重庆市育才中学校单位信息安全制度汇编.docx

重庆市育才中学校单位信息安全制度汇编目录信息安全方针及安全策略1第一章目的1第二章范围1第三章职责1第四章符合性2第五章信息安全总体方针2第六章方针主要内容2第七章个人操作管理6文件评审及发布制度8第一章目的8第二章范围8第三章职责8第四章管理细则9第五章评审和修订11信息安全领导机构组成与职责16第一章目的16第二章范围16第三章职责17第四章机构和组织指责17信息安全部门岗位职责说明21第一章目的21第二章范围21第三章职责21第四章各安全管理岗位职责说明和技能要求22信息系统授权及审批管理26第一章目的26第二章范围26第三章职责26第四章管理细则27第五章附则29沟通与合作管理32第一章目的32第二章范围32第三章职责32第四章管理细则33安全检查和审核管理39第一章目的39第二章范围39第三章职责39第四章管理细则40人员管理制度43第一章目的43第二章范围43第三章职责43第四章入职管理44第五章离职安全管理45第六章人员考核安全意识教育和培训46网络与信息系统安全设计规范56第一章目的56第二章范围56第三章职责56第四章设计规范57IT产品采购管理制度62第一章目的62第二章范围62第三章职责62第四章管理细则63代码编写安全规范68第一章安全编码68第二章职责分离69第三章授权70第四章最小权限71外包软件开发管理74第一章目的74第二章范围74第三章职责74第四章管理细则75工程实施管理78第一章目的78第二章范围78第三章职责78第四章管理细则79工程测试验收管理81第一章目的81第二章范围81第三章职责81第四章管理细则82系统交付管理87第一章目的87第二章范围87第三章职责87第四章管理细则88服务商安全管理91第一章目的91第二章范围91第三章职责91第四章管理细则92机房安全管理制度93第一章目的93第二章范围93第三章职责93第四章管理细则94资产安全管理制度104第一章目的104第二章范围104第三章职责104第四章管理细则105移动存储介质安全管理制度 117第一章目的117第二章范围117第三章职责117第四章管理细则118IT设备安全管理制度124第一章目的124第二章范围124第三章职责124第四章管理细则125安全和监控中心管理139第一章目的139第二章范围139第三章职责139第四章管理细则140网络安全管理制度143第一章目的143第二章范围143第三章职责143第四章管理细则144系统运行维护管理制度152第一章目的152第二章范围152第三章职责153第四章管理细则153恶意代码防范管理162第一章目的162第二章范围162第三章职责163第四章管理细则163账号口令和权限管理167第一章目的167第二章范围167第三章职责167第四章管理细则168变更管理程序174第一章目的174第二章范围174第三章职责174第四章管理细则175备份与恢复管理179第一章目的179第二章范围179第三章职责179第四章管理细则180安全事件报告和处置184第一章目的184第二章范围184第三章职责184第四章管理细则185信息系统应急预案管理193第一章目的193第二章范围193第三章原则193第四章管理细则194网络应用系统软硬件维护208第一章目的208第二章范围208第三章岗位职责209第四章管理细则209文档安全管理213第一章总则213第二章范围213第三章管理细则213网络信息安全责任追究制度216第一章总则216第二章范围216第三章原则216第四章管理细则217信息系统安全操作规程221第一章维护人员221第二章应用人员222办公环境管理制度224第一章目的224第二章范围224第三章管理细则224信息安全教育培训管理制度227第一章目的227第二章总则227第三章管理细则227入网安全检查230第一章目的230第二章范围230第三章管理细则231信息安全方针及安全策略第一章目的第一条 为了深入贯彻落实国家信息安全政策文件要求 和信息安全等级保护政策要求，加强我校信息安全管理工 作，增强全员信息安全意识，切实提高我校信息系统安全保 障能力，特制定本方针。