā)生。

　　第六十九條 信息化建設(shè)與管理處應(yīng)建立應(yīng)急預(yù)案，在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同事件的應(yīng)急預(yù)案，應(yīng)急預(yù)案框架應(yīng)包括啟動(dòng)應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容;同時(shí)應(yīng)從人力、設(shè)備、技術(shù)和財(cái)務(wù)等方面確保應(yīng)急預(yù)案的執(zhí)行有足夠的資源保障。

　　第八節(jié) 物理安全策略

　　第七十條 信息化建設(shè)與管理處下屬的網(wǎng)絡(luò)與教育技術(shù)中心信息信息系統(tǒng)部負(fù)責(zé)學(xué)校數(shù)據(jù)服務(wù)器主要機(jī)房的安全，并配備機(jī)房安全管理人員，對機(jī)房的出入、服務(wù)器的開機(jī)或關(guān)機(jī)等工作進(jìn)行管理。

　　第七十一條 信息系統(tǒng)部管理人員應(yīng)定期對機(jī)房供配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行維護(hù)管理。

　　第七十二條 信息系統(tǒng)部應(yīng)建立一套機(jī)房安全管理制度，對有關(guān)機(jī)房物理訪問，物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面的管理作出規(guī)定。

　　第七十三條 信息系統(tǒng)部應(yīng)在機(jī)房內(nèi)設(shè)置安全防盜報(bào)警裝置和監(jiān)控系統(tǒng)來實(shí)現(xiàn)防盜、防毀、保障設(shè)備的安全。

　　第七十四條 信息系統(tǒng)部應(yīng)按照相關(guān)設(shè)計(jì)規(guī)范和技術(shù)要求，在機(jī)房設(shè)計(jì)和建設(shè)中做好靜電防護(hù)設(shè)施、防雷裝置和接地保護(hù)系統(tǒng)。

　　第七十五條 學(xué)校各機(jī)房都必須建立警報(bào)系統(tǒng)，在發(fā)現(xiàn)擅自進(jìn)入受控區(qū)域時(shí)發(fā)出警報(bào)。

　　第七十六條 信息系統(tǒng)部有關(guān)管理人員應(yīng)定期對服務(wù)器上的重要數(shù)據(jù)要進(jìn)行備份，備份數(shù)據(jù)的存放位置應(yīng)符合GBJ45-82中規(guī)定的一級耐火等級，符合防火、防高溫、防水、防震等要求;還要定期對備份數(shù)據(jù)進(jìn)行檢查，保證其可用性。

　　第九節(jié) 主機(jī)安全策略

　　第七十七條 學(xué)校各院系、處室應(yīng)指定專門的信息管理員對本單位的網(wǎng)站主頁、信息業(yè)務(wù)系統(tǒng)進(jìn)行管理，劃分清楚系統(tǒng)管理員角色，明確各個(gè)角色的權(quán)限、責(zé)任和風(fēng)險(xiǎn)，權(quán)限設(shè)定應(yīng)當(dāng)遵循最小授權(quán)原則;并建立系統(tǒng)安全管理制度，對系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面作出具體規(guī)定;同時(shí)依據(jù)操作手冊對系統(tǒng)進(jìn)行維護(hù)，詳細(xì)記錄操作日志，包括重要的日常操作、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置和修改等內(nèi)容，嚴(yán)禁進(jìn)行未經(jīng)授權(quán)的操作。

　　第七十八條 應(yīng)提高學(xué)校全體師生用戶的防病毒意識，安裝防病毒軟件，及時(shí)告知防病毒軟件版本，在讀取移動(dòng)存儲(chǔ)設(shè)備上的數(shù)據(jù)以及網(wǎng)絡(luò)上接收文件或郵件之前，先進(jìn)行病毒檢查，對外來計(jì)算機(jī)或存儲(chǔ)設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前也應(yīng)進(jìn)行病毒檢查。

　　第七十九條 當(dāng)因?qū)W校內(nèi)外部審核、軟件開發(fā)、軟件安裝或其他規(guī)定需求而需要特殊的訪問賬號時(shí)，賬號必須被授權(quán);創(chuàng)建的日期期限必須明確;工作結(jié)束時(shí)此賬號必須刪除。

