信息安全产品采购使用管理制度

信息安全产品采购、使用管理制度1 总则1.1 为了推动信息系统管理的法律规范化、程序化、制度化，加强信息安全产品的管理，法律规范安全设备购置、管理、应用、维护、维修及报废等方面的工作,保护信息系统安全，制定本制度.1。2 信息安全软硬件设备的管理须严格遵循已颁布的《信息系统软硬件设备管理制度》。本制度作为《信息系统软硬件设备管理制度》的补充，适用于扬州职业大学网络中心的信息安全软硬件设备的管理工作。2 法律规范性引进文件下列文件中的条款通过本标准的引用而成为本标准的条款.凡注明日期的引用文件，其随后所有的修改单或修订版均不适用于本标准（不包括勘误、通知单)，然而,鼓舞根据本标准达成协议的各方讨论是否可使用这些文件的最新版本.凡未注日期的引用文件,其最新版本适用于本标准《信息安全技术信息系统安全保障评估框架》（GB/T 20274。1—2025)《信息安全技术信息系统安全管理要求》（GB/T 20269—2025）《信息安全技术信息系统安全等级保护基本要求》(GBT 22239—2025)本标准未涉及的管理内容，参照国家、电力行业、南方电网扬州职业大学网络中心的有关标准和规定执行。3 设备采购3。1 网绪安全设备选型应根据国家电力行业有关规定选择经过国家有关权威部门的测评或认证的产品。3。2 所有安全设备后均需进行严格检测，凡购回的设备均应在测试环境下经过连续72 小时以上的单机运行测试和联机 48 小时的应用系统兼容性运行测试。严禁将未经测试验收或验收不合格的设备交付使用。3.3 通过上述测试后，设备才能进入试运行阶段。试运行时间的长短可根据需要自行确定。通过试运行的设备,才能投入生产系统，正式运行.4 设备管理4。1 每台（套）安全设备的使用均应指定专人负责，均应设定严格的管理员身份鉴别和访问控制,严禁盗用帐号和密码，超越管理权限，非法操作安全设备。4.2 安全设备的口令不得少于 10 位，须使用包含大小写字母、数字等在内的不易猜想的强口令，并遵循省电网扬州职业大学网络中心统一的帐号口令管理办法。4.3 安全设备的网络配置应遵循统一的规划和分配,相关网络配置应向信息中心网络管理部门备案.4.4 安全设备的安全策略应进行统一管理，安全策略固化后的变更应经过信息中心审核批准,并及时更新策略配置库。4。5 关键的安全设备须有备机备件，由信息中心统一进行保管、分发和替换.4.6 加强安全设备外联控制，严禁擅自接入国际互联网或其他公众信息网络。4.7 因工作需要，设...