<nav id="4ssiy"></nav>
    <strong id="4ssiy"></strong>
      1. <em id="4ssiy"><object id="4ssiy"><u id="4ssiy"></u></object></em>

        159彩票159彩票官网159彩票网址159彩票注册159彩票app159彩票平台159彩票邀请码159彩票网登录159彩票开户159彩票手机版159彩票app下载159彩票ios159彩票可靠吗
        江蘇衛生健康職業學院信息系統管理規范
        發布時間: 2020-01-06 瀏覽次數: 11

        信 息 系 統 管 理 規 范

        為規范學校信息系統的管理,保障系統的安全穩定運行,防范技術風險,特制定本規范。


        第一節 信息系統項目管理


                1.1總則

                第一條 信息系統項目管理應遵循統一管理、統一規劃、統一標準的原則。信息系統項目包括學校總的信息系統項目和各部門及分支機構自建的信息系統項目。

                第二條 信息中心是學校信息系統建設的組織管理部門,學校對信息系統項目的審批、建設實行歸口管理,信息中心對項目的技術可行性、合理性、安全性等全面把關,以確保信息系統建設的規范化、標準化。

                第三條 本節信息系統項目是指自行開發、協作開發或引進的較大規模的軟件、硬件系統。


        1.2項目立項

        第四條 建立信息系統,應由主管業務部門和信息中心向學校提出立項申請報告。主管業務部門提交業務需求說明書,明確建立系統的目的、系統實現目標及詳細的業務需求。信息中心根據業務需求組織技術方案論證,提出項目方案書,項目方案書中應明確技術方案、功能說明、開發時程、開發費用、開發方式和質量計劃。業務需求說明書和技術方案書一并報黨委會審批。

        第五條 信息系統項目批準立項后,應成立由業務人員、技術人員和管理人員共同組成的項目組并建立軟件質量保證體系。

        第六條 信息系統項目需要與開發商合作的,應簽定合同或協議,并經學校財務處審核。


        1.3項目開發

        第七條 信息系統項目開發劃分為概要設計、詳細設計、編碼與自測試、組裝與系統測試、試用及完善五個階段,一般要按階段進行。

        第八條 概要設計應明確整個信息系統項目的基本處理流程、子系統及其模塊劃分、功能分配、數據結構、內外接口、運行環境等。

        第九條 詳細設計應以子系統為單位,對其組織結構、輸入輸出界面、處理流程及測試計劃做詳細的描述。

        第十條 項目開發成員應按詳細設計說明書進行編程。編程應使用單位規定的配套設備和開發工具,符合編程規則約定。編程中需要對詳細設計說明書進行修改時,要作備忘記錄,并經項目負責人同意,備忘記錄要作為詳細設計說明書的附件保存。

        第十一條 項目開發成員完成編碼后應嚴格按詳細設計說明書的要求進行系統自測試,并向項目組提交自測試報告。

        第十二條 自測試完成后,由項目組組織系統測試。系統測試前,根據立項方案中的所有技術方案、功能要求以及詳細設計說明書,編寫測試大綱。主要測試系統的運行效率、穩定可靠性和各項功能,并做好測試記錄,提交測試報告。

        第十三條 信息系統通過系統測試后,由項目組負責選擇若干用戶進行一定時間的系統試用。并根據試用過程中暴露的問題和用戶反饋意見,進一步完善系統。試用結束后,試用部門應提交試用報告。


        1. 4驗收、推廣

        第十四條 系統完成試用后,項目負責人應根據系統的開發、運行試用等情況撰寫項目總結報告,并整理、匯總各階段形成的文檔。

        第十五條 根據項目組提供的材料,信息中心會同有關業務部門對系統進行鑒定驗收,涉及第三方合作的,還需對第三方的技術素質提出評審意見。

        第十六條 項目通過鑒定驗收后,才能推廣使用。在推廣使用前,項目組應提供相關的系統使用說明書、培訓材料,并制定相應的系統使用培訓及推廣計劃。項目推廣由信息中心會同有關業務部門統一組織實施。


