学校信息系统安全人员管理制度（精选5篇）

学校信息系统安全人员管理制度 篇1

第一章总则

第一条为保证学校信息系统的操作系统和数据库系统的安全，根据《中华人民共和国计算机信息系统安全保护条例》，结合学校系统建设实际情况，特制定本制度。

第二条本制度适用于学校所有二级机构及所有系统使用部门和人员。

第三条信息管理部门是学校系统管理的责任主体，负责组织学校系统的维护和管理。

第二章系统安全策略

第四条信息管理中心负责人员的权限分配，权限设定遵循最小授权原则。

1） 管理员权限：维护系统，对数据库与服务器进行维护。系统管理员、数据库管理员应权限分离，不能由同一人担任。

2） 普通操作权限：对于各个系统的使用人员，针对其工作范围给予操作权限。

3） 查询权限：对于管理人员可以以此权限查询数据，但不能输入、修改数据。

4） 特殊操作权限：严格控制管理方面的特殊操作，只将权限赋予相关部门负责人。

第五条 加强密码策略，使得普通用户进行鉴别时，如果输入三次错误口令将被锁定，需要系统管理员对其确认并解锁，此帐号才能够再使用。

用户使用的口令应满足以下要求：

1、8个字符以上；

2、使用以下字符的组合：a—z、A—Z、0—9，以及！@#$%^&*— +；

第六条 定期安装系统的最新补丁程序，在安装前进行安全测试，并对重要文件进行备份。

第七条 对操作系统进行安全漏洞扫描，及时发现最新安全问题，通过升级、打补丁或加固等方式解决。

第八条 关闭信息系统不必要的服务。

第九条做好备份策略，保障系统故障时能快速的恢复系统正常并避免数据的丢失。

第三章系统日志管理

第十一条对于系统重要数据和服务器配值参数的修改，必须征得领导批准，并做好相应记录。

第十二条对各项操作均应进行日志管理，记录应包括操作人员、操作时间和操作内容等详细信息。

第十三条审计日志应包括但不局限于以下内容：包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全事件。

第十四条应对审计日志进行审查，对异常事件及时跟进解决，并定期形成日志分析报告。

第十五条系统审计日志应定期做好备份工作。

第四章个人操作管理

第十六条 学校工作人员申请账户权限需写《系统权限申请表》，经系统管理员批准后方可开通。账号申请表上应详细记录账号信息。

第十七条 人员离职或调职时需交回相关系统账号及密码，经系统管理员删除或变更账号后方能离职或调职。

第十八条 严禁私自在办公计算机上安装软件，以免造成病毒感染。严禁私自更改计算机的设置及安全策略。

第十九条 严格管理口令，包括口令的选择、保管和更换，采取关闭guest和匿名用户、增强管理员口令选择要求等措施。

第二十条 计算机设备应设屏幕密码保护的用户界面，保证数据的机密性的安全。

学校信息系统安全人员管理制度 篇2

第一章 总则

第一条 为加强杭州市长征中学信息安全管理工作，保障学校网络与信息系统的正常运行和人员的安全管理，依据国家相关法律法规，特制定本办法。

第二条本办法适用于杭州市长征中学所属部门及所有人员。

第二章 安全岗位管理领导机构和执行机构

第三条 杭州市长征中学信息安全相关人员岗位管理由杭州市长征中学网络与信息安全工作领导小组负责。

第四条 信息安全人员岗位管理执行机构由信息化办公室、相关业务部门和现代教育技术中心组成。

第五条 信息安全人员岗位管理执行机构职责：

（一）根据国家和省市有关信息安全的政策、法律和法规，制定本单位信息安全人员岗位管理制度（规范）；

