中學(xué)崗位建設(shè)管理制度

中學(xué)崗位建設(shè)管理制度一總則目的。為加強(qiáng)江蘇省宿遷中學(xué)安全管理機(jī)構(gòu)管理，規(guī)范人員崗位職責(zé)，依據(jù)《江蘇省宿遷中學(xué)信息安全管理辦法》制定本管理制度。對(duì)象。本制度的對(duì)象主要是指江蘇省宿遷中學(xué)系統(tǒng)各個(gè)方面管理員。范圍。本制度適用于江蘇省宿遷中學(xué)網(wǎng)站系統(tǒng)相關(guān)工作人員。要求。江蘇省宿遷中學(xué)網(wǎng)站系統(tǒng)崗位建設(shè)安全管理要求統(tǒng)一遵循《GB/T22239-2019信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》。二信息安全崗位職責(zé)1安全領(lǐng)導(dǎo)小組職責(zé)安全領(lǐng)導(dǎo)小組是由組長(zhǎng)牽頭，各部門(mén)的負(fù)責(zé)人為組成成員的組織機(jī)構(gòu)，主要負(fù)責(zé)批準(zhǔn)江蘇省宿遷中學(xué)安全策略、分配安全責(zé)任并協(xié)調(diào)安全策略能夠?qū)嵤?，確保安全管理工作有一個(gè)明確的方向，從管理和決策層角度對(duì)信息安全管理提供支持。安全領(lǐng)導(dǎo)小組的主要責(zé)任如下：(1)確定網(wǎng)絡(luò)與信息安全工作的總體方向、目標(biāo)、總體原則和安全工作方法；(2)審查并批準(zhǔn)政府的信息安全策略和安全責(zé)任；(3)分配和指導(dǎo)安全管理總體職責(zé)與工作；(4)在網(wǎng)絡(luò)與信息面臨重大安全風(fēng)險(xiǎn)時(shí)，監(jiān)督控制可能發(fā)生的重大變化；(5)對(duì)安全管理的重大更改事項(xiàng)（例如：組織機(jī)構(gòu)調(diào)整、關(guān)鍵人事變動(dòng)、信息系統(tǒng)更改等）進(jìn)行決策；(6)指揮、協(xié)調(diào)、督促并審查重大安全事件的處理，并協(xié)調(diào)改進(jìn)措施；(7)審核網(wǎng)絡(luò)安全建設(shè)和管理的重要活動(dòng)，如重要安全項(xiàng)目建設(shè)、重要的安全管理措施出臺(tái)等；(8)定期組織相關(guān)部門(mén)和相關(guān)人員對(duì)安全管理制度體系的合理性和適用性進(jìn)行審定。2信息安全工作小組職責(zé)信息安全工作小組是信息安全工作的日常執(zhí)行機(jī)構(gòu)，內(nèi)設(shè)專職的安全管理組織和崗位，負(fù)責(zé)日常具體安全工作的落實(shí)、組織和協(xié)調(diào)。信息安全工作小組的主要職責(zé)如下：（1）貫徹執(zhí)行和解釋信息安全領(lǐng)導(dǎo)小組的決議；（2）貫徹執(zhí)行和解釋國(guó)家主管機(jī)構(gòu)下發(fā)的信息安全策略；（3）負(fù)責(zé)組織和協(xié)調(diào)各類信息安全規(guī)劃、方案、實(shí)施、測(cè)試和驗(yàn)收評(píng)審會(huì)議；（4）負(fù)責(zé)落實(shí)和執(zhí)行各類信息安全具體工作，并對(duì)具體落實(shí)情況進(jìn)行總結(jié)和匯報(bào)；（5）負(fù)責(zé)內(nèi)外部組織和機(jī)構(gòu)的溝通、協(xié)調(diào)和合作工作；（6）負(fù)責(zé)制定所有信息安全相關(guān)的管理制度和規(guī)范；（7）負(fù)責(zé)針對(duì)信息安全相關(guān)的管理制度和規(guī)范具體落實(shí)工作進(jìn)行監(jiān)督、檢查、考核、指導(dǎo)及審批，例如現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等。