第二章范围第二条适用于重庆市育才中学校信息安全管理活动。第三章职责第三条由领导和相关科室主管为主体的教育信息化安 全领导小组负责文件的审核和修订，由技装中心为主体的信安全工作小组负责文件的贯彻和执行。第四章符合性第四条 文件主要遵循信息安全技术信息系统安全等 级保护基本要求(GBT 22239-2008)标准的要求，同时在部 分环节也符合以下两个国际标准：ISO/IEC 27001信息安全管理体系要求IS0/IEC 27002信息技术安全技术一信息安全管理实 践规范第五章信息安全总体方针第五条 重庆市育才中学校总体安全方针为：提高人员 信息安全风险意识，确保信息系统安全；强化信息安全管 理，坚持以人为本，服务教育、教学和管理。第六章方针主要内容第六条主要安全策略L信息安全是重庆市育才中学校及相关部门正常运行 的重要保障，我校将遵照“统一规划、分级管理、积极防范、 人人有责”的原则，通过风险评估和风险管理，采取一切可 能的措施，加强位信息安全的建设和管理。学校设立教育信息化安全领导小组，负责学校相关信息系统 及信息安全的日常维护和管理工作。2 .全体职工均有参与信息安全管理，有保护信息安全 的义务和责任。全体职工应积极参加各种形式的信息安全教 育和培训，遵守相关国家法律、法规、部门规章和行业规 范，遵守学校信息安全管理制度。3 .承载信息系统的所有软硬件设施及物理环境均应受 到适当的保护。4 .采取必要的措施保护学校信息的机密性，以防止未经 授权的不当存取；同时应确保信息不会在传递的过程中，或 因无意间的行为透漏给未经授权的第三者。5 .采取必要的措施确保学校信息的完整性，以防止未 经授权的篡改。6 .采取必要的措施确保学校信息的可用性，以确保使 用者需求可以得到满足。7 .采取必要的措施确保学校信息的连续性，以确保业 务持续可用。8 .全体员工都有责任通过适当的上报机制，报告所发现 的信息安全意外事故或信息安全弱点。9 .任何危及信息安全的行为，都应诉诸适当的惩罚程 序或法律行动。第七条 信息安全目标：最大限度保证信息系统的完整 性、保密性和可用性免遭破坏。确保每年信息安全重大事故 的发生频率为可控范围内的最低。第八条信息安全管理原则L基于安全需求原则：学校核心业务信息系统根据等级 保护要求，定级为二级，安全需求主要参照二级等级保护要 求，同时考虑可能受到的威胁及面临的风险分析安全需求， 遵从二级等级保护的规范要求，从全局上恰当地平衡安全投 入与效果。2 .主要领导负责原则：教育信息化安全领导小组的主要领 导确立信息安全保障的宗旨和政策，负责提高全员的安全意 识，组织有效的安全保障队伍，调动并优化配置必要的资源， 协调安全管理工作与各部门工作的关系，并确保其落实、有 效。3 .全员参与原则：与核心业务信息系统相关的所有运行 维护人员应普遍参与信息系统的安全管理，并与相关方面协 同、协调，共同保障信息系统安全。4 .持续改进原则：安全管理是一种动态反馈过程，贯穿 整个安全管理的生命周期，随着安全需求和系统脆弱性的时 空分布变化，威胁程度的提高，系统环境的变化以及对系统 安全认识的深化等，应及时地将现有的安全策略、风险接受 程度和保护措施进行复查、修改、调整以至提升安全管理等 级，维护和持续改进信息安全管理体系的有效性。5 .依法管理原则：信息安全管理工作主要体现为管理行 为，应保证信息系统安全管理主体合法、管理行为合法、管 理内容合法、管理程序合法。对安全事件的处理，应由授权 者适时发布准确一致的有关信息，避免带来不良的社会影响。