        1.5文檔管理

        第十七條 項目組應設文檔管理員(兼),負責保管、整理項目實施各階段形成的文檔。

        第十八條 項目完成后,項目組應將整理后的文檔交由信息中心存檔。


        1. 信息系統操作安全管理


        第一條 信息系統操作安全管理應遵循責任明確、分工清楚、權責分明原則,做到定崗定人、相互監督、有案可查。

        第二條 明確崗位人員工作職責,制定崗位操作流程,建立健全崗位責任制度。

        第三條 信息系統使用部門應建立完整的信息網絡系統用戶訪問權限和目錄、文件訪問屬性管理系統,并登記備案。

        第四條 信息系統用戶管理實行部門負責人授權制,用戶建立須記錄備案,人員離崗時必須嚴格辦理離崗手續,并注銷用戶,相應系統的口令必須立即更換。

        第五條 各業務部門應嚴格設置操作人員對信息系統數據的訪問權限,用戶權限設定應遵循最小化原則,重要操作權限授權要有監督機制。權限發生變更時,需由部門負責人下達書面指令調整。所有用戶的登錄過程都必須采取權限限制及口令限制措施。

          第六條 在系統性能許可的情況下,應啟用系統軟件提供的安全審計留痕功能。

          第七條 信息系統的數據庫管理系統口令必須指定專人掌管,并要求定期更換。禁止同一人同時掌握操作系統口令和數據庫管理系統口令。

          第八條 建立和完善技術監管系統。信息中心應協助有關業務部門定期進行對帳,核對交易、清算、保證金等數據以及會計數據的一致性、連續性。

          第九條 對數據備份和審計記錄建立定期查驗制度。

        第三節 信息系統數據管理


        3.1總則

        第一條 本規范中所指的業務數據包括業務數據、公文信息數據和其它相關數據。

        第二條 本規范所指的系統數據包括計算機操作系統、網絡系統、數據庫系統、應用軟件系統、數據字典、權限設置、技術文檔資料、存儲分配、網絡地址、硬件配置及其他系統配置參數。


        3.2數據修改

        第三條 有關業務部門信息系統數據庫的維護工作應指定專人負責。

        第四條 已歸檔的業務數據不得修改或刪除。系統數據、聯機業務數據不得隨意更改或刪除,如確需修改,應嚴格按單位的有關規定,履行必要的審批手續,并在兩種不同的存貯介質上對與修改有關的數據進行完整的備份后,方可指定專人對系統數據進行修改。修改完畢后,應進行充分測試,保證數據修改的準確性和完整性,并做好詳細記錄備案。

          第五條 因業務等原因需對數據庫進行調整時,必須報相關部門審核,由學校信息中心掌管操作系統口令和數據庫管理員口令的兩位人員同時操作修改。在數據調整前應首先做好完整的數據備份,對調整的數據要嚴格校對檢查,確認數據調整正確無誤,對修改過程要有完整的記錄。


