大学信息安全管理体系职责

1、大学信息安全管理体系职责第一章总则目的本制度的目的是为规范信息安全管理机构职责，明确大 学在安全管理机构管理方面的工作任务和职责范围，明确大 学安全组织机构的内部机构设置、岗位设置、安全职责划分、 授权和审批、沟通与合作、审核和检查等方面的关系和作用, 特制订本规范。适用范围本规定适用于大学建立信息安全机构，内部机构设置、 岗位设置、安全职责划分、授权和审批、沟通与合作、审核 和检查等方面的管理工作。第二章安全管理机构信息安全领导小组1、信息安全领导小组是信息安全的最高决策机构，主 要工作职责是批准大学信息安全总体策略规划、管理规范和 技术标准；2、确定大学各部门信息安全工作职责，指导、监督信

2、 息安全工作；3、信息安全领导小组组长由大学主管领导担任，信息 安全领导小组成员由各部门负责人组成；4、信息安全领导小组的成立由大学正式发文，并说明 信息安全领导小组工作职责和各成员工作职责；安全管理机构职责信息网络与数据中心为安全管理机构，其工作任务和安 全职责规定如下：1、工作任务（1）贯彻落实国家和省有关水利建设的政策法规和技 术规范；（2）承担信息系统建设、管理、运行维护等工作；（3）承担上级主管部门交办的其他工作。2、安全职责（1）信息安全管理工作负责协调和规范信息安全工作；负责信息安全工作进行具体安排、落实；组织对重大的信息安全工作制度和技术操作策略进行 审查，拟订信息安全总体策略

3、规划，并执行；负责协调、督促相关单位的信息安全工作，负责信息系 统工程建设中的安全规划，安全措施的执行；组织信息安全工作检查，分析信息安全总体状况，提出 分析报告和安全风险的防范对策；及时向上级部门、有关单位报告信息安全事件。跟踪先进的信息安全技术，为信息安全知识的培训工作 提供技术支持。（2）信息安全应急处置工作制定信息系统网络与信息系统的安全应急策略及应急 预案；决定相应应急预案的启动，负责现场指挥，并组织相关 人员排除故障，恢复系统；每年组织对信息安全应急策略和应急预案进行测试和 演练。第三章安全岗位职责安全岗位设置信息安全负责人岗位设置按信息系统安全职能划分为 信息安全主管、安全管理员

4、、网络管理员、系统管理员、物 理安全管理员。各信息安全岗位设置详见安全岗位职责分配表。信息安全主管信息安全主管由信息网络与数据中心主管领导担任。其 安全职责包括：（1）负责大学整体信息安全管理工作；（2）负责大学信息安全工作的总体方针和安全策略规 划；（3）负责大学人员配备规划和安全管理；（4）负责定期组织相关部门和相关人员对安全管理体 系的合理性和实用性进行审定，组织开展对存在不足或需要 改进的安全管理制度进行修订工作。安全管理员安全管理员安全职责包括：（1）负责信息安全工作的具体实施和有关信息安全问 题的整体协调处理，根据信息安全事件的处理情况和结果， 向信息安全主管提交信息安全事件处置报

5、告；（2）负责定期对网络系统进行漏洞扫描，对发现的网 络系统安全漏洞提出修补要求；（3）负责定期对主机系统进行漏洞扫描，对发现的主 机系统安全漏洞提出修补要求；（4）定期进行安全检查，检查物理安全、网络安全、 系统安全和数据安全及备份恢复相关安全措施和巡检落实 情况；（5）指导和监督其他安全负责人相关安全措施实施工 作，为他们的安全改进提供建议；（6）负责涉及信息安全和信息安全主管核准的其它事 务。网络管理员网络管理员安全职责包括：（1）负责网络安全管理工作；（2）负责整体网络架构规划、网络策略制定、网络安 全审计、网络设备防护等安全管理工作；（3）负责网络入侵防范和网络恶意代码防范措施和管

