重庆市育才中学校单位信息安全制度汇编.docx
《重庆市育才中学校单位信息安全制度汇编.docx》由会员分享,可在线阅读,更多相关《重庆市育才中学校单位信息安全制度汇编.docx(222页珍藏版)》请在课桌文档上搜索。
1、重庆市育才中学校单位信息安全制度汇编目录信息安全方针及安全策略1第一章目的1第二章范围1第三章职责1第四章符合性2第五章信息安全总体方针2第六章方针主要内容2第七章个人操作管理6文件评审及发布制度8第一章目的8第二章范围8第三章职责8第四章管理细则9第五章评审和修订11信息安全领导机构组成与职责16第一章目的16第二章范围16第三章职责17第四章机构和组织指责17信息安全部门岗位职责说明21第一章目的21第二章范围21第三章职责21第四章各安全管理岗位职责说明和技能要求22信息系统授权及审批管理26第一章目的26第二章范围26第三章职责26第四章管理细则27第五章附则29沟通与合作管理32第一
2、章目的32第二章范围32第三章职责32第四章管理细则33安全检查和审核管理39第一章目的39第二章范围39第三章职责39第四章管理细则40人员管理制度43第一章目的43第二章范围43第三章职责43第四章入职管理44第五章离职安全管理45第六章人员考核安全意识教育和培训46网络与信息系统安全设计规范56第一章目的56第二章范围56第三章职责56第四章设计规范57IT产品采购管理制度62第一章目的62第二章范围62第三章职责62第四章管理细则63代码编写安全规范68第一章安全编码68第二章职责分离69第三章授权70第四章最小权限71外包软件开发管理74第一章目的74第二章范围74第三章职责74第四
3、章管理细则75工程实施管理78第一章目的78第二章范围78第三章职责78第四章管理细则79工程测试验收管理81第一章目的81第二章范围81第三章职责81第四章管理细则82系统交付管理87第一章目的87第二章范围87第三章职责87第四章管理细则88服务商安全管理91第一章目的91第二章范围91第三章职责91第四章管理细则92机房安全管理制度93第一章目的93第二章范围93第三章职责93第四章管理细则94资产安全管理制度104第一章目的104第二章范围104第三章职责104第四章管理细则105移动存储介质安全管理制度 117第一章目的117第二章范围117第三章职责117第四章管理细则118IT设
4、备安全管理制度124第一章目的124第二章范围124第三章职责124第四章管理细则125安全和监控中心管理139第一章目的139第二章范围139第三章职责139第四章管理细则140网络安全管理制度143第一章目的143第二章范围143第三章职责143第四章管理细则144系统运行维护管理制度152第一章目的152第二章范围152第三章职责153第四章管理细则153恶意代码防范管理162第一章目的162第二章范围162第三章职责163第四章管理细则163账号口令和权限管理167第一章目的167第二章范围167第三章职责167第四章管理细则168变更管理程序174第一章目的174第二章范围174第三
5、章职责174第四章管理细则175备份与恢复管理179第一章目的179第二章范围179第三章职责179第四章管理细则180安全事件报告和处置184第一章目的184第二章范围184第三章职责184第四章管理细则185信息系统应急预案管理193第一章目的193第二章范围193第三章原则193第四章管理细则194网络应用系统软硬件维护208第一章目的208第二章范围208第三章岗位职责209第四章管理细则209文档安全管理213第一章总则213第二章范围213第三章管理细则213网络信息安全责任追究制度216第一章总则216第二章范围216第三章原则216第四章管理细则217信息系统安全操作规程221