（二）信息化办公室和相关业务部门负责涉密人员的使用和管理（管理制度另行制定）；

（三）现代教育技术中心负责信息安全人员的培训。

第三章 信息安全人员基本要求

第六条 信息安全人员应当政治可靠、业务素质高、遵纪守法、恪尽职守。

第七条 信息安全管理人员应有计算机专业知识，具备专科以上学历， 关键岗位管理人员需要在学校工作两年以上经历。

第八条 违反国家法律、法规和规章受到处罚的人员，不得从事信息安全管理与技术工作。

第四章 信息安全人员管理

第九条 信息化办公室负责信息安全人员审查工作，对人员的身份、背景、专业资格和资质进行审核；现代教育技术中心负责对人员进行技术技能审查和考核，保存相关文档。

第十条 关键岗位管理人员需要有两年以上相关工作经历并签署岗位安全协议。

第十一条 信息安全人员需签署保密协议并存档。

第十二条 现代教育技术中心负责信息安全人员的配备和变更，并向信息化办公室报备。

第十三条 信息安全人员调离岗位，必须严格办理调离手续，经杭州市长征中学网络与信息安全工作领导小组同意方可离开。

第十四条 信息安全离岗人员需承诺其调离后的保密义务并签署书面离岗保密协议。

第五章 人员岗位管理

第十五条 现代教育技术中心负责杭州市长征中学信息安全相关人员的岗位管理。

第十六条 现代教育技术中心负责制定安全岗位职责，岗位职责包括安全责任、违约责任等。

第十七条 应配备系统管理员、网络管理员、安全管理员、安全审计员等岗位，管理员、安全员和审计员之间必须严格进行岗位分离，每个岗位应至少有一名备岗人员。

第六章 信息安全人员职责范围

第十八条 信息安全人员应履行以下职责：

（一）负责信息安全管理的日常工作；

（二）开展信息安全检查工作；

（三）负责维护和审查有关安全审计记录，及时发现存在问题，提出安全风险防范对策；

（四）开展信息安全知识的培训和宣传工作；

（五）监控信息安全总体状况，提出信息安全分析报告；

（六）及时向安全主管领导及信息安全工作领导小组报告信息安全事件。

第十九条 信息安全人员发现本单位重大信息安全隐患，有权向杭州市长征中学信息安全领导小组报告。

第二十条 信息安全人员发现信息系统关键岗位人员使用不当，应及时建议杭州市长征中学信息安全领导小组进行调整。

第二十一条 信息安全人员必须严格遵守国家有关法律、法规和杭州市长征中学有关规章制度。

第七章 关键岗位人员管理

第二十二条 信息系统关键岗位人员，是指与重要信息系统直接相关的主管、系统（网络）管理员、安全员、审计员、重要应用开发人员、系统维护人员、重要业务操作人员等岗位人员。

第二十三条 重要信息系统，是指杭州市长征中学所开发的门户网站、办公OA系统等核心业务或有保密要求的信息系统。

第二十四条 关键岗位人员上岗前必须经单位人事部门进行政治素质审查，技术部门进行业务技能考核，工作经历和工作经验考查等，合格者方可上岗。

第二十五条 关键岗位人员有责任保护信息系统的秘密，并以签署保密协议的方式作出安全承诺。

第二十六条 关键岗位人员上岗必须实行“权限分散、不得交叉覆盖” 的原则。系统管理人员、网络管理人员、系统开发人员、系统维护人员不得兼任业务操作员；系统开发人员原则上不应兼任系统管理员。

第二十七条 对关键岗位人员应实行定期考查制度，关键岗位人员应定期接受安全培训，加强自身安全意识和风险防范意识。

第二十八条 关键岗位人员调离岗位，必须严格办理调离手续，承诺其调离后的保密义务 。涉及杭州市长征中学业务保密信息的关键岗位人员调离单位， 必须进行离岗审计，在规定的脱密期后，方可调离。