6 .选用成熟技术原则：成熟的技术具有较好的可靠性和 稳定性，采用新技术时要重视其成熟的程度，并应首先局部 试点然后逐步推广，以减少或避免可能出现的失误。7 .管理与技术并重原则：坚持积极防御和综合防范，全 面提高信息系统安全防护能力，立足国情，采用管理与技术 相结合，管理科学性和技术前瞻性结合的方法，保障信息系 统的安全性达到所要求的目标。第七章个人操作管理第十条单位工作人员申请账户权限需填写系统权限申请表，经系统管理员批准后方可开通。账号申请表上应详 细记录账号信息。第十一条人员离职或调职时需交回相关系统账号及密 码，经系统管理员删除或变更账号后方能离职或调职。第十二条 单位工作人员严禁私自在办公计算机上安装 软件，以免造成病毒感染。严禁私自更改计算机的设置及安 全策略。第十三条严格管理口令，包括口令的选择、保管和更换, 采取关闭guest和匿名用户、增强管理员口令选择要求等措 施。第十四条计算机设备应设屏幕密码保护的用户界面， 保证数据的机密性的安全。文件评审及发布制度第一章目的第一条 为规范重庆市育才中学校信息安全管理体系文 件的制订、修订及评审，特制定本制度。第二章范围第二条本管理规范适用于教育信息化安全领导小组和 工作小组对信息安全管理体系文件的维护管理。第三章职责第三条由教育信息化安全工作小组的主体部门技装中 心负责信息安全管理体系文件的维护，包括制订、修订和评 审，由教育信息化安全领导小组负责体系文件的批准、发布和 作废。第四章管理细则第四条 体系文件生命周期流程图1体系文件流程图第五条体系文件策划1 .教育信息化安全工作小组组织相关人员，根据信息 安全技术信息系统安全等级保护基本要求(GBT 22239- 2008)、信息安全技术 信息系统安全管理要求(GBT 20269-2006)、IS0IEC 27001： 2005 信息安全管理体 系的要求，结合实际的职责和工作流程，策划制定信息安 全管理体系文件的架构，并形成重庆市育才中学校信息安 全管理体系文件框架(以下简称“文件框架” )O2 .教育信息化安全工作小组将制定的文件框架汇报给 教育信息化安全领导小组，教育信息化安全领导小组对文件 框架进行审批确认。第六条体系文件架构与编写L教育信息化安全工作小组根据审批后的文件框架及清 单，负责组织编写各级文件。2 .总策略文件为信息安全方针与安全策略、信息安 全领导机构组成与职责，它定义了安全管理的基本原则、基 本方向、安全管理的组织框架和职责划分等。程序规范类文 件主要包括系统建设管理、物理与环境安全管理等管 理标准文件，主要规定了各个领域的安全管理的基本原则和 目标。记录类文件主要是各个领域安全管理的过程文档，是 整个安全管理体系有效执行和落地的主要手段，也是安全管 理体系的过程记录，可做为对外的信息安全质量保证。3 .其中总体策略类文件由教育信息化安全领导小组署 名，其他类文件由编写人署名。4 .编写完成的文档需先经过各相关部门的初审，然后由 教育信息化安全工作小组进行评审，最后由教育信息化安全 领导小组进行批准定稿。第五章 评审和修订第八条教育信息化安全工作小组应定期发起对体系文 件的评审。对体系文件的评审应至少每年进行一次。评审流程 如下：1 .教育信息化安全工作小组发起对体系文件的评审申请, 信息安全领导小组审核确认后批准评审要求。2 .教育信息化安全工作小组制定评审计划。计划中应确 定各文档对应的评审责任人以及实施评审的时间计划。3 .各评审责任人根据时间计划，结合内部审核、管理评 审、风险评估及日常记录的结果，评估文件有效性和充分性。4 .如果修改的内容只涉及技装中心，则由教育信息化安 全工作小组组长进行审批，在审批同意后，由文档评审责任 人进行修改。5 .如果修改的内容涉及到技装中心以外的部门，需要 所有涉及部门的会签。会签后，由文档评审责任人进行文档 修改。