6、第一章维护人员221第二章应用人员222办公环境管理制度224第一章目的224第二章范围224第三章管理细则224信息安全教育培训管理制度227第一章目的227第二章总则227第三章管理细则227入网安全检查230第一章目的230第二章范围230第三章管理细则231信息安全方针及安全策略第一章目的第一条 为了深入贯彻落实国家信息安全政策文件要求 和信息安全等级保护政策要求,加强我校信息安全管理工 作,增强全员信息安全意识,切实提高我校信息系统安全保 障能力,特制定本方针。第二章范围第二条适用于重庆市育才中学校信息安全管理活动。第三章职责第三条由领导和相关科室主管为主体的教育信息化安 全领导小组
7、负责文件的审核和修订,由技装中心为主体的信安全工作小组负责文件的贯彻和执行。第四章符合性第四条 文件主要遵循信息安全技术信息系统安全等 级保护基本要求(GBT 22239-2008)标准的要求,同时在部 分环节也符合以下两个国际标准:ISO/IEC 27001信息安全管理体系要求IS0/IEC 27002信息技术安全技术一信息安全管理实 践规范第五章信息安全总体方针第五条 重庆市育才中学校总体安全方针为:提高人员 信息安全风险意识,确保信息系统安全;强化信息安全管 理,坚持以人为本,服务教育、教学和管理。第六章方针主要内容第六条主要安全策略L信息安全是重庆市育才中学校及相关部门正常运行 的重要
8、保障,我校将遵照“统一规划、分级管理、积极防范、 人人有责”的原则,通过风险评估和风险管理,采取一切可 能的措施,加强位信息安全的建设和管理。学校设立教育信息化安全领导小组,负责学校相关信息系统 及信息安全的日常维护和管理工作。2 .全体职工均有参与信息安全管理,有保护信息安全 的义务和责任。全体职工应积极参加各种形式的信息安全教 育和培训,遵守相关国家法律、法规、部门规章和行业规 范,遵守学校信息安全管理制度。3 .承载信息系统的所有软硬件设施及物理环境均应受 到适当的保护。4 .采取必要的措施保护学校信息的机密性,以防止未经 授权的不当存取;同时应确保信息不会在传递的过程中,或 因无意间的
9、行为透漏给未经授权的第三者。5 .采取必要的措施确保学校信息的完整性,以防止未 经授权的篡改。6 .采取必要的措施确保学校信息的可用性,以确保使 用者需求可以得到满足。7 .采取必要的措施确保学校信息的连续性,以确保业 务持续可用。8 .全体员工都有责任通过适当的上报机制,报告所发现 的信息安全意外事故或信息安全弱点。9 .任何危及信息安全的行为,都应诉诸适当的惩罚程 序或法律行动。第七条 信息安全目标:最大限度保证信息系统的完整 性、保密性和可用性免遭破坏。确保每年信息安全重大事故 的发生频率为可控范围内的最低。第八条信息安全管理原则L基于安全需求原则:学校核心业务信息系统根据等级 保护要求
10、,定级为二级,安全需求主要参照二级等级保护要 求,同时考虑可能受到的威胁及面临的风险分析安全需求, 遵从二级等级保护的规范要求,从全局上恰当地平衡安全投 入与效果。2 .主要领导负责原则:教育信息化安全领导小组的主要领 导确立信息安全保障的宗旨和政策,负责提高全员的安全意 识,组织有效的安全保障队伍,调动并优化配置必要的资源, 协调安全管理工作与各部门工作的关系,并确保其落实、有 效。3 .全员参与原则:与核心业务信息系统相关的所有运行 维护人员应普遍参与信息系统的安全管理,并与相关方面协 同、协调,共同保障信息系统安全。4 .持续改进原则:安全管理是一种动态反馈过程,贯穿 整个安全管理的生命
11、周期,随着安全需求和系统脆弱性的时 空分布变化,威胁程度的提高,系统环境的变化以及对系统 安全认识的深化等,应及时地将现有的安全策略、风险接受 程度和保护措施进行复查、修改、调整以至提升安全管理等 级,维护和持续改进信息安全管理体系的有效性。5 .依法管理原则:信息安全管理工作主要体现为管理行 为,应保证信息系统安全管理主体合法、管理行为合法、管 理内容合法、管理程序合法。对安全事件的处理,应由授权 者适时发布准确一致的有关信息,避免带来不良的社会影响。6 .选用成熟技术原则:成熟的技术具有较好的可靠性和 稳定性,采用新技术时要重视其成熟的程度,并应首先局部 试点然后逐步推广,以减少或避免可能