　　第八十條 校園網(wǎng)內(nèi)信息系統(tǒng)的所有賬號都必須使用分配的用戶進(jìn)行唯一性標(biāo)識。

　　第八十一條 網(wǎng)絡(luò)與教育技術(shù)中心應(yīng)派專人負(fù)責(zé)刪除無用的個(gè)人賬號;必須將修改用戶賬號相關(guān)信息的過程文件化;必須定期評審現(xiàn)有賬號的有效性，并將此過程文件化。

　　第八十二條 校園網(wǎng)內(nèi)用戶安裝操作系統(tǒng)時(shí)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。

　　第八十三條 網(wǎng)絡(luò)與教育技術(shù)中心信息系統(tǒng)部應(yīng)定期的對服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用戶進(jìn)行審計(jì)，審計(jì)內(nèi)容包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件。

　　第八十四條 相關(guān)技術(shù)人員在訪問操作系統(tǒng)過程中，對于不活動(dòng)的會(huì)話必須設(shè)定在一個(gè)不活動(dòng)周期后關(guān)閉，以防止未授權(quán)人員訪問和拒絕服務(wù)攻擊。

　　第八十五條 對于系統(tǒng)管理員和系統(tǒng)操作員的操作日志應(yīng)做好記錄，并定期評審這些日志信息。系統(tǒng)管理員和系統(tǒng)操作員的日志應(yīng)包括事件發(fā)生的時(shí)間，涉及的帳號和管理員或操作員，事件或故障的信息內(nèi)容等信息。

　　第十節(jié) 網(wǎng)絡(luò)安全策略

　　第八十六條 網(wǎng)絡(luò)與教育技術(shù)中心應(yīng)建立網(wǎng)絡(luò)安全管理制度，對網(wǎng)絡(luò)安全配置、日志保存時(shí)間、安全策略、升級與打補(bǔ)丁、口令更新周期等方面作出規(guī)定;同時(shí)應(yīng)指定專人對網(wǎng)絡(luò)進(jìn)行管理，負(fù)責(zé)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和報(bào)警信息分析和處理工作;應(yīng)實(shí)現(xiàn)設(shè)備的最小服務(wù)配置，并對配置文件進(jìn)行定期離線備份;

　　第八十七條 網(wǎng)絡(luò)與教育技術(shù)中心信息系統(tǒng)部應(yīng)定期對網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描，對發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進(jìn)行及時(shí)的修補(bǔ);應(yīng)根據(jù)廠家提供的軟件升級版本對網(wǎng)絡(luò)設(shè)備進(jìn)行更新，并在更新前對現(xiàn)有的重要文件進(jìn)行備份。

　　第八十八條 信息系統(tǒng)部應(yīng)保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準(zhǔn);并依據(jù)安全策略允許或者拒絕便攜式和移動(dòng)式設(shè)備的網(wǎng)絡(luò)接入;同時(shí)定期檢查違反規(guī)定撥號上網(wǎng)或其他違反網(wǎng)絡(luò)安全策略的行為。

　　第八十九條 校園網(wǎng)內(nèi)所有用戶的計(jì)算機(jī)設(shè)備如果無人值守必須啟動(dòng)口令保護(hù)(屏保或注銷)。

　　第九十條 校園網(wǎng)絡(luò)基礎(chǔ)設(shè)施支持一系列合理定義的、被認(rèn)可的網(wǎng)絡(luò)協(xié)議，使用任何未經(jīng)認(rèn)可的協(xié)議都必須經(jīng)過批準(zhǔn)。

　　第九十一條 校園防火墻必須按照防火墻實(shí)施規(guī)范文件進(jìn)行安裝和配置。

　　第九十二條 校內(nèi)人員未經(jīng)批準(zhǔn)不可以安裝路由器、交換機(jī)、集線器或者無線訪問端口。

　　第九十三條 在未經(jīng)批準(zhǔn)的情況下，校內(nèi)網(wǎng)用戶不得安裝網(wǎng)絡(luò)硬件或軟件提供網(wǎng)絡(luò)服務(wù)。

