第一章  目的

第一条 为规范学校信息化类终端的使用，切实防范和降低因信息化类终端使用不当而对系统或数据的访问而带来的风险，加强信息化类终端信息数据安全、物理安全。

第二章  范围

第二条 本细则适用于学校接入校园网的各种终端，包括但不限于台式机、笔记本电脑和网络打印机等。

第三章 概述

第三条 本文件明确了终端安全管理细则相关角色及职责，并阐述了终端管理、终端事件处理相关安全性规范。

第四章 角色与职责

第四条 信息安全部门

（一）负责协调信息化终端类信息安全事件的处置响应；

（二） 组织终端安全配置基线及安全管理要求的审计与检查。

第五条 信息安全执行部门

包括终端管理员、应用管理员、数据库管理员、网络管理员和系统管理员等维护人员。

（一）负责对统一购买的终端设备验收、编号及贴标签；

（二） 制定信息化终端类安全管理相关的实施细则，按要求对信息化终端设备进行初始化配置，更新信息化终端的配置信息；

（三） 负责对终端安全配置基线及安全管理要求进行审计与检查；

（四）负责处理信息化终端相关的信息安全事件。

第五章  管理过程

第六条 终端管理原则

信息化终端的安全管理应遵循如下原则：

（一） 最小授权原则：员工终端的使用权限能满足日常工作。

（二） 最小软件安装原则：终端软件安装满足业务需要及网络安全防护要求。

（三）最小化服务原则：终端交付员工使用前，须对默认开启的服务进行优化，关闭无需使用的服务。

（四） 严格控制终端外设的使用，监控并记录用户USB口、光驱、软驱的使用情况，严防信息泄密。

（五） 严格按照本信息化终端安全配置指南要求进行安全配置。

（六） 终端无法满足工作需求的，应按规定流程申请配置变更。

第六章 终端管理要求

第七条 实物管理要求

信息化终端设备必须置于安全的环境中，使用人不得将信息化终端设备置于过热、过冷、强磁或潮湿的环境中，以免损坏设备。信息化终端设备的使用应满足以下管理要求：

（一） 使用人不得将学校的信息化终端设备接入不安全的网络环境中。使用人不得在公开场合使用学校的信息化终端设备处理各种敏感信息，以避免敏感信息泄漏。

第八条 笔记本电脑的使用应满足以下管理要求：

（一）出差期间如需携带笔记本电脑，敏感文件应加密后进行存储。

（二）笔记本电脑一旦失窃，使用人应立即报告部门领导，由学校酌情报案。如果失窃的笔记本电脑存放有公司重要文件，学校应根据情节轻重给予处罚。

（三）信息化终端设备调拨、转移、报废等相关资产管理工作，由使用部门报运维部门处理。

第七章 软件管理要求

第九条 对于信息化终端安装的软件，应满足以下管理要求：

（一）应根据自身实际情况制定不同信息化终端可安装软件清单，未经授权的软件不得在信息化终端设备上安装、运行，否则由此引起的后果由个人承担。

（二）学校购买的商业软件安装和使用必须遵从国家相关的法律法规，任何个人未经许可不得将学校所购买商业软件用于个人或其他非学校业务需要的领域。

（三）不得在信息化终端设备上安装与工作无关的软件，包括但不限于黑客、系统破解、端口扫描或口令破解等软件。

第八章 数据管理要求

第十条 员工有责任保护含有学校敏感信息的文件、存储介质、系统文档等信息资产，避免这些信资产遭受盗窃、未经授权的访问，具体管理要求包括：

（一）学校应根据自身实际情况对本单位信息系统相关的数据进行分类分级，并对不同重要级别的数据采取不同强度的保护措施。

（二）存储敏感信息的终端必须专人管理，并按照相关要求定期更改用户密码。

（三） 员工个人终端和介质上存放的敏感信息应定期备份，并妥善保管。

（四）在拷贝、打印敏感信息时，员工应在拷贝、打印完毕后及时从相关外设中取走这些敏感信息。

第九章  配置管理要求

第十一条 终端应设置开机密码，设置带有密码的屏保程序，屏保密码自动启动时间应设置为小于15分钟。暂时离开信息化终端设备时，应将屏幕手动锁定。在信息化终端设备送修、回收、更换或转给其他人使用之前，应将设备上的敏感信息进行备份，然后删除敏感信息，并确认信息不能被恢复。

第十二条 对于终端配置的管理，应满足以下管理要求：

（一）终端安全配置包括对账户口令、安全补丁、开放端口和软件限制等方面进行安全加固性配置，以提高终端自身安全性，降低受到威胁的可能性。

（二） 信息化终端设备初始化工作应由运维部门实施，包括正版操作系统软件、系统补丁、统一的防病毒软件等的安装。

（三） 终端用户负责保管本人终端的用户账号口令，不得在办公网络内对用户账号、口令进行侦听、盗用或进行攻击网络、窃取信息等活动；不得私自改变网络参数的设置，包括计算机名、组名、域名、IP地址等。

（四） 终端用户必须接受安装补丁分发系统自动下发的操作系统安全补丁或自行安装系统安全补丁，以有效降低系统漏洞所带来的潜在安全风险。

（五） 终端用户不得滥用网络服务，例如利用电子邮件服务发送电子邮件炸弹、垃圾电子邮件，利用网络服务实施对内或对外的网络攻击等。如发现终端用户滥用网络服务，网络管理员可切断用户终端网络并按终端安全事件处理。

（六） 配备给内部员工处理公务使用的终端应用程序实行标准化配置管理，由运维部门统一安装，如工作原因确需安装其他应用程序需向部门领导申请。

（七）员工不得擅自移动信息化终端设备，信息化终端设备移动变更，必须通知运维部门，由其进行相关配置信息的修改。

（八） 信息化终端的详细配置要求按照本学校相关配置指南。

第十章  其他安全管理要求

第十三条 账号应避免使用弱口令，并根据口令管理的要求及时更新口令,确保自己在信息系统上所拥有系统账号的安全。信息化终端设备接入学校网络中应由终端使用人通过所在部门报运维部门检查后方能接入，不得擅自将信息化终端设备接入校园网。未经所在部门领导和运维部门授权不得从事如下事项：

（一）不得使用除校园网专用出口外的其它接入方式访问国际互联网，如拨号、ADSL或专线等。

（二） 不得擅自卸载办公终端上学校统一部署的防病毒软件，不得擅自修改系统补丁自动更新的配置。

（三）信息化终端之间应不采用文件共享方式传送文件，网络打印机的共享设置由运维部门统一管理。

（四） 通过国际互联网传送敏感信息时应对信息加密，严格禁止通过国际互联网传输公司机密信息。

（五） 信息化终端使用者在公司网络中不得进行任何干扰网络用户、破坏网络服务和网络设备的活动。

第十一章 终端安全事件处理

第十四条 终端安全事件是指因终端引起的安全事件，包括设备故障事件、病毒爆发事件、敏感信息泄露事件等。

第十五条 当用户发现终端安全事件时，应立即报信息化服务台。并采取有效措施妥善处理。

第十二章 附则

第十六条 本管理办法由数字化发展中心负责解释。