中山大学信息系统授权管理暂行办法

 中大网络〔2012〕10号

第一章    总   则

        第一条 为规范信息系统授权管理,维护信息系统的安全和有序,保障使用信息系统用户的信息安全,确保信息系统正常稳定的运行,根据《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》等有关规定,结合我校实际,制定本办法。
        第二条 本办法所指的信息系统与《中华人民共和国计算机信息系统安全保护条例》中的信息系统定义一致:由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。包括范围是:学校各类型的管理信息系统、网站、教学资源系统、用户服务系统等。
        第三条 本办法所指的信息系统用户,是指所有使用信息系统的人员,所指信息系统的使用包括对系统中的信息和数据具有查询以及添加、删除、更新的操作权限。
第四条 信息系统用户授权应遵循以下原则:
        (一)及时原则:授权管理人员对用户授予权限和回收权限都要及时,防止出现用户到岗无法使用系统或者用户离岗仍具有系统使用权限的情况。
        (二)安全原则:授权管理人员在授予用户权限时,应根据用户所在岗位的工作职责,授予用户相应的系统权限,不应给予用户非工作职责范围内的权限,也不应遗漏用户工作职责范围内的权限。

第二章    授权管理

        第五条 信息系统授权管理人员分两个层次,第一层次是信息系统的总管理员,总管理员由学校信息安全工作小组任免,管理所有信息系统的应用授权;第二层次是各单位(包括校机关、各直属单位、各院系、附属单位)的系统管理员,系统管理员由所在单位任免,并报学校信息安全工作小组进行备案,管理本单位的各个岗位,为岗位分配系统角色,并将用户权限授予相应的岗位。
        第六条 信息系统的总管理员负责如下工作:
        (一)新增、修改、删除各信息系统角色,对系统角色分配功能访问权限和数据访问权限。
        (二)新增、修改、删除各信息系统资源权限。
        (三)新增、修改、删除信息系统的用户资料。
        (四)将各信息系统角色权限赋予用户。
        (五)为各单位设置系统管理员,根据其权限分配管理部门及可用系统角色范围。
        (六)定期向学校信息安全工作小组提交书面工作报告,并接受其监督。
        第七条 各单位的系统管理员负责如下工作:
        (一)新增、修改本单位的岗位。
        (二)将可管理的系统角色赋予某个岗位;或者撤销某个岗位拥有的系统角色。
        (三)将用户权限授予本单位某个岗位;或者将本单位某个岗位的用户权限从岗位中撤销。
        (四)定期向总管理员提交书面工作报告,并接受其监督。
        第八条 各层次的系统管理员应按照及时和安全的原则对信息系统的用户授权。
        第九条 各层次的系统管理员应保持相对稳定,同时加强协作、配合,重要岗位实行主办人员和协办人员之间互为补充的AB角工作制度。
        第十条 各单位加强对本单位信息系统的安全管理,做好下列工作:
        (一)明确信息系统安全工作的主管负责人和主管部门,并配备具有相应能力的工作人员作为系统管理员。
        (二)各单位应将系统管理员名单及联系方式上报给总管理员,并报学校信息安全工作小组进行备案。
        (三)各单位系统管理员应该对岗位、岗位对应的系统角色、岗位包含的用户权限进行纸质和电子的备案,当发生变化时必须同步对备案进行更新。
        (四)各单位系统管理员更换时必须以单位函件的方式通知信息系统的总管理员,由总管理员进行相应权限的更改。
        (五)各单位的系统管理员应定期参加培训。
        (六)当发生安全事件时,单位系统管理员应迅速采取相应措施并及时向总管理员进行报告。
        (七)各单位的系统管理员应妥善保护自己的帐号资料,登录系统后因故离开要退出系统。
        第十一条 信息系统的总管理员应对各单位系统管理员管理的组织机构和系统角色进行纸质和电子的备案,当发生变化时必须同步对备案进行更新。
        第十二条 信息系统应建立对资源访问的审计跟踪系统,审计记录:身份及验证机制的使用,用户对系统资源的访问,操作系统、数据库管理系统及网络系统安全管理员的行为,以及与应用安全相关的事件。审计记录的访问只能是被授权的只读访问,任何人不得修改。
        第十三条 当发生安全事件时,信息系统的总管理员应在1小时内报中山大学信息安全工作小组,并迅速采取措施。
        第十四条 各层次的信息系统管理员不得利用信息系统从事危害学校利益、教职工、学生利益的活动,不得危害信息系统的安全。

第三章    奖   惩

        第十五条  学校制定相应的奖励制度,对学校改进信息系统安全作出显著贡献的个人或集体进行表彰或奖励。
        第十六条 对于违反本规定造成损失的单位或个人,视情节轻重,按照学校相关的管理规定予以相应行政处分。
        第十七条 对于有危害公共安全、国家安全、泄露国家秘密以及其他违反法律、法规和规章规定行为的,由公安、国家安全、保密以及其他监督管理部门依法处理;构成犯罪的,依法追究刑事责任。

第四章    附  则

        第十八条  本办法解释权归中山大学网络与信息技术中心所有。
        第十九条  本办法自发布之日起施行。