第二十九条 关键岗位人员离岗后，必须即刻更换操作密码或注销用户。

第八章 关键岗位安全责任

第三十条 系统管理员安全责任

（一）负责系统的运行管理，实施系统安全运行细则；

（二）严格用户权限管理，维护系统安全正常运行；

（三）认真记录系统安全事项，及时向信息安全人员报告安全事件；

（四）为安全审计员提供完整、准确的主机系统的运行日志；

（五）对进行系统操作的其他人员予以安全监督。

第三十一条 网络管理员安全责任

（一）负责网络的运行管理，实施网络安全策略和安全运行细则；

（二）安全配置网络参数，严格控制网络用户访问权限，维护网络安全正常运行；

（三）监控网络关键设备、网络端口、网络物理线路，防范黑客入侵， 及时向信息安全人员报告安全事件；

（四）为安全审计员提供完整、准确的记录网络设备和网络运行活动的运行日志。

（五）对操作网络管理功能的其他人员进行安全监督。

第三十二条 安全管理员职责

（一）监督检查各项信息安全管理规章制度的执行，及时查处安全隐患；

（二）协助安全管理员制定网络和主机设备安全配置规则，并监督落实执行；

（三）负责组织信息系统的安全风险评估工作，并定期进行系统的漏洞扫描，形成安全评估报告；

（四）对信息系统按照要求进行备份；

（五）负责参与安全事件的调查

第三十三条 安全审计员职责

（一）负责对整个信息系统进行安全审计，对安全管理员所做的安全评估报告进行审计；

（二）对各种设备的安全配置规则进行监督性安全审计，审计配置规则的合理性和落实情况；

（三）负责审计的原始材料的汇集、整理、建档，定期编写审计报告， 及时报主管领导审核；

（四）在安全审计过程中，详细记录异常现象、发生的.时间、产生的结果和处理方式，并及时上报；

（五）及时对第三方接入信息系统行为进行跟踪审计。

第三十四条 系统开发员安全责任

（一）系统开发建设中，应严格执行系统安全策略，保证系统安全功能的准确实现；

（二）系统投产运行前，应完整移交系统源代码和相关涉密资料；

（三）不得对系统设置“后门”；

（四）对系统核心技术保密。

第三十五条 系统维护员安全责任

（一）负责系统维护，及时解除系统故障，确保系统正常运行；

（二）不得擅自改变系统功能；

（三）不得安装与系统无关的其他计算机程序；

（四）维护过程中，发现安全漏洞应及时报告信息安全人员。

第三十六条 业务操作员安全责任

（一）严格执行系统操作规程和运行安全管理制度；

（二）不得向他人提供自己的操作密码；

（三）及时向系统管理员报告系统各种异常事件。

第三十七条 各关键岗位人员必须严格遵守保密法规和有关信息安全管理规定。

第三十八条 由于因工作疏忽或失误而产生所在岗位的安全事故，应追究相关人的责任。

第九章 第三方人员管理

第三十九条 第三方人员包括软件开发商，硬件供应商，系统集成商， 设备维护商和服务提供商，以及实习学生和临时工作人员。

第四十条 应对第三方人员的物理访问和逻辑访问实施访问控制，根据其在系统中完成工作的时间、性质、范围、内容等方面的需要给予最低授权。

第四十一条 第三方人员的现场工作或远程维护工作内容应在合同中明确规定，如工作涉及机密或秘密信息内容，应要求其签署保密协议。

第四十二条 一般情况下第三方人员的现场工作，如数据库、系统、漏洞扫描、入侵检测、渗透测试以及其他软件的安装和管理等，不得接入未经允许的自带设备。

第四十三条 第三方人员的现场工作应在本单位信息部门有关人员的陪同和监督下完成。第三方人员自带设备接入信息系统应得到特别授权， 其操作应受到审计。

第四十四条 第三方人员工作结束后，应及时清除有关账户、过程记录等信息。

第十章 外部人员访问

第四十五条 现代教育技术中心负责信息系统外部人员访问管理。

第四十六条 外部人员访问杭州市长征中学信息系统安全受控区域前，应先提出书面申请，经批准后由现代教育技术中心人员全程陪同或监督，并登记备案，外部服务人员则须佩戴证件上岗。

第四十七条 杭州市长征中学信息系统安全关键区域不允许外部人员访问，若有特殊情况，则必须得到现代教育技术中心领导的书面批准并签署保密协议并由专人全程陪同。

第四十八条 外部人员未经许可禁止携带移动介质和便携式设备进入相关区域。

第十一章 人员安全意识教育

第四十九条 由学校网络与信息安全工作领导小组负责人员的信息安全意识教育，现代教育技术中心负责制定人员信息安全意识教育计划，详细规定人员意识教育的内容、方法和过程。

第五十条 安全意识教育包括信息安全基础知识、各类人员的安全责任和惩戒措施等。

第五十一条 采用常规宣传、短期培训等方式，每年至少一次对各类人员进行安全意识教育。

第五十二条 安全意识教育要覆盖到本系统全体工作人员。

第十二章 培训与考核

第五十三条 每年定期对信息安全人员进行下列信息安全知识和技能的培训：

（一）信息安全法律法规及行业规章制度的培训；

（二）信息安全基本知识的培训；

（三）信息安全专业技能的培训。

第五十四条 信息安全人员应定期接受政治思想教育、职业道德教育和安全保密教育。

第五十五条（至少每年一次）对所有人员进行基本的信息安全知识和技能的培训。

第五十六条 安全意识教育应进行必要的考核（至少每年一次），并将考核结果及日常情况进行记录、保存，作为人员考核的内容之一。

第十三章 附则

第五十七条 本办法由杭州市长征中学负责解释。

第五十八条 本办法自发布之日起施行。

学校信息系统安全人员管理制度 篇3

第一章 总则

第一条为了保障甘肃医学院信息系统人员管理的安全性和规范性，特制定本规定。

第二条人员安全管理包括人员录用、岗位人选、人员转岗和离岗、人员考核、人员惩戒、人员教育和培训的安全管理。

第三条本规定适用于信息中心。

第二章人员录用

第四条对人员录用实施管理，并注意以下安全要求：

（一）应明确被录用人员的安全技能要求，在录用过程中依据技能要求进行考察，并对技能考核结果进行记录；

（二）规范人员录用过程，对被录用人的身份、背景、专业资格和资质等进行审查；

（三）对于可接触较多机密或更高级别信息资产或特殊工种的人员，需要签订保密协议；

（四）应从内部人员中选拔从事关键岗位的人员，并签署岗位安全协议，明确应尽的信息安全保护义务，保证其在岗工作期间和离岗后按照保密协议所规定的时期内，不得违反岗位安全协议。

