xx大学信息安全第三方人员安全管理办法
第一章 总则
第一条 制度目标:为了加强信息安全保障能力,建立健全安全管理体系,提高整体的网络与信息安全水平,保证网络通信畅通和业务系统的正常运营,提高网络服务质量,在安全体系框架下,本制度有效防范第三方人员(非师生用户)进入带来的安全风险、加强和规范各部门对第三方人员的安全管理、提供第三方人员在活动时所要遵守的行为准则。
第二条 适用范围:本制度适用于xx大学所有部门。
第三条 制度相关性:本制度中规定第三方人员同时需要遵守其他各项安全管理规定,主要相关安全制度如下:《xx大学网络安全管理制度汇编计算机病毒防护管理办法》 ;《xx大学网络安全管理制度汇编计算机终端维护管理办法》 ;《xx大学网络安全管理制度汇编账号口令及权限管理办法》 ;《xx大学网络安全管理制度汇编安全事件管理办法》 ;《xx大学网络安全管理制度汇编应急响应管理办法》。
第二章 第三方人员定义及风险
第一节 第三方人员定义
第四条 第三方人员包括为软件开发商、产品供应商、系统集成商、设备维护商和服务提供商等非本单位人员。
第五条 第三方人员管理的范畴包括临时第三方人员和长期第三方人员。
第六条 临时第三方人员指因业务洽谈、技术交流、业务访问、提供短期和不频繁的尊龙凯时注册的技术支持服务而临时来访的第三方人员。
第七条 长期第三方人员指因从事合作开发、参与项目工程、提供尊龙凯时注册的技术支持或顾问服务,必须在一定时间内在内部办公的第三方人员。
第八条 接待人是指与来访第三方的相关部门派出的,负责接待和管理第三方人员的员工。
第二节 第三方人员带来的风险
第九条 第三方人员访问的方式包括现场访问和远程网络访问。
第十条 第三方人员带来的安全风险必须定期评估,防范以下安全风险:
(一) 第三方人员物理访问带来的设备、资料盗窃;
(二) 第三方人员误操作导致各种软硬件故障;
(三) 第三方人员的资料、信息外传导致泄密;
(四) 第三方人员对业务系统的滥用和越权访问;
(五) 第三方人员给主机系统、软件留下后门;
(六) 第三方人员对系统的恶意攻击。
第三章 第三方人员短期访问安全管理
第三节 物理安全
第十一条 第三方人员现场访问需要遵从物理安全的管理制度,具体物理安全的负责部门是运行监控室。要求如下:
(一) 第三方人员进出均需登记,遵照物理安全管理制度执行。
(二) 工作时间内机房必须有当班、值班人员,对第三方人员进入机房内部一律进行登记。
第四节 网络访问安全
第十二条 第三方人员现场访问网络原则上不允许。如果必须,需要第三方人员及接待人员遵守如下安全要求:
临时接入办公网络的第三方人员,需要接待人员的同意,一旦发生并经核实其起因是第三方人员引起的安全事件,相关责任由接待人员与第三方人员共同负责。
第十三条 第三方人员远程访问网络原则上不允许。如果必须,需要第三方人员及接待人员遵守如下安全要求:
(一) 临时远程访问网络的第三方人员,需要接待人员所属部门主管的同意,并在本部门内部进行登记。一旦发生并经核实其起因是第三方人员引起的安全事件,相关责任由接待人员及所属部门主管与第三方人员共同负责。
(二) 临时远程访问网络的第三方人员在访问过程中,接待人员应能够确定其访问的内容;在访问结束后,接待人员应及时关闭或督促相关技术负责人员关闭临时访问的通路,并在本部门内部记录访问结束时间。
第四章 第三方人员长期访问安全管理
第五节 物理安全
第十四条 第三方人员现场访问,需要遵照物理安全的管理制度执行,具体物理安全的负责部门是运行监控室。要求如下:
(一) 遵守物理安全管理制度,在保卫处办理第三方人员进出证件,证件表明访问时间段及接待部门。
(二) 工作时间内机房必须有当班值班人员,对进入机房内部的第三方人员一律进行登记。
(三) 第三方人员均应遵从机房管理人员的管理。
第六节 网络访问安全
