XX大學信息安全第三方人員安全管理辦法

　　第一章 總則

　　第一條 制度目標：為了加強信息安全保障能力，建立健全安全管理體系，提高整體的網絡與信息安全水平，保證網絡通信暢通和業務系統的正常運營，提高網絡服務質量，在安全體系框架下，本制度有效防范第三方人員(非師生用戶)進入帶來的安全風險、加強和規范各部門對第三方人員的安全管理、提供第三方人員在活動時所要遵守的行為準則。

　　第二條 適用范圍：本制度適用于XX大學所有部門。

　　第三條 制度相關性：本制度中規定第三方人員同時需要遵守其他各項安全管理規定，主要相關安全制度如下：《XX大學網絡安全管理制度匯編計算機病毒防護管理辦法》 ;《XX大學網絡安全管理制度匯編計算機終端維護管理辦法》 ;《XX大學網絡安全管理制度匯編賬號口令及權限管理辦法》 ;《XX大學網絡安全管理制度匯編安全事件管理辦法》 ;《XX大學網絡安全管理制度匯編應急響應管理辦法》。

　　第二章 第三方人員定義及風險

　　第一節 第三方人員定義

　　第四條 第三方人員包括為軟件開發商、產品供應商、系統集成商、設備維護商和服務提供商等非本單位人員。

　　第五條 第三方人員管理的范疇包括臨時第三方人員和長期第三方人員。

　　第六條 臨時第三方人員指因業務洽談、技術交流、業務訪問、提供短期和不頻繁的技術支持服務而臨時來訪的第三方人員。

　　第七條 長期第三方人員指因從事合作開發、參與項目工程、提供技術支持或顧問服務，必須在一定時間內在內部辦公的第三方人員。

　　第八條 接待人是指與來訪第三方的相關部門派出的，負責接待和管理第三方人員的員工。

　　第二節 第三方人員帶來的風險

　　第九條 第三方人員訪問的方式包括現場訪問和遠程網絡訪問。

　　第十條 第三方人員帶來的安全風險必須定期評估，防范以下安全風險：

　　(一) 第三方人員物理訪問帶來的設備、資料盜竊;

　　(二) 第三方人員誤操作導致各種軟硬件故障;

　　(三) 第三方人員的資料、信息外傳導致泄密;

　　(四) 第三方人員對業務系統的濫用和越權訪問;

　　(五) 第三方人員給主機系統、軟件留下后門;

　　(六) 第三方人員對系統的惡意攻擊。

　　第三章 第三方人員短期訪問安全管理

　　第三節 物理安全

　　第十一條 第三方人員現場訪問需要遵從物理安全的管理制度，具體物理安全的負責部門是運行監控室。要求如下：

　　(一) 第三方人員進出均需登記，遵照物理安全管理制度執行。

　　(二) 工作時間內機房必須有當班、值班人員，對第三方人員進入機房內部一律進行登記。

　　第四節 網絡訪問安全

　　第十二條 第三方人員現場訪問網絡原則上不允許。如果必須，需要第三方人員及接待人員遵守如下安全要求：

　　臨時接入辦公網絡的第三方人員，需要接待人員的同意，一旦發生并經核實其起因是第三方人員引起的安全事件，相關責任由接待人員與第三方人員共同負責。

　　第十三條 第三方人員遠程訪問網絡原則上不允許。如果必須，需要第三方人員及接待人員遵守如下安全要求：

　　(一) 臨時遠程訪問網絡的第三方人員，需要接待人員所屬部門主管的同意，并在本部門內部進行登記。一旦發生并經核實其起因是第三方人員引起的安全事件，相關責任由接待人員及所屬部門主管與第三方人員共同負責。

　　(二) 臨時遠程訪問網絡的第三方人員在訪問過程中，接待人員應能夠確定其訪問的內容;在訪問結束后，接待人員應及時關閉或督促相關技術負責人員關閉臨時訪問的通路，并在本部門內部記錄訪問結束時間。