6 .修改完毕之后，各责任人将制度文件评审记录和 完善后的体系文件版本一并报送教育信息化安全工作小组， 由教育信息化安全工作小组进行标识和保存。7 .教育信息化安全工作小组最终对评审结果向信息安全 领导小组进行汇报。8 .在体系文件的评审过程中，如果评审责任人认为文件 应当作废，则填写体系文件作废申请表，由教育信息化安 全工作小组审批后，报教育信息化安全领导小组进行审批。9 .教育信息化安全领导小组审批完成后，教育信息化安 全工作小组负责通知所有相关人员，并对重庆市育才中学 校信息安全制度汇编进行更新。制度文件评审记录评审人员评审内容评审结果日期（记录人签字）制度文件修订记录修订制度文件编号修订前版本修订内容修订日期修订执行人（签字）修订批准人（签字）体系文件作废申请表申请陈述教育信息化安全领导小组和教育信息化安全工作小组：现申请作废名称为：信息安全管理体系文件，原因如下：申请人：时间：教育信息化安全工作小组审批意见：教育信息化安全领导小组审批意见：信息安全领导机构组成与职责第一章目的第一条为更好的实现对重庆市育才中学校信息系统的 安全管理，促进各项制度、措施的落实，经领导研究决定成 立以教育信息化安全领导小组为管理机构、教育信息化安全 工作小组为执行机构的组织架构，负责重庆市育才中学校信 息安全建设及防护。第二章范围第二条本标准针对重庆市育才中学校信息安全组织建 设相关事务，规定了组织框架和角色责任，适用于重庆市育 才中学校所有纳入到信息安全管理体系范围的组织和个人。第三章职责第三条教育信息化安全工作小组负责起草、制定标准， 安全领导小组负责批准、发布标准。第四条信息安全组织内相关人员承担本标准定义的相 关角色，履行相应的信息安全管理职责。第四章机构和组织指责第五条教育信息化安全领导小组组长职责L组长：负责信息化建设总体规划、设计决策、项目决 策、流程决策、人员调配决策以及信息安全事故的应急协调 和指挥。2,副组长：负责具体项目规划设计、人员召集、组织实 施等工作，对工程质量负责，并负责人员培训，流程制定，需 求确认，协助实施、安全事故应急响应等具体日程和事务。第六条教育信息化安全领导小组具体职责1 .负责审定信息安全建设与应用总体规划、经费预算、 技术标准、管理规范及相关政策措施。2 .研究决定信息安全体系建设重大事项，监督信息安全 体系规划的实施。3 .及时解决项目建设过程中的决策问题，并对各项工作 做出指示。4 .审批发布信息安全方针和管理体系。5 .审批信息安全规划和项目的批准。6 .提供信息安全资源保证。7 .负责信息安全策略审核及推广。8 .建立与内部/外部专家、权威机构、合作伙伴、供应 商之间的沟通渠道。统一控制对外信息发布和通告。第七条教育信息化安全工作小组组长职责L组长：直接对教育信息化安全领导小组负责，负责教 育信息化安全领导小组宏观策略和项目规划的落地执行；在 信息化领导小组的领导下，协调工作小组成员完成方案起草， 流程收集，需求汇总等工作；协调教育信息化安全工作小组 内部人员的工作分配，人员管理等。9 .副组长：协助教育信息化安全工作小组组长完成宏观 策略和项目规划的落地执行，任命信息安全角色和岗位，并 明确各信息安全岗位的职责，组织并实施信息安全管理评 审，督促各成员统一协作，完成方案起草，流程收集，需求 汇总等工作。第八条教育信息化安全工作小组人员职责L负责系统调试、日程维护、人员培训、人员组织、安 全管理等具体工作。10 负责信息安全体系建设具体工作实施和推进，与工作 小组组长及时沟通并汇报有关情况。11 负责与咨询公司沟通协调项目实施情况以及项目在 单位内部的推进和后续知识转移。12 负责安全管理体系的建立并监督信息安全管理制度 的执行。对信息安全相关项目进行规划和监督，确保信息安 全风险评估和管理工作能够落实。13 制定年度评审计划，确定评审范围和内审内容。