第一章 总 则
第一条 为加强学校信息资产管理,梳理网络信息资产,摸清数据家底,形成资产台账,保障信息资产安全,防止信息资产损毁、误用和非授权访问,确保信息资产的保密性、完整性和可用性,特制订本规定。
第二条 本规定适用于学校所有信息资产的安全管理活动,无论信息资产所承载业务是面向全校性的还是面向局部范围的。
第二章 信息资产分类、登记、安全管理责任
第三条 学校信息资产分为四类:硬件资产、软件资产、数据资产、文档资产,其中数据和文档资产主要包括业务数据和记录、各类管理文档、技术文档以及外来数据文件等,具体如下:
(一) 硬件资产:指与业务相关的IT物理设备,包括服务器、存储设备、网络设备、传输设备、安全设备、专用设备(门禁、一卡通、安防监控等)、机房设备(机柜、动力、空调、消防、环境控制等)、终端设备、办公设备等。
(二) 软件资产:指各种系统软件、中间件、应用软件和工具软件,包括操作系统、数据库应用程序、网络软件、业务系统程序等,这些软件资产负责处理、存储或传输各类信息。
(三) 数据资产:指存储于基础数据库、业务数据库及其他各信息系统中的业务数据。
(四) 文档资产:指各种IT管理文档和技术文档的电子版和纸质版材料,涵盖技术、业务、运维、管理等四个方面,具体包括且不限于:方案、图纸、说明、字典、配置信息(流程、策略、参数、授权等)、运行数据(环境、业务、用户、角色等)、报告(测试、检测、运行等)、手册、代码、程序、记录(日志、审计、变更等)、报表、制度文件等。
第四条 信息资产归属单位负责其名下信息资产的安全管理,指定明确的信息资产安全管理责任人,做到“责任落实到人”。
第五条 信息资产安全管理责任人负责信息资产的识别、分类、统计和实施相应的安全管理保护措施;信息资产台账由资产归属单位负责统一建立。
第六条 信息资产台账建立要完整、准确,每项资产应包含资产归属单位、资产名称、国有资产编号、所处位置、资产价值、资产安全管理责任人、配置参数、运行环境、运行参数及对应技术文档目录等信息。
第七条 未建立台账、台账要素不全或发生变更后未及时更新台账的信息资产,禁止上架运行或接入学校网络系统。信息资产归属部门应每年开展资产清查,并对资产保管和使用环境进行评估。
第八条 网络信息中心负责全校所有信息资产的综合认定和台账建立。对信息资产归属有争议的,由网络信息中心召集相关二级单位联合确定。
第三章 信息资产价值赋值
第九条 学校信息资产价值由资产归属单位确定,主要依据资产的安全属性(保密性、完整性和可用性),结合承载业务的重要性,进行综合主观赋值。保密性指信息泄露后造成的影响程度,完整性指未经授权的修改或破坏造成的影响程度,可用性指系统、业务中断运行造成的影响程度。
第十条 学校信息资产的价值分为 1~5 个等级,等级越大,资产的价值越高。资产的价值等级描述如下:
L5 级(很高):安全属性遭到破坏后,对所承载业务造成非常严重的损失;
L4 级(高):安全属性遭到破坏后,对所承载业务造成比较严重的损失;
L3 级(中等):安全属性遭到破坏后,对所承载业务造成中等程度的损失;
L2 级(低):安全属性遭到破坏后,对所承载业务造成较低的损失;
L1 级(很低):安全属性遭到破坏后,对所承载业务造成很小的损失,甚至忽略不计。
第四章 硬件资产安全管理
第十一条 硬件设备的选址应采取控制措施以减小潜在物理威胁造成的风险,例如偷窃、火灾、水患、温度、湿度、尘埃、振动、化学影响、电源干扰、通信干扰及电磁辐射等。
第十二条 新增硬件需经过必要的安装、配置、性能调优和试运行后,方可进入信息资产台账,硬件资产发生变化时(下架、配置变更等),应及时更新资产台账,否则禁止上架运行或接入学校网络系统。
第十三条 信息资产安全管理责任人须对信息资产的性能和运行状况进行日常监控和维护。
第十四条 机房设备按照《数据中心设计规范》(GB50174-2017)规定进行保护。
第十五条 保持硬件资产的完整性和可用性。
只有已经授权的人员才可以对硬件进行操作、维修和服务;
使用和维护人员应依照硬件使用规范或操作手册要求使用和操作硬件,不得擅自拆装设备及更换硬件部件;
使用人员不得自行变更硬件使用用途、放置地点;
硬件资产在重用、维修之前应做好数据、配置、运行其上的软件系统及其授权的备份工作,在报废之前应确保以上信息被完全移除。
第五章 软件资产安全管理
第十六条 信息软件资产的上线
(一) 采购软件资产时,应要求软件供应商提供源代码,供学校在必要的时候进行源代码审查;
