| 北京语言大学信息安全管理体系(试行) | |
| |
第一章 总 则 第一条 为了加强北京语言大学信息安全组织及职责的统筹管理,明确信息安全管理组织机构和职责,规范信息安全相关制度执行和落实,做好校内信息安全事件应急工作,特制定本制度。 第二章 总体安全方针 第二条 落实国家信息安全相关政策、法规和标准,建设覆盖全面、重点突出、符合北京语言大学安全需求的信息安全技术保障体系和管理体系。 第三条 保障北京语言大学信息系统安全稳定运行,提高业务连续性、敏感信息机密性。 第四条 建立事前防御、事中监测、事后审计于一体的信息安全保障机制。 第三章 信息安全管理组织机构职责 第五条 根据国家信息安全等级保护制度相关要求,北京语言大学设立网络安全和信息化领导小组。网络安全和信息化领导小组组长与副组长均由校领导担任。 第六条 网络安全和信息化领导小组下设办公室,办公室设在信息化办公室。办公室主任由信息化办公室主要负责人担任。 第七条 网络安全和信息化领导小组主要职责: (一) 贯彻执行国家网络安全和信息化工作的战略部署,落实教育部、公安部和北京市等上级主管部门和业务部门的工作要求,对全校网络安全和信息化工作统一领导、统一谋划、统一部署; (二) 研究审议学校信息化建设的总体规划方案; (三) 研究审议学校重要信息化项目计划及重大资金预算; (四) 研究审议学校信息化建设推进的责任分工、资源分配管理与考核机制; (五) 研究审议学校网络安全和信息化工作的相关政策; (六) 研究审议由信息化办公室提交的有关信息化建设运行以及网络安全重大问题的处理意见。 第八条 网络安全和信息化领导小组办公室主要职责: (一) 研究制订学校网络安全和信息化工作的中长期发展规划、管理规范和技术标准; (二) 统筹学校各单位的信息化需求,制定年度工作计划;指导各单位进行项目申报,提出信息化项目方案,组织信息化项目的实施及验收; (三) 统筹学校各单位数据,规范并协调各单位数据交换,督导各单位按照数据标准提供数据; (四) 统筹学校信息化基础设施、校级公共平台信息系统的建设和运行维护工作; (五) 负责组织网络安全和信息化建设的专家咨询工作,维护专家库信息,按需召开专家咨询会议; (六) 统筹学校网络安全管理和保障工作,开展网络安全和信息化工作宣传、培训; (七) 承办领导小组召开的会议和活动,落实领导小组的议定事项; (八) 对违反网络与信息安全规定的行为、事件,以及网络与信息安全事故的责任人和相关负责人提出责任追究和处理意见。 (九) 完成网络安全和信息化领导小组交办的其它工作。 第九条 网络安全工作组是北京语言大学信息安全工作的日常管理执行机构,由各单位相关负责人组成,在信息化办公室的统一领导下,负责组织落实各项信息安全工作和信息安全策略要求,具体职责包括: (一)贯彻执行和解释网络安全和信息化领导小组的决议; (二)贯彻执行和解释国家主管机构下发的信息安全策略; (三)组织制定北京语言大学信息安全策略,并对系统发生变更的情况组织评审,保障与安全策略的一致性; (四)组织制定信息安全建设、管理和运行中的管理制度和规范; (五)协调处理信息安全建设、管理和运行中的有关问题,并对具体落实情况进行总结和汇报; (六)负责内外部组织和机构的沟通、协调和合作工作,建立维护常用信息安全组织机构信息表; (七)负责针对信息安全相关的管理制度和规范具体落实工作进行监督、检查、考核、指导及审批; (八)组织协调网络与信息安全事件应急保障和恢复工作; (九)组织协调开展信息系统安全等级保护工作; (十)完成网络安全和信息化领导小组交办的其它工作。 第十条 网络安全和信息化建设专家指导委员会主要职责: (一) 为学校网络安全和信息化建设提供咨询和建议; (二) 对学校信息化项目年度立项预算进行评审和排序; (三) 对学校重要的信息化项目开展事前论证; (四) 对学校招标且已完成的信息化项目进行技术验收; (五) 参与制订学校信息化发展规划。 第十一条 信息安全责任部门是指北京语言大学涉及到信息化建设、运行和日常管理的各部门,负责落实网络安全和信息化领导小组审核通过的信息安全策略和各项信息安全工作,并与各处工作相结合,负责所辖信息化工作的信息安全管理和保障。 第四章 信息安全管理岗位职责 第十二条 信息安全管理岗位包括安全主管、部门安全责任人、安全管理员、安全审计员等相关岗位,负责日常各项信息安全工作的管理和执行。 第十三条 安全主管由网络安全工作组组长担任,主要职责包括: (一)负责网络与信息安全的日常整体协调和管理工作; (二)负责组织人员制定信息安全管理制度和标准规范; (三)定期组织分析的安全总体情况,组织协调处理存在的安全问题; (四)组织协调开展信息安全教育培训工作; (五)负责系统变更、重要操作、物理访问和系统接入等事项的审批; (六)组织制定信息安全相关岗位的安全职能,提供信息安全关键岗位人员工作绩效考核指标; (七)负责组织重大安全事件的应急响应协调和沟通工作; (八)负责组织协调落实网络安全工作组安排的其他管理工作。 