上海石化工业学校信息系统安全运维管理制度（2019-2020年度继续执行）

第一章    总  则

第一条为了加强上海石化工业学校信息系统的运行维护安全管理，保障信息系统高效的发展和稳定可靠的运行，根据国家相关政策、法规以及现有的管理制度，特制定本制度。

第二条本制度的目的是指导和规范信息系统的安全运维管理工作。

第二章    管理职责

第三条信息中心负责信息系统的日常安全运维工作。

第四条信息安全工作小组负责对信息系统安全运维工作进行监督指导，具体监督工作由人事科负责进行。

第三章    信息系统账号管理

第五条信息系统账号管理包括账号的新建、账号权限变更以及账号的删除管理。

第六条本制度中的信息系统帐号是指应用层面及系统层面（操作系统、数据库、网络设备及安全设备）的用户帐号。

第七条员工因工作需要申请信息系统账号时需要填写《上海石化工业学校信息系统账号申请表》，填写完成后由所属部门领导向信息中心提出申请。

第八条信息中心领导负责审核申请表，确保申请人所申请账号的权限与其岗位一致，避免权限过大带来不必要的风险。

第九条审批通过后交由运维组长处理，运维组长根据申请账号的类型分配给相应管理员具体操作。

第十条员工岗位发生变化时，应及时向信息中心申请对账号权限进行相应的调整，详细流程参见《上海石化工业学校信息系统变更管理制度》。

第十一条   员工离职时，所属部门领导应及时通知信息中心删除离职人员的账号及权限，详细流程参见《上海石化工业学校人员安全管理制度》。

第十二条   信息中心定期对信息系统账号及权限进行梳理，删除或修改不必要的账号及权限。

第十三条   账号密码的发放必须严格保密，员工拿到账号时必须尽快修改原始密码，密码基本要求参见《上海石化工业学校信息系统密码安全管理制度》。

第四章    安全监控与入侵防范管理

第十四条   安全管理员负责对信息系统的安全监控与入侵防范进行管理，并定期向运维组长汇报。

第十五条   定期对信息中心网络设备、安全设备、服务器、数据库及应用系统进行监测，并对报警记录进行分析，形成分析报告，定期上报给运维组长，并协助运维组长处理发现的安全事件。安全事件处理流程参见《信息安全事件管理制度》。

第十六条   定期对网络设备、安全设备、服务器、数据库及应用系统进行漏洞扫描。通过不同接入点扫描后，对漏洞进行分析，并定期上报运维组长，运维组长审批后根据漏洞的威胁级别对漏洞进行修补，具体流程参见《上海石化工业学校变更管理制度》。

第五章    恶意代码防范管理

第十七条   安全管理员负责对恶意代码进行防范管理，并定期向运维组长汇报。

第十八条   所有计算机必须安装防病毒软件并实时运行，及时更新防病毒软件和病毒特征库。

第十九条   定期对中心全体员工展开防病毒意识培训，定期抽查员工计算机安全防护情况。

第二十条   各使用人员在计算机上使用移动介质以及在因特网上接收文件或邮件之前，先进行病毒检查。

第二十一条     禁止外部计算机和存储设备接入生产专网和政务内网，接入因特网和政务外网之前应进行病毒检查。

第二十二条     定期对网络和主机进行恶意代码检测，对主机防病毒产品截获的危险病毒或恶意代码进行及时分析处理，形成报告上报运维组长。

第六章    附  则

第二十三条     本制度由信息中心负责解释。

第二十四条     本制度正式发布之日起执行。