        3.3數據備份與保存

        第六條 業務部門須指定專人負責系統數據和業務數據的備份、保存工作。

        第七條  保存備份數據的地點應有防火、防磁、防熱、防塵、防潮、

        防盜等設施。

        第八條  對于系統數據的備份,應定期進行可用性測試,以確保故

        障恢復能力,具體測試的時間及結果應詳細記錄備查。

        第九條 系統數據應永久保存,直到系統數據更新后,以新的系統備份數據代替原來的系統備份數據。

        第十條 業務數據備份的內容主要包括:當日產生的業務數據、歷史數據備份以及其他重要數據備份。

        第十一條 備份數據必須完整、真實、準確,不得作任何更改。

        第十二條 歷史數據必須存儲在不可更改的介質上,并要求多份異地保存。

        第十三條 重要數據應有最新的異地備份,關鍵數據要保存多份,保證服務器一旦發生重大故障時能夠快速恢復。

        第十四條 數據管理員必須對備份數據進行規范的登記管理,各備份介質上應有明確的年月日及內容標識,在辦理備份數據交接時應履行必要的登記手續。

        第十五條 系統數據必須做到每當發生變化時都能及時備份,并詳細記載變化情況。    


        3.4數據查驗

        第十六條 無正當理由和批準手續,任何人不得查閱所屬權限范圍外的系統數據和業務數據。批準查閱數據必須履行完備的審批手續,并做好詳細記錄備案。

        第十七條 學校應定期(或不定期)對各部門的業務數據進行檢查(或抽查),各部門應提供真實、完整的業務數據,不得弄虛作假。

        第十八條 公安部門或其他監管機構因工作需要查閱有關數據時,有關部門應積極配合。


        3.5數據保密

        第十九條 信息系統的數據應有嚴格的安全與保密措施,防止系統數據的非法生成、變更、泄漏、丟失與破壞,禁止外借或對外拷貝。

        第二十條 所有保密數據不得以明碼形式存儲和傳輸。

        第二十一條 在開放的場合使用服務器上信息系統中的重要數據時,使用后或使用人離開時必須立刻斷開與服務器的連接,防止數據失密。

          第二十二條 存放信息系統中重要數據的計算機不得與Internet相連。

          第二十三條 應重視數據的保密措施,出現數據泄露、遺失等重大問題,應及時向單位相關部門報告。




        1. 計算機硬件設備、軟件系統及電腦人員的管理


        4.1硬件設備安全管理

          第一條 硬件設備包括服務器、工作站、UPS電源、衛星通訊設備、網絡設備、數據存儲設備等相關電子類設備。

          第二條 所有硬件設備必須指定專人負責管理。重要設備必須由專業電腦人員負責管理,并建立設備的維護檔案。普通設備可以由其他人員負責管理。

          第三條 重要的硬件設備必須遵守學校的有關規定,采取必要的備份措施。

          第四條 為避免硬件設備發生意外故障,必須做到設備的物理安全、使用安全、維護安全。

          物理安全是指重要硬件設備必須放置于有人管理或受控制的場所,無關人員未經許可不得接觸該類設備。

          使用安全是指只允許設備管理員或經設備管理員許可的其他人員直接使用硬件設備,并對其進行授權的操作。在其他人員進行操作時,設備管理員必須全程陪同。服務器等重要設備的控制臺必須加鎖,完善保管密碼,或添加屏保設置。提供給客戶使用的電腦,不安裝光驅、軟驅等外部讀寫設備。

          維護安全是指硬件設備一般只允許現場維護,必須關閉遠程維護功能。服務器上不得安裝啟用遠程控制產品如RconsolePC Anywhere等。確需使用遠程維護功能時,要經有關部門或領導同意,用完后立刻關閉遠程維護功能并做好詳細記錄備案。


        4.2軟件產品的安全管理

        第五條 軟件產品的開發、購置應嚴格按本規范中第一節的有關規定執行。

          第六條 軟件產品的操作應嚴格按本規范中第二節的有關規定執行。

          第七條 軟件產品涉及的數據管理應嚴格按本規范中第三節的有關規定執行。

        八條 軟件產品在投入運行前,必須制定相應的管理、操作制度,分配用戶和權限。

        第九條 軟件產品必須指定專人維護,并有指定的維護場所和維護設備,不得隨意異地維護。

        4.3電腦人員管理

        第十條 學校信息中心對電腦人員的聘用、考核等提出意見和建議,協助組織人事處對電腦人員進行崗位任職管理。

        第十一條  電腦人員離崗或調換崗位,須退還該崗位所有技術資料(包括軟件等),本崗位數據不得帶離。

        第十二條  電腦人員離崗或調換崗位后,應及時更換有關的用戶和口令,應提出明確的工作交接要求并安排專人進行工作交接。




        第五節計算機網絡安全的管理


        5.1總則

        第一條  為保障學校計算機網絡系統(以下簡稱“網絡系統”)的正常運行,防止計算機病毒和非法入侵對單位網絡系統造成嚴重損害,加強對計算機使用的安全管理,結合單位實際情況,制定本規定。

        第二條  學校網絡系統安全管理工作的指導方針是“積極防范,加強管理”。網絡安全管理的目的是保證網絡的連通性、可用性,為用戶提供可靠的網絡連接,監控網絡訪問,及時發現非法行為,確保數據安全、準確的傳輸。


        5.2學校網絡系統的劃分

        第三條  學校網絡系統邏輯上劃分為業務網和辦公網。與電子政務網有關的網絡系統定義為業務網;與辦公、文件信息處理、實驗開發、以及與Internet交換信息的網絡系統定義為辦公網。單位網絡系統之外的其它網絡系統定義為公共網。

        第四條  學校網絡系統管理在技術上實行分層管理,業務網、辦公網和公共網之間必須設置必要的隔離措施,如虛擬子網、代理服務、物理隔離、防火墻等。


        5.3網絡的安全管理

        第五條  網絡設備(含服務器、路由器、交換機、防火墻、代理設備、入侵檢測系統等)上的用戶設置必須符合單位有關規定,超級用戶密碼必須定期更換、長度不得少于十位,構成方式不能太簡單,并報部門負責人備案。針對每一種具體網絡應用,設置一個或多個操作用戶,并賦予滿足該網絡應用的最低權限。對服務器上的所有用戶必須進行權限設置、站點限制、時間限制,定期更改用戶密碼。對于離職人員所掌握的有關用戶名及密碼應及時更換。

        第六條   網絡設備上的服務和端口,除必須開放的,一律關閉。

        第七條  對網絡設備必須設置訪問限制,網絡上需配置網管工具和網絡審計設備,對網絡設備的狀態進行實時監控,并記錄所有對網絡的訪問(包括:TelnetFTPHttpSmtpPop3等)。

