无锡太湖学院数据安全管理条例（试行）

第一章 总则

信息中心作为信息化校园和一卡通数据的核心部门，必须保障其管理范围内的系统稳定、可靠、安全地运行，保障数据安全的同时，力争管理水平更上一个台阶。作为信息中心的管理人员和访问信息中心数据的用户，必须遵守信息中心的相关规范，从而确保信息中心的规范运作，为学校信息化建设的平稳开展，创造一个良好的环境。     

第二章 数据源及数据使用管理原则

第一条  数据的产生部门是唯一可以维护该数据的部门。如数据发生错误、损毁，数据产生部门有责任提供最终备份数据，并以此为标准数据供数据使用部门开展后续工作。     

第二条  数据的使用部门使用数据之前，需要向学校和数据产生部门提出申请，在获得批准备案授权后，方可使用。     

第三条  数据的使用部门在调用来自数据产生部门的数据时，不可以对源数据做任何改动，不可以做其他可能影响到数据源准确性的任何操作。

第四条  数据的产生部门和信息中心有权关闭数据接口，即有权停止向使用部门提供数据。此行为无需提前书面告知各数据使用部门。     

第五条  数据的产生部门如需关闭接口，停止提供数据。需要提前书面通知数据的使用部门和信息中心，并由信息中心做记录备案。     

第六条  核心数据源部门如下：     

（1）人事处提供教职工数据     

（2）教务处提供本科生数据      

（3）国际交流处提供留学生、外教数据     

（4）继续教育学院提供在校继续教育学生数据     

第三章  数据保密制度

第一条  遵守国家有关法律、法规，严格执行《中华人民共和国计算机信息网络安全保密规定》。    

第二条  参与信息化校园建设的相关建设公司和学校信息化部门人员，不得以任何形式泄露信息中心的保密信息、保密数据、保密文件等。     

第三条  任何人不得泄露服务器客户资料如账号、密码等信息，严禁盗用其他客户的账号和IP地址等系统资源。

第四条  未经授权，任何人都不得进入信息中心非公开区域，不得接触或使用信息中心或其他客户的设备。

第五条  不允许以任何方式干扰、妨碍信息中心或其他客户的正常工作。     

第六条  用户必须配合信息中心管理人员进行必要的安全检查，如有违反安全保密制度的，将视其情节轻重，根据信息中心管理规定，对当事人进行处罚。如果该行为造成犯罪的，将移交司法部门依法追究其法律责任。  

第七条  如发生不可预见的技术故障（如病毒爆发，黑客攻击等行为），信息中心管理人员有权在未经许可的情况下暂停数据接入和关闭网络接口。     

第四章  数据管理制度

第一条  根据数据的保密规定和用途，确定使用人员的读写权限、存取方式和审批手续。   

第二条  对数据实施严格的安全、保密管理，防止系统数据的非法生成、变更、泄露、丢失及破坏。当值人员应在数据库的系统认证、系统授权、系统完整性、补丁和修正程序方面及时修改。     

第三条  信息化校园中各部门的信息系统，各部门承担管理责任，数据安全由各业务部门自行负责。   

第四条  各部门相关数据管理人员必须定期制作数据的备份并异地存放，确保系统一旦发生故障时能够快速恢复，备份数据不得更改。     

第五条  业务数据必须定期、完整、真实、准确地转储到不可更改的介质上，备份数据资料保管地点应有防火、防热、防潮、防尘、防磁、防盗等设施。     

第六条  由无锡太湖学院授权系统的控制权限，信息中心负责记录相关权限的使用情况。

第七条  在职责划分上，明确数据管理过程中的职责划分。在数据管理角色上，至少有一个主责领导，至少有一个数据库超级管理员。数据库超级管理员需要通过无锡太湖学院的资格认定，且由无锡太湖学院正式任命上岗。

第八条  数据库超级管理员职责：负责管理数据库，建立数据库维护档案，负责数据库的规划、新建、空间分配、用户分配、操作日志的监控、数据库的负载监控以及对数据库各项操作记录及相关资料的存档备案。   

