北京科技大学天津学院信息化建设与管理办公室

院信息办发〔2024〕10号

北京科技大学天津学院

网络安全信息资产管理办法

第一章 总 则

第一条 为了进一步加强和规范学院网络信息资产管理工作，确保网络信息资产安全、合理使用，适应学院各项工作发展要求，特制定本办法。

第二章 设备安置及保护规范

第二条 设备的存放应根据其具体功能用途以及重要程度不同，放置在机房的不同区域，进行分区域管理。

第三条 处理核心数据的服务器、交换机、路由器、网络安全设备等重要设备应当放置在专用的带锁的机柜中，机柜应当提供 UPS不间断供电、散热等运行环境保障。

第四条 针对必要的关键性设备应采用隔断等措施进行物理隔离，从而提升设备所存放物理环境的整体保护等级。

第五条 设备之间的隔离措施应当能够满足设备对运行部署环境的基本要求。

第六条 存放处理核心数据信息的服务器、交换机、路由器、网络安全设备等重要设备应当减少对其设备的直接物理访问，并确保周边物理环境的安全性，并对外部访问人员进行登记。

第七条 信息处理设施应根据其处理的数据重要程度，设置不同的访问操作权限，仅允许已授权人员对设备进行必要访问。对未经授权擅自移动或操作设备，导致设备损坏的，按照《北京科技大学天津学院固定资产管理办法》的相关要求追究责任，并酌情赔偿损失。

第八条 对于机房内设备的重要操作，如数据的备份、迁移、整理等操作，应充分考虑操作存在的数据安全风险，针对各类操作风险制定详实的应急处置预案和回退措施，并对操作过程进行记录。

第九条 设备管理和运维人员未经批准，严禁在机房内擅自操作设备。操作内容主要包括：

（一）关闭、启动、更换路由器、交换机、服务器以及网络安全设备等；

（二）调整和更改网络系统、网络设备、服务器、操作系统的配置参数；

（三）添加、更换和拆卸硬件设备；

（四）增加、撤除和调整网络设备和服务器间的各类连接线缆；

（五）安装、删除和修改软件程序，安装和删除网络功能，拷贝和删除文件数据；

（六）安装、下载、使用各种扫描、攻击、探测、侦听等安全类和黑客类软件；

（七）扫描、攻击、探测、侦听网络系统和设备；

（八）使用机房内的服务器和 PC 机收发电子邮件；

（九）使用机房内的服务器和 PC 访问互联网；

（十）在服务器上设置共享目录和共享资源；

（十一）在域控制器上生成域用户名，在成员或独立服务器上生成服务器本机用户名；

（十二）调整机房内报警、空调、通风系统参数；

（十三）其他未经批准的操作。

第三章 设备维护管理

第十条 只有经过审核，已获得授权的设备维护人员才可以对设备进行操作、维修和更换配件等操作。因运维工作需要，运维人员需要进入设备机房时，要提前24小时以上提交机房出入申请，在获得机房出入许可后，由学院机房管理部门委派专人陪同进入，并按照机房管理要求准确填写机房出入记录。

第十一条 对于机房中的网络设备、安全设备、服务器等设备进行远程维护和管理时，应统一使用学院提供的安全运维平台，严格按照学院运维管理要求进行操作，未经许可不得私自安装使用任何远程管理软件。

第十二条 在对设备进行维护操作时，特别是拆装设备时，运维人员必须采取必要的防静电措施。

第十三条 各机房设备责任人应注意保存包括所有可疑和实际的故障运维记录，以及预防和维护过程中的记录。

第四章 设备的移动及报废管理

第十四条 机房内部设备的拆装、移动应根据设备内数据的重要程度确定信息该设备的安装部署位置，降低由于使用过程中因疏忽造成的信息安全风险。

第十五条 机房设备在移动过程中，应具有足够的安全保障措施，包括实物和人员，以确保移动过程中的物理安全性。

第十六条 如有设备厂商对设备进行维护，应当与设备所属部门签署详细的维护协议，协议内容应明确包括设备维护过程中的安全管理。

第十七条 要做好固定资产登记，由专人管理，一般不得外借，因工作原因确需外借时，须经批准后办理外借手续，归还时应检验设备是否完好。设备有转移要及时做好固定资产转移手续。

第十八条 设备的报废及重用规定

（一）应确保设备在销毁前所有敏感数据或授权软件已经被移除或安全重写。

（二）经技术鉴定确需报废的设备，可申请报废，并依据《北京科技大学天津学院固定资产管理办法》的相关规定和程序办理报废手续。

（三）仪器设备发生非正常损坏应及时上报资产管理中心，仪器设备发生丢失事故应立即向保卫部门报案，同时写出具体情况的书面报告上报资产管理中心。

第五章 附则

第十九条 本办法自发布之日起执行。

第二十条 由信息化建设与管理办公室负责解释。

信息化建设与管理办公室

                                                                         2024年9月18日