　　第四章 第三方人員長期訪問安全管理

　　第五節 物理安全

　　第十四條 第三方人員現場訪問，需要遵照物理安全的管理制度執行，具體物理安全的負責部門是運行監控室。要求如下：

　　(一) 遵守物理安全管理制度，在保衛處辦理第三方人員進出證件，證件表明訪問時間段及接待部門。

　　(二) 工作時間內機房必須有當班值班人員，對進入機房內部的第三方人員一律進行登記。

　　(三) 第三方人員均應遵從機房管理人員的管理。

　　第六節 網絡訪問安全

　　第十五條 第三方人員現場長期訪問網絡，除第三方人員遵守的安全管理制度及規范之外，第三方人員及接待人員還必須遵守如下安全要求：

　　(一) 長期訪問網絡的第三方人員需要簽署相關《第三方人員安全保密協議》，承諾遵守安全制度及規范。

　　(二) 需要運行監控室相關工作負責人審批確認。在長期訪問終止后，接待人通知運行監控室相關工作人員，工作人員備案并作相應安全評估、檢查工作。

　　(三) 第三方人員在訪問網絡期間如違反安全管理制度，除根據保密協議及相關安全管理制度進行處罰以外，接待人及所屬部門也應承擔責任。

　　第十六條 第三方人員長期遠程訪問網絡原則上不允許。如果必須，需要第三方人員及接待人員遵守如下安全要求：

　　(一) 需要簽署相關第三方人員安全保密協議，承諾遵守安全制度及規范。

　　(二) 需要運行監控室相關工作人員審批確認。在長期訪問終止后，接待人通知運行監控室相關工作人員，工作人員備案并作相應安全評估、檢查工作。

　　(三) 第三方人員在訪問網絡期間如違反安全管理制度，除根據保密協議及相關安全管理制度進行處罰以外，接待人及所屬部門也應承擔相應責任。

篇2：XX大學人員安全管理辦法

　　XX大學信息化建設與管理處

　　第一部分 網絡與信息安全規章制度

　　XX大學人員安全管理辦法

　　第一章 總則

　　第一條 制度目標：為了加強信息安全保障能力，建立健全安全管理體系，提高整體的網絡與信息安全水平，保證業務系統的正常運營，提高網絡服務質量，在安全體系框架下，本制度主要明確XX大學如何管理用戶信息安全的管理辦法。

　　第二條 適用范圍：本制度適用于所有部門和用戶。

　　第二章 用戶錄用安全管理規范

　　第三條 用戶錄用，除了應該遵守相關人事和勞動法律法規外，還必須考慮以下安全事項：

　　第四條 (一)、除了嚴格考察該人員的業務技術水平和相關資質認證外，還必須考慮政治、社會和素質等多方面的因素;

　　第五條 (二)、不考慮錄用有犯罪前科、重大行政處分紀錄的人員。如有特殊情況，需要經人事處負責人與網絡與教育技術中心領導同意后，方可考慮錄用。

　　第六條 在簽訂勞動合同之外，必須簽訂《保密協議》，明確該人員應嚴格遵守的相關安全管理制度、安全技術規范和保守業務機密的要求以及違約責任等。

　　第三章 用戶工作調動、離職的安全管理規范

　　第七條 由于業務工作的需要或其他原因，需要對用戶進行崗位調動時，必須考慮以下安全事項：

　　第八條 (一)、根據新崗位的需要，增加、刪除或修改該人員的計算機信息系統訪問權限，包括電子郵件系統、業務應用系統、網絡系統和其他計算機信息軟硬件系統;

　　第九條 (二)、如有必要，重新創建相關賬號并修改其口令;

　　第十條 (三)、如有必要，修改合同中有關條款和相應的保密條款或保密協議，并擬定新的雇傭合同，而且原合同中的保密條款或保密協議將繼續有效;

　　第十一條 (四)、與原崗位有關的所有資料文件，包括其軟硬拷貝都需要移交，不允許私自帶走。

　　第十二條 盡量避免由于不當或過于頻繁的調動，造成人員的權限過大的情況。

　　第十三條 用戶在離職時，必須遵守以下安全操作流程：

　　第十四條 (一)、刪除該用戶的所有信息系統訪問賬號和權限，如有必要將重新創建有關管理員賬號和口令;

　　第十五條 (二)、由相關人員和該用戶一起回顧其簽訂的保密協議，并使該用戶明確所有保密事項，以及在離開后3年內不得披露、使用技術資料的規定。

　　第四章 用戶的安全審計、安全培訓及教育

　　第十六條 信息安全組每年組織對用戶進行安全審計和監督工作，并把審計和監督結果報告抄送給該人員所屬部門，作為對該人員工作考核的依據之一。

　　第十七條 對于不遵守信息安全管理制度和安全技術規范的用戶，經查實后，由其所屬部門根據有關規定，對該用戶進行處罰。

　　第十八條 用戶的安全培訓及教育由中心信息安全小組統一計劃，人事處協助實施。

　　第十九條 用戶的安全培訓及教育成績，作為對該人員工作考核的依據之一。

　　第五章 信息安全的獎勵及考核

　　第二十條 用戶安全管理情況每年由各部門信息安全崗呈報給中心信息安全領導小組，作為各部門年度目標責任制考核的內容之一。

　　第二十一條 對執行制度好、信息安全工作成績顯著的部門和個人，將給與表彰和適當獎勵;對違反安全管理制度、信息安全工作存在不足和隱患的部門，由網絡與信息安全領導小組發出書面整改通知，限期整改;對刻意不執行安全管理制度、漠視信息安全工作和存在安全隱患而沒有及時整改的，以至造成重大安全事故和案件的，將追究其部門主要負責人和直接責任者的責任，并按有關考核管理辦法予以處理，構成犯罪的，將依法追究其刑事責任。