负责 信息安全策略、标准、流程和制度的编写、审核及推广。制 定业务连续性计划。14 建立与内部/外部专家、权威机构、利益伙伴之间的 沟通渠道，统一控制对外信息发布和通告。角色姓名工作部门职务联系电话教育信息化安全领导小组 组长张和松校长教育信息化安全领导小组 副组长江明华副校长教育信息化安全工作小组 组长刘刚技装中心主任教育信息化安全工作小组 副组长贺薛毅党办副主任教育信息化安全工作小组 副组长侯静行办副主任教育信息化安全工作小组 成员代建佗行办主任助理教育信息化安全工作小组 成员袁乐党办主任助理教育信息化安全工作小组 成员秦淑娟行办干事教育信息化安全工作小组 成员董皓行办干事信息安全岗张延军技装中心主任 助理数据库管理岗李正平技装中心教师系统管理岗周浩技装中心教师网络管理岗李正平技装中心教师文档管理岗周念技装中心教师信息安全部门岗位职责说明第一章目的第一条为规范信息安全管理系统中各安全岗位的人员 职责，特制订本规范。第二章范围第二条 本规范适用于重庆市育才中学校各信息安全管 理岗位和人员。第三章职责第三条教育信息化安全办公室主任负责分配、协调各 信息安全管理岗位的人员角色和日常工作，各岗位人员负责 本岗位的日常信息安全管理。第四章各安全管理岗位职责说明和技能要求第四条信息安全各管理岗由教育信息化安全工作小组 授权或指定，是重庆市育才中学校信息安全管理体系的具体 执行者，设有信息安全岗、系统管理岗、网络管理岗、数据 库管理岗、文档管理岗。各岗位的人员组成参见信息安全 组织相关人员。第五条信息安全岗信息安全岗是信息安全策略和相关事务的具体推动、执 行和实施者，是信息安全各项任务的具体落实者，信息安全 岗主要职责包括：L网络安全设备的日常运维管理，防护策略调整，访问 策略设置和调整。2 .在教育信息化安全工作小组确定的实施范围内，具体 推广并落实各项策略要求和控制措施。3 .监督推动安全策略和控制措施的落实，负责信息安 全意识提升和协助信息安全事件的应急处理。4 .负责信息安全的日常工作，提供信息安全支持服务， 配合完成信息安全相关项目，并引导、推广和监督执行安全 策略。5 .为教育信息化安全工作小组制定安全指标和采集数据 提供支持，进行内审资料和数据的提取。6 .协助教育信息化安全工作小组制定业务连续性计划, 提供各种参数依据。第六条数据库管理岗数据库管理岗主要负责重庆市育才中学校各信息系统 配套的数据库管理工作，主要职责包括：1 .全面负责数据库系统的管理工作，保证其安全、可靠、 正常运行。2 .负责技装中心数据库服务器的管理工作，做好服务器 的运行记录，当服务器出现故障时，迅速会同相关人员一同 解决。3 .负责数据库系统的建设，做好服务器的维护、数据库 软件的安装、数据库的建立工作，定期对数据进行备份。4 .负责数据库服务器的安全防范管理工作。5 .协助软件开发人员完成数据库软件开发所需的各类 数据库的信息。第七条系统管理岗系统管理岗主要负责各业务系统的日常运维和管理，主 要职责如下：L提供业务系统运行保障，维持业务系统稳定、正常运 转，及时解决业务系统运行故障，确保用户能安全高效的使 用业务系统；6 .做好服务器配置、安装和改动记录，定期查看系统运 行日志，并将系统故障、可疑日志及时上报安全管理员定 期对业务系统服务器硬盘进行整理，清除缓存或垃圾文件。7 .严格按照信息安全账号管理规范，管理业务系统用户 账号，划分账号角色和权限，及时删除废弃用户，监督用户 设置账号强口令。8 .按照病毒防护管理程序，负责对业务系统服务器安装 防病毒软件，并及时升级病毒定义文件。定期对服务器进行 全面的病毒检测查杀。对检测出的病毒要做病毒记录，并及 时上报安全管理员。9 .采用多种形式，进行系统重要数据的定期自动备份或 手工备份，保证系统数据安全。