        第八條  網絡上需配置入侵檢測或防火墻等工具,對網絡上非法、惡意的行為加以記錄和報警,防止網絡受到非法破壞。

        第九條  信息中心負責對網絡上的服務器、交換機、路由器等設備進行定期或不定期的整體漏洞掃描、安全評估,進行安全加固工作,對于新出現的漏洞及時進行修補。

          第十條  與外部網絡(電信、銀行、企業等)互聯時,必須設置可靠的安全措施,如采用前置機(串口、并口、usb口通訊等)、協議轉換(ip,ipx、防火墻、路由屏蔽等,禁止單位網絡與外部網絡直接互聯。

        5.4國際互聯網的使用

          第十一條 接入學校業務網的所有電腦,不得以直接或間接方式接入國際互聯網。

        第十二條 處理核心數據(財務資料、客戶交易資料等有關單位業務數據)、涉密數據(如重要公文、人事檔案等有關單位機密數據)或其它有特殊要求的電腦不得以直接或間接方式接入國際互聯網。

        第十三條 接入學校辦公網的電腦需要接入國際互聯網時,須通過代理服務器間接接入,禁止通過撥號或Internet地址直接訪問。

        第十四條  學校各部門電腦入網(辦公網和公共網)工作由信息中心統一管理,要求接入的部門須以部門為單位向信息中心提出書面申請。

        第十五條  各部門需要接入國際互聯網時,必須嚴格執行第七條規定,并將接入國際互聯網的技術方案報學校信息中心審核后實施。

        第十六條  接入國際互聯網的部門,須指定專人登記管理。

        第十七條  安裝接入國際互聯網代理服務器的部門應指定專人負責系

        統的維護管理,定期檢查代理服務器的日志文件,并做好保存工作。


        5.5學校計算機網絡系統安全管理

        第十九條 業務網內的計算機設備不得使用軟盤、CDROMMODEM、紅外通信設備、無線通信設備、USB移動存儲設備和串/并口設備(用于連接打印機設備的并口除外)。業務網與辦公網間的業務數據交換須通過專用FTP服務器完成,嚴禁向FTP服務器上傳非業務數據文件。

        第二十條 業務網內的計算機設備不得安裝與業務系統運行無關的軟件。

        第二十一條 業務網內計算機設備必須設置操作系統用戶口令,口令須由至少10位的字母、數字和特殊符號混合組成并須定期修改。

        第二十二條 業務網內計算機設備(含新增計算機設備)的硬件配置、軟件安裝、訪問方式設置、IP地址設置和網線連接等管理由信息中心負責,其它部門不得自行處理。

        第二十三條 學校以外人員的計算機設備嚴禁接入業務網。

        第二十四條 業務網內的計算機設備必須安裝統一下發的防病毒軟件,防病毒軟件的升級和實時防護性檢查由各部門計算機安全管理員負責。

        第二十五條 各部門計算機安全管理員應在信息中心的指導下做好本部門計算機設備的安全管理工作,發現計算機病毒應在第一時間內向信息中心報告。

        第二十六條 學校辦公網內的計算機設備不得直接訪問業務網。

        第二十七條 辦公網內的計算機設備必須安裝信息中心下發的防病毒軟件,防病毒軟件的升級和實時防護性檢查由計算機設備的使用人負責。

        第二十八條 辦公網內的計算機設備必須設置操作系統用戶口令,口令需由至少8位的字母、數字和特殊符號混合組成并需定期修改。

        第二十九條 計算機設備使用人員應及時查閱學校OA系統上發布的計算機安全通告,并按計算機安全通告要求做好計算機的安全服務包和補丁安裝工作。




        第六節 計算機病毒防范管理


        第一條 計算機病毒是隱藏在計算機系統軟件和數據資源中,利用系統的軟件程序和數據資源進行繁殖并生存,它影響計算機系統的正常運行,并通過系統軟件程序和數據共享的途徑進行傳染,屬于攻擊性程序。當前的計算機病毒呈現出了集病毒、網絡蠕蟲和黑客程序為一體的特征,對網絡和計算機具有極大的破壞性。

