《大学信息管理中心信息安全管理办法.docx》由会员分享,可在线阅读,更多相关《大学信息管理中心信息安全管理办法.docx(6页珍藏版)》请在第壹文秘上搜索。
1、大学信息管理中心信息安全管理办法第一章总则第一条为了进一步深入贯彻落实国家关于加强信息安全保障工作的意见、信息安全等级保护管理办法等政策文件要求,加强*大学信息安全管理工作,切实提高*大学信息系统安全保障能力,特制定本办法。第二条本办法中各信息系统是指由信息管理中心负责运营、维护的综合服务类系统。第三条本办法适用于信息管理中心的各处室,以及所有员工。第二章安全使命第四条安全使命是保障信息系统安全、稳定、持续运行,为*大学信息化提供可持续发展的信息网络安全技术和管理支撑。第三章安全目标第五条安全目标是保证信息系统的机密性、完整性和可用性,确保整体达到信息系统第三级安全保护等级。(-)机密性是使信
2、息和网络资源不泄露给未授权的个人、实体、进程,或不被其利用;(二)完整性是指保护信息和网络资源的准确和完整;(三)可用性是已授权实体一旦需要访问信息和网络资源就可访问和使用;(四)*大学综合服务类系统的安全建设应达到国家重要信息系统的相关保护要求,总体实现信息系统三级安全保护等级。第四章信息安全责任机构和职责第六条信息安全是*大学所有工作人员必须共同承担的责任,应建立由信息安全领导小组和信息安全工作组共同构建的安全管理机构。第七条信息安全领导小组是信息安全工作的最高领导决策机构,负责*大学信息安全工作的宏观管理。职责是:(-)贯彻执行国家、教育部关于信息安全工作的方针、政策,组织落实信息安全体
3、系建设工作的目标、方针、政策;(二)审定信息安全相关策略、规范及管理规定;(三)协调指挥*大学信息安全重大突发事件的应急处理;(四)完成上级交办的有关工作。第八条信息安全工作组负责落实信息安全领导小组决策,直接负责*大学信息系统安全建设、运行、维护等安全管理工作。职责是:(-)负责制定*大学信息安全相关策略、规范及管理规定;(二)负责*大学信息安全管理工作及日常工作的落实;(三)督促信息安全重大突发事件应急预案的落实;(四)完成领导小组交办的有关事项。第九条信息安全应急响应工作小组全权负责处理信息系统发生的重大事故或突发事件,其主要领导由信息安全领导小组委任和授权。职责是:(-)负责编制应急响
4、应预案、信息安全事件应急处置流程和措施;(二)负责组织协调、处置和上报信息安全事件;(三)负责总结汇报信息安全事件处置情况和结果。第五章安全策略第十条建立*大学信息安全管理组织,负责组织、落实国家信息安全相关政策、法规和标准要求,审核并制定*大学信息安全的发展战略、规划、政策和管理制度,落实信息安全组织及职责管理规定。第十一条*大学应保持与国家信息安全主管机构、监管机构、上级主管单位和支撑企业信息安全建设、运营单位的联络,制定完整的常用信息安全组织机构信息表,确保与外部机构的沟通畅通。第十二条应加强*大学内部人员在录用前、工作期间、调岗和离岗的人员安全管理,确保*大学内部人员的背景、身份、专业
5、资格和职能权限的安全性,要求员工签署保密协议,落实内部人员信息安全管理规定。第十三条每年组织开展一次全员信息安全教育或培训,提升*大学全员的信息安全意识,确保*大学信息安全目标和策略能够得到必要的宣贯。第十四条应加强外部人员的安全管理,防范外部人员带来的安全风险,应规范外部人员在*大学各项与信息系统相关的活动所要遵守的行为准则,严格落实外部人员信息安全管理规定。第十五条建立信息安全管理制度制定、发布、审核和修订的管理要求,并满足国家法律、政策和规范的要求,确保信息安全管理制度持续改进,落实信息安全管理制度管理规定。第十六条确保信息化建设的项目立项、设计、实施、验收等各个环节与信息安全管理控制机
6、制的有机结合,实现项目工程管理过程和内容安全可控,严格执行信息系统建设安全管理办法。第十七条控制*大学机房的各项环境符合国家相关标准的要求,严格管理对机房的物理访问,严格落实机房环境安全管理规定。第十八条加强对信息管理中心办公环境的安全管理,增强员工日常工作中的安全意识,管理对办公环境的访问,严格落实办公环境安全管理规定。第十九条对信息资产进行识别、标识形成资产清单,加强对信息资产的安全管理,建立统一的信息资产分类、责任、授权和配置管理,严格落实信息资产安全管理规定。第二十条严格规范介质的使用、存储、传输、维修和报废流程,避免介质的损坏和介质中信息的泄漏,严格落实存储介质安全管理规定。第二十一
7、条严格规范信息系统相关设备的使用管理,建立各类信息安全设备的安全运维规程,严格落实设备安全管理规定。第二十二条规范网络的使用,加强对网络接入、网络设备和网络变更的管理,严格落实网络安全管理规定。第二十三条定期评估信息系统的安全漏洞,加强系统补丁管理,规范并记录信息系统的重要操作行为,严格落实系统安全管理规定。第二十四条对防病毒系统进行统一规划,防止病毒在*大学内部传播,加强终端用户安全教育,避免终端引入病毒,严格落实恶意代码防范安全管理规定。第二十五条规范信息系统账号和密码的管理,对口令策略提出明确要求,严格落实账号口令权限安全管理规定。第二十六条加强信息系统运行维护过程中的变更管理,确保*大
8、学信息系统的可核查性和可追溯性,合理控制信息系统变更产生的信息安全风险,结合日常信息系统的运行维护有关管理规定,落实信息系统变更管理规定。第二十七条识别重要信息系统和关键数据,并根据业务及数据的连续性要求明确备份恢复要求,严格落实数据备份和恢复管理规定。第二十八条加强*大学传播信息、公告等信息的保密性、完整性和可用性安全管理工作,确保*大学网站信息的安全性,落实*大学网站系统信息安全管理规定。第二十九条终端是处理和存储*大学业务信息的计算机,终端安全管理的重点是向使用人员提出约束性要求,使用人员不应在任何地点以任何方式进行违规操作,对于造成对*大学业务和信息损害的后果由使用人员承担,所有人员应
9、严格执行终端信息安全管理规定。第三十条加强对信息安全管理体系的适用性和有效性管理,*大学应建立信息安全风险评估机制,落实信息安全风险评估和审核管理办法。第三十一条根据信息安全事件的危害程度不同,信息管理中心将信息安全事件分为不同级别,并设置不同的处置流程,严格落实安全事件和应急响应管理规定。第六章奖惩第三十二条对长期认真贯彻*大学信息安全管理规定,并因此而取得了较好成绩的组织和个人给予必要的鼓励、宣传和奖励。第三十三条对违反*大学信息安全管理规定的组织、人员,根据其对*大学造成的损害程度,给予必要的批评教育、通报批评、经济处罚、行政处分等惩罚;构成犯罪的,移交司法机关依法处理。第七章附则第三十四条本办法由*大学信息安全工作组制定,并负责解释和修订。第三十五条本办法自发布之日起执行。