篇3：XX大學信息系統安全管理制度

　　XX大學信息化建設與管理處

　　第一部分 網絡與信息安全規章制度

　　XX大學信息系統安全管理制度

　　第一章 總則

　　第一條 為保障XX大學信息系統的操作系統和數據庫管理系統的安全、穩定運行，規范操作系統和數據庫管理系統的安全配置和日常操作管理，特制訂本制度。

　　第二條 本辦法適用于本單位，以及各部門的信息系統的操作系統和數據庫系統的管理和運行。其他聯網單位參照執行。

　　第二章 操作系統運行管理

　　第三條 系統管理員、信息安全管理員、信息安全審計員的任命

　　系統管理員、信息安全管理員、信息安全審計員的任命應遵循“任期有限、權限分散”的原則;

　　對每個操作系統要分別設立系統管理員、信息安全管理員、信息安全審計員，并分別由不同的人員擔任。在多個應用系統的環境下，系統管理員、信息安全管理員、信息安全審計員崗位可交叉擔任;

　　系統管理員、信息安全管理員、信息安全審計員的任期可根據系統的安全性要求而定，最長為三年，期滿通過考核后可以續任;

　　系統管理員、信息安全管理員、信息安全審計員必須簽訂保密協議書。

　　第四條 口令的復雜性、安全性要求和檢查

　　系統賬戶的口令長度設置至少為8位，口令必須從字符(a-z,A-Z)、數字(0-9)、符號(~!@#$%^&*()_<>)中至少選擇兩種進行組合設置;

　　系統賬戶的口令必須經常更改，至少每月更改一次，每次更新的口令不得與舊的口令相同，操作系統應設置相應的口令規則;

　　系統用戶的帳號、口令、權限等禁止告知其他人員;

　　須根據系統的安全要求對操作系統密碼策略進行設置和調整，以確保口令符合要求。

　　第五條 系統維護和應急處理記錄

　　系統管理員記錄系統的運行情況;

　　應對系統安裝、設置更改、帳號變更、組變更、備份等系統維護工作進行記錄，以備查閱;

　　應對系統異常和系統故障的時間、現象、應急處理方法及結果作詳細的記錄。

　　第六條 操作系統軟件、資料以及許可證的管理

　　必須對操作系統軟件的介質、資料和許可證進行登記，并設專人負責保管;

　　登記的內容應包括軟件的名稱和版本、軟件出版商、許可證類型和數量、介質的編號和數量、軟件安裝序列號、手冊名稱和數量、購買日期等;

　　應有軟件和資料的借用審批和借還登記手續;

　　對重要的系統軟件介質和資料要進行復制，借用時宜提供復制品，以保護好原件及避免丟失。

　　第七條 操作系統的系統管理員帳戶名稱、口令的管理

　　操作系統的系統管理員賬戶名稱不得使用系統安裝時默認的系統管理員賬戶名，應按照經技術部經理批準的賬戶名稱、權限和有效期予以設置;必須更改系統安裝時默認系統管理員賬戶和具有特殊權限的賬戶的口令，關閉不必使用的賬號;

　　系統管理員帳戶的口令除了要滿足本規范第六條中的口令要求外，還必須每兩周更改一次，發現有異常情況時應立即更改，每次更新的口令不得與舊的口令相同;

　　嚴禁把系統管理員的帳戶名稱和口令告知其他人員。

　　第八條 操作系統配置的備份管理

　　系統管理員應對操作系統的配置參數及相關文件進行備份，當配置發生變更時必須重新備份，以便系統發生故障時能盡快恢復系統配置。

　　第九條 操作系統的安全檢查

　　信息安全管理員應經常檢查操作系統的安全配置，并確保符合安全配置要求;

　　信息安全審計員應定期查看操作系統的運行日志和審計日志，以及時發現出現的安全問題;

　　信息安全管理員應定期使用最新的安全檢查或安全分析工具對系統進行檢查，并及時消除存在的漏洞。特別是在新軟件安裝或軟件更新之后。

　　第三章 數據庫系統運行管理

　　第十條 數據庫管理員、審計員的任命

　　第十一條 數據庫管理員(DBA)的任命應遵循“任期有限、權限分散”的原則;