3信息安全崗位為了有效落實(shí)信息安全各項(xiàng)工作，應(yīng)設(shè)立以下專職的安全崗位，負(fù)責(zé)安全工作的落實(shí)和執(zhí)行：3.1信息安全工作小組主管（1）負(fù)責(zé)網(wǎng)絡(luò)與信息安全的日常整體協(xié)調(diào)、管理工作；（2）負(fù)責(zé)組織人員制定信息安全管理制度，并對(duì)管理制度進(jìn)行推廣、培訓(xùn)和指導(dǎo)；（3）負(fù)責(zé)重大安全事件的具體協(xié)調(diào)和溝通工作。3.2安全管理員崗位（1）負(fù)責(zé)執(zhí)行網(wǎng)絡(luò)與信息安全工作的日常協(xié)調(diào)、管理工作；（2）負(fù)責(zé)日常的安全監(jiān)控管理，并對(duì)上報(bào)和發(fā)現(xiàn)的各類安全事件進(jìn)行響應(yīng)；（3）負(fù)責(zé)系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用安全管理的協(xié)調(diào)和技術(shù)指導(dǎo)；（4）負(fù)責(zé)安全管理平臺(tái)安全策略制定，訪問(wèn)控制策略審核；（5）負(fù)責(zé)組織安全管理制度的推廣和培訓(xùn)工作；（6）負(fù)責(zé)定期進(jìn)行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。3.3安全審計(jì)員崗位（1）負(fù)責(zé)安全管理制度落實(shí)情況的檢查、監(jiān)督和指導(dǎo)；（2）負(fù)責(zé)安全策略執(zhí)行情況的審核。3.4系統(tǒng)管理員（1）負(fù)責(zé)系統(tǒng)安全穩(wěn)定運(yùn)行的日常管理工作；（2）負(fù)責(zé)保持系統(tǒng)的防病毒系統(tǒng)、補(bǔ)丁等保持最新，定期對(duì)系統(tǒng)進(jìn)行安全加固，保持系統(tǒng)漏洞最小化。3.5網(wǎng)絡(luò)管理員（1）負(fù)責(zé)網(wǎng)絡(luò)設(shè)備安全穩(wěn)定運(yùn)行的日常管理工作；（2）負(fù)責(zé)保持網(wǎng)絡(luò)設(shè)備的漏洞最小化，定期對(duì)系統(tǒng)進(jìn)行安全加固；（3）負(fù)責(zé)保持網(wǎng)絡(luò)路由和交換策略與業(yè)務(wù)需求保護(hù)一致。（4）應(yīng)根據(jù)日常的運(yùn)行維護(hù)和管理工作，設(shè)置物理環(huán)境管理、數(shù)據(jù)庫(kù)管理、應(yīng)用管理以及資產(chǎn)管理等崗位。三、信息安全崗位設(shè)置1崗位設(shè)置健全的崗位設(shè)置、職責(zé)分配及技能要求等是安全組織建設(shè)的重點(diǎn)內(nèi)容，對(duì)于以后安全管理工作的順利開(kāi)展具有巨大的意義。缺乏健全的崗位設(shè)置、職責(zé)分配及技能要求將導(dǎo)致無(wú)人負(fù)責(zé)、難以落實(shí)責(zé)權(quán)利，難以勝任安全管理工作等嚴(yán)重問(wèn)題。1.1組織機(jī)構(gòu)1.成立信息安全領(lǐng)導(dǎo)小組，是信息安全的最高決策機(jī)構(gòu)，下設(shè)辦公室，負(fù)責(zé)信息安全領(lǐng)導(dǎo)小組的日常事務(wù)。2.信息安全領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)委任或授權(quán)。3．信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)研究重大事件，落實(shí)方針政策和制定總體策略等。職責(zé)主要包括：（1）根據(jù)國(guó)家和行業(yè)有關(guān)信息安全的政策、法律和法規(guī)，批準(zhǔn)單位信息安全總體策略規(guī)劃、管理規(guī)范和技術(shù)標(biāo)準(zhǔn)；（2）確定單位信息安全各有關(guān)部門(mén)工作職責(zé)，指導(dǎo)、監(jiān)督信息安全工作。