內(nèi)部信息安全組織及職責(zé)管理規(guī)定

1、文件名稱信息安全組織及職責(zé)管理規(guī)定密級(jí)內(nèi)部文件編號(hào)版 本 號(hào)V0.1編寫部門教育技術(shù)與信息中心編 寫 人審 批 人發(fā)布時(shí)間信息安全組織及職責(zé)管理規(guī)定松原職業(yè)技術(shù)學(xué)院2018年5月松原職業(yè)技術(shù)學(xué)院信息安全組織及職責(zé)管理規(guī)定第一章 總則第一條 為了加強(qiáng)松原職業(yè)技術(shù)學(xué)院（以下簡(jiǎn)稱“學(xué)院”）信息安全組織及職責(zé)的統(tǒng)一管理，確定信息安全管理的組織機(jī)構(gòu)和職責(zé)，特制定本規(guī)定。第二條 本規(guī)定中信息安全組織機(jī)構(gòu)、崗位和職責(zé)設(shè)定符合“主要領(lǐng)導(dǎo)負(fù)責(zé)、全員參與、合規(guī)性、監(jiān)督制約、規(guī)范化、持續(xù)改進(jìn)”的信息安全管理原則。第三條 本規(guī)定適用于學(xué)院信息安全組織機(jī)構(gòu)和相關(guān)崗位安全職責(zé)。第二章 信息安全組織機(jī)構(gòu)第四條 學(xué)院信息安全

2、組織機(jī)構(gòu)包括:(一) 信息安全領(lǐng)導(dǎo)小組(二) 信息安全工作組(三) 信息安全應(yīng)急響應(yīng)工作組第五條 為確保學(xué)院信息安全的整體性，并為信息安全管理提供必要保證，應(yīng)建立信息安全領(lǐng)導(dǎo)小組，領(lǐng)導(dǎo)小組成員包括：(一) 組長(zhǎng)：由所長(zhǎng)擔(dān)任(二) 副組長(zhǎng)：由各位副所長(zhǎng)擔(dān)任；(三) 領(lǐng)導(dǎo)小組成員：由辦公室、信息處、財(cái)務(wù)基建處、檢測(cè)技術(shù)研究室、菌種保藏室、標(biāo)準(zhǔn)物質(zhì)研究室負(fù)責(zé)人組成。第六條 信息安全工作組是學(xué)院信息安全工作的執(zhí)行機(jī)構(gòu)，負(fù)責(zé)執(zhí)行信息安全領(lǐng)導(dǎo)小組交辦的各項(xiàng)工作，由信息處主管領(lǐng)導(dǎo)擔(dān)任信息安全工作組組長(zhǎng)，小組成員由各部門信息化安全員和信息處工作人員組成。第七條 為做好突發(fā)信息系統(tǒng)安全事故的處置工作，提高對(duì)信息

3、系統(tǒng)安全突發(fā)事件的處置能力，設(shè)立信息安全事件應(yīng)急響應(yīng)工作小組。應(yīng)急響應(yīng)工作小組由信息安全領(lǐng)導(dǎo)小組組長(zhǎng)領(lǐng)導(dǎo)擔(dān)任響應(yīng)工作小組組長(zhǎng)，由相關(guān)部門領(lǐng)導(dǎo)、責(zé)任人及信息化安全員共同組成。第三章 信息安全組織職責(zé)第八條 信息安全是學(xué)院所有工作人員必須共同承擔(dān)的責(zé)任，信息安全領(lǐng)導(dǎo)小組是信息安全工作的最高領(lǐng)導(dǎo)決策機(jī)構(gòu)，負(fù)責(zé)學(xué)院信息安全工作的宏觀管理。第九條 信息安全領(lǐng)導(dǎo)小組的職責(zé)是：(一) 貫徹執(zhí)行國(guó)家關(guān)于信息安全工作的方針、政策，組織落實(shí)信息安全體系建設(shè)工作的目標(biāo)、方針、政策。(二) 審定信息安全相關(guān)策略、規(guī)范及管理規(guī)定。(三) 協(xié)調(diào)指揮學(xué)院信息安全重大突發(fā)事件的應(yīng)急處理。(四) 完成上級(jí)交辦的有關(guān)工作。第十條

4、 信息安全工作組負(fù)責(zé)落實(shí)信息安全領(lǐng)導(dǎo)小組決策，直接負(fù)責(zé)學(xué)院信息系統(tǒng)安全建設(shè)、運(yùn)行、維護(hù)等安全管理工作。第十一條 信息安全工作組的職責(zé)是：(一) 負(fù)責(zé)制定學(xué)院信息安全相關(guān)策略、規(guī)范及管理規(guī)定。(二) 負(fù)責(zé)學(xué)院信息安全管理工作及日常工作的落實(shí)。(三) 督促信息安全重大突發(fā)事件應(yīng)急預(yù)案的落實(shí)。(四) 完成領(lǐng)導(dǎo)小組交辦的有關(guān)事項(xiàng)。第十二條 信息安全應(yīng)急響應(yīng)工作小組全權(quán)負(fù)責(zé)處理信息系統(tǒng)發(fā)生的重大事故或突發(fā)事件，其主要領(lǐng)導(dǎo)由信息安全領(lǐng)導(dǎo)小組委任和授權(quán)。職責(zé)是：(一) 負(fù)責(zé)編制應(yīng)急響應(yīng)預(yù)案、信息安全事件應(yīng)急處置流程和措施；(二) 負(fù)責(zé)組織協(xié)調(diào)、處置和上報(bào)信息安全事件；(三) 負(fù)責(zé)總結(jié)匯報(bào)信息安全事件處置情況