　　第九十四條 網(wǎng)絡(luò)與教育技術(shù)中心信息系統(tǒng)部應(yīng)在網(wǎng)絡(luò)邊界、安全域之間使用防火墻或VLAN進(jìn)行邏輯隔離和訪問控制，使用網(wǎng)絡(luò)安全審計(jì)系統(tǒng)對網(wǎng)絡(luò)訪問行為進(jìn)行記錄、監(jiān)視和回放，保證對網(wǎng)絡(luò)進(jìn)行充分的管理和控制，防止威脅的發(fā)生，維護(hù)業(yè)務(wù)系統(tǒng)和信息的安全。

　　第九十五條 對于校內(nèi)記錄日志的設(shè)施和日志信息應(yīng)加以保護(hù)，防止被篡改和未授權(quán)訪問。

　　第十一節(jié) 應(yīng)用安全策略

　　第九十六條 校園網(wǎng)內(nèi)所有訪問應(yīng)用的賬號都必須使用分配的用戶進(jìn)行唯一性標(biāo)識。

　　第九十七條 基于各個(gè)業(yè)務(wù)應(yīng)用要求，應(yīng)嚴(yán)格限制用戶對信息和應(yīng)用系統(tǒng)功能的訪問權(quán)限，防止對信息系統(tǒng)的未授權(quán)訪問。

　　第九十八條 對校內(nèi)所有應(yīng)用系統(tǒng)進(jìn)行安全訪問的控制。

　　第九十九條 對校內(nèi)所有應(yīng)用系統(tǒng)自身產(chǎn)生的日志文件與系統(tǒng)日志進(jìn)行審計(jì)，記錄用戶活動(dòng)、異常和信息安全事件的日志信息，并保留一定的時(shí)間，以支持將來的調(diào)查和審計(jì)。

　　第十二節(jié) 數(shù)據(jù)安全和備份恢復(fù)策略

　　第百條 校內(nèi)所有信息系統(tǒng)的用戶部門要建立備份與恢復(fù)管理相關(guān)的安全管理制度，對備份信息的備份方式、備份頻度、存儲(chǔ)介質(zhì)和保存期等進(jìn)行規(guī)范。

　　第百一條 校內(nèi)所有信息系統(tǒng)的用戶部門應(yīng)采用加密或其他保護(hù)措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸和存儲(chǔ)的保密性。

　　第百二條 校內(nèi)所有信息系統(tǒng)的用戶部門應(yīng)制定詳細(xì)的備份策略，使用足夠的備份設(shè)施，定期對業(yè)務(wù)數(shù)據(jù)進(jìn)行備份，確保業(yè)務(wù)數(shù)據(jù)在災(zāi)難或媒體故障后能及時(shí)進(jìn)行恢復(fù)，保存期限至少2年。

　　第百三條 備份的數(shù)據(jù)由網(wǎng)管人員負(fù)責(zé)保管，備份的數(shù)據(jù)應(yīng)在指定的數(shù)據(jù)保管室或指定的場所保管。

　　第百四條 備份數(shù)據(jù)資料保管地點(diǎn)應(yīng)有防火、防熱、防潮、防塵、防磁、防盜設(shè)施。

篇3：大學(xué)網(wǎng)絡(luò)與信息安全管理暫行辦法

　　XX大學(xué)網(wǎng)絡(luò)與信息安全管理暫行辦法

　　第一章 總 則

　　第一條 為了加強(qiáng)我校網(wǎng)絡(luò)與信息安全管理工作,根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(國務(wù)院令第147號)、《中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》(公安部令第33號)和《信息安全等級保護(hù)管理辦法》(公通字〔2007〕43號)等規(guī)定，結(jié)合學(xué)校實(shí)際，特制定本管理辦法。

　　第二條 本管理辦法所引用的術(shù)語的含義按第一條所引用的國家法律法規(guī)解析。

　　第三條 學(xué)校的全體教職員工都有義務(wù)和責(zé)任認(rèn)真執(zhí)行本管理規(guī)定，必須遵守國家有關(guān)法律、法規(guī)，嚴(yán)格執(zhí)行安全保密制度，并對所使用的計(jì)算機(jī)的管理、使用行為與所提供的網(wǎng)上信息負(fù)責(zé)。

