第一章 总则

第一条为规范江苏工程职业技术学院主机与系统安全管理，控制和保护计算机主机及其系统，防止主机和系统受到破坏和滥用，避免和降低由于主机和系统的问题对业务系统的损害，制定本制度。

第二章 适用范围

第二条本制度适用于江苏工程职业技术学院各学院、处（室、部、馆），各直属单位。

第三章 系统安全管理

第三条应遵循以下系统访问控制的基本原则：

1、最小权限：用户应具有完成某项工作所需的最小访问权限。

2、按需审批：权限审批时应根据用户实际需要授权，避免权限过大。

3、职责分离：一个用户不能同时承担多个存在权力冲突的角色，访问的请求方、授权方、管理方也应实现职责分离。

4、默认拒绝：未经明确授权，视为禁止。

第四条确保账号和口令管理符合安全要求，系统中无用的系统账号，应进行删除或其他安全处理。

第五条通过设定登录超时、会话超时和定时锁屏等策略为用户登录及访问系统的连接安全有效提供安全保障。

第六条应根据最小权限原则，合理关闭操作系统不必要的服务，减少系统安全弱点。

第七条应根据服务器操作系统的补丁发布情况，及时更新补丁。补丁更新前，需进行测试，防止更新后对系统产生不利影响。

第八条对系统日志及配置定期备份，备份措施应参照《备份与恢复管理》制度。

第九条应按照上述访问控制的基本原则对系统文件实施有效控制，避免被恶意或未经授权的访问，保护系统文件安全。

第十条系统管理员应对包括计算机病毒在内的恶意软件进行必要的安全防护，防护措施参照《计算机病毒防护管理》制度。

第十一条对于外来的软盘、光盘、外部可移动存储设备及介质，在使用之前应经过病毒检查，确定没有病毒并经审批之后才能在系统上使用。

第十二条系统的技术负责人应负责根据日志和审核要求开启必要的安全策略，以协助审核工作。

第十三条所有提供审核的功能需保留日志，以便成为定期审核时的依据。

第十四条应按照上述访问控制的基本原则对日志记录实施有效控制，防止未经授权的更改和出现操作问题。

第十五条系统管理员应根据系统的安全等级定期（至少每季度一次）评审各个系统生成的日志信息，如发现报警信息或异常信息，应进行分析，查找故障原因并采取适当的处理措施，对处理过程和结果进行跟踪。

第十六条系统管理员应根据系统的安全等级定期（至少每季度一次）对日志进行归档，重要日志应进行异地备份。

第十七条加强系统配置管理，系统变更应按《变更管理》制度有关规定进行申请和审批。

第十八条大型重要信息系统在验收完成前,必须进行第三方等级保护测评,并整改到位。

第四章 附则

第十九条本制度自发布之日起执行。

第二十条本制度的解释和修改权属于信息安全领导小组。

第二十一条信息安全领导小组每年统一检查和评估本制度，并做出适当更新。在业务环境和安全需求发生重大变化时，也将对本制度进行检查和更新。