大學信息安全組織及職責管理規(guī)定

大學信息安全組織及職責管理規(guī)定第一章總則第一條為了加強**大學信息安全組織及職責的統(tǒng)一管理，確定信息安全管理的組織機構和職責，特制定本規(guī)定。第二條本規(guī)定適用于**大學信息安全組織機構和相關崗位安全職責。第二章信息安全組織機構第三條信息安全是所有工作人員必須共同承擔的責任，應建立由信息安全領導小組和信息安全工作組共同構建的安全管理機構。第四條為確保信息安全，建立信息安全領導小組，信息安全領導小組由主管信息安全的領導擔任組長，小組成員包括：（一）信息中心主管領導，擔任信息安全領導小組副組長;（二）相關部門主管領導。第五條信息安全工作組是信息安全工作的執(zhí)行機構，由信息管理中心主任擔任信息安全工作主管，小組成員由信息中心各部門工作人員組成，負責執(zhí)行安全主管交辦的各項工作。第六條為做好突發(fā)信息系統(tǒng)安全事故的處置工作，提高對信息系統(tǒng)安全突發(fā)事件的處置能力，設立信息安全事件應急響應工作小組，小組成員由相關部門領導、責任人及信息安全工作組成員共同組成。第三章信息安全組織職責第七條信息安全是所有工作人員必須共同承擔的責任,信息安全領導小組是信息安全工作的最高領導決策機構，負責信息安全工作的宏觀管理。第八條信息安全領導小組的職責是：（一）貫徹執(zhí)行國家、教育部關于信息安全工作的方針、政策，組織落實信息安全體系建設工作的目標、方針、政策；（二）審定信息安全相關策略、規(guī)范及管理規(guī)定；（三）監(jiān)督、檢查信息安全相關制度的落實與執(zhí)行情況；（四）協(xié)調指揮信息安全重大突發(fā)事件的應急處理；（五）完成上級交辦的有關工作。第九條信息安全工作組直接負責各信息系統(tǒng)安全建設、運行、維護等安全管理工作。信息安全工作組的職責是：（一）負責制定中心信息安全相關策略、規(guī)范及管理規(guī)定。（二）負責中心信息安全管理工作及日常工作的落實。（三）督促信息安全重大突發(fā)事件應急預案的落實。第十條信息安全應急響應工作組負責處理信息系統(tǒng)發(fā)生的重大事故或突發(fā)事件。職責是：（一）負責編制應急響應預案、信息安全事件應急處置流程和措施；（二）負責組織協(xié)調、處置和上報信息安全事件；（三）負責總結匯報信息安全事件處置情況和結果。第四章相關崗位信息安全職責第十一條安全管理員不能兼任網(wǎng)絡管理員、系統(tǒng)管理員、數(shù)據(jù)管理員，信息安全組織中建立設置信息安全崗位,并明確各崗位安全職責。第十二條信息安全工作主管的崗位職責如下：（一）組織、協(xié)調落實各項信息安全工作；（二）組織評審信息安全總體策略、規(guī)劃方案、管理制度和技術規(guī)范；（三）組織監(jiān)督、檢查信息安全工作的落實情況。第十三條，安全管理員的職責如下：（一）定期進行安全檢查，檢查內容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況；（二）組織信息系統(tǒng)的安全風險評估工作，形成安全現(xiàn)狀評估報告，并向安全主管報告信息安全整體情況；（三）負責制定總體網(wǎng)絡訪問控制策略和規(guī)則，并對其進行監(jiān)控和審計工作，定期發(fā)布策略執(zhí)行情況；（四）負責制定全員的安全培訓計劃，組織開展安全培訓工作；（五）負責溝通、協(xié)調和組織處理信息安全事件，確保信息安全事件能夠及時處置和響應。第十四條網(wǎng)絡管理員的安全職責如下：（一）負責中心網(wǎng)絡及安全設備的配置、部署、運行維護和日常管理工作；（二）負責編制網(wǎng)絡及安全設備的安全配置標準；（三）能夠及時發(fā)現(xiàn)、處理網(wǎng)絡及安全設備的故障和相關安全事件，并能及時上報，減少信息安全事件的擴大和影響。