　　第四條 學(xué)校將根據(jù)國家有關(guān)計(jì)算機(jī)網(wǎng)絡(luò)與信息安全的法律與法規(guī)的變動(dòng)情況，適時(shí)修改本規(guī)定的內(nèi)容。

　　第五條 學(xué)校各單位應(yīng)積極采取各種技術(shù)和行政手段以保障我校網(wǎng)絡(luò)與信息安全。

　　第六條 學(xué)校網(wǎng)絡(luò)與信息安全工作接受并配合國家有關(guān)部門依法進(jìn)行監(jiān)督檢查。

　　第二章 管理機(jī)構(gòu)與職能

　　第七條 網(wǎng)絡(luò)與信息安全工作實(shí)行統(tǒng)一領(lǐng)導(dǎo)、統(tǒng)一規(guī)劃、分級管理制度。

　　第八條 學(xué)校設(shè)立網(wǎng)絡(luò)與信息安全工作領(lǐng)導(dǎo)小組，由校領(lǐng)導(dǎo)、信息化建設(shè)與管理處、校長辦公室、國際交流合作處、學(xué)生處、后勤與資產(chǎn)管理處、保衛(wèi)處、宣傳部、華文學(xué)院等單位組成。網(wǎng)絡(luò)與信息安全的日常管理工作由信息化建設(shè)與管理處負(fù)責(zé)，信息和新媒體內(nèi)容安全工作由宣傳部負(fù)責(zé)，其它安全工作由相應(yīng)職能單位對口負(fù)責(zé)。

　　第九條 網(wǎng)絡(luò)與信息安全工作領(lǐng)導(dǎo)小組負(fù)責(zé)學(xué)校的網(wǎng)絡(luò)與信息安全的領(lǐng)導(dǎo)工作，制定整體規(guī)劃和各項(xiàng)管理制度，研究解決網(wǎng)絡(luò)與信息安全管理中的重大問題，在學(xué)校校園安全與穩(wěn)定工作領(lǐng)導(dǎo)小組的指導(dǎo)下，對學(xué)校網(wǎng)絡(luò)與信息安全建設(shè)和管理工作進(jìn)行總體部署。

　　第十條 學(xué)校網(wǎng)絡(luò)與信息安全工作按照“誰主管、誰負(fù)責(zé)，誰運(yùn)行、誰負(fù)責(zé)，誰使用、誰負(fù)責(zé)”的原則明確責(zé)任主體。各單位主要領(lǐng)導(dǎo)為本單位網(wǎng)絡(luò)與信息安全的責(zé)任人。

　　第十一條 各單位要高度重視網(wǎng)絡(luò)與信息安全保護(hù)工作，成立組織機(jī)構(gòu)，明確分管領(lǐng)導(dǎo)，配備專(兼)職網(wǎng)絡(luò)與信息安全員(原則上須設(shè)AB崗)，統(tǒng)一負(fù)責(zé)本單位的網(wǎng)絡(luò)與信息安全管理工作，并報(bào)信息化建設(shè)與管理處備案。

　　第十二條 各單位的網(wǎng)絡(luò)與信息安全組織機(jī)構(gòu)負(fù)責(zé)本單位(及下屬單位)的網(wǎng)站、信息系統(tǒng)、新媒體等的網(wǎng)絡(luò)與信息安全保護(hù)工作，落實(shí)網(wǎng)站、信息系統(tǒng)各項(xiàng)安全保護(hù)措施，保障網(wǎng)站、信息系統(tǒng)的安全穩(wěn)定運(yùn)行。

　　第十三條 信息化建設(shè)與管理處統(tǒng)籌規(guī)劃和指導(dǎo)全校各單位信息系統(tǒng)等級保護(hù)的定級與評測等工作，負(fù)責(zé)學(xué)校重要網(wǎng)絡(luò)基礎(chǔ)設(shè)施與數(shù)據(jù)中心安全運(yùn)維和技術(shù)防護(hù)。

