茂名职业技术学院资产安全管理规定
第一章 总 则
第一条 为加强茂名职业技术学院信息资产的管理,明确硬件资产、软件资产和数据资产的信息安全管理工作,对信息资产实施适当的保护管理,特制定本规定。
第二条 本规定适用于茂名职业技术学院重要信息系统范围内的所有硬件资产、软件资产和数据资产。
第二章 信息资产安全管理细则
第三条 本规定中的信息资产是指重要信息系统范围内拥有和控制的电子信息和数据,以及存储、传输和处理电子信息和数据的软件、硬件及相关电力、通讯等信息技术设备设施。
第四条 教育信息与网络中心资产管理员和各有关单位安全员应建立和维护各单位的信息资产清单,根据如下方式进行信息资产分类:
(一) 硬件资产:包括服务器、台式计算机、笔记本计算、网络设备(路由器、交换机等)、安全硬件设备、通讯链路和电力供应等有形信息技术设备设施;
(二) 软件资产:包括操作系统、办公软件、数据库、中间件、应用系统、应用软件、开发工具等计算机程序;
(三) 数据资产:包括应用数据、配置数据、系统文件、管理数据等业务生成和运行相关的数据信息。
第五条 信息资产清单应明确记录信息资产的重要程度,教育信息与网络中心资产管理员和各有关单位安全员负责填写本单位《茂名职业技术学院信息资产清单》,并在网络与信息安全工作领导小组办公室进行备案,以便有效对设备进行维护。
第六条 所有的信息资产均应指定相应的管理部门,并由相应的部门责任人指定到个人,做到“责任落实到人”。
第七条 各信息资产的使用单位负责本单位信息资产的正常使用、保管和维护。
第八条 信息资产发生变更时,应及时更新相关信息资产清单。
第九条 教育信息与网络中心对信息资产的配置进行统一管理,各单位、部门信息资产负责人应对信息资产的配置进行管理,并保存配置记录的信息《信息资产配置记录表》。
第十条 信息资产发生配置变更后,应及时对相关信息资产的配置记录信息进行更新。
第三章 硬件资产安全管理
第十一条 硬件资产在使用过程中应确保硬件配置的完整性,不得私自更换硬件资产以及相关配件。
第十二条 应遵照茂名职业技术学院机房有关要求,加强对硬件资产的物理安全性管理。
第十三条 对于需要维修的硬件资产,由设备责任人提出申请,经资产使用部门主管领导批准后,把硬件资产交到维护单位进行维修。
第十四条 存储茂名职业技术学院信息的硬件资产在重用、维修和报废前,应确保所有存储的敏感数据或授权软件已经被移除或安全重写。
第十五条 硬件资产在重用、维修和报废前,应做好备份工作,确保茂名职业技术学院信息不外流,保持信息的完整性和可用性。
第十六条 对于需要报废的硬件资产,由资产使用部门提出申请,经主管领导批准,由资产使用部门把硬件资产交到教育信息与网络中心,经专家进行技术鉴定后,可办理资产注销及残值回收,资产使用部门不得擅自处理硬件资产。
第十七条 硬件资产在到货验收或配置之后,必须由资产管理员,作出相应的标识,直接体现在设备上醒目的位置。
第十八条 设备验收后资产管理员应保留如下文档:测试验收方案、验收实施方案、各种质量记录、验收报告和不合格报告。
第十九条 对于信息系统各种硬件设备的选型、采购、发放和领用,使用者应提出书面申请,报经上级相应领导审批,待审批通过后,才可以进行实施。
第二十条 设备的选型、采购、使用和保管都必须有明确的责任人。
第二十一条 硬件资产在采购过程中应注重和加强设备资质的管理,确保所购买设备符合信息系统的应用需求和信息安全管理要求。
第二十二条 所有硬件资产采购、变更、废弃时,资产管理员必须首先在资产清单进行记录和描述。
第二十三条 测试验收方案由供应厂商在到货前两周提出,并由资产管理员审核,并得到最终用户的认可。
第二十四条 在测试开始前,应保证测试参与人员清楚测试步骤和相应需要填写的质量记录。
第二十五条 在清点和测试过程中必须详细填写相应质量记录。测试通过的设备贴上“测试通过”标签,然后入库保管。
第二十六条 设备的存贮与发放应严格管理,由资产管理单位负责。
第二十七条 入库接收时库房管理人员应首先同设备经手人一道检查有无状态标识,然后填写入库单,记录设备号。
第二十八条 不同种类设备一定要分开,各自单独存放。
第二十九条 存放过程中要注意存贮环境的条件及安全,定期检查,并向领导决策组提交检查报告。
第三十条 需要领取设备时,库房管理人员应与设备领取人共同检查设备状态标识,填写出库单,记录设备号。
第三十一条 服务器初始安装后必须安装厂商提供的最新系统补丁。系统管理员在接受到安全管理员的安全通告后,应根据软件安全制度中的要求进行补丁升级。
第三十二条 服务器上线运行前必须经过全面的系统加固配置流程,至少包括:
(一) 关闭不必要的服务;
(二) 禁用不必要的用户和用户组;
(三) 开启或安装必要的日志审计功能;
(四) 调整增强用户和密码策略;
(五) 严格按照《服务器安全配置标准》对不同类型的服务器进行相应的安全增强配置。
第三十三条 如果没有特殊情况,严格禁止使用在线运行的服务器进行浏览网页或下载操作。
