学校安全稳定与应急管理

关于印发《信息安全工作的总体方针和安全策略(试行)》和《安全组织及岗位职责管理规定(试行)》的通知

新闻作者:发布时间:2021年01月08日浏览次数:

关于印发《信息安全工作的总体方针和安全

策略(试行)》和《安全组织及岗位职责管理规定(试行)》的通知

校属各单位:

《信息安全工作的总体方针和安全策略(试行)》和《安全组织及岗位职责管理规定(试行)》已经学校2020年第31次党委会审议通过。现印发给你们,请认真贯彻实施。

特此通知

 

 

                          重庆工业职业技术学院

  202118

信息安全工作的总体方针和安全策略

(试行)

 

第一章

第一条 为贯彻国家对信息安全的规定和要求,指导和规范重庆工业职业技术学院信息系统(以下简称“信息系统”)建设、使用、维护和管理过程中,实现信息系统安全防护的基本目的,提高信息系统的安全性,防范和控制系统故障和风险,确保信息系统安全、可靠、稳定运行维护社会秩序、公共利益和国家安全,特制定本制度。

第二条 本制度根据国家信息安全相关政策法规而制定。

第三条 本制度适用于重庆工业职业技术学院网络安全工作。

第二章 信息安全工作总体方针

第四条 信息系统的安全保护管理工作总体方针是“保持适度安全;管理与技术并重;全方位实施,全员参与;分权制衡,最小特权;尽量采用成熟的技术”。“预防为主”是信息安全保护管理工作的基本方针。

第五条 本文件规定了信息系统安全管理的体系、策略、具体制度,为信息化安全管理工作提供监督依据。

第六条 信息系统安全管理体系是由信息安全策略、安全管理制度、安全技术标准、以及安全工作流程和操作规程组成的。

  1. 信息系统安全策略是信息安全各个方面所应遵守的原则方法和指导性策略

  2. 信息系统安全管理制度和规定是从安全策略总纲中规定的各个安全方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法,规定安全管理活动中各项管理内容

  3. 信息系统安全技术标准和规范是从安全策略总纲中规定的各个安全方面所应遵守的原则方法和指导性策略引出的具体的技术标准和规范

    第七条 信息系统安全工作流程和操作规程详细规定主要业务应用和事件处理的流程、步骤以及相关注意事项,作为具体工作时的具体依照。

    第三章 总体安全策略

    第八条 信息系统总体安全保护策略是:系统基础资源和信息资源的价值大小、用户访问权限的大小、系统中各子系统重要程度的区别等就是级别的客观体现。信息安全保护必须符合客观存在和发展规律,其分级、分区域、分类和分阶段是做好信息安全保护的前提。

    第九条 信息系统的安全保护策略由信息系统安全领导小组负责制定与更新。

    第十条 信息安全职能部门根据信息系统的保护等级、安全保护需求和安全目标,结合信息系统自身的实际情况,依据国家有关安全法规和国家标准,授权制定信息系统的安全保护实施细则和具体管理办法,并根据环境、系统和威胁变化情况,及时调整和制定新的实施细则和具体管理办法。

    第十一条 信息系统的安全防护工作应从物理、网络、主机、应用、数据以及安全管理制度、安全管理机构、人员管理、系统建设管理和系统运维管理十个部分进行,并构成系统整体安全控制机制。

    (一)物理安全包括:周边环境,门禁检查,防火、防水、防潮、防鼠和防雷,防电磁泄露和干扰,电源备份和管理,设备的标识、使用、存放和管理等;

    (二)网络安全包括:网络的拓扑结构,网络的布线和防护,网络设备的管理和报警,网络攻击的监察和处理等;

    (三)主机安全包括:主机的身份鉴别、访问控制,主机安全审计、入侵防范,主机的恶意代码防范,终端接入控制和重要服务器的监控等;

    (四)应用安全包括:系统登录,权限划分与识别,数据备份与容灾处理,运行管理和访问控制,密码保护机制和信息存储管理,资源控制和代码安全等;

    (五)数据安全包括:数据传输的完整性和保密性,数据存储的完整性和保密性,数据的备份和恢复

    (六)安全管理制度是信息系统安全策略、方针性文件,规定信息安全工作的总体目标、范围、原则和安全框架,是管理制度体系的灵魂和核心文件;

    (七)安全管理机构通过构建和完善信息安全组织架构,明确不同安全组织、不同安全角色的定位、职责以及相互关系,强化信息安全的专业化管理,实现对安全风险的有效控制;

    (八)人员安全管理从人员录用、人员管理、人员考核、保密协议、培训、离岗离职等多个方面都制定相应的管理制度和规定;