　　第三章 網(wǎng)絡(luò)與信息安全工作制度

　　第十四條 學(xué)校各單位網(wǎng)站的建設(shè)與管理按照《XX大學(xué)網(wǎng)站建設(shè)與運(yùn)行管理辦法(試行)》(委宣〔2016〕22號)的有關(guān)規(guī)定執(zhí)行，嚴(yán)禁未經(jīng)許可私設(shè)網(wǎng)站。

　　第十五條 學(xué)校所有提供互聯(lián)網(wǎng)訪問許可的設(shè)備必須托管至學(xué)校數(shù)據(jù)中心或由數(shù)據(jù)中心提供相應(yīng)硬件設(shè)備，并按等級保護(hù)要求落實(shí)網(wǎng)絡(luò)與信息安全防護(hù)措施。

　　第十六條 學(xué)校各單位原則上不得自建服務(wù)器，確實(shí)因工作需要開通內(nèi)網(wǎng)訪問許可的，應(yīng)按照等級保護(hù)要求落實(shí)網(wǎng)絡(luò)與信息安全防護(hù)措施，并報(bào)網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組審批后，信息化建設(shè)與管理處予以備案監(jiān)管。

　　第十七條 學(xué)校各單位網(wǎng)絡(luò)與信息安全工作責(zé)任人和安全員應(yīng)做好本單位的網(wǎng)站和信息系統(tǒng)的日常安全管理工作。對系統(tǒng)的架構(gòu)、設(shè)備、密碼、用戶信息、重要數(shù)據(jù)等做好備案工作。在調(diào)離本單位工作時(shí)，應(yīng)移交上述材料，并對上述信息負(fù)有保密責(zé)任。

　　第十八條 學(xué)校各單位與計(jì)算機(jī)用戶應(yīng)做好計(jì)算機(jī)的病毒防范工作。定期查毒。使用計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行文件與數(shù)據(jù)傳輸時(shí)，應(yīng)該做好病毒的清查工作。在計(jì)算機(jī)軟件與硬件使用前，應(yīng)做好病毒與其它有害數(shù)據(jù)的檢測工作。

　　第十九條 任何單位和個(gè)人，不得從事下列活動(dòng)：

　　(1)利用計(jì)算機(jī)信息網(wǎng)絡(luò)制作、傳播、復(fù)制反動(dòng)與黃色等有害信息;

　　(2)非法侵入網(wǎng)絡(luò)系統(tǒng)與信息系統(tǒng);

　　(3)非法竊取計(jì)算機(jī)與網(wǎng)絡(luò)系統(tǒng)中信息資源;

　　(4)違反國家規(guī)定，對計(jì)算機(jī)信息系統(tǒng)功能進(jìn)行增加、刪除、修改、干擾，影響計(jì)算機(jī)信息系統(tǒng)正常運(yùn)行;

　　(5)違反國家規(guī)定，對計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行增加、刪除、修改、復(fù)制等;

　　(6)未經(jīng)授權(quán)查閱他人電子郵箱;

　　(7)未經(jīng)批準(zhǔn)，私設(shè)網(wǎng)站與發(fā)布信息。

　　(8)冒用他人名義發(fā)送電子郵件;

　　(9)故意干擾計(jì)算機(jī)信息網(wǎng)絡(luò)暢通;

　　(10)瀏覽反動(dòng)、黃色的網(wǎng)站。

　　第二十條 各單位對出現(xiàn)的網(wǎng)絡(luò)與信息安全事故，應(yīng)第一時(shí)間上報(bào)保衛(wèi)處與信息化建設(shè)與管理處并逐級向上級如實(shí)匯報(bào)，不得隱瞞。

　　第二十一條 信息化建設(shè)與管理處定期舉行網(wǎng)絡(luò)與信息安全的政策學(xué)習(xí)與技術(shù)培訓(xùn)等活動(dòng)。