第十五条 第三方人员现场长期访问网络,除第三方人员遵守的安全管理制度及规范之外,第三方人员及接待人员还必须遵守如下安全要求:
(一) 长期访问网络的第三方人员需要签署相关《第三方人员安全保密协议》,承诺遵守安全制度及规范。
(二) 需要运行监控室相关工作负责人审批确认。在长期访问终止后,接待人通知运行监控室相关工作人员,工作人员备案并作相应安全评估、检查工作。
(三) 第三方人员在访问网络期间如违反安全管理制度,除根据保密协议及相关安全管理制度进行处罚以外,接待人及所属部门也应承担责任。
第十六条 第三方人员长期远程访问网络原则上不允许。如果必须,需要第三方人员及接待人员遵守如下安全要求:
(一) 需要签署相关第三方人员安全保密协议,承诺遵守安全制度及规范。
(二) 需要运行监控室相关工作人员审批确认。在长期访问终止后,接待人通知运行监控室相关工作人员,工作人员备案并作相应安全评估、检查工作。
(三) 第三方人员在访问网络期间如违反安全管理制度,除根据保密协议及相关安全管理制度进行处罚以外,接待人及所属部门也应承担相应责任。
篇2:xx大学人员安全管理办法
xx大学信息化建设与管理处
第一部分 网络与信息安全规章制度
xx大学人员安全管理办法
第一章 总则
第一条 制度目标:为了加强信息安全保障能力,建立健全安全管理体系,提高整体的网络与信息安全水平,保证业务系统的正常运营,提高网络服务质量,在安全体系框架下,本制度主要明确xx大学如何管理用户信息安全的管理办法。
第二条 适用范围:本制度适用于所有部门和用户。
第二章 用户录用安全管理规范
第三条 用户录用,除了应该遵守相关人事和劳动法律法规外,还必须考虑以下安全事项:
第四条 (一)、除了严格考察该人员的业务技术水平和相关资质认证外,还必须考虑政治、社会和素质等多方面的因素;
第五条 (二)、不考虑录用有犯罪前科、重大行政处分纪录的人员。如有特殊情况,需要经人事处负责人与网络与教育技术中心领导同意后,方可考虑录用。
第六条 在签订劳动合同之外,必须签订《保密协议》,明确该人员应严格遵守的相关安全管理制度、安全技术规范和保守业务机密的要求以及违约责任等。
第三章 用户工作调动、离职的安全管理规范
第七条 由于业务工作的需要或其他原因,需要对用户进行岗位调动时,必须考虑以下安全事项:
第八条 (一)、根据新岗位的需要,增加、删除或修改该人员的计算机信息系统访问权限,包括电子邮件系统、业务应用系统、网络系统和其他计算机信息软硬件系统;
第九条 (二)、如有必要,重新创建相关账号并修改其口令;
第十条 (三)、如有必要,修改合同中有关条款和相应的保密条款或保密协议,并拟定新的雇佣合同,而且原合同中的保密条款或保密协议将继续有效;
第十一条 (四)、与原岗位有关的所有资料文件,包括其软硬拷贝都需要移交,不允许私自带走。
第十二条 尽量避免由于不当或过于频繁的调动,造成人员的权限过大的情况。
第十三条 用户在离职时,必须遵守以下安全操作流程:
第十四条 (一)、删除该用户的所有信息系统访问账号和权限,如有必要将重新创建有关管理员账号和口令;
第十五条 (二)、由相关人员和该用户一起回顾其签订的保密协议,并使该用户明确所有保密事项,以及在离开后3年内不得披露、使用技术资料的规定。
第四章 用户的安全审计、安全培训及教育
第十六条 信息安全组每年组织对用户进行安全审计和监督工作,并把审计和监督结果报告抄送给该人员所属部门,作为对该人员工作考核的依据之一。
第十七条 对于不遵守信息安全管理制度和安全技术规范的用户,经查实后,由其所属部门根据有关规定,对该用户进行处罚。
第十八条 用户的安全培训及教育由中心信息安全小组统一计划,人事处协助实施。
第十九条 用户的安全培训及教育成绩,作为对该人员工作考核的依据之一。
第五章 信息安全的奖励及考核
