海南师范大学信息安全管理体系职责
发布者: 发布时间:2021-11-15来源:
海南师范大学信息安全管理体系职责
第一章总则
- 目的
本制度的目的是为规范信息安全管理机构职责,明确海南师范大学在安全管理机构管理方面的工作任务和职责范围,明确海南师范大学安全组织机构的内部机构设置、岗位设置、安全职责划分、授权和审批、沟通与合作、审核和检查等方面的关系和作用,特制定本规范。
- 适用范围
本规定适用于海南师范大学建立信息安全机构,内部机构设置、岗位设置、安全职责划分、授权和审批、沟通与合作、审核和检查等方面的管理工作。
第二章安全管理机构
- 信息安全领导小组
1、信息安全领导小组是信息安全的最高决策机构,主要工作职责是批准海南师范大学信息安全总体策略规划、管理规范和技术标准;
2、确定海南师范大学各部门信息安全工作职责,指导、监督信息安全工作;
3、信息安全领导小组组长由海南师范大学主管领导担任,信息安全领导小组成员由各部门负责人组成;
4、信息安全领导小组的成立由海南师范大学正式发文,并说明信息安全领导小组工作职责和各成员工作职责;
- 安全管理机构职责
信息网络与数据中心为安全管理机构,其工作任务和安全职责规定如下:
1、工作任务
(1)贯彻落实国家和省有关水利建设的政策法规和技术规范;
(2)承担信息系统建设、管理、运行维护等工作;
(3)承担上级主管部门交办的其他工作。
2、安全职责
(1)信息安全管理工作
负责协调和规范信息安全工作;
负责信息安全工作进行具体安排、落实;
组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安全总体策略规划,并执行;
负责协调、督促相关单位的信息安全工作,负责信息系统工程建设中的安全规划,安全措施的执行;
组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策;
及时向上级部门、有关单位报告信息安全事件。
跟踪先进的信息安全技术,为信息安全知识的培训工作提供技术支持。
(2)信息安全应急处置工作
制定信息系统网络与信息系统的安全应急策略及应急预案;
决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系统;
每年组织对信息安全应急策略和应急预案进行测试和演练。
第三章安全岗位职责
- 安全岗位设置
信息安全负责人岗位设置按信息系统安全职能划分为信息安全主管、安全管理员、网络管理员、系统管理员、物理安全管理员。
各信息安全岗位设置详见《安全岗位职责分配表》。
- 信息安全主管
信息安全主管由信息网络与数据中心主管领导担任。其安全职责包括:
(1)负责海南师范大学整体信息安全管理工作;
(2)负责海南师范大学信息安全工作的总体方针和安全策略规划;
(3)负责海南师范大学人员配备规划和安全管理;
(4)负责定期组织相关部门和相关人员对安全管理体系的合理性和实用性进行审定,组织开展对存在不足或需要改进的安全管理制度进行修订工作。
- 安全管理员
安全管理员安全职责包括:
(1)负责信息安全工作的具体实施和有关信息安全问题的整体协调处理,根据信息安全事件的处理情况和结果,向信息安全主管提交信息安全事件处置报告;
(2)负责定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞提出修补要求;
(3)负责定期对主机系统进行漏洞扫描,对发现的主机系统安全漏洞提出修补要求;
(4)定期进行安全检查,检查物理安全、网络安全、系统安全和数据安全及备份恢复相关安全措施和巡检落实情况;
(5)指导和监督其他安全负责人相关安全措施实施工作,为他们的安全改进提供建议;
(6)负责涉及信息安全和信息安全主管核准的其它事务。
- 网络管理员
网络管理员安全职责包括:
(1)负责网络安全管理工作;
(2)负责整体网络架构规划、网络策略制定、网络安全审计、网络设备防护等安全管理工作;
(3)负责网络入侵防范和网络恶意代码防范措施和管理;
(4)负责网络运行维护人员变更管理工作;
(5)指导和监督网络运行维护人员相关安全措施实施工作,为他们的安全改进提供建议;
(6)负责网络安全管理工作的其它事务。
- 系统管理员
系统管理员安全职责包括:
(1)负责主机安全和应用安全管理工作;
(2)负责落实主机操作系统、数据库管理系统和应用系统安全措施实施管理工作;
(3)负责主机系统和应用系统运行维护人员变更管理工作;