(二) 软件需在学校信息化云平台上运行的由软件资产归属单位向网络信息中心申请测试环境,其它软件由软件资产归属单位自行提供测试环境,测试环境用于软件的安装、部署和初始化;
(三) 在搭建测试环境之前,软件资产归属单位应将端口号等网络安全配置需求向网络信息中心提交报审;对不合理及不符合学校网络安全架构的需求,软件资产归属单位应责成软件供应商进行优化开发;
(四) 软件投入使用前必须经过全方位系统测试,包括功能测试、性能测试、安全测试等;在测试完成并经问题修复和安全整改后,软件资产归属单位应对软件进行全面审查,软件经审查通过后方可进入试运行阶段,试运行期一般不少于1个月;
(五) 软件应根据需要及时进行补丁更新,并启用必要的安全设置、策略或配备必要的安全程序;
(六) 禁止在软件所在服务器上安装其它无关软件;
(七) 有贮存软件介质的,软件介质应妥善保存并登记入册。
第十七条 信息软件资产的运行
(一) 必须定期检查软件的运行状况,定期调阅软件运行日志记录,保证软件的稳定运行;
(二) 在学校可能提供集中备份的情况下,各软件资产归属单位仍然须自行进行数据和软件日志的定期备份,以确保数据和日志的安全性;
(三) 禁止在软件所在服务器上进行试验性质的软件调试,必须在其它可进行试验的服务器上调试,调试通过并确认可行后,再在生产环境中进行正式配置;
(四) 对重大软件设置、升级和运行环境的变更,应先制定变更操作方案、回退方案和回退失败后的应急措施,并经讨论确认可行后,再执行变更操作;变更操作时应做好详细的操作记录;对会影响到全局的变更操作应提前发布公告;
(五) 一般情况下,不允许人员进入机房对软件及其运行环境实施操作,确有必要的,应经软件资产归属单位和软件运行环境所在单位双方同意。
第十八条 软件系统管理账户持有人员离职或发生岗位变动时,信息资产归属单位须回收其管理账号,或依据其新岗位相应调整软件管理权限。
第十九条 禁止在软件所在服务器上利用服务器大带宽进行与工作无关的下载,以及利用服务器算力进行挖矿等活动。
第六章 文档资产安全管理
第二十条 硬件系统正式投入使用前,供应商应向学校提交硬件系统相关资料和配置,包括但不限于:项目设计方案、项目施工方案、设计图纸、施工图纸、综合布线系统平面布置图、拓扑结构图、配线架端口信息、网络地址分配信息、设备配置文档、设备授权文档、设备口令、接口文档、项目变更说明、测试报告(含乙方自测与甲乙双方联测)、产品用户(操作)手册、产品维护手册、培训资料等。
涉及到管网建设的,还应移交详细标注所有管道管径、走向等信息的管道资源建设图;
涉及到线缆建设的,还应移交详细标注所敷设线缆根数、芯数,所使用管道,路由,交接位置及交接箱内分配信息等在内的线缆资源建设图。
第二十一条 硬件系统投入运行后,各资产归属单位应高度重视并做好硬件文档的动态归档工作,硬件系统发生任何变更、升级或调整后,尤其是在设备运行配置、运行参数、授权、接口等信息发生变更后,应及时更新文档,以提高硬件的完整性和可用性。
第二十二条 软件系统正式投入使用前,供应商应向学校提交各类软件文档,包括但不限于:系统设计说明书(含定制部分)、数据库设计文档及数据字典、数据交换说明书、系统对接及接口规格说明书(接口名、调用方式、接口输入/输出参数以及各参数的数据类型)、需求变更说明书、安装部署手册、详细运行环境信息、权限配置手册、系统实施文档、功能测试用例、测试报告(含单元测试、集成测试、性能测试等,如有要求还需提供压力测试报告)、安全检测报告、系统试运行报告、备份与恢复手册、后台管理与维护手册、用户使用手册、培训资料、开发源代码及最终版本的安装文件等。
第二十三条 软件系统投入使用后,要做好软件系统的二次开发、功能变更、配置和参数变化、数据迁移、系统对接、系统发布等环节的文档更新工作,保证每次、每环节变动都有记录,可回溯。
第二十四条 各单位应加强软件系统日志管理,确保系统安全稳定运行:
(1)定期备份日志,以便在系统出现故障时快速恢复;
(2)定期清理过期日志,防止日志文件过大而发生系统故障;
(3)定期分析日志,以及时发现并解决问题;
(4)使用日志监控工具监控日志,以及时采取解决措施。
第七章 附 则
第二十五条 数据资产安全管理办法另行制定,暂按《武汉科技大学数据管理办法》(武科大办〔2019〕11 号)执行。
第二十六条 本规定自印发之日起实施,由网络信息中心负责解释。
