/ 信息安全 / IT服务的使用条款和隐私政策 /

信息系统维护规则

1.简介

1.1定义

在这些规则,维护和管理

  • 确保资讯系统的运作及安全
  • 对信息系统进行必要的修改或更正
  • 记录资讯系统的使用及更改
  • 管理用户id、用户帐户和信息系统的访问权限
  • 监测信息系统的运作和使用,并编制有关这些系统的统计数字。

在这些规则中,an信息系统或系统是指

  • 一个单一的数据处理设备或设施,或由该大学拥有或连接到大学网络的设备组成的系统
  • 大学计算机网络
  • 运行在大学计算机网络中的软件和服务,以及
  • 上述各系统的信息内容。

一个大学的单位指大学的系、系、处或其他职能单位。

负责任的老板(一)信息系统的使用单位,是指获取该信息系统的单位,并指定有权使用该信息系统的人员。根据版权法的定义,信息材料的所有者也可以是材料的作者。

大学信息系统的管理员负责管理该等资讯系统,除非该等管理责任已转移至大学内其他单位或以合约方式外判。通常,信息系统的管理员不是系统管理员。

系统管理指负责大学资讯系统技术管理的人员,以及其他大学资讯科技支援人员,他们共同维护系统,并为用户提供支援和指导。广义上,“管理员”是指在系统中具有管理权限的所有人。

1.2系统管理员的权限

为了确保信息系统的功能,管理员有广泛的权利检查系统的状态,并在必要时,如果有理由怀疑个别用户的数据违反了当前使用信息系统的条例或规则(例如非法复制音乐或电影),管理员有权干预系统的功能、个人用户的行动和系统中的数据。

为了消除和抵御信息安全的破坏,管理员有权利和义务采取必要的措施确保信息安全。发生信息安全事件的,按照《信息安全管理条例》进行处理bob体育下注安卓版赫尔辛基大学信息安全政策以及应对信息安全事件的说明。

为了避免管理员权限与系统用户的法律保护之间的冲突,管理员权限的使用受到基于当前规则和指南的控制规定.该大学的信息技术中心负责大学的资讯保安政策,连同其他有关大学资讯系统使用的有效规定及指示,将于大学网页公布。各部门和单位可以发布详细的系统具体规则和指示。

这些规则对大学的所有系统管理员都有约束力,包括学生,如果他们是信息系统的管理员或连接到大学信息网络的系统的一部分。

2.责任

一个单位必须记录其拥有的信息系统或系统实体,在必要时对它们进行优先排序,并指定和记录管理人员和管理员。信息系统的所有者对信息系统文档的存在、有效性和可用性负责。

资讯系统的拥有人,以及单位的首长,有责任确保该系统符合现时的法例、良好的行政做法,以及现时由大学发出的指引和规例。系统的维护最终总是由系统所有者负责。信息系统经理负责按照良好的行政惯例对系统进行技术维护。每个系统必须有指定的管理员。如果可能,应将管理职责分配给具有不同访问权限的几个人。管理员采取的行动和程序也应被记录。

信息系统的所有者或管理者不对个人用户数据的内容负责。使用者须对其资料的合法性负个人责任,并须按照大学发出的指引保护资料。然而,如果有合理的理由怀疑用户的数据包含信息安全隐患或违法行为,信息系统的管理者有权利和义务干预用户的数据。

管理人员有滥用职权嫌疑或者发现其滥用职权的,应当联系有关单位的负责人或者负责人指定的联系人。负责人或联系人应通知校园信息安全官。有进一步措施的,应当按照规定采取bob体育下注安卓版赫尔辛基大学信息安全政策

3.政策的操作

3.1良好的保养措施

信息系统应按照良好的维护惯例进行维护。良好的维护做法是指按照《政府活动公开法和法令[1]》所规定的良好信息管理做法,进行精心规划、负责任和专业的管理。

3.2隐私保护

大学信息系统的管理考虑到隐私权和用户与其通信伙伴之间通信的机密性。在遵守这些基本权利的同时,大学保留对其拥有的信息系统的内容和使用目的进行控制的权利。这也适用于大学拥有的电信网络。使用目的有更详细的定义赫尔辛基大学信息系统使用规则bob体育下注安卓版或在系统特定的规则中。