6、理；（4）负责网络运行维护人员变更管理工作；（5）指导和监督网络运行维护人员相关安全措施实施 工作，为他们的安全改进提供建议；（6）负责网络安全管理工作的其它事务。系统管理员系统管理员安全职责包括：（1）负责主机安全和应用安全管理工作；（2）负责落实主机操作系统、数据库管理系统和应用 系统安全措施实施管理工作；（3）负责主机系统和应用系统运行维护人员变更管理 工作；（4）指导和监督主机系统和应用系统运行维护人员相 关安全措施实施工作，为他们的安全改进提供建议；（5）负责主机系统和应用系统安全管理工作的其它事 务。物理安全管理员物理安全管理员职责包括：（1）负责机房和辅助机房（UPS机房、备份机

7、房等）具 体安全管理工作；（2）负责机房物理访问控制、防盗窃和防破坏、防雷、 防火、防静电、温湿度控制、电力供应和电磁防护的管理工 作；（3）负责对机房消防、供电、空调、温湿度控制等设 施维护和定期巡检管理工作；（4）负责机房值班人员、机房环境和设备设施运行维 护人员变更管理工作；（5）指导和监督机房值班人员、机房环境和设备设施 运行维护人员相关安全措施实施工作，为他们的安全改进提 供建议；（6）负责机房安全管理工作的其它事务。第四章授权和审批为加强大学信息系统的安全管理工作，规范明确各部门 和各信息安全负责人授权与审批方面的工作，按照审批程序 执行审批过程，对重要活动建立逐级审批制度；安全管

8、理负责人负责每年组织相关人员审查审批事项， 及时更新需授权和审批的项目、审批部门和审批人等信息；各事项审批过程通过审批表单进行记录，审批事项执行 完成后，由各安全责任人提交至安全管理负责人统一保管。物理安全的审批1、人员出入机房的审批内部人员出入机房，只需在值班处进行登记，就可以进入机房;外部系统运维人员出入机房，需要填写机房人员出入 申请审批表，由系统安全负责人确认后，提交物理安全负 责人审批；来访参观人员出入机房，需要出具单位工作联络函，并 且填写机房人员出入申请审批表，提交信息安全主管审 批；审批同意后，将申请审批表提交至值班人员处备案；值班人员每月定期将备案文档提交至保密管理员存档；人

9、员出入机房具体管理工作详见机房安全相关的管理 制度。2、设备出入机房的审批信息系统新增设备需要进入机房时，由设备管理人员填 写机房设备出入申请审批表，提交物理安全负责人审批;机房内设备需要带离机房时，由设备管理人员填写机 房设备出入申请审批表，提交信息安全主管审批。信息系统变更的审批信息系统变更根据其变更的类型、涉及范围和变更大 小，组成由XX、运行维护人员和系统承建商，以及行业专家 相关人员参与的变更控制委员会，对信息系统变更进行审 批，具体管理工作详见相关的变更管理制度。第五章沟通与合作加强各类人员之间、内部各部门之间的合作与沟通，定 期召开协调会议，共同协作处理信息安全问题，形成会议记

10、录；加强与海南省公安厅、电信公司、联通公司等安全组织 的合作与沟通，建立上述单位联系列表；加强与供应商、业界专家、专业的安全公司、安全组织 的合作与沟通，建立上述单位联系列表；建立外联单位联系列表，包括外联单位名称、联系人和 联系方式、合作内容等信息。聘请信息安全专家团队提供常年的安全顾问服务，指导 信息安全的规划与建设；信息网络与数据中心部门负责组织制定和更新相关联 系信息；各沟通与合作单位及人员信息详见外联单位联系表。第六章审核和检查各系统安全负责人负责定期对管理范围内的信息系统 组件进行检查，检查内容包括物理环境和设备设施巡检、系 统日常运行巡检、系统漏洞扫描和数据备份等情况；安全管理负

11、责人负责每季度进行安全审核，审核安全检 查工作是否按照相关安全管理规定执行。并对上述工作进行 抽样检查，发现执行不到位的工作，督促相关责任人进行相 应的整改。安全管理负责人负责每年组织内部人员进行全面安全 检查，即进行信息安全等级保护自查工作，检查内容包括现 有安全技术措施的有效性、安全配置与安全策略的一致性、 安全管理制度的执行情况等；安全管理负责人制定安全检查表格每年实施安全检查， 汇总安全检查数据，形成安全检查报告，并对安全检查结果 进行通报；为了贯彻落实国家信息安全等级保护相关管理规定，实 现信息系统安全检查的独立性和公正性，定期聘请第三方测 评机构对信息系统进行测评，三级信息系统每年进行一次，