第九条  数据库超级管理员在经过授权的情况下负责对共享数据库的维护。各业务部门的数据库仍由各业务部门系统管理员自行管理以实现数据的分级管理。     

第十条  信息中心每年进行一次模拟数据灾难演习。要求覆盖主要的数据灾难场景。要求数据库超级管理员以及所有数据库管理人员准确响应。       

第十一条  数据库系统的运行环境、物理安全、网络安全由信息中心负责。     

第五章  信息系统安全制度

第一条  信息系统的建设和应用，应当遵守法律、行政法规和国家其他有关规定。

第二条  信息系统使用单位的负责人负责本单位计算机信息系统的安全管理工作。

第三条  用信息系统存取、处理、传递属于国家秘密的信息，必须采取相应保密措施，确保国家秘密安全。

第四条  尖端科学技术等领域以及重要经济部门的要害信息系统，应重点加强安全管理和保卫工作。     

第五条  对信息系统中发生的案件，有关使用单位应在24小时内向信管办和保卫处通告。       

第六章  信息系统使用单位建立以下安全管理制度：

第一条  安全管理责任制度：明确每个岗位和每个工作人员的安全管理职责和范围。       

第二条  安全保障制度：保障信息安全，保障信息系统设备、设施（含网络）和运行环境的安全，保障计算机服务器等设备的正常运作。       

第三条  安全操作制度：规定计算机信息系统的操作权限和安全操作规程。      

第四条  安全检查制度：定期检查计算机信息系统安全状况，发现问题及时处理及时上报。       

第五条  其他安全管理制度。

第七章  用户以及密码管理

第一条  管理员要根据工作的需要，认真制定用户权限的分配方案，方案在部门负责人签字同意并在信息中心备案后方可进行实施，对于不再使用的账号需及时清理以保证数据库的准确性。

第二条  用户密码必须由管理机构内部人员掌握，严禁其他单位或部门人员以任何方式获取密码及相关权限。

第三条  数据库密码原则上应由两人以上分段共同管理，数据库密码必须通过复杂性检验，总位数不少于6位，不得全部由数字组成，并定期进行修改。       

第四条  管理密码者要严格遵守国家的有关保密制度，不得泄露密码。特殊情况需要他人以自己的密码进入系统时，应征得部门负责人书面同意，并在工作完成后及时修改密码并在信息中心备案。       

第八章  应急方案及处置措施

第一条  信息中心是机房、设备及网络安全的总负责部门，出现紧急突发事件时，各部门单位在参与应急处理时，应听从信息中心调度和指挥。        

第二条  用户发现计算机被病毒感染，应立即向系统管理员报告。断开被感染的计算机网络连接，并使用有效的杀毒软件进行杀毒。       

第三条  主机系统感染病毒，信息中心管理员要向领导汇报，经领导同意，通知各下属单位做好相应的清查工作，查明计算机感染病毒的原因。情况恶劣造成严重损失的，应立即向公安部门报告。       

第四条  如遭到破坏性攻击，立即切断攻击来源的网络连接，并立即向分管领导报告，征得同意后停止或部分停止系统运行。       

第五条  系统管理员应检查有关日志等资料，查找攻击来源，并及时向领导汇报；情况影响极为严重的，应立即向公安部门报告。       

第六条  一旦数据库崩溃，值班人员应立即启动备用系统，并向分管领导报告。       

第七条  在备用系统运行期间，信息中心管理员应及时对崩溃数据库进行恢复。如有需要，应立即联系相关设备供应商请求支援。       

第八条  如果两套系统均崩溃，信息中心管理员要向主管领导汇报，同时通告各业务使用部门暂停上传上报数据。       

第九条  系统修复启动后，将第一个数据库备份取出，按照要求将其恢复到主机系统中。        

第十条  如因第一个备份损坏，导致数据库无法恢复，则应取出第二套数据库备份加以恢复。       

第十一条  如果两个备份均无法恢复，则应立即请示主管领导，在得到相关领导批准后，使用最近备份数据作为标准数据恢复系统。