10 与业务经办人员接口，按照相关安全管理规范，负责 系统变更需求的响应和处理。第八条网络管理岗网络管理岗主要负责网络平台的日常运维和管理，主要 职责如下：1 .负责重庆市育才中学校业务网络的安装、配置、管理 和维护工作，为内部网的安全运行提供技术保障。2 .负责网络设备的配置调整、更改，人员网络接入处理。3 .依据VPN安全管理规定，负责VPN链路的运行维护，VPN账号的审核、发放、注销。4 .定期查看网络设备运行日志，并将可疑日志及时上报 安全管理员。第九条文档管理岗文档管理岗主要负责信息安全管理体系制度文件的评 审记录、授权修订、过程文档的归类整理，过程记录。具体 职责如下：1 .贯彻执行信息安全管理体系方针、政策，接受技装中 心监督及检查，推动管理体系逐步标准化、系统化、规范化。2 .负责管理体系过程文档的收集、整理、归档和保管工 作。3 .积极主动地收集各科室、岗位的过程文档，认真验收 并办理好移交手续。4 .将收集过程文档系统整理、编排、根据各管理模块分 类归档。5 .做好管理体系文件保密工作，不得将体系文件与配套 的过程文档未经批准私自泄露给第三方。信息系统授权及审批管理第一章目的第一条为规范重庆市育才中学校信息安全管理各环节 的审批流程和审批责任人，特制订本规范。第二章范围第二条 本管理制度适用于重庆市育才中学校信息系统 相关的所有授权和审批事项，明确各相关管理环节授权和审 批的部门和责任人。第三章职责第三条 技装中心负责制订该规范并报教育信息化安全 领导小组审批通过后，由重庆市育才中学校相关部门和科室 相关人员参照执行。第四章管理细则第四条内部授权程序L根据教育信息化安全领导小组的主要职责，教育信息 化安全工作小组由教育信息化安全领导小组授权后生效。教 育信息化安全工作小组直接对教育信息化安全领导小组负 责。2 .根据教育信息化安全工作小组的主要职责，信息安全 各安全岗位的负责人员由教育信息化安全工作小组授权后生 效。各信息安全岗位管理人员对教育信息化安全工作小组负 责。3 .根据教育信息化安全工作小组的主要职责，各业务信 息系统的经办人员由各业务单元的相关部门提名产生，最终 由教育信息化安全工作小组授权后生效，各业务经办人员对 教育信息化安全工作小组负责。第五条 外包运维人员审批程序1.外包运维人员对重庆市育才中学校信息系统每个环节 的参与均需要技装中心主任的审批，或者由技装中心主任授 权教育信息化安全工作小组组员进行相关审批；2对于没有经过正式授权的，临时的、紧急的、需要即 时审批的信息系统维护需求，可由技装中心主任电话审批同 意，但过后需要补充审批记录。第六条 变更分类与审批的一般原则1 .信息系统变更主要分两大类别：功能优化类变更和系 统完善类（bug修订，补丁修复）变更。2 .功能优化类变更的发起人为各科室业务经办人员。3 .系统完善类变更的发起人为各科室业务经办人员、系 统管理人员或系统运维外包厂商人员。4 .两类变更的审批办法和流程基本一致，原则是需要有 效识别各类系统变更的风险，并严格按照审批程序有效规避 风险、落实相关责任方。第七条变更审批流程L变更由上述变更发起人发起，根据变更的具体内容 填写相关的变更管理表单。2 .功能优化类变更审批的第一级部门是业务经办部门， 因为不直接牵涉到信息系统的变更，该部分变更由业务经办 部门审批，最后一个审批人须是业务经办部门的部门领导或 者更高一级的主管领导，具体由业务经办单位自行决定。3 .功能优化类变更审批的第二级审批部门是技装中 心，由技装中心安排专人评估变更的风险和可行性，评估结 果可行后，由技装中心主任审批，技装中心主任审批后交由 系统运维外包人员具体实施，完成系统变更。4 .系统完善类变更可能会涉及到系统的内核，影响系统 运行的稳定性。此类变更一般由系统管理员发起，要求系统 管理员在发起变更的同时需要就本次变更的潜在风险和风险 规避措施进行描述后报请技装中心主任进行审批，技装中心主 任审批后由系统管理员进行具体实施，完成系统变更。