头头体育app 信息安全管理组织机构和人员职责管理办法
总 则
第一条 为加强头头体育app信息安全管理工作,保障网络与信息系统的正常运行,依据有关法律、法规及信息安全标准,特制定本办法。
第二条 本办法适用于头头体育app(以下简称“衡阳开大”)信息安全组织机构和人员职责的管理。
信息安全组织机构组成
第三条 建立专门的信息安全领导小组,下设信息安全领导小组办公室和信息安全事件应急处理小组。信息安全领导小组全面负责衡阳开大的信息安全工作,是单位网络与信息安全管理的决策和监督机构,组长由衡阳开大校长担任,副组长由衡阳开大各副校长担任,成员由衡阳开大各部门负责人组成。信息安全领导小组办公室是具体从事具体的信息安全管理和运维工作的部门,办公室主任由衡阳开大的技术处负责人担任,副组长由技术处的网络管理员担任,成员由技术处全体人员和各部门的中心信息科人员组成。信息安全事件应急处理小组是专门负责处理信息安全事件的组织,组长由衡阳开大校长担任,副组长由衡阳开大各副校长担任,成员由衡阳开大各部门负责人组成。
信息安全管理体系组织机构图:
|
机构职责
第四条 信息安全领导小组是衡阳开大的信息安全常设组织,全面负责衡阳开大的信息安全工作, 主要工作职责:
Ø 贯彻关于信息安全方面工作的政策、法律和法规,审定衡阳开大信息系统安全总体策略规划、管理规范和技术标准。
Ø 确定信息安全有关部门的工作职责,指导、监督信息安全工作。
第五条 信息安全领导小组办公室的主要职责:
Ø 贯彻执行衡阳开大信息安全领导小组的决议,协调和规范衡阳开大信息安全工作;
Ø 根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实;
Ø 严格执行安全管理制度内容,并组织专门人员定期对安全管理制度的执行情况进行检查,并记录;
Ø 组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安全总体策略规划,并监督执行;
Ø 负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行;
Ø 组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策;
Ø 跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。
第六条 安全事件应急处理小组主要职责:
Ø 按照应急领导小组及相关规定的要求开展工作;
Ø 根据事件危害情况,向应急领导小组提供应急方案,供领导决策;
Ø 负责接受各单位的紧急信息安全事件报告,组织进行事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施;
Ø 决定一般性突发事件的应急预案启动,组织力量对突发事件进行处置。在应急事件发生后根据实际情况全面或部分的接管应用系统操作,并及时向领导小组汇报工作进展情况;
Ø 审定衡阳开大网络与信息系统的安全应急策略及应急预案;
Ø 每年组织对信息安全应急策略和应急预案进行测试和演练。
岗位职责
第七条 信息安全领导小组办公室的工作人员包括安全主管、安全管理员、技术管理人员、重要业务应用操作人员;其中技术管理人员属于关键岗位人员,包括网络管理员、系统管理员、机房值班管理员、应用开发管理员、安全审计员、安全保密管理员。
第八条 各岗位工作人员根据不同的职责或工作范围,履行相应的信息安全保障职责,关键岗位应从内部人员中选拨,签署岗位安全协议并配备多人共同管理。
(一)设立安全主管岗位,主要职责:
Ø 贯彻落实头头体育app关于信息系统安全管理的方针、政策和制度,检查、协调和规范信息系统安全工作;
Ø 组织并参与信息化工程项目中安全方案的论证,督促安全措施的执行,参与信息化项目的验收;
Ø 负责组织信息系统安全产品选型、试点、推广,对信息系统安全产品参数配置和变更实行备案管理;
Ø 负责头头体育app信息安全知识普及、宣传及培训,对人员安全考核结果进行审核。
(二) 设立安全管理员,安全管理员不可兼任其他职务。在安全主管的直接领导下,协助做好信息安全相关工作,主要职责:
Ø 参加信息安全制度的制定;
Ø 负责信息安全策略的开发;
Ø 组织实施信息安全保障项目建设,维护、管理信息安全专用设施;
Ø 负责定期开展信息安全风险评估和风险处置;
Ø 负责协助上级部门的信息安全测评和检查。
Ø 日常信息安全稽查、专项稽查和信息安全违规调查,如系统漏洞、网络的安全日志、数据备份等;
(三)设立系统管理员岗位,主要确保操作系统、应用软件系统、业务应用系统安全稳定地运行,主要职责:
Ø 负责系统的运行管理,实施系统安全运行细则;
Ø 配合安全管理员工作,按照安全管理员的要求开展所管理操作系统、应用软件系统、业务应用系统的信息安全工作;
Ø 严格用户权限管理,维护系统安全正常运行;
Ø 定期对所管理操作系统、应用软件系统、业务应用系统进行信息安全的检查,并将检查的结果报安全管理员进行记录;