        第二條 對計算機病毒的防范應以事前預防為主,事后處理為輔。

        第三條 學校計算機病毒防范工作由信息中心負責統一協調,各部門負責組織實施。

        1. 計算機病毒防范工作應指定專人負責,并要求其掌握常見計

        算機病毒的原理、防范處理知識和必要的技術手段,了解當前計算機病毒的流行發病趨勢和有效對策。

        1. 預防計算機病毒選用的軟、硬件產品必須是經過國家公安部

        認證、批準的產品。

        1. 接入學校業務網的電腦,在不影響業務系統正常運行的情況

        下,需安裝和運行學校統一購置的防病毒軟件,接入學校辦公網的電腦,接入前必須安裝和運行單位統一購置的防病毒軟件。

        第七條 學校中心機房的計算機應專管、專用。所有工作站不得直接接入互聯網。

          第八條 機房應嚴格控制與外界的軟件交流,屬于工作需要的軟件必須首先進行防病毒檢查,確認無病毒后方可使用,嚴禁在服務器或工作站上安裝、運行游戲軟件,嚴禁在服務器上安裝、運行瀏覽器、email接收等與業務無關的互聯網客戶端程序。

        第九條 應定期對服務器、網絡及工作站進行計算機病毒檢查,在某些計算機病毒發作日前進行預防性專項重點檢查。

        第十條 對防病毒軟件及病毒庫必須及時升級、更新。   



        第七節 互聯網上業務的風險控制規范

        7.1總則

        第一條  隨著互聯網開放程度的日益提高,黑客手段和攻擊技術的不斷增強,學校互聯網上的業務所面臨的安全風險也在增大。為防范此類風險,保障互聯網上各項業務的正常開展,特制定本規范。


        7.2互聯網上惡意攻擊的種類

          第二條 互聯網上惡意攻擊主要包括兩類:一是對互聯網上重要信息的惡意攻擊,二是對互聯網上計算機系統的惡意攻擊。

          第三條 對互聯網上重要信息(如用戶認證信息)的常用攻擊方式包括:竊取、篡改和重現信息交互過程等三種。

           第四條 對互聯網上計算機系統的惡意攻擊常用手段有三類:非法訪問及入侵、DOS攻擊和病毒攻擊。


        7.3互聯網上重要信息的惡意攻擊防范措施

        第五條 應綜合采用信息加密、動態會話密鑰、報文摘要、時間戳以及頁面保護與恢復等技術和措施。

        第六條 信息加密應采用128位以上加密算法,對應用層數據進行安全加密,從技術上保證重要信息不被竊取。

          第七條 應限制通信過程的有效生命期,避免重現信息交互過程。

        第八條  對于網站/網頁上的重要信息和頁面應采用頁面保護與恢復措施,對于信息的公開發布應實行審查制度,對于交互性強的網站欄目(如:BBS,專家門診,網上論壇等)應采用有關的技術措施并配備專人值班,及時過濾和刪除不良信息,避免政治風險。

        7.4互聯網上計算機系統的惡意攻擊防范措施

        第九條 對互聯網上計算機系統的惡意攻擊的對象是計算機資源和服務,其目的是盜取、破壞計算機資源信息,阻止、威脅計算機的正常運行及服務。

        第十條 應對計算機系統的用戶賬號采用嚴格的分級管理策略,對重要口令定期更換。

        第十一條 應指定專人定期或必要時對計算機系統的軟件做安全升級。

           第十二條 架設抗DOS攻擊設備、防火墻和入侵檢測聯動系統,防止DOS攻擊和非法訪問及入侵。

           第十三條 在計算機系統內部實施安全審計功能,實時跟蹤和記錄對各服務器和交換設備及系統內部的訪問行為,對可能發生的非法訪問做及時反應。

           第十四條 對重要交易數據庫采用加密保護措施,使計算機運行權與信息訪問權分開,使攻擊者無法訪問重要數據。

        第十五條  安裝防病毒產品并定期更新軟件和病毒庫,有效抑制病毒。

        1. 信息系統應急處理流程


        8.1總則

        第一條 建立應急處理流程的目的是防范技術事故的發生,減少可能的損失。技術事故是指由于硬件故障、軟件故障和操作失誤等原因引起系統無法運行,經啟用備用系統仍未恢復正常,導致服務中斷并造成損失的事件。

        第二條 技術事故的防范原則是:預防為主、及時處理,力爭把損失降低到最小程度。

        第三條 對于重要設備的備份系統的操作,和重要軟件信息系統的操作,應制定應急處理流程。

        第四條 應急處理流程應張貼于明顯處,定期演練,并有至少兩人能熟練掌握操作流程。

        第五條 當發生故障需應急處理時,應在第一時間內向信息中心和相關部門報告,并按應急處理流程在信息中心的指導下處理。

        第六條 故障處理完畢后,應查明原因并及時整改,并將事故原因和處理情況報學校有關部門。



        159彩票{{转码主词}官网{{转码主词}网址