第一条 学院成立网络信息安全工作领导组。组长由院长书记担任,副组长由各分管院领导担任,成员为各部门负责人,电教网络中心负责兼管信息安全工作。
第二条 网络信息安全工作领导组的主要职责包括:
(一) 根据国家和行业的有关信息安全的政策、法律和法规,批准学院信息系统的安全策略和发展规划。
(二) 指导和管理信息安全工作,确定各有关部门在信息系统安全工作中的职责,领导安全工作的实施。
(三) 监督安全措施的执行,并对重要安全事件的处理进行决策。
(四) 指导和检查信息系统安全职能部门及应急处理小组的各项工作。
(五) 建设和完善信息系统安全的集中控管的组织体系和管理机制。
第三条 电教网络中心的主要工作包括:网络基础设施的管理、网络操作系统的管理、网络应用系统的管理、网络用户的管理、网络安全保密的管理、应用软件的维护开发、数据库的建设和管理、其他项目的管理等。
第四条 根据工作需要,电教网络中心设置以下岗位:负责人、安全主管、机房管理员、系统管理员、网络管理员、安全管理员、数据库管理员、设备管理员等。
第五条 电教网络中心负责人主要职责有:
(一) 负责协调本部门各项工作。
(二) 制定本部门工作计划、规章制度和管理办法等。
(三) 制定部门总体的发展思路,提出发展的建议。
(四) 完成上级领导交办的其他各项工作。
第六条 安全主管主要职责有:
(一) 负责组织信息安全管理体系建设,制定安全防范策略。
(二) 负责实施安全体系的动态评估,对系统安全情况进行监督、检查和指导。
(三) 负责防病毒工作规划管理和技术实施。
(四) 组织建立故障管理机制,确保安全目标的实现。
第七条 机房管理员主要职责有:
(一) 负责学院中心机房的日常管理和维护。
(二) 负责机房的所有设备,未经领导同意,任何人不得自行使用、移动和调换设备。
(三) 负责机房内环境的清洁,做好防潮、防尘、防水、防热、防火、防盗等工作;并定期为服务器及交换机等设备除尘。
(四) 服务器和交换机等设备无特殊情况不得随意关闭,所有设备必须与UPS电源连接,以防止突然停电造成设备损坏、资料丢失和网络中断。
(五) 机房管理员要注意保密工作,不得随意泄露学院秘密信息。
第八条 系统管理员的主要职责有:
(一) 负责系统的运行管理,实施系统安全运行细则。
(二) 严格用户权限管理,维护系统安全正常运行。
(三) 认真记录系统安全事项,及时向信息安全人员报告安全事件。
(四) 对进行系统操作的其他人员予以安全监督。
(五) 负责网络中的防火墙、杀毒、入侵检测、漏洞扫描,身份认证等软硬件的管理维护及软件升级等工作。
(六) 系统管理员须密切监视学院联网系统和局域网的工作情况,防止黑客袭击,定期做好数据备份;并负责学院局域网的防毒和杀毒工作;经常为服务器及办公微机设备进行病毒检查。
(七) 承担部分应用软件的开发维护管理工作。
(八) 参与网络值班工作,领导交办的其他工作。
第九条 网络管理员主要职责有:
(一) 负责网络的运行管理,实施网络安全策略和安全运行细则。
(二) 安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行。
(三) 监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向信息安全人员报告安全事件。
(四) 对操作网络管理功能的其他人员进行安全监督。
(五) 承担网络建设、管理、维护、软件升级等工作,包括外网、内网、专网等;网络内部用户的管理,承担计算机的管理维护工作,参与网络值班工作,承担部分应用软件的开发维护管理工作,领导交办的其他工作。
第十条 安全管理员的主要职责有:
(一) 承担电教网络中心网络系统的安全管理工作。
(二) 负责对涉及系统安全的事件和各类操作人员的行为进行审计和监督,包括:按操作时间、操作类型、事件类型进行审计;日志管理等。
(三) 负责日常安全保密管理活动,包括:监视全网运行和安全告警信息;网络审计信息的常规分析;安全设备的常规设置和维护;执行应急中心制定的具体安全策略;向应急管理机构和领导机构报告重大的网络安全事件等。
第十一条 数据库管理员的主要职责有:
(一) 负责数据库的管理维护备份等工作。
(二) 承担部分应用软件的开发维护管理工作。
(三) 数据库用户的管理,有关技术资料的管理工作。
(四) 参与网络值班工作,领导交办的其他工作。
第十二条 设备管理员的主要职责有:
(一) 负责学院中心机房内各设备正常工作,出现故障应及时处理,如不能进行处理的,须及时向上级领导报告。
