第一章 总则

第一条 为进一步规范计算机信息系统（以下简称信息系统）管理，保护信息系统安全，保障信息化建设和智慧校园建设顺利进行，根据《中华人民共和国计算机信息系统安全保护条例》、《信息安全等级保护管理办法》等规定，制定本办法。

第二条 本办法适用范围为莆田学院各职能部门建设管理的业务系统、网站和教学平台等。

第三条 任何组织或者个人，不得利用信息系统从事危害国家利益、集体利益和公民合法利益的活动，不得危害信息系统的安全。

第二章 管理机构及职责

第四条 信息系统实行学校、二级单位两级管理。

第五条 信息化建设与管理中心宏观管理全校信息系统，具体职责为：

1、制定、完善信息系统管理规章制度；

2、指导各二级单位信息系统建设；

3、为信息系统提供服务器等硬件及适合的运行环境；

4、根据国家规定，对信息系统实行安全等级保护；

5、开展信息系统安全培训，提高管理人员的安全保护意识和水平；

6、督促各二级单位按相关法律法规及学校相关制度管理本单位的信息系统。

第六条 信息系统管理单位作为管理主体，具体职责为：

1、明确各信息系统的管理人员及职责；

2、负责本单位信息系统的运行与维护；

3、负责本单位信息系统的全生命周期的安全保护。

第三章 分级保护

第七条 各信息系统应依据《信息系统安全等级保护实施指南》确定防护边界和安全保护等级。

第八条 各信息系统管理单位应使用符合国家有关规定，满足信息系统安全保护等级需求的信息技术产品，开展信息系统安全建设或者改建工作。

第九条 在信息系统建设过程中，应当按照《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》等技术标准，参照《信息安全技术信息系统通用安全技术要求》、《信息安全技术网络基础安全技术要求》、《信息安全技术操作系统安全技术要求》、《信息安全技术数据库管理系统安全技术要求》、《信息安全技术服务器技术要求》、《信息安全技术终端计算机系统安全等级技术要求》等技术标准同步建设符合该等级要求的信息安全设施。

第十条 信息系统管理单位应当参照《信息安全技术信息系统安全管理要求》（GB/T20269-2006）、《信息安全技术信息系统安全工程管理要求》（GB/T20282-2006）、《信息系统安全等级保护基本要求》等管理规范，制定并落实符合本系统安全保护等级要求的安全管理制度。

第十一条 信息系统建设完成后，应当选择符合规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评和安全自查。经测评或者自查，信息系统安全状况未达到安全保护等级要求的，管理单位应当制定方案进行整改。

第十二条 已投入使用的第二级以上信息系统，应当在安全保护等级确定后30日内，向市公安局备案。新建第二级以上信息系统，应当在投入运行后30日内，向市公安局备案。

第四章 管理要求

第十三条 各信息系统应根据业务需求，遵循最小授权原则设置各类操作权限。信息系统管理部门应将操作权限设置情况作为系统技术档案保存。系统业务变更或操作人员变更需及时更改操作权限，并同步更新技术档案。各用户账号须专人专用，以保证可按权限操作，不得将本人账号借给他人操作。

第十四条 信息系统的密码不能为弱口令，应至少由数字、字母、特殊符号等组成，长度不少于6位，并定期修改。更改密码须由本人提出申请，管理员核实后方能修改。

第十五条 各信息系统管理单位须可以通过系统自动和管理员手动的方式，及时做好数据异机备份，且不能备份在WEB或FTP等公共访问站点上。对于重要数据、关键数据还需进行异地备份。

第十六条 数据恢复前信息系统管理员须制定恢复方案（包含恢复原理、恢复时间、恢复数据内容、使用备份数据信息、恢复方法和操作步骤等），经信息系统管理单位论证和信息化建设与管理中心审批后执行。数据恢复前须对系统进行备份，确保当前数据安全。数据恢复后须对数据进行验证，确保数据的完整性和可用性。

第十七条 为提高信息系统性能，降低运营成本，各信息系统管理单位须对各类信息系统数据进行梳理，确定各类数据的保存期限和清理周期报信息化建设与管理中心备案，并定期清理失效数据。数据清理前须做好数据备份，确认备份数据正确后才能执行清理操作，数据清理的实施应避开业务高峰期，避免影响联机业务运行。

第十八条 委托第三方进行信息系统或相应硬件设备维护的，须在运维合同中增加保密条款，防止关键或重要数据泄密。

第五章 附则

第十九条 本办法自发布之日起实施，由信息化建设与管理中心负责解释