第一条 为规范信息系统的建设与运行维护管理工作,确保信息系统的安全可靠运行,切实提高访问效率和服务质量,使信息系统更好地服务于全校师生,特制订本管理办法。
第二条 各信息系统(网站)的主管单位负责人是系统安全第一责任人,各单位应安排专人负责所管系统(网站)的安全管理工作。
第三条 学校各类信息系统应统一部署于学校数据中心内,信息化建设与管理处依托校园网数据中心安全体系为信息系统提供运行安全和数据安全所需的基础环境,系统建设和使用单位负责系统的应用安全,并接受信息化建设与管理处的测评、扫描,落实信息化建设与管理处和上级有关部门提出的网络信息安全整改意见。信息化建设与管理处可根据网络安全事件的性质和威胁程度直接采取封堵、隔离、强制下线等措施。
第四条 各学院、各职能部处的网站要求统一使用网站群系统来搭建,各单位要严格落实值班读网制度,安排值班人员每天登录网站读网,认真查看页面显示状况,查看各项功能的有效性,查看所发布的信息特别是重要信息是否存在错漏, 查看是否存在暗链,发现问题立即纠正。
第五条 严格落实信息系统(网站)维护管理制度。只在校园网内进行运维管理, 若需要远程运维或第三方单位(如网站开发单位)远程接入运维,需要采用VPN加密、堡垒机登录等安全方式接入,不允许直接远程桌面或直接开放管理相关端口到互联网。
第六条 妥善保管信息系统(网站)管理账户信息,使用复杂度较高的密码,并定期更新;对信息系统(网站)管理人员和用户加强网络安全意识教育和业务培训。
第七条 在信息系统的建设、使用、维护、升级过程中,建设主管单位和使用单位须组织参与信息系统建设维护的相关单位和人员签订并履行《信阳学院网络与信息安全责任书》,促使对方落实学校数据保密和网络信息系统安全有关要求。
第八条 定期进行数据备份和系统备份,确保紧急情况下信息系统能够及时恢复。
第九条 原则上,应对各项操作进行日志记录,内容应包括操作人、操作时间和操作内容等详细信息。维护人员应定时对操作日志、安全日志进行审查,对异常事件及时跟进解决。
第十条 各单位应严格落实《信息安全技术网络安全等级保护基本要求》的要求, 准确划分系统安全保护等级,定期开展等级保护测评,按等级对网络信息系统开展网络安全保护工作。