第二十条 用户安全管理情况每年由各部门信息安全岗呈报给中心信息安全领导小组,作为各部门年度目标责任制考核的内容之一。
第二十一条 对执行制度好、信息安全工作成绩显著的部门和个人,将给与表彰和适当奖励;对违反安全管理制度、信息安全工作存在不足和隐患的部门,由网络与信息安全领导小组发出书面整改通知,限期整改;对刻意不执行安全管理制度、漠视信息安全工作和存在安全隐患而没有及时整改的,以至造成重大安全事故和案件的,将追究其部门主要负责人和直接责任者的责任,并按有关考核管理办法予以处理,构成犯罪的,将依法追究其刑事责任。
篇3:xx大学信息系统安全管理制度
xx大学信息化建设与管理处
第一部分 网络与信息安全规章制度
xx大学信息系统安全管理制度
第一章 总则
第一条 为保障xx大学信息系统的操作系统和数据库管理系统的安全、稳定运行,规范操作系统和数据库管理系统的安全配置和日常操作管理,特制订本制度。
第二条 本办法适用于本单位,以及各部门的信息系统的操作系统和数据库系统的管理和运行。其他联网单位参照执行。
第二章 操作系统运行管理
第三条 系统管理员、信息安全管理员、信息安全审计员的任命
系统管理员、信息安全管理员、信息安全审计员的任命应遵循“任期有限、权限分散”的原则;
对每个操作系统要分别设立系统管理员、信息安全管理员、信息安全审计员,并分别由不同的人员担任。在多个应用系统的环境下,系统管理员、信息安全管理员、信息安全审计员岗位可交叉担任;
系统管理员、信息安全管理员、信息安全审计员的任期可根据系统的安全性要求而定,最长为三年,期满通过考核后可以续任;
系统管理员、信息安全管理员、信息安全审计员必须签订保密协议书。
第四条 口令的复杂性、安全性要求和检查
系统账户的口令长度设置至少为8位,口令必须从字符(a-z,a-z)、数字(0-9)、符号(~!@#$%^&*()_<>)中至少选择两种进行组合设置;
系统账户的口令必须经常更改,至少每月更改一次,每次更新的口令不得与旧的口令相同,操作系统应设置相应的口令规则;
系统用户的帐号、口令、权限等禁止告知其他人员;
须根据系统的安全要求对操作系统密码策略进行设置和调整,以确保口令符合要求。
第五条 系统维护和应急处理记录
系统管理员记录系统的运行情况;
应对系统安装、设置更改、帐号变更、组变更、备份等系统维护工作进行记录,以备查阅;
应对系统异常和系统故障的时间、现象、应急处理方法及结果作详细的记录。
第六条 操作系统软件、资料以及许可证的管理
必须对操作系统软件的介质、资料和许可证进行登记,并设专人负责保管;
登记的内容应包括软件的名称和版本、软件出版商、许可证类型和数量、介质的编号和数量、软件安装序列号、手册名称和数量、购买日期等;
应有软件和资料的借用审批和借还登记手续;
对重要的系统软件介质和资料要进行复制,借用时宜提供复制品,以保护好原件及避免丢失。
第七条 操作系统的系统管理员帐户名称、口令的管理
操作系统的系统管理员账户名称不得使用系统安装时默认的系统管理员账户名,应按照经技术部经理批准的账户名称、权限和有效期予以设置;必须更改系统安装时默认系统管理员账户和具有特殊权限的账户的口令,关闭不必使用的账号;
系统管理员帐户的口令除了要满足本规范第六条中的口令要求外,还必须每两周更改一次,发现有异常情况时应立即更改,每次更新的口令不得与旧的口令相同;
严禁把系统管理员的帐户名称和口令告知其他人员。
第八条 操作系统配置的备份管理
系统管理员应对操作系统的配置参数及相关文件进行备份,当配置发生变更时必须重新备份,以便系统发生故障时能尽快恢复系统配置。
第九条 操作系统的安全检查
信息安全管理员应经常检查操作系统的安全配置,并确保符合安全配置要求;
信息安全审计员应定期查看操作系统的运行日志和审计日志,以及时发现出现的安全问题;
