重庆师范大学信息系统业务授权许可使用管理办法
日期:2022年12月12日 16:27

第一章 总则

第一条 为落实重庆师范大学(以下简称“学校”)信息化管理及保密工作有关要求,进一步规范学校信息系统业务授权许可使用管理,依据《网络安全法》、《中华人民共和国密码法》、《计算机信息系统安全保护条例》、《信息系统安全等级保护基本要求》和《重庆师范大学信息化建设管理制度》等,结合学校工作实际,特制订本办法。

第二条 本办法所称信息系统是指托管在学校信息技术中心或搭建在学校网络软硬件设施中的各类业务应用信息系统、安全防护和信息管控等信息化保障系统(含灾备系统)。也包含以学校名义开通,并经互联网运营企业认证的公共微博、微信等公众帐号的业务内容维护部分。

本办法所称信息系统用户(以下简称用户)是指经学校相关部门批准,允许使用信息系统开展学校教学、科研、管理业务的学校在岗人员和外部运维人员。

第三条 制订本办法的目的是进一步明确信息系统业务授权许可使用管理责任,规范用户使用行为,加强信息系统业务授权许可使用管理监督检查及考核,防范使用过程中的失泄密风险,确保信息系统业务授权许可使用合规,数据安全共享。

第四条 信息系统业务授权许可使用管理坚持“按需使用、按规开放、责权匹配、审核监督”的原则。

第五条 本办法适用于学校及所属各二级单位的信息系统业务授权许可使用管理工作。

第二章 职责分工

第六条 信息系统业务授权许可使用管理由学校网络安全与信息化委员会办公室(以下简称网信办)统一领导,各部门分级管理,形成信息化职能管理部门、保密工作归口管理部门、信息系统业务授权许可单位(以下简称授权许可单位)、信息系统使用单位(以下简称使用单位)各负其责、分工协作、有效监督、用户规范使用的管理模式。

第七条 信息技术中心作为学校信息化职能管理部门,主要职责包括:

(一)负责贯彻落实信息系统业务授权许可使用相关规章制度;

(二)负责明确信息系统业务授权许可使用相关工作要求;

(三)负责对信息系统业务授权许可使用工作进行检查、监督、评价和考核;

(四)负责对信息系统业务授权许可使用工作中的违规行为进行查处;

(五)协助授权许可部门落实信息系统业务授权许可。

第八条 党政办公室作为学校保密工作归口管理部门,主要职责包括:

(一)负责明确信息系统业务授权许可使用工作中的保密相关管理要求;

(二)负责对信息系统业务授权许可使用保密相关工作情况进行检查、监督、评价和考核。

第九条 校属各单位作为本单位归口管理的信息系统业务授权许可单位时,主要职责包括:

(一)负责在设计、建设和测试等阶段统筹考虑信息系统安全措施,按“同步规划、同步设计、同步建设”的原则落实信息系统业务授权许可使用需求;

(二)负责落实并执行学校关于信息系统业务授权许可使用管理工作的各项要求;

(三)负责在信息系统上线前检查和验证信息系统业务授权许可使用相关功能的实现情况;

(四)负责审批本单位归口管理的信息系统用户权限申请;

(五)在权限范围内对归口管理的信息系统业务进行授权许可使用;

(六)负责监测、处置授权许可使用过程中帐号权限的异常变动和违规情况,并按规定报告信息技术中心。

第十条校 属各单位作为各级信息系统使用单位时,主要职责包括:

(一)负责填报本单位用户的申请信息至授权许可单位进行审核;

(二)及时向授权许可单位反馈人员变动信息;

(三)对本单位用户开展信息系统授权许可使用的教育、检查和监督等管理工作;

(四)负责对本单位用户违反信息系统业务授权许可使用的行为进行纠正,并对相关用户进行处罚。

第三章 授权许可管理

第十一条 授权许可管理须遵循以下原则:

(一)严格落实“实名制”管理要求,信息系统帐号注册须严格使用个人真实身份信息,严禁使用虚假身份信息申请注册信息系统帐号;

(二)信息系统帐号授权许可使用期限须与用户实际工作时间一致,严禁擅自变更帐号授权许可使用期限;

(三)严格保证帐号权限与用户实际权责相符, 对具有权限审批关键流程、查看核心数据等权限的高风险帐号,须做好授权许可监督及帐号操作的监控工作,严禁帐号权限超出用户实际权责;