第三章岗位人选

第五条所有信息安全岗位人员应明确其在信息系统中信息安全保护的职责和权限，其工作、活动范围应当被限制在完成其任务的最小范围内。

第六条安全管理员、安全审计员和数据库管理员等信息安全关键岗位人员，必须经过严格的审查并考核其业务能力。

第四章人员转岗和离岗

第七条转岗和离岗人员，应及时通知行政部，只有签署过保密承诺文档后才能办理转岗和离岗手续。

第八条行政部应通知系统建设和运维人员在24小时内终止离岗人员的所有访问权限，及时变更转岗人员的访问权限。

第九条对离岗人员，要理清离职交接单的各项交接内容，及时收回各种身份证件、钥匙、以及机构为其提供的软硬件设备等，对设备上保留的数据进行安全处理，包括备份需要留存的数据以及删除不必要的数据。

第十条对关键岗位转岗和离岗人员需要向其重申调离后的保密义务，应在保密承诺文档上签字，承诺相关保密义务后方可离开。

第十一条应注意转岗人员的岗位变化，根据岗位需要，重新签署保密协议。

第五章人员考核

第十二条技术研发部每年对所有技术人员进行一次安全考核，并注意以下安全要求：

（一）应对所有人员进行安全意识考核；

（二）对涉及信息安全管理、检查和执行的岗位人员，应每年进行一次安全技能的考核，包括安全管理知识的掌握程度、所管理业务系统中安全产品的操作技能、所管理业务系统中使用的操作系统和应用软件的安全使用等；

（三）应将发生的安全事故、安全检查结果和安全审计结果纳入考核内容。

第十三条安全考核结果应进行存档，以便查询，每次考核后，都应与上次考核进行对比。

第十四条对于考核中发现有违反信息安全法规行为的人员或发现不适于承担信息安全关键岗位的人员要及时调离岗位。

第六章人员惩戒

第十五条人员违反安全策略和规定，依照其违规程度及影响，适度进行惩戒，情节严重的可与其解除劳动合同。

第十六条如该安全违规涉及法律层面，则可追究该人员的刑事责任。

第七章人员教育和培训

第十七条新员工在正式上岗前，应进行信息安全方面的培训，明确岗位所要求遵守的信息安全制度、技术规范以及操作流程。

第十八条针对信息系统的维护人员和管理人员应定期开展安全技术教育培训（每月一次），明确如何安全使用有关系统，包括各业务系统、主机操作系统、以及计算机周边硬件设备等安全技术知识。

第十九条应开展由供应商或厂家提供的专业安全技术培训，帮助相关安全管理人员和技术人员了解掌握正确、安全地安装、配置、维护系统。

第二十条应在信息安全教育和培训后实行书面的考核，确认教育和培训的效果。对安全教育和培训的情况和结果进行记录并归档保存。

第二十一条日常的信息安全教育和培训应以内部培训为主，对于暂时没有条件实施内部培训的，可根据需要，邀请厂商、合作伙伴或者专业的培训机构实施培训。

第八章附则

第二十二条本规定的解释权归信息中心。

学校信息系统安全人员管理制度 篇4

第一章总则

第一条为进一步规范怀化学院信息系统信息安全管理人员安全管理，有效防范操作风险，确保我校信息系统的信息安全，特制定本办法。

第二条本办法属于管理办法，适用于所有怀化学院信息系统信息安全管理人员。

第二章人员录用

第三条在首次聘用、内部转岗成为信息安全管理工作人员时，除遵循有关处室制定的相关制度规定外，有关处室须对人员的身份、背景和专业资格等进行审查，信息安全工作领导小组办公室对其所具有的技术技能进行考核。

第四条信息安全工作人员录用后，应立即签署安全保密协议， 《怀化学院信息安全保密协议书》（见附件1）。

第五条信息安全工作人员录用后，信息安全工作领导小组办公室须提供必要的安全培训，使录用人员意识到信息与网络安全威胁及利害关系，确保被录用人员支持和遵守单位的信息安全策略。

