南京特殊教育师范学院信息安全管理体系文档
信息安全设备管理办法
(初稿V1.0)
南京特殊教育师范学院
编制说明
随着南京特殊教育师范学院各信息系统功能与规模的日益完善与扩大,为加强信息安全管理能力,提高信息系统安全服务水平,保障南京特殊教育师范学院各信息系统的安全运转,特制定南京特殊教育师范学院信息安全管理体系规范文档。
南京特殊教育师范学院信息安全管理体系文档主要依据ISO/IEC27001:2005《信息系统安全管理规范指南》、GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》、GB/T22240-2008《信息安全技术信息系统安全等级保护定级指南》和《教育行政部门及高等院校信息系统安全等级保护定级指南》,同时参考了国际和国内的其它信息安全标准,以及国家相关法律法规,并结合南京特殊教育师范学院的实际情况制定。
最终目标是建设完善南京特殊教育师范学院的信息安全管理体系,是南京特殊教育师范学院对信息系统及第三方供应商进行信息安全管理的重要依据,各相关单位必须结合具体情况将信息安全管理落实到实际的工作中。
南京特殊教育师范学院信息安全管理委员会负责对本规范进行解释和修改。
本规范自公布之日起实施。
第1条总则
本办法所称的信息设备,是指所有权或使用权属于南京特殊教育师范学院的存储、交换、服务器、安全设备等处理信息的设备,无论其物理位置是否在南京特殊教育师范学院办公园区内。
信息设备实行“谁管理、谁负责”的原则,各设备责任人或责任部门要做好信息设备的管理工作。
本办法涉及的内容包括:保护线缆安全,保护承载数据或支持信息服务的电力和通讯电缆不被中断或破坏;确保设备其持续的可用性和完整性;对场外设备进行安全防护;确保未经授权,设备、信息或软件不得带离工作场所。
计算机软盘、硬盘、磁带、光盘、U盘、各种存储卡等移动存储介质的安全管理依《移动介质管理办法》。
第2条信息设备安置与保护
信息安全设备的安置环境应按照设备制造商的说明,安置工作由专业人士进行。
信息安全设备安置要选择能够避免或减少未授权访问的物理场所,应采取措施以减小潜在的物理威胁的风险。
学校大楼安装避雷装置,所有电源和通信线路都应装配雷电保护过滤器。
进食、喝饮料和吸烟应到专门区域。
确保消防设备充足并随时可用。
第3条线缆安全
进入信息设备的电源和电信线路布在地板下,要建有冗余线路或留有可替换线路,以保障线路的可用性。
要采取切实有效的措施防范鼠患,防止电缆被鼠噬。
电缆要使用牢固、清晰、可识别的标记,使用文件化配线列表减少布线失误的可能性,以使失误最小化。
第4条设备维护
设备管理责任部门和责任人要每年年初制订关于设备维护相关计划,基本包括维护对象、维护时间与周期、维护人员、维护费用等内容。
设备维护可分为日常维护、定期维护、年度维护。
日常维护由设备使用者在日常使用时进行,维护项目限于查看设备外观有无明显损坏、是否正常工作、是否通电正常等内容。
定期维护由专业工程师或供应商进行,定期维护根据不同设备决定不同的维护周期,从一周一次到半年一次不等,定期维护项目包括软硬件更换、性能检查、性能调优等。
年度维护一般由供应商进行,在专业性上要求比日常维护和定期维护都要强,包括一年一次或几年一次不等,年底维护侧重于设备潜在故障的及早发现和处理。
只有已授权的维护人员才可对设备进行修理和服务,授权人员包括台内维修人员,也包括供应商。无论内部人员还是外部人员,都必须具备相应的能力,并遵守安装维护操作步骤和安全保护规则。
在对设备进行维护时,要根据不同的维护内容及可能产生的风险,考虑是由内部人员执行还是由外部人员执行,在外部人员对设备进行维护时,应实施适当的控制,如将敏感信息需要从设备中删除或确保维护人员对其不具有访问权限。
对于由内部人员维护的设备,要依据设备供应商推荐的间隔和规范对设备进行维护。
在设备维护过程中,要保存所有可疑的或实际的故障和所有预防、纠正维护的记录,这些记录包括日志、故障报告记录等。
第5条设备安全
原则上禁止设备移出南京特殊教育师范学院校园外。如确因工作需要,如迁移、维修等,需将服务器、交换机、路由器等信息设备移到校外地点使用,需要经过设备所属部门领导的批准后才能移出南京特殊教育师范学院校园外。
如需要供应商将设备移出南京特殊教育师范学院进行维修时,在设备移出前,设备管理人员要将设备中敏感信息从设备中删除或确保维护人员对其不可访问或获取。
第6条审计和执行
信息中心和安全管理部门应当对信息安全组织规划进行有效的监督和管理,对违反本策略的行为要及时指正,对严重违反者要立即上报。
信息中心安全审计小组应当对定期对备份和恢复计划的执行情况进行审计,对违反管理规定的情况要通报批评;对严重违反规定,可能或者己经造成重大安全事故要立即汇报学校最高领导。
本策略自发布之日起执行。
