第一章 总则

第一条. 信息安全应满足国家、行业各级监管部门和关于信息安全保密的各项规定及要求。

第二条. 各应用系统维护部门负责本系统信息安全管理，根据系统特点，制定各应用系统的信息安全管理细则，在上级管理部门的指导下，具体开展应用系统的信息安全管理工作。

第三条. 若发生系统信息泄密事件，各应用系统维护部门应及时向信息化管理部门进行通报，并按照关于信息安全相关管理制度要求开展补救工作。

第二章 安全保密

第四条. 联网设备必须采取必要的安全措施，以保障网络的设备安全及所承载业务的信息安全。在计算机上应安装防病毒软件，每天更新病毒库；

第五条. 未经变更流程，严禁将业务系统与公众互联网进行连接；严禁未通过鉴权认证的拨号等形式接入信息系统；

第六条. 在办公网络、教学网络与互联网或其他外部网络的网络连接处必须安装防火墙，并指定防火墙管理员，只有指定的系统（网络）管理员才能拥有防火墙管理帐号，未经批准，不得进行防火墙策略的更改；

第七条. 严禁在学校各业务系统服务器中安装未经授权的软件；不得在办公电脑及学校各业务系统服务器上运行与工作无关的程序；未经批准，不得利用学校业务系统进行培训实习；

第八条. 未经批准不得擅自抄录、复制配置资料、技术档案，内部资料不得泄露；

第九条. 设备管理和维护人员都应熟悉并严格遵守和执行信息安全保密相关规定。

第三章 信息系统密码管理

第十条. 对于操作系统、数据库、业务系统，系统(网络)管理员密码使用习惯应严格遵循如下要求：系统(网络)管理员每90天至少更换一次密码，密码的长度不小于8位、且同时包含数字和字母等字符，不得使用最近一次使用过的密码等；

第十一条.各类用户在第一次登录时应进行用户密码修改，以后每90天至少修改一次用户密码，且不得使用最近使用过的密码，密码长度不得少于6位；

第十二条.重要系统和敏感数据应存放于单机环境，由使用人员设定密码保护，防止非授权人员进行访问，密码位数必须在6位以上；如果存放在文档服务器上，需由信息系统维护部门建立文档服务器访问控制措施，并指定系统管理员；

第十三条.严禁在各类系统中“将用户帐号和密码编写在程序中”的作法；系统中的帐号密码不得以明文方式存放；若存在以上系统隐患必须及时整改。

第四章 信息系统帐号管理

第十四条.系统管理员帐号、系统维护帐号应保证一人一帐号，对于重要操作，可以由系统日志追溯到执行操作的帐号、直至相关操作人员。应严格控制系统超级用户帐号使用范围，能使用低级别帐号进行的操作禁止采用超级用户帐号实施。

第十五条.各级应用、维护部门应合理划分用户组，并根据用户所承担职责合理划分用户权限。终端应用人员要求每个员工一个帐号。

第十六条.对于用户的增加、删除，用户权限的变更均需预先提出变更申请，在得到维护管理部门书面批准后由系统管理员负责实施。各应用、维护部门应定期组织对用户权限及分配情况进行审核，发现问题及时整改，并记录在案。员工离职或调离工作岗位后，应按照情况，及时对帐号和权限进行调整。

第十七条.未经审批，维护人员不得登录数据库对业务数据进行直接操作。

第十八条.对于由于操作系统、数据库平台等限制而使用的共享帐号，当使用此共享帐号的任一人员发生变更，必须修改密码，并保留密码变更记录。

第十九条.供应商远程维护人员和系统开发人员不得拥有在线系统帐号。若因软件移植或系统维护需要，应事先经维护部门主管领导书面确认（紧急状态下应实现口头申请、事后补文字确认说明），方可临时授予开发人员操作帐号，并在维护人员全程陪同下进行相关操作，操作完成后，陪同人员负责完成对临时帐号的删除或禁止。供应商远程维护人员和系统开发人员对系统的所有操作均应通过日志记录，并予以备份保存。安全管理员应定期就“远程接入问题”进重点审核。

第二十条.本办法由信息化处负责解释，自印发之日起执行。