第一条  系统审计员每月对安全设备策略、数据备份策略、访问控制策略等安全策略进行审核。保证策略的合理性。

第二条   系统管理员应对内网计算机软件安装进行管理和控制，计算机不得安装游戏软件、BT下载软件等与工作无关的软件、不得安装非授权软件和盗版软件。

第三条   工作用软件应由信息与教育技术中心统一配发、刻录光盘，并定期进行软件更新。

 第四条   信息系统内的网络设备、安全设备和主机不得随意变更配置和更换设备，如系统需要进行变更应由系统管理员提出、系统安全员和系统审计员进行审核，报相关领导进行批准后，才可执行。重要设备变更或配置变更应在变更前提交系统变更说明和风险评估报告。

 第五条   系统管理员每月对内网计算机进行符合性检查，检查项目包括病毒库版本、补丁安装情况、有无违规操作记录，对不符合检查要求的计算机，应先断开网络连接进行操作，待系统符合要求后重新接入网络。

第六条   系统管理员应每季度对系统资料和文档进行更新，保证资料、文档与信息系统实际情况相符。

第七条   新系统开发应在开发周期中同步进行安全保护措施，如进行代码审计、漏洞扫描，保证新系统开发完成后上线不会有安全漏洞。

第八条   新系统开发环境应与在线的信息系统分离，不得在信息系统应用环境下进行新系统开发，如新系统需要接入当前网络进行测试和调试，应首先向相关管理人员和领导提交联网申请，并在联网前评估可能对当前系统的影响。

第九条   系统联调应首先提交系统联调测试方案，经相关领导批准后方可执行，系统联调应严格按方案执行，如系统联调存在风险，还应在联调前提交测试风险预案，并首先执行风险规避措施。

第十条   系统上线后，应提交完整的系统配置文档和系统维护手册，并进行培训。系统维护应指派专人执行，维护过程应书面化提交维护文档。