当用户请求管理员处理他们的电子邮件或其他文件时,管理员必须以适当的方式检查人员的身份,例如,根据官方的身份证明验证他们的身份。

管理员可以通过拨打大学信息系统中的电话号码或发送电子邮件联系用户。然而,如果怀疑用户ID落入坏人之手,就不应该使用电子邮件。

3.3保密

管理人员受保密和禁止利用与工作无关的信息以及他们在履行其专业职责时可能了解到的此类信息的存在的约束。非公开的与工作有关的事项只能在受同样保密原则约束并与该事项相关的专业职责有关的个人或当局之间讨论。

行政人员尤其受《刑法》第40条第5款的约束,根据该条,公职人员在任职期间或以后不得故意非法披露根据法律应保密或不披露的文件或资料。

管理员应签署一份保密协议

4.实用性

4.1身份,密码

管理员执行职责不需要知道用户的密码,也不可以查询用户的密码。

如果问题的纠正需要管理员临时承担用户的身份,那么用户必须在场向身份验证服务提供他或她的密码,或者管理员必须通过管理员的特权承担用户的身份。必须事先或尽快通知使用者后一种情况。管理员保留用户身份的时间不能超过纠正问题所需的时间。

在上述情况下,管理员必须以适当的方式验证用户的身份。

管理员只有在维护职责需要时才应使用主要用户特权。在所有其他情况下,他们应使用自己的个人用户id。

4.2调查过程中对用户账号的限制

如有理由怀疑大学的资讯保安受到损害,或用户违反了赫尔辛基大学信息系统使用规则bob体育下注安卓版或其他滥用,管理员有权在调查期间限制用户对信息系统的访问权限。

应当进行调查,并采取相应的进一步措施bob体育下注安卓版赫尔辛基大学信息安全政策

4.3邮件处理

根据芬兰宪法,除法律另有规定外,通信、电话和其他机密通信的保密是不可侵犯的。电子邮件信息类似于信件,因为它是机密的,除非它已打算公开分发。

处理电子邮件的原则已在处理邮件的规则。目前的赫尔辛基大学信息系统维护规则bob体育下注安卓版为确保系统的服务水平或安全,在特殊情况下需要管理员介入的情况下,提供相应的规则。

管理员没有查看用户邮件的权限。在以下情况下,管理员可能需要打开包含用户邮件的文件:

  • 用户向管理员请求。例如,可以在无法使用用户所使用的软件打开用户邮箱的情况下发出请求。打开包含用户电子邮件的文件的授权只涉及这一个实例。如果用户询问有关邮箱内容的信息,管理员必须无一例外地验证他或她的身份(参见第3.2节)。
  • 用户的邮箱由于体积过大或结构损坏等原因会引起干扰。
    • 由于邮箱大小过大而影响电子邮件流的邮箱必须传输到另一个位置,而不能打开它。如果邮件系统无法自动找到邮箱,则必须通知用户邮箱的新位置。如果邮箱由于太大而不能放置在用户可访问的位置,则必须与用户商定将消息传递给用户的方法。传输的邮箱可以被压缩为占用更少空间的格式,前提是用户收到关于访问电子邮件的详细说明。在特殊情况下,如果无法采取其他合理措施,大邮箱也可能被删除。删除邮箱的决定将由系统管理单位的负责人做出。
    • 允许管理员在不征求用户许可的情况下修复结构损坏的邮箱。但是,不允许管理员读取发送给收件人的任何文本内容。
    • 在用户的邮箱上执行任何不规范的程序时,应立即通知用户。
  • 邮件系统由于结构不足或损坏,无法发送邮件。在这种情况下,授权管理员检查和修复信息的技术指导数据。但是,管理员必须尽可能不阅读发送给消息接收者的文本内容。

管理员还有权清除正在传递的邮件,包括任何危及电子邮件系统正常运行的消息,以及由明显不必要的技术错误产生的消息。

4.4其他数据的处理

通常,管理员无权读取或处理用户拥有的文件的内容。

但在以下情况下,管理员有权打开用户的文件:

  • 用户已授权管理员这样做以解决问题。
  • 例如,在因缺席而危及大学正常运作的情况下,已提出特别书面请求。可能需要处理缺席的员工或学生拥有的文件,这些文件受到其他用户的保护。有关单位的负责人可以命令管理员将有关文件的访问权限授予指定的人。
  • 用户ID持有、拥有或负责干扰系统正常运行或危及其他用户安全或信息安全的程序或初始化文件。在这种情况下,管理员可以检查文件的内容,并在必要时停止其操作。
  • 有理由怀疑用户ID已落入不法之手,用户ID所持有的文件或程序可能会危及或威胁大学的安全和功能能力。
    • 如果管理员怀疑用户ID落入不法之人之手,他或她有权暂时取消该用户ID。其他后续行动将按照指示采取,以回应资讯保安事件。一般来说,在采取任何行动之前,应设法与用户取得联系,但在接触之前可能必须采取保护和纠正措施。
  • 有理由怀疑用户ID的所有者有滥用行为,并且可以假设用户拥有的某些文件包含这种滥用的证据。
    • 管理员可以临时取消用户ID,防止用户误用。误用将按照规定处理bob体育下注安卓版赫尔辛基大学信息安全政策,赫尔辛基大学信息系统使用规则bob体育下注安卓版以及应对信息安全事件的说明。
  • 管理员有权阻止这些网页的显示是违反法律或赫尔辛基大学信息系统使用规则bob体育下注安卓版
  • 文件的保护状态无论如何都允许这样的操作,除非这是用户的一个明显的错误,他无意中设置了对他或她所有文件的自由访问权限。在这种情况下,管理员有责任通知用户他或她的文件的保护不够。

除上述权利外,管理员始终有权:

  • 当发现初始化文件、邮件转发或排序文件以及用户主目录中的其他影响系统运行的文件对系统的功能、安全或用户的信息安全构成威胁时,访问和修改这些文件。如果不能在不删除用户自己所做修改的情况下进行修改,则必须将用户所做的旧版本转移到另一个文件名,并通知用户。
  • 确认普通磁盘区域中不存在非法文件,不存在威胁系统功能、安全或用户信息安全的文件。例如,这些文件包括恶意软件、侵犯版权的录音和《刑法》中定义的非法数据。
  • 手动或自动删除已分配给临时存储的磁盘区域中的文件。这种删除必须按照以前商定的原则进行,用户也可以使用这些原则。但是,不需要通知用户这些删除。
  • 如果文档妨碍打印服务的操作,则从打印队列中删除文档。用户不需要被告知这些删除。

4.5监控目录和文件列表

在正常情况下,管理员无法完全避免处理和查看用户拥有的目录的文件列表。处理目录结构、文件名、修改日期、大小和保护级别以及与文件有关的其他信息是正常维护和管理的一部分,这是根据良好的管理实践进行的。

当管理员发现对某个文件或目录的保护相对于其性质而言不够充分时,可以将其升级到相应的保护级别。

在执行维护和管理职责时,管理员应注意不要不必要地显示文件名和同等信息。例如,当需要文件清单来解决一个问题时,如果可能,那些与手头的问题不相关的文件名将从列表中删除。

4.6程序和过程的监控

信息系统的管理者和系统管理员共同定义系统中应该使用哪些软件。如果项目的使用对大学的运行不是必要的,或者如果它们危及高水平的服务和安全,可以禁止或退出使用。这一决定将由系统管理单位的负责人作出。

管理员定期监控信息系统中运行的程序。

当某个进程占用系统资源过多时,管理员可能会调整该进程的优先级。

如果出现以下情况,管理员可以终止进程

  • 这一过程的功能显然受到了干扰,
  • 这一过程阻碍了系统其他部分的正常运作,
  • 进程连接的软件违反了系统管理员发布的指令和规则。在这种情况下,应通知用户过程的终止和相关规定,
  • 进程所有者的用户ID已经过期。

4.7数据通信网络监控

大学数据通信网络的管理员使用监控软件和审查日志数据来监测大学网络及其外部连接的流量,以确保合理的服务和安全水平,以及具有成本效益地使用外部连接。

网络流量的监控不涉及传输信息的内容,而是流量的数量和性质。对源和目标计算机的监测本质上是统计性质的,不集中于单个用户,除非发生干扰。但是,如果正在调查异常情况,例如过度的交通负荷,则可以对单个系统的交通进行更详细的监测。

为了调查可能的干扰或误用事件,网络管理员可能会联系造成过度流量或其他异常的计算机的负责人。

数据通信网络的管理员可以拒绝一台计算机或部分网络访问数据通信或使用某种服务,如果这台计算机或部分网络:

  • 导致危及高水平服务或网络安全的流量,
  • 使人怀疑一台或多台计算机已落入坏人之手或被恶意软件感染。
  • 违反了赫尔辛基大学信息系统使用规则bob体育下注安卓版
  • 没有妥善维护和管理,特别是在资讯保安方面。

在上述所有情况下,一旦数据通信被拒绝,应立即联系对该计算机或部分网络负责的管理员。

4.8日志文件处理

大学的资讯系统会建立档案,以记录系统的运作、调查可能出现的干扰或误用,以及收集统计及发票数据。大学一般只会将记录的资料作技术维修、发票及统计用途。该日志文件可能形成一个登记册,属于个人数据法案的范围或包含身份数据,属于《电子通信隐私保护法》的范围。

4.9数据存储

作为维护和系统管理的一部分,信息系统服务提供者应确保系统的备份。根据系统的用途,备份的频率要足够高,以防出现磁盘故障等情况。

备份副本应以适当的方式保存,管理员应确保其可访问。对备份数据的处理应遵循与信息系统中同等数据处理相同的原则。删除备份的方式必须保证备份中数据的保密性不会受到损害。

5.监测这些规则的遵守情况

大学各单位的资讯科技中心及其他资讯系统的负责人有责任监察这些规则的遵守情况。违反本规定的,按规定处理bob体育下注安卓版赫尔辛基大学信息安全政策.IT中心应更新这些规则,IT安全经理应监控更新的需求。的有效版本赫尔辛基大学信息系统维护规则bob体育下注安卓版应发布在IT中心的网页上。

附录

附录一:相关法例

维护和管理应遵守现行的规章制度。

有关维修及行政的法例*包括:

  • 《芬兰宪法》中关于隐私、言论自由和公开的规定(佩鲁斯图拉基(731/1999
  • 个人数据法案(Henkilötietolaki (523/1999
  • 《政府活动公开法》(Laki viranomaisen toiminnan julkisuudesta)621/1999
  • 关于公开政府活动和良好信息管理做法的法令(Asetus julkisuudesta viranomaistoiminassa ja hyvästä tiedonhallintatavasta)1030/1999
  • 电子通信隐私保护法(Sähköisen viestinnän tietosuojalaki)516/2004
  • 保护工作生活隐私法(Laki yksityisyyden suojasta työelämässä)759/2004
  • 《政府机构和机构合作法修正案》第7条修正案(Laki yhteistoiminasta valtion virastoissa ja laitoksissa annetun lain)651/1988) muuttamisesta (479/2001Muutos 7§:ssä (762/2004
  • 《信息社会服务提供法》(458/2002
  • 刑法(Rikoslaki)39/1889
  • 强制措施法(Pakkokeinolaki)450/1987

根据本法制定的其他法律、法令、条例、规章。

*芬兰法律和法令的英文翻译是非官方的;权威版本只存在于芬兰语和瑞典语

附件2:赫尔辛基大学保密bob体育下注安卓版协议

在我任职于赫尔辛基大学期间,我同意不向第三方披露我所知的文件bob体育下注安卓版的机密内容或法律规定为私人或机密的任何其他信息。

在此,我同意不滥用我在履行专业职责时注意到的任何非公开和机密信息,不让第三方获得这些信息或以其他方式让外界容易获得这些信息。

在我与赫尔辛基大学的雇佣或委托合同终止后,我对保密和隐私的承诺也将有效。bob体育下注安卓版

保密信息包括各类个人资料、与安全有关的信息、合作伙伴的专业和商业秘密。外部人士包括赫尔辛基大学或其合作伙伴的员工,他们不需要访问这些机密信息bob体育下注安卓版来履行其职责。

当我与赫尔辛基大学的雇佣或委托合同终止时,我将归还给大学所有与赫尔辛基大学或其合作伙伴有关的非公开或机bob体育下注安卓版密文件、数据媒体和副本(如果有的话)。

我研究了有关保密和禁止信息利用的法律法规bob体育下注安卓版赫尔辛基大学信息安全政策赫尔辛基大学信息系统维护规则bob体育下注安卓版.在此,我同意遵守IT中心网站上公布的现行指示和规定。

违反上述规定在某些情况下可能构成犯罪。