（3）信息安全領(lǐng)導(dǎo)小組下設(shè)兩個(gè)工作組：信息安全工作小組、應(yīng)急響應(yīng)小組。組長(zhǎng)均由單位負(fù)責(zé)人擔(dān)任。4.信息安全工作小組的主要職責(zé)包括：（1）貫徹執(zhí)行單位信息安全領(lǐng)導(dǎo)小組的決議，協(xié)調(diào)和規(guī)范單位信息安全工作；（2）根據(jù)信息安全領(lǐng)導(dǎo)小組的工作部署，對(duì)信息安全工作進(jìn)行具體安排、落實(shí)；（3）組織對(duì)重大的信息安全工作制度和技術(shù)操作策略進(jìn)行審查，擬訂信息安全總體策略規(guī)劃，并監(jiān)督執(zhí)行；（4）負(fù)責(zé)協(xié)調(diào)、督促各職能部門(mén)和有關(guān)單位的信息安全工作，參與信息系統(tǒng)工程建設(shè)中的安全規(guī)劃，監(jiān)督安全措施的執(zhí)行；（5）組織信息安全工作檢查，分析信息安全總體狀況，提出分析報(bào)告和安全風(fēng)險(xiǎn)的防范對(duì)策；（6）負(fù)責(zé)接受各單位的緊急信息安全事件報(bào)告，組織進(jìn)行事件調(diào)查，分析原因、涉及范圍，并評(píng)估安全事件的嚴(yán)重程度，提出信息安全事件防范措施；（7）及時(shí)向信息安全領(lǐng)導(dǎo)小組和上級(jí)有關(guān)部門(mén)、單位報(bào)告信息安全事件。（8）跟蹤先進(jìn)的信息安全技術(shù)，組織信息安全知識(shí)的培訓(xùn)和宣傳工作。5.應(yīng)急響應(yīng)小組的主要職責(zé)包括：（1）審定單位網(wǎng)絡(luò)與信息系統(tǒng)的安全應(yīng)急策略及應(yīng)急預(yù)案；（2）決定相應(yīng)應(yīng)急預(yù)案的啟動(dòng)，負(fù)責(zé)現(xiàn)場(chǎng)指揮，并組織相關(guān)人員排除故障，恢復(fù)系統(tǒng)；（3）每年組織對(duì)信息安全應(yīng)急策略和應(yīng)急預(yù)案進(jìn)行測(cè)試和演練。（5）單位應(yīng)指定分管信息的領(lǐng)導(dǎo)負(fù)責(zé)本單位信息安全管理，并配備信息安全技術(shù)人員，有條件的應(yīng)設(shè)置信息安全工作小組或辦公室，對(duì)單位信息安全領(lǐng)導(dǎo)小組和工作小組負(fù)責(zé)，落實(shí)本單位信息安全工作和應(yīng)急處理工作。1.2關(guān)鍵崗位設(shè)置信息系統(tǒng)的關(guān)鍵崗位并加強(qiáng)管理，配備系統(tǒng)管理員、網(wǎng)絡(luò)管理員、應(yīng)用開(kāi)發(fā)管理員、安全審計(jì)員、安全保密管理員、機(jī)房管理員，要求六人各自獨(dú)立。要害崗位人員必須嚴(yán)格遵守保密法規(guī)和有關(guān)信息安全管理規(guī)定。1.系統(tǒng)管理員主要職責(zé)有：（1）負(fù)責(zé)系統(tǒng)的運(yùn)行管理，實(shí)施系統(tǒng)安全運(yùn)行細(xì)則；（2）嚴(yán)格用戶權(quán)限管理，維護(hù)系統(tǒng)安全正常運(yùn)行；（3）認(rèn)真記錄系統(tǒng)安全事項(xiàng)，及時(shí)向信息安全人員報(bào)告安全事件；（4）對(duì)進(jìn)行系統(tǒng)操作的其他人員予以安全監(jiān)督。2.網(wǎng)絡(luò)管理員主要職責(zé)有：（1）負(fù)責(zé)網(wǎng)絡(luò)的運(yùn)行管理，實(shí)施網(wǎng)絡(luò)安全策略和安全運(yùn)行細(xì)則；（2）安全配置網(wǎng)絡(luò)參數(shù)，嚴(yán)格控制網(wǎng)絡(luò)用戶訪問(wèn)權(quán)限，維護(hù)網(wǎng)絡(luò)安全正常運(yùn)行；（3）監(jiān)控網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)端口、網(wǎng)絡(luò)物理線路，防范黑客入侵，及時(shí)向信息安全人員報(bào)告安全事件；（4）對(duì)操作網(wǎng)絡(luò)管理功能的其他人員進(jìn)行安全監(jiān)督。