    (九)系统建设管理根据信息密级、系统重要性和安全策略将信息系统划分为不同的安全域,针对不同的安全域确定不同的信息安全保护等级,并进行相应的保护。信息系统安全等级的定级决定了系统方案的设计、实施、安全措施、运行维护等信息系统建设的各个环节。信息系统定级遵循“谁建设、谁定级”的原则;

    (十)系统运维管理对环境、资产、介质、设备进行综合监控管理,对支撑重要信息系统的资源进行监控保护,确保密码防护、病毒防护和系统变更等事件要求按照定义好的安全管理策略措施,建立安全管理监控中心,实现对人、事件、流程和资产的综合管理。

    第四章 安全管理

    第十二条 信息系统按照等级保护定级备案要求进行定级,参考《信息安全技术网络安全等级保护定级指南GB/T22240-2020,由重庆工业职业技术学院信息安全工作小组自主定级并填写定级备案表,经信息安全领导小组批准,由信息安全职能部门负责信息系统向公安机关进行备案。

    第十三条 信息系统业务应用需求和设计单位,要充分考虑信息系统的安全需求分析,具体参考等级保护《管理办法》《信息系统安全等级保护基本要求》,参照《信息系统安全等级保护实施指南》《信息系统通用安全技术要求》《信息系统安全工程管理要求》《信息系统等级保护安全设计技术要求》等标准规范要求,结合信息系统自身特点进行安全需求分析。

    (一)安全需求分析,至少包括以下信息安全方面的内容:

    1.安全威胁分析;

    2.系统脆弱性分析;

    3.影响性分析;

    4.风险分析;

    5.系统安全需求;

    (二)可行性分析中须包括以下信息安全方面的内容:

    1.明确项目的总体安全目标,并增加针对前面分析出的安全需求所提出的相应安全对策,每个安全需求都至少对应一个安全对策,安全对策的强度根据相应资产/系统的重要性来选择;

    2.应描述如何从技术和管理两个方面来实现所有的安全对策,并形成安全方案;

    3.增加项目建设中的安全管理模式、安全组织结构、人员的安全职责、建设实施中的安全操作程序和相应安全管理要求;

    4.对安全方案进行成本-效益分析

    5.需求分析阶段,必须明确地定义和商定信息系统的要求和准则,并形成文件,便于后期验收。相关安全需求的要求和准则应包括:用户管理,权限管理,日志管理和数据管理(存储、传输)。

    第十四条 研究设计单位对于信息系统的安全设计,要求按照国家相关信息安全相关标准,并按照安全需求分析评估得出的结论,通过相关专家评审会后,综合多方意见,进行安全设计具体要求如下:

    1.物理安全-设计中要充分考虑到物理访问控制、防盗窃和防破坏、防雷击、防火、防水、防潮、电力、物理位置、静电、电磁防护,做到增强控制,对出入、人员、电子设备共同监控等

    2.网络安全-设计中要充分考虑到结构安全、访问控制、设备防护、安全审计、边界完整性检查、入侵防范、恶意代码防范,确保重要主机的优先级,做到应用层过滤,对设备的接入做一定的非法外联的定位、阻断,对形成的记录进行分析并形成报表

    3.系统安全-设计中充分考虑身份鉴别、访问控制、入侵防范、恶意代码防范、安全审计、资源控制、剩余信息保护、安全标记和可信路径,要求必须监控服务器相关服务,做到最小授权原则,对形成的记录进行分析并形成报表

    4.数据安全-设计中充分数据完整性、备份和恢复以及数据保密性

    5.应用安全-设计中充分考虑身份鉴别、访问控制、通信完整性、软件容错、通信保密性、安全审计、资源控制、剩余信息保护、抵赖性、安全标记、可信路径

    在系统安全规划设计时,应该考虑系统的容量和资源的可用性,以减少系统过载的风险,并应采取相应的保密措施,控制涉及核心数据软件设计的相关资料的使用,并应遵循以下原则:

    1.充分考虑应用安全实现的可控性,以便尽可能地降低安全与应用相结合过程的风险;

    2.保持安全与应用的相互独立性,避免功能实现上的交叉或跨越;

    3.建立完善的安全控制机制,包括:用户标识与认证、逻辑访问控制、公共访问控制、审计与跟踪等。

    第十五条 信息系统安全建设管理需要按照国家信息安全标准的相关要求,并在安全管理组织的领导下结合应用的实际情况,进行相关系统安全建设。

    在建设中应充分考虑系统定级管理、安全方案设计管理、产品采购和使用管理、自行软件开发管理、外包软件开发管理、工程实施管理、测试验收管理、系统交付管理、安全服务商选择管理、系统备案管理和等级测评管理等。

