首都经济贸易大学

信息系统及服务器管理办法

（本办法经2013年第3次校长办公会通过，于2013年3月25日起施行）

第一章 总 则

第一条 为加强对首都经济贸易大学校园网内信息系统的建设与运维的管理，确保校园网内的信息系统安全、可靠、稳定地运行，促进校园网的健康发展，特制定本管理办法。

第二条 本管理办法所称的信息系统，是指由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

第三条 首都经济贸易大学各院、系、部、处、实验室在校园网内建设的信息系统均适用本管理办法。

第二章 信息系统的建设

第四条 各单位在信息系统的立项之前，需要向教育技术中心提出书面申请，包括新建信息系统的需求、可行性报告、建设目标、设计方案及资金来源，由教育技术中心依据学校信息化建设的总体规划进行审批并进行备案。

第五条 各单位在新建信息系统时，应该遵照已经颁布的首都经济贸易大学信息标准。教育技术中心有权依据校园网的统一规划对新建系统的数据库以及网络协议等方面做出相应的要求及建议。

第六条 新建系统的部门应确定一名部门领导分管信息系统的工作，对本单位的信息系统进行监督管理，确定本单位内的信息系统的系统管理员。

第七条 各单位在新建信息系统时，应和首都经济贸易大学数据中心的中心数据库建立接口，将相关的数据提供给中心数据库。

第八条 各单位在新建或升级改造信息系统时，如果需要使用其他部门的数据，应通过学校数据中心的数据交换系统实现。使用数据交换系统的数据，需向教育技术中心提出申请，说明使用数据的原因以及使用数据内容，在获取教育技术中心以及数据提供部门的书面许可之后，教育技术中心将以适当的方式，给予数据使用单位访问数据的权限。

第九条 各单位在新建信息系统时，在与信息系统的实施方签订的合同中，应明确技术支持的内容、服务的方式、时间以及响应时限。

第三章 信息系统的安全

第十条 信息系统的运营、使用单位应当依据国家有关《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求对本单位信息系统进行安全防护。

第十一条 任何单位或者个人，不得利用信息系统从事危害国家利益、学校利益和公民合法利益的活动，不得危害信息系统的安全。

第十二条 在信息系统正式上线前，系统管理员必须删除操作系统中所有测试帐号，对操作系统中无关的默认帐号进行删除或禁用。

第十三条 对于网络设备、主机、操作系统、数据库、业务应用程序，系统用户都必须通过用户和密码认证方可访问。账号密码的设置必须符合以下要求：

（一）密码不得包含常用可以识别的名称或单词、易于猜测的字母或数字序列或者容易同用户发生联系的数据，比如自己、配偶或者子女的生日和姓名等内容。

（二）密码长度至少是六个字符，组成上必须包含大小写字母、数字、标点等不同的字符。

（三）帐户密码必须至少每3个月修改一次。

（四）厂商提供的系统管理员密码必须在软件或硬件系统安装调试完毕后进行修改。

第十四条 信息系统的服务器端必须安装性能优良的杀毒软件，并及时进行更新。

第十五条 信息系统的服务器端必须打开防火墙，关闭所有系统没有使用的端口。

第四章 日常维护

第十六条 系统管理员负责制定并实施操作系统的备份和恢复计划。

第十七条 系统管理员应每天监控系统的运行状况，监控服务器端的CPU以及内存的占用情况；发现不良侵入时应立即采取措施制止。

第十八条 系统管理员应当定期（每个月）检查操作系统的漏洞，及时安装系统补丁，并记录。

第十九条 系统管理员应制定并实施数据库的备份及恢复计划，根据备份计划进行数据库数据和配置备份，并检查数据库备份是否成功。

第二十条 系统管理员应定期（至少每月一次）对系统中的程序或数据文件进行病毒检查。由于系统漏洞或者误操作导致服务器感染病毒程序的，必须及时切断该服务器的网络连接。在病毒发作时，必须进行相应的诊断、分析和记录，对于因计算机病毒而引起的重要信息系统瘫痪、程序和数据损坏等重大事故，应报告教育技术中心并及时进行处理。

第五章 责任认定

第二十一条 信息系统的运营、使用单位违反本办法规定，有下列行为之一的，由教育技术中心责令其整改；逾期不改的，给予警告，并向上级主管领导通报情况：

（一）未按本办法规定进行备案、审批的；

（二）未按本办法规定落实安全管理制度、措施的；

（三）接到整改通知后，拒不整改的；

（四）违反密码管理规定的；

（五）违反本办法其他规定的。

对于违反上述规定，造成严重损害的，由相关部门依照有关法律、法规予以处理。

第六章 附  则

第二十二条 本管理办法由教育技术中心负责解释。本管理办法自颁布之日起施行。