第三章人员培训

第六条信息安全领导办公室应制定年度信息安全培训|计划，对员工定期进行信息培训，《信息安全年度培训计划》（见附件3）。

第七条信息安全工作领导小组办公室须定期组织对所有工作人员的安全教育培训，培训内容至少包括：我局信息与网络安全策略、安全职责、安全管理规章制度和法律法规。

第八条信息安全工作领导小组办公室应定期对安全教育和培训进行书面规定，针对不同岗位制定不同的培训计划，对信息安全基础知识、岗位操作规程等进行培训。

第四章附则

第九条本办法由信息安全工作领导小组制定，由信息安全工作领导小组办公室负责解释和维护管理。

第十条本办法自印发之日起施行。

学校信息系统安全人员管理制度 篇5

第一章 总则

第一条 为保证学校信息系统的安全，根据《中华人民共和国计算机信息系统安全保护条例》和《中华人民共和国网络安全法》，结合学校信息系统建设实际情况，特制定本制度。

第二条 本制度中所称的信息系统是指学校各级部门建设的信息系统，包括各类应用系统、网站（含非学校域名，非学校IP）等。

第三条 学校信息系统总体依照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则进行管理，同时必须有专人负责系统日常管理和维护。

第二章 系统建设、管理和使用

第四条 信息系统建设部门根据工作需要，在学校统一规划下开展信息系统建设工作。要对系统的安全风险进行专业评估，确保系统自身安全。

第三章 物理安全

第六条 学校网络信息化部门、后勤部门和安全保卫部门负责保障校园信息网络基础设施的物理安全。

第七条 物理安全主要涉及到信息系统所需网络基础设施和硬件的电磁安全、介质安全、设备安全、动力安全、环境安全等。

第八条 物理安全主要采取的安全措施包括电磁屏蔽（例如：防雷击、防辐射）、容灾备份（例如：数据双机热备份、远程备份等）、设备防护、可靠供电（包括UPS）等。

第四章 系统安全

第九条 学校网络信息化部门全面负责学校信息系统安全体系建设与管理。部署入侵检测、入侵防御、漏洞扫描、病毒防护网关、流量监控、网络设备运行监控等系统进行实时监测，实时掌握系统运行状况，一旦发现异常，根据安全事件级别启动相应应对方案。

第十条 为确保信息系统安全稳定运行，系统建设部门承担着所辖系统的服务器操作系统（OS）、信息系统自身的安全管理与维护责任，主要包括：

1、每月对服务器操作系统和信息系统进行安全漏洞扫描，及时发现最新安全问题，通过升级、打补丁或加固等方式解决。敏感期或重大病毒爆发期，要酌情提高漏洞扫描的频率。

2、根据系统需要，对信息系统的文件和数据做好备份策略，保障系统故障时能快速恢复并避免数据丢失。建立系统故障时应急恢复预案。

3、加强密码管理。系统用户使用的口令应满足以下要求：1）8个字符以上；2）使用以下字符的组合：a—z、A—Z、0—9，以及！@#$%^&*— +；3）口令每三个月至少修改一次。

4、服务器操作系统安装防病毒软件和开启防火墙，关闭不需要的服务端口。

第五章 内容安全

第十一条 学校宣传部门总体负责信息内容的安全管理工作，网络信息化部门提供技术支持，信息系统的建设、管理与使用部门负责所辖系统的内容安全管理。

第十二条 内容安全主要实现对校园信息内容的隐藏、发现、分析和管理等，主要采取的措施包括信息检索、数据挖掘、特定信息过滤（例如色情、暴力等不良网络信息）、网络舆情信息分析与处理等。

第六章 系统变更与注销

第十三条 在信息系统相关内容（比如系统名称、系统功能、系统管理员、关键产品的使用、系统安全情况等）发生变化时，系统建设部门需在变更后一周内向网络信息化部门登记备案。

第十四条 如果信息系统不再提供相关服务，需要关闭停止的，系统建设部门需向网络信息化部门提出书面申请，待审核通过后，立即予以注销。如因长时间无人管理致使系统产生安全漏洞，造成的损失由建设部门承担法律后果。

第七章 惩处

第十五条违反本管理制度，将提请学校视情节给予相应的批评教育、通报批评、行政处分或处以警告、以及追究其他责任。触犯国家法律、行政法规的，依照有关法律、行政法规的规定予以处罚；构成犯罪的，依法追究刑事责任。

第八章 附则

第十六条 本制度由信息中心负责解释。

第十七条 本制度自印发之日起施行