3.應(yīng)用開(kāi)發(fā)管理員主要職責(zé)有：（1）負(fù)責(zé)在系統(tǒng)開(kāi)發(fā)建設(shè)中，嚴(yán)格執(zhí)行系統(tǒng)安全策略，保證系統(tǒng)安全功能的準(zhǔn)確實(shí)現(xiàn)；（2）系統(tǒng)投產(chǎn)運(yùn)行前，完整移交系統(tǒng)相關(guān)的安全策略等資料；（3）不得對(duì)系統(tǒng)設(shè)置“后門(mén)”；（4）對(duì)系統(tǒng)核心技術(shù)保密等。4.安全審計(jì)員負(fù)責(zé)對(duì)涉及系統(tǒng)安全的事件和各類操作人員的行為進(jìn)行審計(jì)和監(jiān)督，主要職能包括：（1）按操作員證書(shū)號(hào)進(jìn)行審計(jì)；（2）按操作時(shí)間審計(jì)；（3）按操作類型審計(jì)；（4）事件類型進(jìn)行審計(jì)；（2）日志管理等。5.安全保密管理員負(fù)責(zé)日常安全保密管理活動(dòng)，主要職責(zé)有：（1）監(jiān)視全網(wǎng)運(yùn)行和安全告警信息；（2）網(wǎng)絡(luò)審計(jì)信息的常規(guī)分析；（3）安全設(shè)備的常規(guī)設(shè)置和維護(hù)；（4）執(zhí)行應(yīng)急中心制定的具體安全策略；（5）向應(yīng)急管理機(jī)構(gòu)和領(lǐng)導(dǎo)機(jī)構(gòu)報(bào)告重大的網(wǎng)絡(luò)安全事件等。6.機(jī)房管理員（1）執(zhí)行規(guī)定的操作任務(wù)，包括日常手工操作,系統(tǒng)手工監(jiān)控等；（2）對(duì)機(jī)房環(huán)境狀況進(jìn)行監(jiān)控，對(duì)機(jī)房進(jìn)出人員、設(shè)備進(jìn)行登記等；（3）根據(jù)設(shè)置好的備份/歸檔任務(wù)，進(jìn)行備份介質(zhì)的管理及對(duì)備份介質(zhì)的驗(yàn)證；（4）監(jiān)控系統(tǒng)產(chǎn)生的事件，執(zhí)行相應(yīng)的操作，如重新啟動(dòng)操作系統(tǒng)，對(duì)應(yīng)用系統(tǒng)進(jìn)行檢查和基本的故障處理等；（5）負(fù)責(zé)將每一個(gè)任務(wù)（包括軟件、硬件系統(tǒng)）的操作步驟進(jìn)行匯編、整理；（6）負(fù)責(zé)對(duì)江蘇省宿遷中學(xué)計(jì)算機(jī)機(jī)房及所屬各部門(mén)計(jì)算機(jī)機(jī)房安全性的檢查，發(fā)現(xiàn)問(wèn)題或隱患及時(shí)提出整改意見(jiàn)和書(shū)面報(bào)告。2人員配備配備足夠數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員對(duì)順利完成安全管理工作是非常重要的，可以有效避免人力不足帶來(lái)的問(wèn)題。配備專職的安全管理員可以讓管理工作落實(shí)到專人上，可以更高效的開(kāi)展安全管理工作。關(guān)鍵事務(wù)崗位配備多人進(jìn)行共同管理可以防止出現(xiàn)疏忽，并且有利于互相約束和監(jiān)督機(jī)制的建立。如果沒(méi)有配備足夠數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員，則可能由于工作過(guò)度繁忙而出現(xiàn)安全事件。如果安全管理人員都是兼職，則很可能出現(xiàn)只顧其他業(yè)務(wù)而忽視安全的情況。