第一章 总则

第一条 为进一步加强四川财经职业学信息系统安全运行管理，确保各类信息应用系统稳定、安全、高效运行，根据国家、教育部门及上级主管部门发布的法律、法规、政策文件和技术标准，结合学院信息系统运维管理的实际情况，制定本办法。

第二条 学院网信办（现代教育与信息技术中心）作为学院信息化规划建设的管理部门，负责学院信息系统运维体系的总体规划、建设和管理。各级系统管理员是相关系统安全运行管理的第一责任人。

第三条 各类信息系统运行期间须依据学院安排做好网络安全等级保护工作，包括安全等级变更备案与安全测评，不符合要求的须在指定期间内完成整改建设工作，使之持续具备与其安全等级相适应的网络安全防范能力。

第四条 信息系统日常运行维护须从物理安全、网络安全、主机安全、应用安全、数据安全与备份恢复及安全管理措施等方面加强安全管理。

第二章 物理安全

第五条 信息系统主要运行设施应集中存放于指定的信息中心机房，严格按《四川财经职业学院信息机房管理办法》要求加强机房管理，保障信息系统运行环境物理安全。

第六条 编制并保存与信息系统相关的设施清单,根据设施特点制定相应的日常巡查管理办法，通过巡查及时发现相关设施安全隐患并及时排除，保障信息系统相关设施安全运行。

第七条 对信息系统相关存储介质进行控制和保护，对介质存放环境、使用、维护和销毁等制定具体安全管理要求,并对介质的归档和查询等进行登记记录。

第三章 网络安全

第八条 保障系统运行的网络结构安全合理。保证关键网络设备的业务处理能力满足系统运行需要，保证接入网络和核心网络的带宽满足系统运行需要。

第九条 确保系统具有合理的访问控制措施。在网络边界部署访问控制设备，启用访问控制功能。通过访问控制列表对系统资源实现允许或拒绝用户访问。

第十条 保证系统所用网络设备得到有效防护。对登录网络设备的用户进行身份鉴别,登录密码符合安全要求的长度和复杂程度。当需要对网络设备进行远程管理时，应采取必要措施防止信息在网络传输过程中被截取。

第四章 主机安全

第十一条应对登录主机操作系统和数据库系统的用户进行身份标识和鉴别。

第十二条主机访问控制。应启用访问控制功能，依据安全策略控制用户对资源的访问。应限制默认账户的访问权限，重命名系统默认账户，修改默认口令。应及时删除多余的、过期的账户，避免共享账户的存在。

第十三条入侵和计算机病毒防范。操作系统应遵循最小安装的原则，按需安装组件和应用程序，并保持系统补丁及时得到更新。主机应安装防计算机病毒软件，并及时更新软件版本和病毒特征库。

第十四条根据安全要求设置登录终端的操作超时锁定策略，限制单个用户对系统资源的最大或最小使用限度。

第五章 应用安全

第十五条系统身份鉴别机制。信息系统应提供专用的登录控制模块对登录用户进行身份标识和鉴别；提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；启用身份鉴别和登录失败处理功能，并根据安全策略配置相关参数。

第十六条访问控制机制。信息系统应提供访问控制功能,控制用户组、用户对系统功能和用户数据的访问；应由授权主体配置访问控制策略，并严格限制默认用户的访问权限。

第十七条软件容错机制。信息系统应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式符合系统设定要求。在系统发生故障时，应确保部分基本功能可用。

第六章 数据安全及备份恢复

第十八条采用密码技术确保信息系统重要数据在传输过程中的完整性、在系统中的可用性以及符合特定要求的保密性。

第十九条应根据数据的重要性及其对系统运行的影响，制定数据的备份策略和恢复策略，备份策略指明备份数据的放置场所、文件命名规则、介质替换频率和数据传输方法。

第二十条信息系统应提供自动保护功能，当故障发生时自动保护当前所有状态，保证系统能够进行恢复。

第二十一条应建立控制数据备份和恢复过程的程序，对备份过程进行记录，所有文件和记录应妥善保存。

第二十二条根据信息系统的备份技术要求，制定相应的应急预案与灾难恢复计划，并对其进行测试以确保各个恢复规程的正确性和计划整体的有效性，测试内容包括运行系统恢复、人员协调、备用系统性能测试、通信连接等，根据测试结果，对不适用的规定进行修改或更新。

第七章 安全管理措施

第二十三条信息系统运行期间应根据《四川财经职业学院网络安全和信息化责任人员管理办法》配备信息系统安全运维所需的管理人员并加强人员管理。

第二十四条信息系统上线运行、网络系统接入和重要资源的访问等关键活动应进行审批、记录。

第二十五条应按照《四川财经职业学院信息系统安全测评管理办法》对网络设备、主机系统和信息系统进行定期安全漏洞检测评估，及时修补漏洞，整改加固安全防护措施。

第二十六条应定期对信息系统运行日志和审计数据进行分析，以便及时发现异常情况，采取措施调整纠正。

第二十七条信息系统应使用符合国家密码管理规定的密码技术和产品。

第二十八条信息系统重大变更，应制定相应的变更方案，报主管部门审批后方可实施变更，并在实施后向相关业务人员通告。

第二十九条信息系统运行期间如发生信息安全事件，应按照《四川财经职业学院网络与信息系统安全管理办法》、《四川财经职业学院信息安全事件报告和处置管理办法》规定进行报告处置。

第八章 附则

第三十条本办法由学院现代教育与信息技术中心负责解释，自发布之日起实施。

附件1：四川财经职业学院网站/信息系统上线申请表

附件2：四川财经职业学院网站/信息系统安全责任书

(请在“信息中心网站”--“下载中心”中下载相关附件)