(四)严禁授权许可永久使用期限的帐号;临时帐号使用须遵循一事一授权,单次授权原则上最长不超过一周。

(五)使用部门发现用户违规申请帐号的,不予批准,并视情节对用户进行批评教育。

第十二条 本办法所称公用帐号是指多人共同使用的帐号。公用帐号授权许可管理须遵循以下要求:

(一)严格控制公用帐号的授权许可。公用帐号须明确责任人和使用人,以部门命名的公用帐号须明确唯一责任人,严禁开通未明确责任人及使用人的公用帐号;

(二)公用帐号由使用部门提出申请,提交建设和运维部门具体实施,并报信息技术中心备案;

(三)公用帐号仅可用于信息系统维护作业、集中批量数据导入、信息收集及反馈等基础工作,严禁用于信息系统业务流转、权限审批等操作;

(四)授权部门发现使用部门违规申请公用帐号的,不得批准。

第十三条 用户岗位职责变动,需新增或调整帐号权限,使用单位须核实用户身份及岗位职责信息,并提出申请,经授权许可单位审批通过备案后,由授权许可单位负责处理。

第十四条 须建立离职、离岗、校外用户帐号的注销机制。用户离职、离岗或校外用户更换后,使用单位须在三个工作日内通知授权许可单位备案;授权许可单位须在接到使用单位通知后的三个工作日内,完成帐号注销。

第十五条 授权许可单位严禁实施无申请单的授权许可操作,严禁实施与申请单授权许可内容不符的操作。

第十六条 运维帐号须由使用单位和授权许可单位共同保管。严禁向信息系统建设厂商赋予运维权限;因故障处理等确需由厂家技术人员提供现场支持服务的,应履行一事一授权。使用单位与授权许可单位须加强现场的监督,确保操作过程可追溯。

第四章 使用过程管理

第十七条 用户在信息系统使用过程中须遵循“谁使用,谁负责”的原则,在授权许可范围内,妥善保管、规范使用信息系统数据;用户行为须符合学校信息化管理要求。

第十八条 用户首次使用信息系统须修改初始密码,密码有效期原则上不应超过90天,密码长度不得小于8位,应是大小写字母、数字和特殊字符的组合,严禁使用默认密码或网上已经公开的初始密码,严禁使用纯数字或纯字母密码,严禁将帐号作为密码。

第十九条 用户帐号使用须经过授权许可,严禁冒用、盗用他人帐号,严禁出借帐号。

第二十条 用户须加强信息系统数据使用的防护。严禁擅自保存、违规记录、非法复制、非法删除、外泄数据,严禁篡改、未经授权使用数据,涉及商业秘密数据,按学校保护商业秘密规定执行。

第二十一条 用户发现帐号被盗用、数据泄露等问题,须立即通知所在使用单位和授权许可单位;经核查问题后,由使用单位立即上报授权许可部门和信息技术中心,涉及保密信息,还应上报党政办公室。严禁缓报、瞒报、谎报。

第二十二条 授权许可单位如发现帐号异常、数据泄漏、被篡改等情况后,须及时与用户本人、使用单位联系确认;同时,采取帐号冻结、切断数据通道等应急措施,防止事件进一步扩大,并及时通知信息技术中心,同步组织开展调查工作。

第二十三条 信息系统上线运行后,严禁系统建设厂商人员及校外人员借用学校在岗人员帐号使用信息系统。

第二十四条 公用帐号的使用应由帐号责任人负责,具体应遵循以下原则:

(一)须建立公用帐号的书面使用记录,包含使用时间、使用人、工作内容和使用期限等必要信息,确保记录真实、完整、可追溯;

(二)须在责任人、使用人发生变化时,立即修改密码,杜绝外泄,确保公用帐号密码的使用安全;

(三)须严格控制使用人范围,严禁未经授权许可的人员使用公用帐号;

(四)须加强对使用人使用信息系统行为的检查监督,确保使用行为与授权许可一致。

第二十五条 使用单位须在规定时间、规定范围内使用共享数据。严禁超时、超限使用共享数据。

第二十六条 使用单位须加强信息系统业务授权许可使用管理的教育培训,加强各类用户的密码保管宣传,提高用户的安全使用意识。

第五章 附则

第二十七条 本办法由信息化建设与管理办公室制定,并负责解释和修订。

第二十八条 本办法自发布之日起执行。

第二十九条 本办法未尽事宜,依照法律法规和上级文件要求确立的原则处理。