第八条IT设备采购审批办法IT设备的采购过程按照IT产品采购管理制度规定执 行，牵涉到技装中心审批的环节，均需要有技装中心主任签 字审批认可。第九条其他审批办法L物理访问、系统接入等其他对信息系统的访问和修改 操作，均由技装中心主任或技装中心主任授权的技装中心其 他人员负责审批并监督后续的访问过 程。2.重要操作，如业务系统功能上的重大调整、重大升级 变更、网络架构大的调整，均需要由技装中心主任召集相关 人员论证后初审，初审的结果报教育信息化安全领导小组做 最后审批后进行。第五章附则第十条本管理规范牵涉多个部门和人员，必须在每年的 年中和年末由技装中心发起评审，进行评审修订,及时更新需授权和审批的项目、审批部门和审批人等信息。第十一条遇重庆市育才中学校组织机构调整等其他影 响原定审批制度情况，可由技装中心适时发起对于本规定的评 审修订工作，适时修订各变动项目。信息安全管理授权管理清单审批部门/审批人审批项目更新日期沟通与合作管理第一章目的第一条 为加强各类管理人员之间、组织内部机构之间 以及信息安全职能部门内部的合作与沟通，加强与外部相关 单位的沟通与合作，特制订本规范。第二章范围第二条本管理制度适用于重庆市育才中学校信息安全 管理过程中的内外部沟通与合作管理。第三章职责第三条教育信息化安全领导小组负责高层信息安全例 会的发起，教育信息化安全工作小组负责中层信息安全例会 的发起。技装中心负责中高层信息安全例会记录工作、与外 部相关单位的沟通与协作管理。第四章管理细则第四条信息安全例会管理1 .中层信息安全例会由教育信息化安全工作小组负责发 起，至少每月需要组织一次常规的信息安全例会，例会参会 人员至少要包括教育信息化安全工作小组主要成员和执行层 各角色的管理人员。在发生小范围内信息安全事件时如需 要，教育信息化安全工作小组可随时召集发起信息安全工作 会议，通知相关人员参加，就信息安全管理各项制度和执行 情况做出及时调整和部署。2 .常规的中层信息安全例会的主要内容是就各阶段的 信息安全检查结果进行上会检查和审批，对信息安全检查 中发现的各项问题提出解决办法和规避措施，对外包运维人 员的工作内容进行确认和审核，就发现的各类信息安全问题 及时提出解决方案并落实到相关责任人。3 .遇有工程或项目时，可根据工程和项目进度情况或者 工程和项目的需要随时召开信息安全例会，且可不拘泥于教 育信息化安全工作小组范围，可召集相关的合作单位、合作 方、内部相关部门的相关人员一起参加信息安全例会，并由 技装中心做好例会的记录工作。4 .高层信息安全例会由教育信息化安全领导小组负责发 起，至少每季度需要组织一次常规的高层信息安全例会，例 会参会人员包括教育信息化安全领导小组主要成员。在发生 大范围的信息安全事件、有重大信息安全事件发生、或者有 重大信息系统建设项目时，如有必要，由教育信息化安全领 导小组发起，或者由教育信息化安全工作小组提议，由教育 信息化安全领导小组发起高层教育信息化安全领导小组会 议，通知相关人员参加，及时协调各方资源，共同协作， 解决相关问题，或完成各项部署。5 .常规的高层信息安全例会的主要内容是听取教育信 息化安全领导小组的信息安全工作季度报告，就信息安全各 项工作根据报告提出调整和解决方案，并协调各方资源，共同 协作，完成各项信息安全工作。高层信息安全例会的另一重 要内容是就信息安全管理体系的各项管理制度，根据运行中 发现的问题，及时进行调整和部署，不断完善重庆市育才中 学校信息安全管理体系。第五条外部协作管理1 .由教育信息化安全工作小组负责建立并保持与兄弟单 位、公安机关、电信公司等对口单位的合作与沟通，就兄弟 单位的成熟经验、政策法规、当前的信息热点事件展开交流与 合作。