在高校信息化应用日益深化的今天,信息和资源的整合日益密切,如何保障信息系统的持续稳定运行,确保信息安全是亟待解决的关键问题。本方案的目标是从我校信息化工作的整体需求出发,遵从风险管理的理念,在学校信息化战略规划的基础上,借鉴国内外最佳实践经验,形成适合学校各部门遵循和实施的网络信息系统安全管理整体方案,以提高我校网络信息系统安全管理工作的系统性、规范性和可持续性。
下图描述了北京外国语大学网络信息系统安全管理整体方案的体系架构,含三个层次:
安全组织体系:包含学校网络信息系统安全管理的组织形式、机构与职责。
安全管理体系:包含学校网络信息系统安全管理应遵循的国家法律法规、校级规章制度及部门级工作条例。
安全技术体系:包含学校网络信息系统安全管理在网络层、系统层和应用层三个层面应遵循的统一技术标准及用于安全防控的整体技术手段。
其中,安全技术体系已在信息化建设过程中逐步建立,各类安全防控的技术手段已运用到日常安全管理工作中。方案主要完善安全组织和管理两方面内容。
北京外国语大学信息系统安全管理整体方案架构图
一、安全组织体系
北京外国语大学网络信息系统安全管理组织机构图
学校信息系统安全管理的组织体系至上而下分为四个层次:
1、决策层——信息化领导小组,职责包括贯彻国家有关部门关于信息系统安全工作的方针政策;审定信息系统安全规划;研究、审定并发布信息系统安全管理工作的相关制度文件;研究决定信息系统安全管理中的重大事项;建立信息系统安全管理的奖惩机制。
2、管理层——信息系统安全工作小组,职责包括贯彻和执行学校信息系统安全管理制度,落实学校信息系统安全的建设发展规划;参与信息系统安全体系的规划,负责信息系统安全体系的实施和完善;负责信息系统的日常安全管理、组织协调工作,监控信息系统安全运行情况,负责为用户的信息系统安全防范提供技术指导等。校园网络信息管理工作小组,职责包括负责研究制定校园网络信息安全管理的运行机制和工作方案,建立网络信息安全的组织机制、管理制度和队伍培养方案;负责研究有害信息的界定以及网上舆论的监控方案和工作机制等。
二、 安全管理体系
1、安全管理应遵循的法律法规、规章制度和工作条例
I |
国家标准与法律法规 |
发布时间 |
1 |
国务院:中华人民共和国计算机信息系统安全保护条例 |
1994年2月 |
2 |
国务院:计算机信息网络国际联网管理暂行规定 |
1996年2月 |
3 |
国务院:计算机信息网络国际联网管理暂行规定实施办法 |
1997年5月 |
4 |
公安部:计算机病毒防治管理办法 |
2000年4月 |
5 |
信息产业部:软件产品管理办法 |
2009年4月 |
Ⅱ校级规章制度(无)
Ⅲ |
部门级工作条例 |
修订时间 |
1 |
NIC(网络信息中心)管理制度 |
2013年7月 |
2 |
NOC(网络运行中心)管理制度 |
2013年7月 |
3 |
信息技术中心机房管理条例 |
2013年7月 |
4 |
北京外国语大学校园网管理条例 |
2013年7月 |
5 |
北京外国语大学一卡通规章 |
2013年7月 |
2.自查评审
各单位在日常工作中应严格遵守国家法律法规、校规章制度的相关规定,并按照部门工作条例的规定保质保量的完成各项信息安全工作,还应定期(每学期不少于三次)组织相关人员开展信息安全自查工作,及时发现问题,排除隐患。
信息化办公室负责定期(每学期一次)组织开展全校性的信息安全排查工作,指导各单位完成安全排查形成排查报告,并会同专家及技术人员对各单位排查报告进行评审,给出整改意见并指导各单位完成整改。
信息技术中心负责定期发布计算机、网络安全管理工具、指南及相关培训材料,指导各单位或普通用户完成自管服务器或PC机的网络信息系统安全管理
3.安全培训
安全培训统一纳入信息化培训工作中,并要求针对各层次人员分别开展培训。信息化办公室整体负责培训工作的计划和组织,信息技术中心、图书馆、宣传部配合进行相关内容的培训。学校财务统一安排培训经费预算。各层次人员培训方案如下:
培训对象 |
培训内容 |
培训师资 |
信息化领导小组成员 |
学校信息安全的整体策略及目标 信息安全体系与安全管理制度 |
校内外专家或信息化分管领导 |
安全工作小组成员 |
网络信息系统安全管理策略 信息安全制度规范的制订 安全操作和维护技术的合理运用 信息安全评估 |
校内外专家、信息化分管领导或校外培训机构 |
管理员 |
信息安全制度和操作规程 特定安全技能 |
校内技术骨干或校外培训机构 |
普通用户 |
信息安全制度和操作规程 自身应承担的安全职责 个人PC机的安全管理 |
系统管理员或技术骨干 |