(4)指导和监督主机系统和应用系统运行维护人员相关安全措施实施工作,为他们的安全改进提供建议;
(5)负责主机系统和应用系统安全管理工作的其它事务。
- 物理安全管理员
物理安全管理员职责包括:
(1)负责机房和辅助机房(UPS机房、备份机房等)具体安全管理工作;
(2)负责机房物理访问控制、防盗窃和防破坏、防雷、防火、防静电、温湿度控制、电力供应和电磁防护的管理工作;
(3)负责对机房消防、供电、空调、温湿度控制等设施维护和定期巡检管理工作;
(4)负责机房值班人员、机房环境和设备设施运行维护人员变更管理工作;
(5)指导和监督机房值班人员、机房环境和设备设施运行维护人员相关安全措施实施工作,为他们的安全改进提供建议;
(6)负责机房安全管理工作的其它事务。
第四章授权和审批
- 为加强海南师范大学信息系统的安全管理工作,规范明确各部门和各信息安全负责人授权与审批方面的工作,按照审批程序执行审批过程,对重要活动建立逐级审批制度;
- 安全管理负责人负责每年组织相关人员审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息;
- 各事项审批过程通过审批表单进行记录,审批事项执行完成后,由各安全责任人提交至安全管理负责人统一保管。
- 物理安全的审批
1、人员出入机房的审批
内部人员出入机房,只需在值班处进行登记,就可以进入机房;
外部系统运维人员出入机房,需要填写《机房人员出入申请审批表》,由系统安全负责人确认后,提交物理安全负责人审批;
来访参观人员出入机房,需要出具单位工作联络函,并且填写《机房人员出入申请审批表》,提交信息安全主管审批;
审批同意后,将申请审批表提交至值班人员处备案;
值班人员每月定期将备案文档提交至保密管理员存档;
人员出入机房具体管理工作详见机房安全相关的管理制度。
2、设备出入机房的审批
信息系统新增设备需要进入机房时,由设备管理人员填写《机房设备出入申请审批表》,提交物理安全负责人审批;
机房内设备需要带离机房时,由设备管理人员填写《机房设备出入申请审批表》,提交信息安全主管审批。
- 信息系统变更的审批
信息系统变更根据其变更的类型、涉及范围和变更大小,组成由XX、运行维护人员和系统承建商,以及行业专家相关人员参与的变更控制委员会,对信息系统变更进行审批,具体管理工作详见相关的变更管理制度。
第五章沟通与合作
- 加强各类人员之间、内部各部门之间的合作与沟通,定期召开协调会议,共同协作处理信息安全问题,形成会议记录;
- 加强与海南省公安厅、电信公司、联通公司等安全组织的合作与沟通,建立上述单位联系列表;
- 加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通,建立上述单位联系列表;
- 建立外联单位联系列表,包括外联单位名称、联系人和联系方式、合作内容等信息。
- 聘请信息安全专家团队提供常年的安全顾问服务,指导信息安全的规划与建设;
- 信息网络与数据中心部门负责组织制定和更新相关联系信息;
- 各沟通与合作单位及人员信息详见《外联单位联系表》。
第六章审核和检查
- 各系统安全负责人负责定期对管理范围内的信息系统组件进行检查,检查内容包括物理环境和设备设施巡检、系统日常运行巡检、系统漏洞扫描和数据备份等情况;
- 安全管理负责人负责每季度进行安全审核,审核安全检查工作是否按照相关安全管理规定执行。并对上述工作进行抽样检查,发现执行不到位的工作,督促相关责任人进行相应的整改。
- 安全管理负责人负责每年组织内部人员进行全面安全检查,即进行信息安全等级保护自查工作,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等;
- 安全管理负责人制定安全检查表格每年实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报;
- 为了贯彻落实国家信息安全等级保护相关管理规定,实现信息系统安全检查的独立性和公正性,定期聘请第三方测评机构对信息系统进行测评,三级信息系统每年进行一次,二级信息系统每两年进行一次,发现不符合相应等级保护标准要求及时整改;
- 第三方测评机构应选择具备公安部信息安全等级保护评估颁发的“信息安全等级保护测评机构能力评估合格证书 ”和“信息安全等级保护测评机构推荐证书”;
- 信息安全等级保护测评工作的管理由安全管理负责人负责。
第七章附则
- 本制度由信息网络与数据中心负责解释并督促执行。