第十四条 各部门安全责任人由网络安全工作组成员担任,主要职责包括: (一)负责本部门的信息安全管理和协调工作; (二)负责组织落实本部门的信息安全职责; (三)负责组织落实网络安全工作组安排的各项工作。 第十五条 安全管理员的主要职责包括: (一)负责执行网络与信息安全日常工作; (二)负责系统、网络和应用安全管理的协调和技术指导; (三)负责安全管理制度的编写和更新维护工作; (四)协调安全策略的落实,并通过风险评估、漏洞扫描等方式分析安全策略的执行情况; (五)分析信息安全运行情况,定期编制信息安全现状报告,向安全主管报告信息安全整体情况; (六)负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况; (七)负责协调信息安全事件的处理和应急响应工作。 第十六条 应用系统安全管理员的主要安全职责包括: (一)负责本单位信息安全工作的开展,并配合网络安全工作组的信息安全工作; (二)遵照信息安全策略协调本系统的信息安全技术落实; (三)指导并参与信息安全相关项目的建设; (四)对所管辖业务应用系统的用户权限分配和管理; (五)定期检查各信息系统的访问权限设置情况,清理离岗员工的账号及其他多余、无用的账号。 第十七条 应用系统安全审计员的主要安全职责包括: (一)负责应用系统安全审计记录、分析及处理; (二)负责安全策略落实情况的审定和审核; (三)负责应用系统用户及管理员的认证访问、权限和操作的安全审核。 第五章 日常运行操作岗位安全职责 第十八条 日常运行操作管理与信息化技术管理工作的总体框架相结合,一般包括基础设施的运维管理、公共平台的运维管理以及应用系统的运维管理等工作,配套这些运维管理工作相关岗位,各个运维岗位与安全管理工作相结合形成必要的各岗位安全职责。 第十九条 终端用户支持管理员的安全职责包括: (一)负责桌面计算机操作系统的安全配置(包括及时修补系统漏洞)和日常审计,系统应用软件的安装,从系统层面实现对用户与资源的访问控制; (二)制定桌面计算机操作系统的安全配置规则,并落实执行; (三)及时发现、协调处理、上报桌面计算机相关安全事件。 第二十条 网络基础设施管理员的主要安全职责包括: (一)负责网络设备安全稳定运行的日常管理工作; (二)负责保持网络设备的漏洞最小化,定期对系统进行安全加固; (三)落实安全策略,审核网络可能发生的变更,并保证与安全策略的一致性; (四)负责网络接入安全管理,对接入网络的信息系统进行审核; (五)及时发现、协调处理、上报网络安全相关事件。 第二十一条 服务器系统管理员(包含操作系统)的主要安全职责包括: (一)负责系统安全稳定运行的日常管理工作; (二)负责修复系统补丁,定期对系统进行安全加固,保持系统漏洞最小化; (三)落实安全策略,审核操作系统可能发生的变更,并保证与安全策略的一致性; (四)负责系统安全配置,账户管理; (五)及时发现、协调处理、上报操作系统安全相关事件。 第二十二条 虚拟化平台管理员的主要安全职责包括: (一)负责虚拟机安全稳定运行的日常管理工作; (二)负责虚拟机管理机的安全加固,保持系统漏洞最小化; (三)落实安全策略,审核虚拟机可能发生的变更,并保证与安全策略的一致性; (四)负责系统安全配置,账户资源管理; (五)及时发现、协调处理、上报虚拟机安全相关事件。 第二十三条 网络存储设备管理员的安全职责包括: (一)负责网络存储设备的安全配置和日常安全运行管理工作; (二)负责数据的安全存储; (三)及时发现、协调处理、上报数据存储相关安全事件。 第二十四条 数据库服务(数据库系统维护)管理员的安全职责包括: (一)依照安全策略对数据库进行安全配置和漏洞修复; (二)负责数据库性能监控、分析及处理; (三)负责数据库安全审计记录、分析及处理; (四)落实安全策略,审核数据库可能发生的变更,并保证与安全策略的一致性; (五)及时发现、协调处理、上报数据库安全相关事件。 第二十五条 数据备份管理员的安全职责包括: (一)依照数据备份策略进行数据备份和数据恢复,定期对备份数据有效性进行测试; (二)及时发现、协调处理、上报数据备份安全相关事件。 第二十六条 机房环境管理员的主要安全职责包括: (一)负责机房内的配电设备、UPS、空调机等设备的安全维护与管理,并负责对机房设备的相关介质、文档资料等随机物品进行归档管理; (二)负责机房相关设备的日常安全维护管理与操作; (三)负责制定和执行适当的物理安全控制。 