学校主页 | 部门概况 | 机构设置 | 规章制度 | 网络安全 | 政策法规 | 网络服务 | 多媒体服务 | 校园一卡通 | 下载中心 
当前位置: 首页>>规章制度>>正文

合肥师范学院信息安全方针及安全策略

日期:2019年04月16日 09:26  添加人:方杰    点击:[]


1         总则

1.1       目的

为了深入贯彻落实国家信息安全政策文件要求和信息安全等级保护政策要求,加强合肥师范学院的信息安全管理工作,增强我单位全员信息安全意识,切实提高合肥师范学院信息系统安全保障能力,特制定本方针。

1.2       范围

本方针适用于合肥师范学院信息安全管理活动。

1.3       职责

由院领导和各部门负责人为主体的网络安全与信息化领导小组负责本方针文件的审核和修订,由信息技术中心为主体的信息安全等级保护工作小组负责本方针文件的贯彻和执行。

1.4       符合性

本方针文件主要遵循《信息安全技术信息系统安全等级保护基本要求(GBT 22239-2008)》标准的要求,同时在部分环节也符合以下两个国际标准:

1ISO/IEC 27001 信息安全管理体系要求

2ISO/IEC 27002 信息技术—安全技术—信息安全管理实践规范

2         信息安全方针

合肥师范学院总体安全方针为:提高人员信息安全风险意识,确保学校信息系统安全;强化信息安全管理,坚持以人为本。

3         方针主要内容

3.1       主要安全策略

n  信息安全是学院及相关部门正常经营的重要保障,合肥师范学院将遵照“统一规划、分级管理、积极防范、人人有责”的原则,通过风险评估和风险管理,采取一切可能的措施,加强我院信息安全的建设和管理。

n  设立网络安全与信息化领导小组网络安全与信息化领导小组是信息安全管理的最高机构;信息技术中心、运维人员、系统管理员等是信息安全日常工作和执行机构,负责本院信息系统及信息安全的日常维护和管理工作。

n  本单位全体干部均有参与信息安全管理、保护我院及相关部门信息安全的义务和责任。本院全体职工应积极参加各种形式的信息安全教育和培训,遵守相关国家法律、法规、部门规章和行业规范,遵守院信息安全管理制度。

n  承载信息系统的所有软硬件设施及物理环境均应受到适当的保护。

n  采取必要的措施保护我院信息的机密性,以防止未经授权的不当存取;同时应确保信息不会在传递的过程中,或因无意间的行为透漏给未经授权的第三者。

n  采取必要的措施确保本院信息的完整性,以防止未经授权的篡改。

n  采取必要的措施确保本院信息的可用性,以确保使用者需求可以得到满足。

  采取必要的措施确保本院信息的连续性,以确保业务持续可用。

n  本院相关的信息安全措施或规范应符合现行法令、法规的要求。

n  本单位全体员工都有责任通过适当的上报机制,报告所发现的信息安全意外事故或信息安全弱点。

n  任何危及信息安全的行为,都应诉诸适当的惩罚程序或法律行动。

3.2       信息安全目标

最大限度保证信息系统的完整性、保密性和可用性免遭破坏。确保每年信息安全重大事故(II级)的发生频率为可控范围内的最低,目标为“0”次。

3.3       信息安全管理框架

我院信息系统根据ISO/IEC 27001《信息安全管理体系要求》中的控制目标和控制项,并结合我院的实际情况所建立的。符合“PDCA”的管理模式。

(1)     PPLAN)过程是计划过程,指统一规划和设计我院的信息安全目标和安全控制策略,指导本单位整体的信息安全管理工作。

(2)     DDO) 过程是执行过程,指在开展信息安全工作中需要落实的管理要求,包括信息安全组织制度管理、人员安全管理、系统建设安全管理、信息系统运维管理、变更管理和信息资产安全管理等,指导日常的信息安全管理工作。

(3)     CCHECK)过程是检查过程,指开展信息安全工作的持续改进机制,通过信息安全风险评估、等级保护测评、检查,监督和审核等方式,指导信息安全管理体系控制要求不断完善。

(4)     AACTION)过程是处置过程,指信息安全事件处置和应急预案,通过发现和总结信息安全问题,形成新的管理办法和控制措施,确保信息安全管理体系的适用性和有效性。

合肥师范学院信息系统通过PDCA各环节的不断完善,实现信息安全管理体系自身的持续改进,从而提高信息安全管理体系的全面性、有效性和适用性。

3.4       信息安全管理原则

a ) 基于安全需求原则:合肥师范学院信息系统根据等级保护要求,定级为二级,安全需求主要参照二级等级保护要求,同时考虑可能受到的威胁及面临的风险分析安全需求,遵从二级等级保护的规范要求,从全局上恰当地平衡安全投入与效果;

b) 主要领导负责原则:网络安全与信息化领导小组的主要领导确立合肥师范学院信息安全保障的宗旨和政策,负责提高全员的安全意识,组织有效的安全保障队伍,调动并优化配置必要的资源,协调安全管理工作与各部门工作的关系,并确保其落实、有效;

c) 全员参与原则:跟核心业务信息系统相关的所有运行维护人员应普遍参与信息系统的安全管理,并与相关方面协同、协调,共同保障信息系统安全;

e) 持续改进原则:安全管理是一种动态反馈过程,贯穿整个安全管理的生命周期,随着安全需求和系统脆弱性的时空分布变化,威胁程度的提高,系统环境的变化以及对系统安全认识的深化等,应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级,维护和持续改进信息安全管理体系的有效性;

f) 依法管理原则:信息安全管理工作主要体现为管理行为,应保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理,应由授权者适时发布准确一致的有关信息,避免带来不良的社会影响;

h) 选用成熟技术原则:成熟的技术具有较好的可靠性和稳定性,采用新技术时要重视其成熟的程度,并应首先局部试点然后逐步推广,以减少或避免可能出现的失误;

j) 管理与技术并重原则:坚持积极防御和综合防范,全面提高信息系统安全防护能力,立足国情,采用管理与技术相结合,管理科学性和技术前瞻性结合的方法,保障信息系统的安全性达到所要求的目标。

 

4         附件

 

关闭

360网站安全检测平台