交流与合作内容比较正式，且有正式的会议形式，则 需要由技装中心做好会议记录工作，会议记录的模板可用信 息安全例会的模板代替，但会议主题需注明为“合作沟通”。2 .由教育信息化安全工作小组负责建立并加强与供应 商、业界专家、专业的安全公司、安全组织的合作与沟通， 就最新信息安全技术、信息热点事件等进行交流和咨询。交 流与合作内容比较正式，且有正式的会议形式，则需要由技 装中心做好会议记录工作，会议记录的模板可用信息安全例 会的模板代替，但会议主题需注明为“合作沟通”。3 .由教育信息化安全领导小组聘请信息安全专家作为 常年的信息安全顾问，指导信息安全建设，参与安全规划和 安全评审，由教育信息化安全工作小组负责与信息安全专家的接 口和合作。会议主题常规例会临时例会合作沟通其他：会议时间会议地点参会人员记录人员会议内容记录下一步工作要求信息安全专家聘任书兹聘请 同志为重庆市育才中学校信息安全专家，聘期自 年月日至一年月日。聘任期间,同志作为专家之一指导重庆市育才中学校信息安全建 设，参与信息安全规划和安全评审等。重庆市育才中学校（章）年 月日外联单位联系列表序号单位名称/服务名称合作内容联系人/负责人岗位联系电话其他联系方式备注：单位包括上级主管单位、公安机关、信息安全组织、机房承建单位、网络和应用系统承建单位等信息安全相关 的外部组织机构。安全检查和审核管理第一章目的第一条为形成信息安全检查和审核长效机制，提高重 庆市育才中学校全体职工信息安全意识，特制订本规范。第二章范围第二条本管理制度适用于重庆市育才中学校在信息安 全管理过程中的周期信息安全检查和审核管理。第三章职责第三条技装中心负责协调，技装中心安全管理员负责 常规的信息系统安全检查和记录。教育信息化安全工作小组 负责对重庆市育才中学校在信息系统安全抽查，并由技装中心 做好记录。第四章管理细则第四条安全检查机构分工L日常安全检查由安全管理员负责，安全检查应根据日 志中心的安全日志情况，不定期进行，但最少应每月检查一 次。2 .教育信息化安全工作小组可在安全管理员检查的基础 上不定期的进行信息安全抽查，或者组织全系统范围内的 全面安全检查，但最少应每半年做一次全面的安全检查。第五条安全检查审核主要内容L安全管理员的日常安全检查主要内容包括：系统日常 运行情况、系统漏洞、数据备份情况、故障受理和处置情况 等。3 .教育信息化安全工作小组的安全检查和审核主要内容 包括：系统日常运行情况（就安全管理员的日常检查情况 进行汇总）、系统漏洞、数据备份情况、现有安全技术措施的有 效性、安全配置与安全策略的一致性、安全管理制度的执行情况 等。4 .教育信息化安全工作小组的安全检查和审核结果如需 要可 在全系统范围内进行通报，通报内容可以删除敏感信 息。信息系统安全检查表单检查 单元最近1月 运行情况系统漏 洞情况重要数据 备份情况故障受 理情况各项制度 执行情况其他突出安全问题检查时间XX平台XX平台其他系统网络设备服务器机房环境注：安全检查至少每月1次，每月开始的第一个周末必须完成上月的检查并填写此表单。检查人员：相关公司签章：1.检查记录检查单元存在主要问题记录XX平台XX平台网络设备服务器2.安全形势、安全风险状况通报1、简述总体安全形势2、重点安全问题/问题部门分析4、改进建议时间：报告制作部门：技装中心人员管理制度第一章目的第一条 为防止品质不良、技能欠佳的人员进入重庆市 育才中学校从事信息岗位，降低职工因信息系使用不当所带 来的差错、欺诈及滥用设施的风险，减少人员对于信息安全 保密性、完整性、可用性的负面影响，特制定本制度。第二章范围第二条本规定适用于重庆市育才中学校信息系统岗位 人员的聘用、任职、离职的安全考察、保密控制以及其他信 息安全行为的考察与控制。第三章职责第三条 信息系统岗位人员任职期间及离职时的考核管理由 技装中心负责。第四条技装中心须与信