12、出现的失误。7 .管理与技术并重原则:坚持积极防御和综合防范,全 面提高信息系统安全防护能力,立足国情,采用管理与技术 相结合,管理科学性和技术前瞻性结合的方法,保障信息系 统的安全性达到所要求的目标。第七章个人操作管理第十条单位工作人员申请账户权限需填写系统权限申请表,经系统管理员批准后方可开通。账号申请表上应详 细记录账号信息。第十一条人员离职或调职时需交回相关系统账号及密 码,经系统管理员删除或变更账号后方能离职或调职。第十二条 单位工作人员严禁私自在办公计算机上安装 软件,以免造成病毒感染。严禁私自更改计算机的设置及安 全策略。第十三条严格管理口令,包括口令的选择、保管和更换, 采取关
13、闭guest和匿名用户、增强管理员口令选择要求等措 施。第十四条计算机设备应设屏幕密码保护的用户界面, 保证数据的机密性的安全。文件评审及发布制度第一章目的第一条 为规范重庆市育才中学校信息安全管理体系文 件的制订、修订及评审,特制定本制度。第二章范围第二条本管理规范适用于教育信息化安全领导小组和 工作小组对信息安全管理体系文件的维护管理。第三章职责第三条由教育信息化安全工作小组的主体部门技装中 心负责信息安全管理体系文件的维护,包括制订、修订和评 审,由教育信息化安全领导小组负责体系文件的批准、发布和 作废。第四章管理细则第四条 体系文件生命周期流程图1体系文件流程图第五条体系文件策划1 .
14、教育信息化安全工作小组组织相关人员,根据信息 安全技术信息系统安全等级保护基本要求(GBT 22239- 2008)、信息安全技术 信息系统安全管理要求(GBT 20269-2006)、IS0IEC 27001: 2005 信息安全管理体 系的要求,结合实际的职责和工作流程,策划制定信息安 全管理体系文件的架构,并形成重庆市育才中学校信息安 全管理体系文件框架(以下简称“文件框架” )O2 .教育信息化安全工作小组将制定的文件框架汇报给 教育信息化安全领导小组,教育信息化安全领导小组对文件 框架进行审批确认。第六条体系文件架构与编写L教育信息化安全工作小组根据审批后的文件框架及清 单,负责组织
15、编写各级文件。2 .总策略文件为信息安全方针与安全策略、信息安 全领导机构组成与职责,它定义了安全管理的基本原则、基 本方向、安全管理的组织框架和职责划分等。程序规范类文 件主要包括系统建设管理、物理与环境安全管理等管 理标准文件,主要规定了各个领域的安全管理的基本原则和 目标。记录类文件主要是各个领域安全管理的过程文档,是 整个安全管理体系有效执行和落地的主要手段,也是安全管 理体系的过程记录,可做为对外的信息安全质量保证。3 .其中总体策略类文件由教育信息化安全领导小组署 名,其他类文件由编写人署名。4 .编写完成的文档需先经过各相关部门的初审,然后由 教育信息化安全工作小组进行评审,最后
16、由教育信息化安全 领导小组进行批准定稿。第五章 评审和修订第八条教育信息化安全工作小组应定期发起对体系文 件的评审。对体系文件的评审应至少每年进行一次。评审流程 如下:1 .教育信息化安全工作小组发起对体系文件的评审申请, 信息安全领导小组审核确认后批准评审要求。2 .教育信息化安全工作小组制定评审计划。计划中应确 定各文档对应的评审责任人以及实施评审的时间计划。3 .各评审责任人根据时间计划,结合内部审核、管理评 审、风险评估及日常记录的结果,评估文件有效性和充分性。4 .如果修改的内容只涉及技装中心,则由教育信息化安 全工作小组组长进行审批,在审批同意后,由文档评审责任 人进行修改。5 .