(二) 建立设备维护台帐,记录使用、维修、软硬件升级变更等变化情况。
(三) 负责机房所有仪器设备的台帐和实物管理,固定资产帐、物相符。
(四) 设备一般故障应立即排除,属于上报资产设备处更换配件或派人修理,应在一周内及时上报。
(五) 重要设备故障做好维修记录。
第十三条 设置信息系统的关键岗位并加强管理,配备安全主管、机房管理员、系统管理员、网络管理员、安全管理员、数据库管理员、设备管理员,要求人员各自独立。要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。
第十四条 安全主管、安全管理员为专职人员,不可兼任。
第十五条 根据岗位配备要求和关键事务岗位范围,对各个关键事务岗位至少配备2人共同管理。
第十六条 重大操作失误是指对业务系统进行操作时,由于操作不慎或操作步骤不当而有可能导致严重后果的操作。
第十七条 严重后果是指:业务系统的中断、系统崩溃、网络中断、数据丢失、数据的错误或不一致、功能丧失或异常、性能下降明显、涉及系统安全等。
第十八条 重大操作的范围:
(一) 软件安装:操作系统安装、数据库安装、中间件安装、编译系统安装及其它软件的安装。
(二) 参数修改(包括操作系统核心参数、数据库配置参数、中间件配置参数、网络配置参数等)。
(三) 用户的建立、删除和修改。
(四) 业务系统主机、应用、中间件、数据库系统的启停。
(五) 网络设备的启停。
(六) 设备、核心业务服务器IP地址的配置和修改。
(七) 升级优化:文件系统的优化和改造(磁盘的扩容、文件系统的调整)、数据库的优化(表的分片、重新分布、索引的增加和改变、锁粒度的改变);网络系统的优化和改造、QoS策略的调整。
(八) 批量数据的清理。
(九) 业务数据恢复、数据对外提供,含在测试环境中的恢复实际业务数据。
(十) 业务数据的修改,包括直接对数据库表的修改。
(十一) 主机系统软硬件升级(补丁的增打、firmware的升级、版本的升级等)。
(十二) 磁盘阵列的安装和配置(raid配置、底层分片等)。
(十三) 应用系统的切换。
(十四) 新工具的引进(监控、备份、端口扫描、网络监控系统等等)。
(十五) 应急演练:双机和灾难备份系统的切换演习、网络设施应急演练。
(十六) 系统安全功能的使用(防火墙、权限访问控制等其它安全功能的实施调整)。
(十七) 运行网络参数的修改、改变网络连接方式、增减节点(网络设备、中间业务、开发测试环境等网络参数调整)。
(十八) 网络设备的软件升级、硬件更换(IOS版本的升级、网络设备、网络模块的增加、移除)。
(十九) 应急方案或应急操作的实施(网络阻塞、黑客入侵、设备切换、骨干线路人工切换、设备更换)。
(二十) 对于应急操作由于有时要求的时间紧迫,允许可以先口头报告,然后补审批手续。
(二十一) 远程登录的操作:主机系统、应用系统、网络设备远程登录。
第十九条 各部门如要进行前述重大操作,原则上须在做好相关准备工作后,填写《重大操作审批单》(附件2),将《重大操作审批单》提交部门领导审批。只有经领导签字批准后,才允许实施该重大操作。
第二十条 《重大操作审批单》实行分级审批制度。具有审批权限的人员包括部门负责人、电教网络中心负责人。根据计算机系统重要性、操作类型确定审批权限。重大操作分级审批权限另行规定。
第二十一条 《重大操作审批单》应给出重大操作的内容、原因、申请人、申请日期、实施时间等条目;如果需要相关部门配合,由申请部门向相关部门通报情况,要求相关部门在《重大操作审批单》上填写对该重大操作的意见、要配合进行的处理、以及现场或后台支持人员名单。
第二十二条 如果实施步骤较多、流程复杂或者对系统改动较大、影响范围大,在向部门领导报批《重大操作审批单》的同时,还应附有实施方案。实施方案应对重大操作的实施过程进行详细规划,给出具体的操作步骤,合理安排参加人员,仔细分析可能出现的风险,并据此确定相应的应急措施,而对于流程比较简单的重大操作,可以只在《重大操作审批单》列出实施步骤即可,但也要有应急措施。
第二十三条 对涉及到业务部门的重大操作,还要注意与业务部门密切配合,共同制定方案,共同参与实施。
第二十四条 重大操作要做到双人操作,一人操作,一人审核,并按照计划时间实施操作。
第二十五条 在实施重大操作之前,根据需要完成对系统环境、应用环境、数据库数据等的备份,以满足可能的故障恢复需求,防止丢失数据。
第二十六条 在实施重大操作过程中,参加人员务必要胆大心细,严格按科学规律办事,注意与相关部门沟通,遇到问题及时上报,严禁擅作主张,违规操作。