　　第四章 應(yīng)急處置

　　第二十二條 建立健全學(xué)校網(wǎng)絡(luò)與信息安全事件應(yīng)急工作機(jī)制，提高應(yīng)對網(wǎng)絡(luò)與信息安全事件的應(yīng)急處置能力，預(yù)防和網(wǎng)絡(luò)與信息安全事件造成的損失和危害，維護(hù)學(xué)校穩(wěn)定和健康發(fā)展。

　　第二十三條 學(xué)校網(wǎng)絡(luò)與信息安全事件應(yīng)急處置的總體原則如下：

　　(1)統(tǒng)一指揮、協(xié)同處理。在學(xué)校網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組的統(tǒng)一領(lǐng)導(dǎo)下，各單位合理分工，相互協(xié)作，形成快速、穩(wěn)妥地處置網(wǎng)絡(luò)與信息安全事件的工作機(jī)制;

　　(2)落實(shí)責(zé)任、健全機(jī)制。按照職責(zé)劃分，分級處理，層層落實(shí)，共同做好網(wǎng)絡(luò)與信息安全事件的預(yù)防和處置工作;

　　(3)預(yù)防為主、嚴(yán)格監(jiān)控。以預(yù)防為主，加強(qiáng)風(fēng)險(xiǎn)排查，減少故障隱患，做好應(yīng)急處置的各項(xiàng)準(zhǔn)備。嚴(yán)格執(zhí)行監(jiān)控值守制度，確保故障風(fēng)險(xiǎn)及早發(fā)現(xiàn)。

　　(4)果斷處置、有效應(yīng)對。發(fā)生網(wǎng)絡(luò)與信息安全事件時(shí)要按應(yīng)急報(bào)告流程及時(shí)報(bào)告，快速啟動(dòng)應(yīng)急預(yù)案進(jìn)行應(yīng)急處置，最大程度減少網(wǎng)絡(luò)與信息安全事件造成的危害和影響;

　　(5)及時(shí)報(bào)告，聯(lián)絡(luò)暢通。明確突發(fā)事件報(bào)告路線和報(bào)告渠道，一旦發(fā)生突發(fā)事件或出現(xiàn)潛在的危機(jī)事件，要保證能及時(shí)通知到相關(guān)人員。

　　第二十四條 學(xué)校各單位要加強(qiáng)網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案的培訓(xùn)工作，提高教職員工防范意識及應(yīng)對技能。

　　第二十五條 學(xué)校各單位至少每半年開展一次對本單位預(yù)案的演練工作，信息化建設(shè)管理處至少每季度開展一次針對全校網(wǎng)絡(luò)與信息安全事件的應(yīng)急演練工作，提高突發(fā)事件解決能力，檢驗(yàn)和完善預(yù)案，并將演練情況報(bào)網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組備案。

　　第五章 獎(jiǎng)勵(lì)與處罰

　　第二十六條 學(xué)校網(wǎng)絡(luò)與信息安全工作領(lǐng)導(dǎo)小組負(fù)責(zé)督查全校的網(wǎng)絡(luò)與信息網(wǎng)絡(luò)安全工作，并根據(jù)督查情況對相關(guān)單位采取“限期整改”“強(qiáng)制關(guān)停”等措施，對整改不到位的單位進(jìn)行“負(fù)責(zé)人約談”“通報(bào)批評”，情節(jié)嚴(yán)重的，由公安機(jī)關(guān)依法追究相關(guān)單位及責(zé)任人的法律責(zé)任。

　　第二十七條 各單位應(yīng)把網(wǎng)絡(luò)與信息安全工作納入日常工作，簽署《網(wǎng)站與信息安全責(zé)任書》(見附件)，并由有關(guān)單位進(jìn)行年終考評，對工作完成突出的單位與個(gè)人進(jìn)行表彰和獎(jiǎng)勵(lì)，對工作落實(shí)不到位的單位提出整改、批評、警告等。

　　第六章 附則

　　第二十八條 本辦法自公布之日起施行，原《XX大學(xué)校園網(wǎng)絡(luò)安全與信息管理規(guī)定》(華大信〔2013〕1號)同時(shí)廢止。

　　第二十九條 本管理辦法未盡事宜由學(xué)校網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)解釋。

　　附件：網(wǎng)站和信息系統(tǒng)安全責(zé)任書