第三十四条 在线运行的服务器禁止任何未正式批准的变更操作,包括安装不相关的软件、修改配置、增加用户等。所有变更操作必须经服务中心批准并进行变更记录。有重大影响的变更需要得到相关单位领导批准,并及时通知所有用户。
第三十五条 安全审计员应定期检查系统日志,特别是安全日志。
第三十六条 网络、安全设备在购入时要保证是最新的设备软件版本,并且定期进行升级,保证其安全性。
第三十七条 网络、安全设备上线时要进行一些专门的安全功能设置,比如:
(一) 采用安全方式(如安全协议、串口连接等)对网络设备进行远程或本地管理,禁止以明文传输协议进行远程管理网络设备;
(二) 配置身份认证、授权和统计;
(三) 对密码进行高级别的加密保护;
(四) 加强对基于广播的风暴攻击的防范;
(五) 加强对内部地址欺骗的防范;
(六) 加强对源路由欺骗的防范;
(七) 禁止不必要的服务,实行最小服务原则;
(八) 加强对于SNMP的默认管理字符串的安全管理;
(九) 依据需求提升访问控制规则的严格程度;
(十) 设置明确的禁止非授权访问的警告提示;
(十一) 其他网络、安全设备的配置操作指标严格按照《设备安全配置规范》的要求执行。
第四章 软件资产安全管理
第三十八条 所有购买的商业软件,都需要遵循本管理制度,确保其介质、文档及其他使用信息不会丢失、修改或者盗用。
第三十九条 所有购买的商业软件在生命周期内(购买、安装、维护、废弃)应当遵循本管理制度,保证软件使用的安全性。
第四十条 所有新的应用系统软件或者软件增强部分功能必须在用户需求说明中详细定义,并提交给业务应用高级管理人员审核。
第四十一条 所有的办公软件包必须与茂名职业技术学院首选并且认证过的计算机操作系统平台保持兼容。
第四十二条 为了遵守法规和取得卖方的各方面支持,软件必须附带包括各种条款的最终用户授权协议。
第四十三条 新软件和升级软件在实施前必须搭建测试环境进行功能、性能测试。测试前应提供测试方案,测试后提供详细的测试报告。
第四十四条 对厂商推荐的软件升级,通过重新评估由于升级所引入的风险以及预期的利益,如果确认无必要或者可以通过其他方法控制该风险,资产管理员可以说明并形成正式的报告,提交给教育信息与网络中心备案。
第四十五条 用于解决软件BUG和安全问题的补丁安装必须经过测试,并通过管理员授权和签字。
第四十六条 操作系统补丁必须通过原厂商提供的可信渠道获得,在获取补丁时必须同时获取完整性验证文件,对获取的补丁文件进行完整性验证。
第四十七条 所有的应用软件必须配备相应的技术支持人员,通过制定岗位职责、与应用厂商签订技术支持协议,确保在可以接受的时间有效地控制和解决软件问题,保证业务的连续性。
第四十八条 所有软件故障应被正式地记录和报告给负责软件支持和维护的人员。
第四十九条 当系统不再需要该软件并经过正式的声明,可以删除该软件,其相关的数据应予以归档并保留三个月,特殊情况下可以保留更长时间。
第五十条 相关应用系统、软件的安全配置操作应严格按照相关要求执行。
第五十一条 资产管理员负责记录和维护《软件系统用户备案表》,明确软件系统的使用用户,并在服务中心备案。
第五十二条 所有商业软件在购买后应妥善保管相关介质和文档,通过光盘刻录的方式进行备份。
第五十三条 所有产品介质和相关文档统一由资产管理员保管并记录于资产清单中。
第五十四条 所有商业软件购买后应在一周内通过合适的渠道确认、注册license,软件License维护由相应管理员负责,并报送资产管理员。
第五章 数据资产安全管理
第五十五条 数据资产应按照资产的重要性等级进行分类保管。
第五十六条 只有获得数据所有者的授权,才能分发敏感信息,某个人能访问敏感信息并不表示缺省含有分发的权限。
第五十七条 根据数据的等级制定备份策略,备份策略由责任人、维护人及设备/服务提供商等各方予以评审和更新。
第五十八条 应定期检查和测试备份信息,保持其可用性和完整性,并确保在规定的时间内恢复系统。
第五十九条 对含有敏感信息的存储介质的拷贝要有跟踪,出处、输送,对拷贝的人需要了解具体情况,不允许随便再转发拷贝。
第六十条 通过外部运输人员传递的存储介质需要接受者签字等措施,以保证传送安全到达。
第六十一条 应通过签订有关协议保护信息交换的安全,协议内容应说明所涉及信息的重要性级别和相关要求。对数据丢失情况下的责任人进行责任追究和相应的处罚。
第六十二条 采取特殊的控制措施保护敏感信息,避免非法泄露或修改。例如:锁闭箱盒、手工现场交付、能够清楚反映窜改痕迹的包装、采用不同路线分开运送、采用数字签名和加密技术等。
第六十三条 对于需要维修的数据资产,需要及时和服务中心进行沟通,由服务中心统一数据修复和恢复;如果是存储在本地的数据应经服务中心确认后由维修单位进行数据修复和恢复。
第六十四条 对于需要报废处理的数据资产,数据资产使用人须经所在部门主管领导批准,方可进行信息消除和载体销毁处理,所采用的技术、设备和措施应符合相关标准和规定,对于磁带、光盘、纸质等数据资产进行报废处理时,应采取切碎或者烧毁的方式进行。
第六章 附则
第六十五条 本规定由网络与信息安全工作领导小组办公室和教育信息与网络中心负责解释。
第六十六条 本规定自发布之日起执行。