第一章總則

第一條為規(guī)范河北藝術(shù)職業(yè)學(xué)院（以下簡稱“河北藝校”）主機與系統(tǒng)安全管理，控制和保護計算機主機及其系統(tǒng)，防止主機和系統(tǒng)受到破壞和濫用，避免和降低由于主機和系統(tǒng)的問題對業(yè)務(wù)系統(tǒng)的損害，制定本制度。

第二章適用范圍

第二條本制度適用于河北藝術(shù)職業(yè)學(xué)院各部門。

第三章系統(tǒng)安全管理

第三條應(yīng)遵循以下系統(tǒng)訪問控制的基本原則：

1、最小權(quán)限：用戶應(yīng)具有完成某項工作所需的最小訪問權(quán)限。

2、按需審批：權(quán)限審批時應(yīng)根據(jù)用戶實際需要授權(quán)，避免權(quán)限過大。

3、職責(zé)分離：一個用戶不能同時承擔(dān)多個存在權(quán)力沖突的角色，訪問的請求方、授權(quán)方、管理方也應(yīng)實現(xiàn)職責(zé)分離。

4、默認拒絕：未經(jīng)明確授權(quán)，視為禁止。

第四條確保賬號和口令管理符合安全要求，系統(tǒng)中無用的系統(tǒng)賬號，應(yīng)進行刪除或其他安全處理。

第五條通過設(shè)定登錄超時、會話超時和定時鎖屏等策略為用戶登錄及訪問系統(tǒng)的連接安全有效提供安全保障。

第六條應(yīng)根據(jù)最小權(quán)限原則，合理關(guān)閉操作系統(tǒng)不必要的服務(wù)，減少系統(tǒng)安全弱點。

第七條應(yīng)根據(jù)服務(wù)器操作系統(tǒng)的補丁發(fā)布情況，及時更新補丁。補丁更新前，需進行測試，防止更新后對系統(tǒng)產(chǎn)生不利影響。

第八條對系統(tǒng)日志及配置定期備份，備份措施應(yīng)參照《備份與恢復(fù)管理》制度。

第九條應(yīng)按照上述訪問控制的基本原則對系統(tǒng)文件實施有效控制，避免被惡意或未經(jīng)授權(quán)的訪問，保護系統(tǒng)文件安全。

第十條系統(tǒng)管理員應(yīng)對包括計算機病毒在內(nèi)的惡意軟件進行必要的安全防護，防護措施參照《計算機病毒防護管理》制度。

第十一條對于外來的軟盤、光盤、外部可移動存儲設(shè)備及介質(zhì)，在使用之前應(yīng)經(jīng)過病毒檢查，確定沒有病毒并經(jīng)審批之后才能在系統(tǒng)上使用。

第十二條系統(tǒng)的技術(shù)負責(zé)人應(yīng)負責(zé)根據(jù)日志和審核要求開啟必要的安全策略，以協(xié)助審核工作。

第十三條所有提供審核的功能需保留日志，以便成為定期審核時的依據(jù)。

第十四條應(yīng)按照上述訪問控制的基本原則對日志記錄實施有效控制，防止未經(jīng)授權(quán)的更改和出現(xiàn)操作問題。

第十五條系統(tǒng)管理員應(yīng)根據(jù)系統(tǒng)的安全等級定期（至少每季度一次）評審各個系統(tǒng)生成的日志信息，如發(fā)現(xiàn)報警信息或異常信息，應(yīng)進行分析，查找故障原因并采取適當(dāng)?shù)奶幚泶胧?，對處理過程和結(jié)果進行跟蹤。

第十六條系統(tǒng)管理員應(yīng)根據(jù)系統(tǒng)的安全等級定期（至少每季度一次）對日志進行歸檔，重要日志應(yīng)進行磁帶備份。

第十七條加強系統(tǒng)配置管理，系統(tǒng)變更應(yīng)按《變更管理》制度有關(guān)規(guī)定進行申請和審批。

第四章相關(guān)文件

第十八條與本制度相關(guān)的其他文件及表單包括：

1、《變更管理制度》

2、《計算機病毒防護管理制度》

3、《備份與恢復(fù)管理制度》

第五章附則

第十九條本制度自發(fā)布之日起執(zhí)行。

第二十條本制度的解釋和修改權(quán)屬于信息安全領(lǐng)導(dǎo)小組。

第二十一條信息安全領(lǐng)導(dǎo)小組每年統(tǒng)一檢查和評估本制度，并做出適當(dāng)更新。在業(yè)務(wù)環(huán)境和安全需求發(fā)生重大變化時，也將對本制度進行檢查和更新。