中山大学校务管理系统运行安全管理规定

中大网络〔2008〕2号

一、总则

        第一条  为规范中山大学校务管理系统(以下简称校务系统)运行管理,保障校务系统运行安全,根据国家有关规定,结合中山大学实际情况,制定本试行规定。
        第二条  本规定所称校务系统,是指基于统一规划的校级应用,包括办公自动化系统和管理信息系统。
        第三条  校务系统的建设和管理,遵循统筹规划,合理布局,统一数据库,统一标准,统一开发平台,统一用户管理,统一门户的原则。
        第四条  本试行规定适用于使用校务系统的校内各单位。

二、运行管理

        第五条  信息与网络中心负责校务系统的规划建设、运行管理和维护升级,负责确保校务系统的程序安全、数据安全和运行安全,校务系统的使用单位必须配合做好校务系统的安全管理工作。
        第六条  校务系统管理员分校级系统管理员和部门级系统管理员两级,校级系统管理员(一级系统管理员)是指校务系统的系统管理员,由信息与网络中心提名,报请学校任命;部门级系统管理员(二级系统管理员)是指校级机关、各直属单位、各院系、附属单位的技术管理员,由各单位部门指定。
        第七条  校级系统管理员负责如下工作:
        (1)新增、修改、删除系统角色;
        (2)新增、修改、删除系统资源权限;
        (3)设置各单位组织机构,设置岗位与角色的对应关系,在系统中为各单位设置技术管理员,根据其权限分配管理部门及可用系统角色范围;
        (4)新增、修改、删除用户资料,将岗位赋予用户,修改用户密码。
        第八条  部门级系统管理员负责如下工作:
        (1)在校级系统管理员设置的管理范围内,查看系统角色;
        (2)在管理范围内设置组织机构列表,设置岗位与系统角色的对应关系。
        第九条  系统管理员不得利用校务系统从事危害学校利益、教职工、学生利益的活动,不得危害校务系统的安全。
        第十条  各单位应加强对本单位使用校务系统的安全管理,做好以下工作:
        (1)明确校务系统安全工作的主管负责人,并配备具有相应能力的工作人员作为校务系统的技术管理员;
        (2)各单位应将系统管理员和办公自动化系统文件管理员的名单及联系方式上报信息与网络中心备案。人员有变更时,必须同步报信息与网络中心更新备案,并由系统管理员进行相应岗位的权限更改。
        (3)各单位系统管理员应该对岗位、岗位对应的系统角色、岗位包含的用户进行纸质和电子的备案,当发生变化时,必须同步报校级系统管理员更新备案;
        (4)各单位系统管理员应妥善保护自己的帐号资料,登录系统后因故离开要退出系统;
        (5)各单位文件管理员和系统管理员应定期参加培训,并负责对本单位的用户进行培训;
        (6)当发生安全事件时,部门系统管理员应迅速采取相应措施并及时向校级系统管理员报告,必要时,信息与网络中心给予紧急支持;
        (7)各单位应建立信息维护制度,对系统中权限范围内的信息进行及时维护和更新。
        第十一条  校级系统管理员应对各单位系统管理员管理的组织机构和系统角色进行纸质和电子的备案,当发生变化时必须同步对备案进行更新。
        第十二条  校务系统的系统管理员的密码保存机制:系统管理员的密码必须由8位或以上组合而成;密码必须包含数字、字母、特殊字符;将密码分隔成两段,由两个人分开掌握;密码还需要密封后放入保险柜中。
        第十三条  校务系统中建立审计制度,对管理员的操作进行记录。校级系统管理员要定期对审计信息进行查看和监控。
        第十四条  当发生安全事件时,各级系统管理员相互之间要密切配合,迅速采取措施,同时向上级主管领导报告,事后做好安全改善。
        第十五条  使用校务系统的人员不得随意就校务系统中的数据对外提供服务,如确有必要,需经过上级主管部门和领导同意,由有权限的人员负责查询。
        第十六条  其它应用如果需要通过接口方式获取校务系统中的数据,必须经过职能部门、信息与网络中心同意,设计符合校务系统的数据接口规范的接口软件。

三、附则

        第十七条  对于违反本规定造成损失的,视情节轻重报有关部门处理。
        第十八条  对于危害公共安全、国家安全、泄露国家秘密以及其它违反法律、法规的行为,由司法、公安部门依法处理,构成犯罪的,报有关司法部门依法追究刑事责任。
        第十九条  本管理规定由学校信息网络安全领导小组负责解释。
        第二十条  本管理规定自公布之日起生效。