    信息系统安全建设管理要求将信息系统建设项目过程有效程序化,明确指定项目实施监理负责人,对工程项目外包要求对应废止和暂停的项目,要确保相关的系统设计、文档、代码等的安全,对销毁过程要进行安全控制;对建设项目制定测试验收要求,除测试外还要全面检查。

    第十六条 信息系统安全验收管理按照国家相关信息安全标准的相关要求进行验收。项目验收须得到各业务处室、信息安全领导小组、信息安全职能部门共同确认签字验收。项目应达到项目任务书中制定的总体安全目标和安全指标,实现全部安全功能。验收报告中应包括项目设计总体安全目标及主要内容和项目中所采用的关键安全技术内容。系统验收并移交后,必须立即修改系统中相关的口令。信息系统项目验收应审查如下内容:

1.功能检查:对软件功能完整性、正确性进行审查和评价;

2.项目管理审查:对项目计划、采用标准、需求方案及其执行情况进行审查和评价;

3.测试结果审查:对项目测试报告、监理单位出具的监理报告等进行审查;

4.技术文档检查:对项目开发单位交付的文档资料(纸质文档和电子文档)进行审查

5.系统交付时,应根据合同要求制定系统交付的清单

6.系统运行所需要的全部设备;

7.系统运行所需要的全部软件;

8.系统文档,包括系统建设过程中的文档,详细的系统使用和维护文档;

9.系统应急方案;

10.系统使用培训教材。

系统建设项目有下列情况之一,不能通过安全验收:

1.验收文件、资料、数据不真实;

2.未达到安全设计要求;

3.设计不符合国家信息安全建设相关标准要求;

4.擅自修改设计目标和建设内容;

5.系统建设过程中出现重大问题,未能解决和做出说明,或存在纠纷。

项目验收完毕后,系统建设部门应对负责系统使用和维护的人员进行相应培训,并履行服务承诺。

第十七条 信息系统安全测评管理是按照国家相关信息安全标准测评的相关要求,在结合重庆工业职业技术学院的实际情况进行安全测评。项目验收时应按照信息安全法律法规和标准情况,进行自评估或委托第三方测评机构进行相关测评,测评报告将作为项目验收的参考依据,主要检查项目建设和管理是否符合有关信息安全法律、法规和国家信息安全建设相关标准。信息系统的安全性测试验收应独立进行,测试程序应包括以下内容:

1.测试验收前根据设计方案或合同要求等制订测试验收方案,测试验收方案应对参与测试部门、人员、现场操作过程等进行要求,并确保测试和接受标准被清晰定义并文档化;

2.测试方案应通过信息安全工作小组和信息安全领导小组的论证和审定;

3.严格依据测试方案进行测试,测试验收过程中详细记录测试结果;

4.审查主机端口开放情况是否符合系统说明,使用网络侦听工具检查通讯数据包是否符合系统说明,并使用恶意代码软件检测软件包中可能存在的恶意代码等;

5.形成正式的,经过签字确认的测试验收报告。

第十八条 安全运维管理是按照国家相关信息安全标准的相关要求,项目验收且系统建设符合相关标准,在结合重庆工业职业技术学院的实际情况下进行安全运维管理。原则上,由信息系统运维部门(信息系统运维部门指的信息系统的管理部门,包含各个二级单位)负责信息系统的网络安全、主机安全、数据安全、系统运维等安全运维管理工作,由机房管理人员(学校中心机房管理员为网络与信息中心人员;各信息系统如涉及自建机房,则由该系统运维部门设置专门的机房管理员)负责信息系统的物理安全,信息系统运维单位定期和不定期对安全策略进行检查,确保安全策略符合系统现状的要求。信息系统安全运行维护项目应包括但不限于以下内容:

1.对网络的连通性、时延、丢包率、故障及攻击事件等进行检查;

2.对设备运行状态检查,包括CPU负荷、连通性等;

3.对出口链路或关键链路流量检查,设备备份工作等。

4.对设备和软件的日志进行审计。

5.对设备和软件分为版本升级和特征库升级。

6.建立监控平台,对设备安全漏洞、安全事件、设备的启动和关闭时间、系统日志等信息进行监控,制定各项计划性的安全维护工作。

7.建立单位作业计划应包括安全设备维护、安全监控、操作日志、日志审核、故障管理、测试等,明确执行期限并落实到人。安全维护作业计划在编制和确定后,各业务处室应根据其内容严格执行,并定期对维护计划执行情况进行总结分析。