第二十七条 在重大操作结束后,应及时向主管部门领导汇报实施情况,并组织进行必要的分析、总结,以便积累经验,吸取教训。
第二十八条 在重大操作结束后,如该重大操作涉及到对系统环境或配置参数的修改,还应及时更新相关系统的档案资料,使档案资料与系统实际配置同步。
第二十九条 电教网络中心每月定期召开部门内部工作会议,讨论存在的信息安全问题,部署安全工作。
第三十条 电教网络中心内部至少每季度召开一次安全工作会议部署安全工作的实施,并且根据信息系统运行使用情况,不定期召开协调会议,共同协调处理期间的信息安全问题,若发生重大信息安全事件时,应及时召开协调会议,对出现的信息安全问题进行处理。
第三十一条 网络信息安全工作领导小组至少每年召开一次例会。
第三十二条 电教网络中心保存会议中产生的会议记录或工作记录,详细记录会议内容、会议时间、参加人员和会议结果等内容。
第三十三条 电教网络中心要建立组织机构内部人员联系表,明确人员职务、人员联系方式等内容。
第三十四条 电教网络中心应与有关合作单位建立沟通、合作机制,明确合作内容、合作方式。
第三十五条 电教网络中心应与信息安全产品供应商、信息安全服务提供商、信息安全等级保护专业机构、信息安全等级保护专家等建立沟通、合作机制,明确合作内容、合作方式。
第三十六条 电教网络中心应建立合作单位联系列表,至少包括单位名称、合作内容、联系人、联系方式等信息。
第三十七条 电教网络中心应聘请信息安全专家作为常年的安全顾问,建立安全顾问名单,保存聘请安全顾问的证明文件,以及相关工作文档或记录。
第三十八条 每月定期进行一次日常运行检查,重点检查信息系统日常运行,系统漏洞和数据备份等情况,保证其在应有责任范围内能够正确地执行所有安全程序,能够正确遵从学院制定的安全策略;针对检查结果,总结形成检查报告。
第三十九条 每年定期进行一次全面安全检查。检查内容包括,现有安全技术措施的有效性、安全配置与安全策略的一致性、安全制度的执行情况等,根据检查结果,对存在的缺陷进行不断改进;针对检查结果,总结形成检查报告。
第六章 附 则
第四十条 本办法由学院电教网络中学院心负责解释。
第四十一条 本办法自公布之日起执行。
附件1 岗位配备情况表
岗位名称 | 所属部门 | 岗位人员 | 岗位性质 |
附件2 重大操作审批单
申请人 | 申请部门 | ||
申请日期 | 实施日期 | ||
重大操作内容 | |||
需配合人员 | |||
原因 | |||
部门负责人意见 | |||
网络中心负责人意见 | |||
单位负责人意见 | |||
备注: | |||
附件3 会议记录表
会议时间 | 会议地点 | |||
序号 | 姓名 | 职务 | 会议内容 | |
1 |
内容:
结果:
记录人: | |||
2 | ||||
3 | ||||
4 | ||||
5 | ||||
6 | ||||
7 | ||||
8 | ||||
9 | ||||
10 | ||||
11 | ||||
12 | ||||
13 | ||||
14 | ||||
15 | ||||
16 | ||||
17 | ||||
18 | ||||
19 | ||||
20 | ||||
21 | ||||
附件4 内部人员联系表
姓名 | 部门 | 职务 | 联系方式 |
附件5 外联单位联系表
单位名称 | 合作内容 | 联系人 | 联系方式 |
附件6 安全顾问名单
姓名 | 性别 | ||
出生日期 | 身份证号码 | ||
最高学历 | 专业 | ||
工作年限 | 政治面貌 | ||
职务/职称 | 联系方式 | ||
现就职单位名称 | |||
获得的证书/资质 | |||
聘任有效期 | |||
备注(证明文件) | |||
年度信息系统安全检查工作报告(模版)
一、 信息安全状况总体评价
概述本单位信息安全工作情况,与上一年度相比信息安全工作取得的新进展,对本单位信息安全状况的总体评价。
二、 年度信息安全检查情况
对照年度信息系统安全检查表,逐项描述本单位在本年度的信息安全组织管理、日常管理、现有安全技术措施的有效性、安全配置与安全策略的一致性、安全制度的执行情况等。
三、 检查发现的主要问题及整改情况
(一) 存在的问题及原因
描述安全检查特别是技术检测发现的主要问题和薄弱环节,分析其存在原因。
(二) 下一步工作计划
针对检查发现的问题提出整改计划或整改措施。
四、 对信息安全工作的意见和建议
对信息安全工作特别是信息安全检查工作提出意见和建议。
下一篇:山西林业职业技术学院安全管理制度