第二十七条 基础设施资产管理员的主要安全职责包括: (一)负责信息资产清单的记录和维护,清查、核对和统计信息资产的使用情况; (二)负责资产的采购、登记、分发、回收、废弃等工作; (三)负责存储介质、基础设施等资产信息以及系统文档的安全管理。 第二十八条 中间件管理员的主要安全职责包括: (一)负责中间件安全稳定运行的日常管理工作; (二)依照安全策略对中间件进行安全配置和漏洞修复; (三)负责对中间件的安全运行进行监控、分析及处理; (四)落实安全策略,审核中间件可能发生的变更,并保证与安全策略的一致性; (五)及时发现、协调处理、上报中间件安全相关事件。 第二十九条 应用系统管理员的主要安全职责包括: (一)负责应用系统安全稳定运行的日常管理工作; (二)依照安全策略对应用系统进行安全管理; (三)负责应用软件保存、标识、安装、卸载和升级的统一管理; (四)负责应用软件版本管理,应用软件备份和恢复。 第三十条 应用系统资产管理员的主要安全职责包括: (一)负责信息资产清单的记录和维护,清查、核对和统计信息资产的使用情况; (二)负责资产的采购、登记、分发、回收、废弃等工作; (三)负责应用软件、系统文档相关资产的信息安全管理工作。 第三十一条 专职信息安全综合监测岗位是针对集中的数据中心安全管控模式所设立的运行操作岗位,提供基于服务的安全运行维护、交付和管理。综合监测岗的主要安全职责包括: (一)受理各种系统的监控需求,负责系统监控功能的增加、删除、修改等服务变更申请,并跟踪变更进度,确认变更结果; (二)定期对系统的各种统计信息做总结,生成报告后提交相关领导审阅,以便及时了解整体的安全运行情况; (三)负责被管对象接入、删除、修改、监控项配置等日常工作; (四)负责安全运行状态监控、记录事件、处理告警或告警升级通知相关人员处理事件; (五)负责各指定系统的日常巡检、基本故障处理等工作。 (六)对集中监测的信息安全事件进行数据挖掘和安全问题分析; (七)收集并分析可能、潜在的安全威胁和业界已经发生的安全事件; (八)结合运行各系统的基本情况分析需要采取的安全技术策略; (九)分析信息安全策略的有效性,并提出信息安全策略的改进建议。 第六章 信息安全管理制度制定与评审 第三十二条 网络安全和信息化领导小组负责安全管理制度、安全操作规程的审批工作。 第三十三条 网络安全工作组负责组织安全管理制度、安全操作规程的编制、发布、执行、监督、评审、修订工作。 第三十四条 网络安全工作组负责制定本单位机构、人员、制度相关的安全管理制度,对重要管理事务建立工作流程,并适时修订。 第三十五条 信息化办公室负责制定本单位系统建设相关的安全管理制度,对重要管理操作建立操作规程,并适时修订。 第三十六条 信息化办公室安全、网络、服务器操作系统、数据库和应用管理员负责制定本单位系统运维相关的安全管理制度,对重要管理操作建立操作规程,并适时修订。 第三十七条 安全审计员负责对已宣布执行的安全管理制度和安全操作规程实施内部审核,对制度的执行情况进行监督检查,并督促实施整改。 第三十八条 安全管理制度和安全操作规程应每年组织进行评审,评审后形成评审报告,并根据评审结果决定是否修订。 第三十九条 网络安全工作组负责组织安全管理制度、安全操作规程的评审和修订,网络安全和信息化领导小组批准后发布、执行。 第四十条 各类安全管理制度的编制部门组织不定期进行制度修订,并监督制度实施。 第四十一条 当发生以下情况时,应立即组织对安全管理制度和操作规程进行评审和修订: (一)适用的法律、法规、标准及其他要求废止、修订或新颁布时; (二)当管理机构或体制发生重大调整时; (三)当业务、服务发生重大变化时; (四)当安全检查、风险评价或其他情况下发现涉及到规章制度缺陷时; (五)当上级管理部门提出相关整改意见时; (六)在分析重大信息安全事件及重复性信息安全事件原因时,发现制度性因素时; (七)采用新技术、新设备、新软件时; (八)当机房新建、改建、扩建时; (九)其他相关事宜。 第四十二条 修订后的安全管理制度和安全操作规程需要试运行,组织信息系统相关建设运维部门人员集中培训,理解掌握安全管理制度和安全操作规程的内容。 第四十三条 安全管理制度和安全操作规程的发放、使用、保管和回收,严格按照文件操作程序执行,安全管理制度和操作规程文档应按照统一的格式、编号等文档管理要求编制,对相关文档进行版本控制。 第四十四条 安全管理制度和安全操作规程文档版本确定后应正式发布,明确发布范围、使用人员,及时通告相关部门及业务人员,对文件收发进行登记确认,保证相关岗位和人员所使用的为最新有效版本。 第七章 附则 第四十五条 本管理办法条款的解释权归信息化办公室。 第四十六条 本规定自公布之日起执行。原有《北京语言大学信息安全管理体系》(校网技字〔2015〕3号)作废。 信息化办公室 2019年3月 | |
| 【打印本页】 【关闭本页】 |