5、和結(jié)果。第四章 相關(guān)崗位信息安全職責(zé)第十三條 安全管理員不能兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)中心管理員，安全管理員的職責(zé)如下：(一) 組織信息系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估工作，并定期進(jìn)行系統(tǒng)漏洞掃描，形成安全現(xiàn)狀評(píng)估報(bào)告；(二) 定期編制信息安全現(xiàn)狀報(bào)告，向信息處領(lǐng)導(dǎo)報(bào)告信息安全整體情況；(三) 負(fù)責(zé)學(xué)院網(wǎng)絡(luò)中安全管理系統(tǒng)、終端管理系統(tǒng)和主機(jī)防病毒系統(tǒng)的日常運(yùn)行維護(hù)工作；(四) 負(fù)責(zé)編制安全管理系統(tǒng)、終端管理系統(tǒng)和主機(jī)防病毒系統(tǒng)的安全配置標(biāo)準(zhǔn)；(五) 負(fù)責(zé)溝通、協(xié)調(diào)和組織處理信息安全事件，確保信息安全事件能夠及時(shí)處置和響應(yīng)。第十四條 網(wǎng)絡(luò)管理員的安全職責(zé)如下：(一) 負(fù)責(zé)學(xué)院網(wǎng)絡(luò)及網(wǎng)絡(luò)安全設(shè)備的配置、部

6、署、運(yùn)行維護(hù)和日常管理工作；(二) 負(fù)責(zé)編制網(wǎng)絡(luò)及網(wǎng)絡(luò)安全設(shè)備的安全配置標(biāo)準(zhǔn)；(三) 能夠及時(shí)發(fā)現(xiàn)、處理網(wǎng)絡(luò)、網(wǎng)絡(luò)安全設(shè)備的故障和相關(guān)安全事件，并能及時(shí)上報(bào)，減少信息安全事件的擴(kuò)大和影響。第十五條 數(shù)據(jù)管理員的安全職責(zé)如下：(一) 負(fù)責(zé)學(xué)院數(shù)據(jù)的備份、恢復(fù)、測(cè)試及安全存儲(chǔ)；(二) 負(fù)責(zé)數(shù)據(jù)存儲(chǔ)、備份以及存儲(chǔ)備份設(shè)備的日常安全運(yùn)行管理工作；(三) 能夠及時(shí)發(fā)現(xiàn)、處理數(shù)據(jù)和數(shù)據(jù)備份相關(guān)安全事件，并能根據(jù)流程及時(shí)上報(bào)，減少信息安全事件的擴(kuò)大和影響。第十六條 系統(tǒng)管理員的安全職責(zé)如下：(一) 負(fù)責(zé)學(xué)院服務(wù)器和終端的日常安全管理工作，確保操作系統(tǒng)的漏洞最小化，保障主機(jī)設(shè)備安全穩(wěn)定運(yùn)行；(二) 負(fù)責(zé)編制學(xué)

7、院操作系統(tǒng)的安全配置標(biāo)準(zhǔn)；(三) 能夠及時(shí)發(fā)現(xiàn)、處理主機(jī)和操作系統(tǒng)相關(guān)安全事件，并能根據(jù)流程及時(shí)上報(bào)，減少信息安全事件的擴(kuò)大和影響。第十七條 應(yīng)用管理員的安全職責(zé)如下：(一) 負(fù)責(zé)支持和協(xié)助所管轄?wèi)?yīng)用系統(tǒng)中涉及信息安全的相關(guān)標(biāo)準(zhǔn)、規(guī)范與管理制度建設(shè)；(二) 負(fù)責(zé)對(duì)所管轄業(yè)務(wù)應(yīng)用系統(tǒng)進(jìn)行安全配置，負(fù)責(zé)應(yīng)用系統(tǒng)設(shè)計(jì)、實(shí)施和運(yùn)維的信息安全管理工作；(三) 負(fù)責(zé)對(duì)所管轄業(yè)務(wù)應(yīng)用系統(tǒng)的用戶權(quán)限分配和管理，對(duì)登錄用戶進(jìn)行監(jiān)測(cè)和分析；(四) 負(fù)責(zé)實(shí)施系統(tǒng)軟件版本管理，應(yīng)用軟件備份和恢復(fù)管理；(五) 負(fù)責(zé)監(jiān)督和管理第三方應(yīng)用系統(tǒng)開發(fā)時(shí)的安全管理工作；(六) 能夠及時(shí)發(fā)現(xiàn)、處理應(yīng)用系統(tǒng)相關(guān)的安全事件，并能根據(jù)流程及時(shí)上報(bào)，減少信息安全事件的擴(kuò)大和影響。第十八條 資產(chǎn)管理員的安全職責(zé)如下：負(fù)責(zé)物理資產(chǎn)的采購、登記、分發(fā)、回收、廢棄等安全管理工作。第十九條 普通員工安全職責(zé)如下：(一) 落實(shí)執(zhí)行學(xué)院各類信息安全管理要求，加強(qiáng)信息安全知識(shí)的學(xué)習(xí)，提高信息安全意識(shí)；(二) 確保使用學(xué)院各類信息資產(chǎn)的保密性、可用性和完整性安全。第五章 溝通和協(xié)作第二十條 信息安全領(lǐng)導(dǎo)小組及信息處主管領(lǐng)導(dǎo)應(yīng)保持與國(guó)家主管機(jī)關(guān)、監(jiān)管機(jī)構(gòu)和上級(jí)信息安全主管單位的定期溝通。第二十一條 信息處應(yīng)能夠及時(shí)跟蹤國(guó)內(nèi)外各類信息安全信息，了解相關(guān)信息安全態(tài)勢(shì)，及時(shí)收取與學(xué)院信息網(wǎng)絡(luò)相關(guān)的脆弱性、建議和補(bǔ)丁信息。