大学信息管理中心终端信息安全管理规定.docx

大学信息管理中心终端信息安全管理规定第一章总则第一条为规范*大学信息管理中心（以下简称中心）员工在使用计算机终端过程中的行为，提高计算机终端的安全性，确保员工安全使用计算机终端，特制定本规定。第二条本规定适用于在*大学使用计算机终端的所有员工，包括内部终端和外部终端，信息管理中心及其他部门员工。第三条本规定所指的计算机终端包括员工在*大学网络中用于办公用途的台式计算机、便携式计算机。第二章台式计算机安全管理第一节硬件使用相关规定第四条台式计算机由*大学*部门统一配发，员工领到台式计算机后，应妥善保管台式计算机的主机、显示器以及附带的所有附件（包括各种线缆、光盘、说明书等）。第五条质保期内员工不得自行拆卸台式计算机，以免影响台式计算机厂商的售后服务。第六条未经许可，严禁将非*大学配发的台式计算机接入*大学局域网。第七条未经员工所在部门批准，员工不得自行变更台式计算机的硬件配置。第八条因工作岗位变动不再需要使用台式计算机时，应及时办理资产转移或清退手续。台式计算机做资产转移或清退时，应删除机内的敏感和重要数据。第二节系统使用相关规定第九条台式计算机的IP地址由*大学统一分配，员工不得自行变更，否则会造成台式计算机无法正常连接网络。第十条各部门应记录和管理IP地址相关的设备使用情况，对打印机、复印机等设备应及时记录设备使用情况。第十一条接收来自外部的软件或资料时，应首先进行防病毒处理。第十二条禁止在没有采用安全保护机制的台式计算机上存储重要数据，在存储重要数据的台式计算机至少应该有开机口令、登录口令、数据库口令、屏幕保护等防护措施。第十三条员工应设置台式计算机的开机密码，有关密码设置按照帐号口令权限安全管理规定执行。第十四条员工离开自己台式计算机时，应将台式计算机屏幕锁定；员工完成应用系统的操作或离开工位时，应及时退出系统。第十五条所有的台式计算机系统设备必须有一个台式计算机可读的设备属性标签，以便于查询和统计。第十六条存放台式计算机系统设备的区域必须保持适当的工作温度和湿度，相关要求参见产品说明。第十七条必须明确所有台式计算机的使用者，台式计算机上不得放盛有饮料等液体的容器。第十八条根据信息安全管理员的通知进行所使用台式计算机的病毒防治产品的升级版本检查，是否升级完成。第十九条定期对所使用台式计算机进行病毒的检测和清除。如果发现病毒，将检测和清除的结果报安全管理员进行备案。第二十条对于外来的（例如从网络上下载）程序和文档，在运行或打开前必须进行计算机病毒的检测和清除。第二十一条对于电子邮件附件所带的程序和文档在确认来自可信的发件人之前不得运行或打开，并且在运行或打开前必须进行计算机病毒的检测和清除。第二十二条不得进行计算机病毒的制作和传播。第三章便携式计算机安全管理第二十三条便携式计算机的硬件使用、系统使用安全管理规定参照台式计算机相关条款执行。第二十四条当使用存储*大学内部重要信息的便携式计算机时宜特别小心，确保业务信息不被损害和丢失。第二十五条携带存储*大学内部重要信息的便携式计算机外出时，不要使便携式计算机处于无人看管状态，防止非授权访问和信息泄露。第二十六条当在*大学之外的公共场所、会议室和其它不受保护的区域使用便携式计算机时应避免信息泄露。第二十七条建议定期对便携式计算机上的业务信息进行备份，并对备份的信息采取足够的防范措施，防止信息损坏或丢失。第四章外部终端安全管理第二十八条未经允许，外部终端不得以任何方式接入*大学网络。第二十九条外部终端在接入*大学网络前，必须由申请人填写*大学外部终端接入申请表（见附件），网络管理员对填入信息的准确性进行确认后，经相关负责人签字确认后方可实施接入。第三十条应根据申请人提交的用户信息开放网络资源,并依照应用系统访问权限开放应用系统的访问资源。第三十一条接入终端应安装正版操作系统和正版办公软件，并定期更新补丁程序。第三十二条接入终端应安装正版杀毒软件，并定期进行病毒库升级。第三十三条接入终端应使用固定IP地址，并且不得自行变更。第五章网络资源使用安全管理第三十四条*大学的网络资源和服务平台为所有员工提供服务，禁止使用任何手段攻击或破坏计算机网络和服务平台，例如利用Email服务发送电子邮件炸弹、垃圾电子邮件，利用网络服务实施网络攻击等第三十五条任何人不得在XX系统上发布、谈论和传播涉及*大学内部敏感信息。不得发布有危害国家安全、社会稳定、他人权益内容的信息。第三十六条员工不得私自设立WWW、FTP,TELNET、BBS、NEWS等应用服务；不得设立网上游戏服务，不得设立拨号接入服务。第三十七条任何人不得制造、传播各种计算机病毒或恶意软件。一旦发现计算机病毒，员工应及时进行病毒的清理，并采取必要措施，隔离病毒感染的计算机，防止病毒进一步传播。第三十八条员工的个人账号和密码未得到其本人授权的，任何人不得私自使用或者破解。第三十九条未经允许，不得切断他人的计算机网络。第四十条工作期间不允许随意使用公司网络资源下载和使用与工作无关的文件和网络服务。第四十一条通过Email发送涉及*大学敏感信息时建议采用加密措施，以防止信息泄漏。第六章安全监督与检查第四十二条信息管理中心终端管理员和对违反管理规定的行为要及时指正，对严重违反者要立即上报。第四十三条信息管理中心终端管理员应当定期或不定期对各个部门的计算机终端使用状况进行审计。信息安全工作组对违反管理规定的情况要通报批评；对严重违反规定，可能或者己经造成重大损失的情况要立即汇报*大学主管领导。第四十四条对于违反本规定的直接责任人应给予其相应的处罚，对于给*大学造成重大损失或重大影响的人员依据相应法律法规处理，并追究其直接上级领导的相应责任。第七章附则第四十五条本规定由信息安全工作组负责解释和修订。第四十六条本规定自发布之日起执行。