信息安全管理员应定期使用最新的安全检查或安全分析工具对系统进行检查,并及时消除存在的漏洞。特别是在新软件安装或软件更新之后。
第三章 数据库系统运行管理
第十条 数据库管理员、审计员的任命
第十一条 数据库管理员(dba)的任命应遵循“任期有限、权限分散”的原则;
对每个数据库系统要分别设立数据库管理员和数据库审计员,并分别由不同的人员担任。在多套系统的环境下,数据库管理员和数据库审计员岗位应交叉担任;
数据库管理员、审计员的任期可根据系统的安全性要求而定,最长为三年,期满通过考核后可以续任;
数据库管理员、审计员必须签订保密协议书。
数据库管理员、审计员帐户的授权,审批
数据库管理员、审计员人员变更后,必须及时更改帐户设置。
第十二条 其他帐户的授权,审批
本单位其他数据库账户的授权由管理部门负责人批准后,由数据库管理员进行设置;
外单位人员需要使用本单位数据库系统时,须经相关业务管理部门主管同意,报管理部门负责人批准后,由数据库管理员按规定的权限、时限设置专门的用户帐号;
严禁本单位任何人将自己的用户帐号提供给外单位人员使用。
第十三条 口令的复杂性、安全性要求和检查
数据库账户的口令长度设置至少为6位,口令必须从字符、数字、符号中至少选择两种进行组合设置;不宜使用与账户名称中相同的字符或使用姓名、生日和电话号码等其他容易猜测的字符组合;
数据库账户的口令必须经常更改,至少每季度更改一次,每次更新的口令不得与旧的口令相同,应设置相应的口令规则;
数据库用户的帐号、口令、权限等禁止告知其他人员;
必须根据安全要求对数据库管理系统的密码策略进行设置和调整,以确保口令符合要求。
第十四条 系统维护和应急处理记录
数据库管理员记录系统的运行情况;
应对系统安装、设置更改、帐号变更、表空间变更、数据对象变更、数据库备份等系统维护工作进行记录,以备查阅;
应对系统异常和系统故障的时间、现象、应急处理方法及结果作详细的记录。
第十五条 数据库系统软件、资料以及许可证的管理
必须对数据系统软件的介质、资料和许可证进行登记,并设专人负责保管;
登记的内容应包括软件的名称和版本、软件出版商、许可证类型和数量、介质的编号和数量、软件安装序列号、资料名称和数量、购买日期等;
应有软件和资料的借用审批和借还登记手续;
对数据库系统软件介质和资料要进行复制,借用时宜提供复制品,以保护原件及避免丢失。
第十六条 数据库管理员帐户名称、口令的管理
数据库管理员账户名称不宜使用系统安装时默认的管理员账户名,应按照《数据库系统账户授权审批表》批准的账户名称、权限和有效期予以设置。必须更改系统安装时默认的管理员账户和具有特殊权限的账户的口令,关闭不必使用的账号;
数据库管理员的口令长度必须设置至少为8位,满足口令的复杂性要求,还必须每两周更改一次,发现有异常情况时应立即更改,每次更新的口令不得与旧的口令相同;
严禁把数据库管理员的帐户名称和口令告知其他人员。
第十七条 数据库系统配置的备份的管理
数据库系统管理员应对数据库系统的配置参数及相关文件进行备份,当配置发生变更时必须重新备份,以便系统故障时能尽快恢复系统配置。
第十八条 数据库系统数据的备份管理
应制定数据库系统的备份策略,定期对数据库系统进行备份;
数据库备份策略的制定要以尽可能高效地进行备份与恢复为目标,并且与操作系统的备份最好地结合,宜采用物理备份与逻辑备份相结合;
必须对备份权限的设置加以严格控制;
必须妥善存放和保管备份介质(包括磁带、从数据库导出的文件等),防止非法访问。对备份的介质应做好标识,存放环境符合要求。
第十九条 数据库系统的安全检查
数据库管理员应经常检查数据库系统的安全配置,并确保符合安全配置要求;
数据库管理员、审计员应定期查看数据库系统的运行日志和审计日志,以及时发现出现的安全问题;
数据库管理员应定期使用最新的安全检查或安全分析工具对系统进行检查,并及时消除存在的漏洞;特别是在新软件安装或软件更新之后。