第十五條數(shù)據(jù)管理員的安全職責如下：（一）負責數(shù)據(jù)的備份、恢復、測試及安全存儲；（二）負責數(shù)據(jù)存儲、備份以及存儲備份設備的日常安全運行管理工作；（三）能夠及時發(fā)現(xiàn)、處理數(shù)據(jù)存儲和備份的相關安全事件，并能根據(jù)流程及時上報，減少信息安全事件的擴大和影響。第十六條系統(tǒng)管理員的安全職責如下：（一）負責服務器和終端的日常安全管理工作，確保操作系統(tǒng)的漏洞最小化，保障主機設備安全穩(wěn)定運行；（二）負責編制操作系統(tǒng)的安全配置標準；（三）能夠及時發(fā)現(xiàn)、處理主機和操作系統(tǒng)相關安全事件，并能根據(jù)流程及時上報，減少信息安全事件的擴大和影響。第十七條應用管理員的安全職責如下：（一）負責支持和協(xié)助所管轄應用系統(tǒng)中涉及信息安全的相關標準、規(guī)范與管理制度建設；（二）負責對所管轄業(yè)務應用系統(tǒng)進行安全配置，負責應用系統(tǒng)設計、實施和運維的信息安全管理工作；（三）負責對所管轄業(yè)務應用系統(tǒng)的用戶權限分配和管理,對登錄用戶進行監(jiān)測和分析；（四）負責實施系統(tǒng)軟件版本管理，應用軟件備份和恢復管理；（五）負責監(jiān)督和管理第三方應用系統(tǒng)開發(fā)時的安全管理工作；（六）能夠及時發(fā)現(xiàn)、處理應用系統(tǒng)相關的安全事件，并能根據(jù)流程及時上報，減少信息安全事件的擴大和影響。第十八條安全審計員不能兼任網(wǎng)絡管理員、系統(tǒng)管理員、數(shù)據(jù)管理員和安全管理員，安全審計員的職責如下：（一）定期審計中心信息安全制度執(zhí)行情況，收集和分析信息系統(tǒng)日志和審計記錄，及時報告可能存在的問題；（二）對安全、網(wǎng)絡、系統(tǒng)、應用、數(shù)據(jù)庫管理員的操作行為進行監(jiān)督，對安全職責落實情況進行檢查。第十九條機房管理員的主要安全職責包括：（一）負責XXX機房內的配電設備、UPS、空調機等基礎設施的維護與管理，并負責對機房設備的相關介質、文檔資料等隨機物品進行歸檔管理。（二）負責機房相關設備的日常維護管理與操作；（三）負責非技術性的、常規(guī)的安全工作，如機房的保衛(wèi)，驗證出入手續(xù)和規(guī)章制度的落實等。第二十條資產管理員的安全職責如下：負責物理資產的采購、登記、分發(fā)、回收、廢棄等安全管理工作。第二十一條其他員工安全職責如下：（一）落實執(zhí)行中心各類信息安全管理要求，加強信息安全知識的學習，提高信息安全意識；（二）確保使用中心各類信息資產的保密性、可用性和完整性安全。第五章授權和審批第二十二條各部門需要明確各自的崗位和職責，部門內實行逐級審批制度。第二十三條審批流程要按照如下幾個流程進行：提出申請、相關負責人審批、審批通過、登記記錄、備案歸檔。第二十四條針對系統(tǒng)的變更或重要操作，需要向信息中心提出申請，要明確變更內容或操作過程，以及分析可能的影響，待審批通過后，方可進行變更或操作，具體參考《信息系統(tǒng)變更管理規(guī)定》。第二十五條出入機房等，需要填寫機房出入登記表，并經(jīng)允許后方可出入，具體參考《機房環(huán)境安全管理規(guī)定》。第二十六條機房新增設備或系統(tǒng)，要在信息中心報備并經(jīng)許可后方可實施。第二十七條應對審批過程進行記錄并保存審批的文檔。第六章溝通和協(xié)作第二十八條為更高效的處理信息安全問題，應加強中心內部部門、人員之間的合作與溝通，共同參與安全規(guī)劃和評審，對信息安全重要問題的決策提供咨詢和建議。第二十九