17、如果修改的内容涉及到技装中心以外的部门,需要 所有涉及部门的会签。会签后,由文档评审责任人进行文档 修改。6 .修改完毕之后,各责任人将制度文件评审记录和 完善后的体系文件版本一并报送教育信息化安全工作小组, 由教育信息化安全工作小组进行标识和保存。7 .教育信息化安全工作小组最终对评审结果向信息安全 领导小组进行汇报。8 .在体系文件的评审过程中,如果评审责任人认为文件 应当作废,则填写体系文件作废申请表,由教育信息化安 全工作小组审批后,报教育信息化安全领导小组进行审批。9 .教育信息化安全领导小组审批完成后,教育信息化安 全工作小组负责通知所有相关人员,并对重庆市育才中学 校信息安全制度
18、汇编进行更新。制度文件评审记录评审人员评审内容评审结果日期(记录人签字)制度文件修订记录修订制度文件编号修订前版本修订内容修订日期修订执行人(签字)修订批准人(签字)体系文件作废申请表申请陈述教育信息化安全领导小组和教育信息化安全工作小组:现申请作废名称为:信息安全管理体系文件,原因如下:申请人:时间:教育信息化安全工作小组审批意见:教育信息化安全领导小组审批意见:信息安全领导机构组成与职责第一章目的第一条为更好的实现对重庆市育才中学校信息系统的 安全管理,促进各项制度、措施的落实,经领导研究决定成 立以教育信息化安全领导小组为管理机构、教育信息化安全 工作小组为执行机构的组织架构,负责重庆市
19、育才中学校信 息安全建设及防护。第二章范围第二条本标准针对重庆市育才中学校信息安全组织建 设相关事务,规定了组织框架和角色责任,适用于重庆市育 才中学校所有纳入到信息安全管理体系范围的组织和个人。第三章职责第三条教育信息化安全工作小组负责起草、制定标准, 安全领导小组负责批准、发布标准。第四条信息安全组织内相关人员承担本标准定义的相 关角色,履行相应的信息安全管理职责。第四章机构和组织指责第五条教育信息化安全领导小组组长职责L组长:负责信息化建设总体规划、设计决策、项目决 策、流程决策、人员调配决策以及信息安全事故的应急协调 和指挥。2,副组长:负责具体项目规划设计、人员召集、组织实 施等工作
20、,对工程质量负责,并负责人员培训,流程制定,需 求确认,协助实施、安全事故应急响应等具体日程和事务。第六条教育信息化安全领导小组具体职责1 .负责审定信息安全建设与应用总体规划、经费预算、 技术标准、管理规范及相关政策措施。2 .研究决定信息安全体系建设重大事项,监督信息安全 体系规划的实施。3 .及时解决项目建设过程中的决策问题,并对各项工作 做出指示。4 .审批发布信息安全方针和管理体系。5 .审批信息安全规划和项目的批准。6 .提供信息安全资源保证。7 .负责信息安全策略审核及推广。8 .建立与内部/外部专家、权威机构、合作伙伴、供应 商之间的沟通渠道。统一控制对外信息发布和通告。第七条
21、教育信息化安全工作小组组长职责L组长:直接对教育信息化安全领导小组负责,负责教 育信息化安全领导小组宏观策略和项目规划的落地执行;在 信息化领导小组的领导下,协调工作小组成员完成方案起草, 流程收集,需求汇总等工作;协调教育信息化安全工作小组 内部人员的工作分配,人员管理等。9 .副组长:协助教育信息化安全工作小组组长完成宏观 策略和项目规划的落地执行,任命信息安全角色和岗位,并 明确各信息安全岗位的职责,组织并实施信息安全管理评 审,督促各成员统一协作,完成方案起草,流程收集,需求 汇总等工作。第八条教育信息化安全工作小组人员职责L负责系统调试、日程维护、人员培训、人员组织、安 全管理等具体
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 重庆市 育才 学校 单位 信息 安全 制度 汇编
链接地址:https://www.desk33.com/p-101348.html