8.定期出具安全运行维护报告,报告设计方面包括但不限于以下内容:安全设备维护、安全监控、操作日志、日志审核、故障管理、测试等工作。

9.对人员安全管理,签订安全运行岗位安全协议以及岗位变化,制定考核指标,实施安全管理,制定培训计划,通过信息安全教育和培训,进行信息安全方面的培训,明确岗位所要求遵守的信息安全制度、技术规范以及操作流程。

10.“第三方”人员进入机房访问需要在信息系统运维单位人员的陪同下,信息系统运维单位人员出示客户卡或运维单位的《介绍信》后,在机房值班处换取参观卡,并填写《来客访问登记表》才能进入机房。接待人必须全程陪同临时“第三方”人员,告知有关安全管理规定,不应透露与“第三方”工作无关的信息,不得任其自行走动和未经允许使用的计算机设备。

第五章

第十九条 本制度由学校授权网络与信息技术中心负责解释。

第二十条 本制度自202116日起执行。

 

 

 

 

 

 

 

 

安全组织及岗位职责管理规定

(试行)

 

第一章

第一条 为了加强重庆工业职业技术学院对信息系统安全工作的领导和管理,全面提高信息系统信息安全管理能力,规范和指导信息系统信息安全管理组织体系,建立健全信息安全机构职责,特制定本规定。

第二条 本规定依据《国家信息化领导小组关于加强信息安全保障工作的意见》《GB/T20269-2006 信息安全技术 信息系统安全管理要求》等政策标准制定。

第三条 本规定依照信息安全管理的主要领导负责原则、全员参与原则、依法管理原则、分权和授权原则和体系化管理原则编制,具体原则如下:

(一)主要领导负责原则:应确保分管领导参与并确立组织统一的信息系统信息安全保障宗旨和政策,组织有效的安全保障队伍,调动并优化配置必要的资源,协调安全管理工作与各部门工作的关系,并确保其落实、有效;

(二)全员参与原则:信息系统所有相关人员普遍参与信息系统的安全管理,并与相关方面协同、协调,共同保障信息系统的安全;

(三)依法管理原则:信息系统信息安全管理工作应保证管理主体合法、管理行为合法、管理内容合法、管理程序合法;

(四)分权和授权原则:对特定职能或责任领域的管理功能实施分离、独立审计等实行分权,避免权力过分集中所带来的隐患,以减小未授权的修改或滥用系统资源的机会。任何实体(如用户、管理员、进程、应用或系统)仅享有该实体需要完成其任务所必须的权限,不应享有任何多余权限。

(五)体系化管理原则信息系统应符合信息系统等级保护三级的体系化管理目标和要求。

第四条 本规定适用于重庆工业职业技术学院。

第二章 信息安全组织机构

第五条 应建立由信息安全领导小组和信息安全职能部门(组织)共同构建的信息系统安全管理机构。

第六条 学校主要领导为信息安全领导小组组长,领导小组下设信息安全工作小组,小组组长为分管信息化工作的校领导,成员为网络与信息技术中心负责人,各业务部门负责人、各业务系统运维人员、网络与信息技术中心技术人员等。

第七条 信息安全工作小组是信息系统的信息安全职能部门(组织),是信息安全工作的执行机构,负责执行信息安全领导小组交办的各项工作。

第八条 各个信息系统的管理部门为信息系统运维部门,应设立信息安全管理岗位,分别为安全管理员、安全审计员(安全管理员和安全审计员可由信息工作小组统一进行设置,无需各业务部门单独设置)、网络管理(如信息系统存在自建局域网情况,须在相应运维部门设立该岗位,否则不需要)、系统管理员、数据库管理员、应用管理员,负责执行网络、系统、数据库和应用的安全管理和运维工作(各岗位可根据实际情况进行合并)。

第二章 信息安全组织职责

第九条 信息安全领导小组负责领导信息系统安全工作,主要职责如下:

(一)根据国家和行业有关信息安全的政策、法律和法规,确定信息安全工作的总体方向、总体原则和安全工作方法;

(二)根据国家和行业有关信息安全的政策、法律和法规,批准信息系统的安全策略和发展规划;

(三)确定各有关部门在信息系统安全工作中的职责,领导安全工作的实施;

(四)监督安全措施的执行,并对重要安全事件的处理进行决策;

(五)指导和检查信息安全职能部门的各项工作;

(六)建设和完善信息系统安全组织体系和管理机制。

第十条 信息安全工作小组负责贯彻、落实和执行信息安全领导小组下达的各项工作,主要职责如下:

(一)贯彻、落实和解释国家及行业有关信息安全的政策、法律、法规和信息安全工作要求,起草信息系统的安全策略和发展规划;

(二)落实和执行信息系统信息安全工作的日常事务,对具体落实情况进行总结和汇报;

(三)负责安全措施的实施或组织实施,组织并参加信息安全重要事件的处理;

(四)负责内、外部组织和机构的信息安全沟通、协调和合作工作;

(五)组织编制和落实信息安全规划工作;

(六)指导和检查信息系统运维部门对信息系统安全工作落实情况,基于网络安全工作情况对各二级部门进行考核

(七)监控信息系统安全总体状况,提出安全分析报告;

(九)协同有关部门共同组成应急处理小组,组织处理信息安全应急响应工作;

(十)负责组织信息系统安全知识的培训和宣传工作。

第三章 信息安全岗位职责

第十一条 信息系统安全组织中应建立信息安全岗位,明确信息安全岗位职责。

第十二条 信息安全工作小组的岗位职责如下:

(一)起草和编制信息系统信息安全总体规划以及计划方案,收集信息系统安全需求

(二)负责信息系统项目实施的组织、协调和验收工作;

(三)负责项目合同的管理及监督

(四)起草和编制信息系统信息安全方针、信息安全保障体系框架和信息安全策略、制度和技术规范;

(五)推动信息系统信息安全方针、信息安全策略、信息安全管理制度及信息安全技术规范的实施落实。

第十三条 安全管理员的岗位职责如下:

(一)定期组织信息系统漏洞扫描和信息安全风险评估工作,形成信息系统和整体安全现状报告,并向信息安全领导小组进行汇报;

(二)负责制定信息系统总体网络访问控制策略和规则,并对其进行监控和审计工作,定期发布策略执行情况;

(三)对网络、系统、应用、数据库管理员进行安全指导;

(四)定期收集信息安全漏洞和公告信息,告知相关安全运维管理人员;

(五)协调信息安全应急响应组织和技术支撑部门。

第十四条 安全审计员的岗位职责如下:

(一)定期审计信息系统信息安全策略执行情况,收集信息系统日志和审计记录,并提供审计报告;

(二)对安全、网络、系统、应用、数据库管理员的操作行为进行监督,安全职责落实情况进行检查

第十五条 系统管理员的安全职责如下:

(一)负责系统的运行管理,实施系统安全运行细则;

(二)严格用户权限管理,维护系统安全正常运行

(三)依照安全策略对系统进行安全配置和漏洞修补,确保安全补丁保持2个月内最新补丁;

(四)对系统进行日常安全运维管理,定期更改系统账号,并定期提交安全运行维护记录或报告;

(五)认真记录系统安全事项,及时向信息安全人员报告安全事件;

(六)对进行系统操作的其他人员予以安全监督。

第十六条 网络管理员的安全职责如下:

(一)根据信息系统安全策略定期对网络设备、网络架构进行自评估;

(二)依照安全策略对网络设备进行安全配置和漏洞修补;

(三)对网络设备、安全设备进行日常安全运维管理,并定期提交安全运行维护记录或报告;

(四)在发生系统异常和安全事件时,应能对网络设备、安全设备进行应急处置。

第十七条 应用开发管理员的安全职责如下:

(一)负责在系统开发建设中,严格执行系统安全策略,保证系统安全功能的准确实现;

(二)系统投产运行前,完整移交系统相关的安全策略等资料;

(三)不得对系统设置“后门”;

(四)对系统核心技术保密等。

第四章 信息安全岗位要求

第十八条 信息安全工作小组应设立专职的信息安全管理相关岗位,并由专人负责。

第十九条 关键事务岗位应配备多人共同管理,定期轮岗,关键岗位人员配备坚持“权限分散、不得交叉覆盖”的原则,安全管理员和安全审计员不能由一人身兼。

第二十条 信息系统运维部门应根据岗位职责,确定岗位所需要的安全技能,并对所有信息安全岗位人员进行对应的安全技能培训。

第二十一条 信息系统的安全技术岗位可由其他相关管理员兼任,其中网络安全管理、系统安全管理、数据库安全管理以及应用安全管理工作可分别由网络管理员、系统管理员、数据库管理员以及应用管理员执行。

第二十二条 重要业务系统操作人员应在日常工作中认真执行信息系统安全策略和技术安全规范中的各项要求。

第五章

第二十三条 本规定由学校授权网络与信息技术中心负责解释。

第二十四条 本规定自202116日起执行