　　對每個數據庫系統要分別設立數據庫管理員和數據庫審計員，并分別由不同的人員擔任。在多套系統的環境下，數據庫管理員和數據庫審計員崗位應交叉擔任;

　　數據庫管理員、審計員的任期可根據系統的安全性要求而定，最長為三年，期滿通過考核后可以續任;

　　數據庫管理員、審計員必須簽訂保密協議書。

　　數據庫管理員、審計員帳戶的授權，審批

　　數據庫管理員、審計員人員變更后，必須及時更改帳戶設置。

　　第十二條 其他帳戶的授權，審批

　　本單位其他數據庫賬戶的授權由管理部門負責人批準后，由數據庫管理員進行設置;

　　外單位人員需要使用本單位數據庫系統時，須經相關業務管理部門主管同意，報管理部門負責人批準后，由數據庫管理員按規定的權限、時限設置專門的用戶帳號;

　　嚴禁本單位任何人將自己的用戶帳號提供給外單位人員使用。

　　第十三條 口令的復雜性、安全性要求和檢查

　　數據庫賬戶的口令長度設置至少為6位，口令必須從字符、數字、符號中至少選擇兩種進行組合設置;不宜使用與賬戶名稱中相同的字符或使用姓名、生日和電話號碼等其他容易猜測的字符組合;

　　數據庫賬戶的口令必須經常更改，至少每季度更改一次，每次更新的口令不得與舊的口令相同，應設置相應的口令規則;

　　數據庫用戶的帳號、口令、權限等禁止告知其他人員;

　　必須根據安全要求對數據庫管理系統的密碼策略進行設置和調整，以確保口令符合要求。

　　第十四條 系統維護和應急處理記錄

　　數據庫管理員記錄系統的運行情況;

　　應對系統安裝、設置更改、帳號變更、表空間變更、數據對象變更、數據庫備份等系統維護工作進行記錄，以備查閱;

　　應對系統異常和系統故障的時間、現象、應急處理方法及結果作詳細的記錄。

　　第十五條 數據庫系統軟件、資料以及許可證的管理

　　必須對數據系統軟件的介質、資料和許可證進行登記，并設專人負責保管;

　　登記的內容應包括軟件的名稱和版本、軟件出版商、許可證類型和數量、介質的編號和數量、軟件安裝序列號、資料名稱和數量、購買日期等;

　　應有軟件和資料的借用審批和借還登記手續;

　　對數據庫系統軟件介質和資料要進行復制，借用時宜提供復制品，以保護原件及避免丟失。

　　第十六條 數據庫管理員帳戶名稱、口令的管理

　　數據庫管理員賬戶名稱不宜使用系統安裝時默認的管理員賬戶名，應按照《數據庫系統賬戶授權審批表》批準的賬戶名稱、權限和有效期予以設置。必須更改系統安裝時默認的管理員賬戶和具有特殊權限的賬戶的口令，關閉不必使用的賬號;

　　數據庫管理員的口令長度必須設置至少為8位，滿足口令的復雜性要求，還必須每兩周更改一次，發現有異常情況時應立即更改，每次更新的口令不得與舊的口令相同;

　　嚴禁把數據庫管理員的帳戶名稱和口令告知其他人員。

　　第十七條 數據庫系統配置的備份的管理

　　數據庫系統管理員應對數據庫系統的配置參數及相關文件進行備份，當配置發生變更時必須重新備份，以便系統故障時能盡快恢復系統配置。

　　第十八條 數據庫系統數據的備份管理

　　應制定數據庫系統的備份策略，定期對數據庫系統進行備份;

　　數據庫備份策略的制定要以盡可能高效地進行備份與恢復為目標，并且與操作系統的備份最好地結合，宜采用物理備份與邏輯備份相結合;

　　必須對備份權限的設置加以嚴格控制;

　　必須妥善存放和保管備份介質(包括磁帶、從數據庫導出的文件等)，防止非法訪問。對備份的介質應做好標識，存放環境符合要求。

　　第十九條 數據庫系統的安全檢查

　　數據庫管理員應經常檢查數據庫系統的安全配置，并確保符合安全配置要求;

　　數據庫管理員、審計員應定期查看數據庫系統的運行日志和審計日志，以及時發現出現的安全問題;

　　數據庫管理員應定期使用最新的安全檢查或安全分析工具對系統進行檢查，并及時消除存在的漏洞;特別是在新軟件安裝或軟件更新之后。