Ø 在所管理操作系统、应用软件系统、业务应用系统上发现可疑的信息安全事故或隐患现象时及时向安全管理员报告,协助安全管理员进行信息安全事故的查处。对于重大的信息安全事故,做好操作系统、应用软件系统、业务应用系统的日志保存工作;
Ø 定期对所管理操作系统、应用软件系统、业务应用系统的重要数据进行备份,以便在出现信息安全事故后进行数据恢复工作;
Ø 实施系统软件版本管理,应用软件备份和恢复管理,并记录;
Ø 对进行系统操作的其他人员予以安全监督。
(四)设立网络管理员岗位,主要职责:
Ø 负责网络的运行管理,配合安全管理员的工作,实施网络安全策略和安全运行细则;
Ø 安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行;
Ø 定期对所管理网络设备及线路的重要数据进行备份,以便在出现信息安全事故后进行数据恢复工作;
Ø 定期对所管理网络设备及线路进行信息安全的检查,并将检查的结果报安全管理员进行记录;
Ø 负责网络设备操作系统升级、补丁;
Ø 负责网络参数变更、拓扑变更等网络变更工作的具体实施并及时登记;
Ø 监控网络关键设备、网络端口、网络物理线路,防范黑客入侵;
Ø 在所管理网络设备及线路上发现可疑的信息安全事故或隐患现象时及时向安全管理员报告,协助安全管理员进行信息安全事故的查处。对于重大的信息安全事故,做好网络设备及线路的日志保存工作;
Ø 兼任病毒管理员工作;
Ø 定期检查信息系统内各种产品的恶意代码库的升级情况并进行记录,对主机防病毒产品、防病毒网关和邮件防病毒网关上截获的危险病毒或恶意代码进行及时分析处理,并形成书面的报表和总结汇报;
Ø 对操作网络管理功能的其他人员进行安全监督。
(五)设立机房值班管理岗位,机房值班管理岗位包括机房值班管理、进入机房人员管理、机房设备管理、机房安全管理等。主要职责:
Ø 机房值班管理,严格遵守机房管理制度,认真执行机房进出登记,检查机房内外环境状况,机房供电状况,机房各设备运行故障和处理结果登记等重要信息记载;
Ø 进入机房人员管理,严格按照进入机房人员管理规范,管理外来人员在机房的进出,并做好相应登记;
Ø 机房设备管理,包括机房进出设备和机房内部设备管理;
Ø 负责供配电、空调、温湿度控制等设施的维护管理。
Ø 负责机房管理相关运维事件的处理、协调、汇报工作。主要包括机房消防、机房防水、机房防鼠害管理等内容;
Ø 定期对机房进行清洁卫生工作,机房内必须保持环境清洁,做好防潮、防尘、防水、防热、防火、防盗等工作,并定期为服务器及交换机等设备除尘;
Ø 定期对门、窗、灯、火源、电源、机器的安全情况进行全面检查、管理,全面保证机房的安全无误;
Ø 机房值班人员要注意保密工作,不得随意泄露单位秘密信息。
(六)应用开发管理员主要职责:
Ø 正确执行各项规章制度和上级命令;
Ø 严格执行信息安全管理制度;
Ø 根据业务人员需求或衡阳开大领导安排,编制相关业务模块;
Ø 负责在系统开发建设中,严格执行系统安全策略,保证系统安全功能的准确实现;
Ø 系统投产运行前,完整移交系统相关的安全策略等资料;
Ø 做好技术资料、图纸的收集、整理工作;
Ø 不得对系统设置“后门”;
Ø 对系统核心技术保密等。
(七)安全审计员负责对涉及系统安全的事件和各类操作人员的行为进行审计和监督,主要职责:
Ø 负责对各管理员的操作行为进行审计、跟踪分析和监督检查;
Ø 负责网络安全审计系统的日常维护,对审计日志进行定期分析和事件记录;
Ø 发现各管理员违规行为或是审计日志中的可疑问题,要及时将审计事件上报主管领导;
Ø 负责相关审计资料的记录、整理、归档等管理工作,配合安全管理员和技术支持单位进行资料调阅;
Ø 负责定期向主管领导和安全管理员进行审计报告;
Ø 审计内容分类如下:
a. 按操作员证书号进行审计;
b. 按操作时间审计;
c. 按操作类型审计;
d. 事件类型进行审计;
e. 日志管理等。
(八)安全保密管理员负责日常安全保密管理活动,主要职责:
Ø 监视全网运行和安全告警信息
Ø 网络审计信息的常规分析
Ø 安全设备的常规设置和维护
Ø 执行应急衡阳开大制定的具体安全策略
Ø 向应急管理机构和领导机构报告重大的网络安全事件等。
沟通合作
第九条 加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通,定期或不定期召开协调会议,共同协作处理信息安全问题;
第十条 不定期与兄弟单位、公安机关进行沟通;
第十一条 加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通;
第十二条 建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息;
第十三条 聘请信息安全专家作为常年的安全顾问,指导信息安全建设,参与安全规划和安全评审等;
第十四条 对协调会议、安全评审等进行记录。
附 则
第十五条 本办法由头头体育app制订并负责解释和修订。
第十六条 本办法自发布之日起执行。
附表
内容包含:
《联系方式一览表》模板(若需要请联系技术处)