中学信息安全管理办法

中学信息安全管理办法一总则为规范信息安全工作，确保全体员工理解信息安全工作与职责，并落实到日常工作中，推动信息安全保障工作的顺利进行，结合实际情况，特制定本制度。本管理制度所称信息系统安全，包括计算机网络和应用系统（以下简称信息系统）的硬件、软件、数据及环境受到有效保护，信息系统的连续、稳定、安全运行得到可靠保障。信息系统安全管理坚持“谁主管谁负责”的原则，单位的所有部门和员工都应各自履行相关的信息系统安全建设和管理的义务与责任。信息系统安全工作的总体目标是：实施信息系统安全等级保护，建立健全先进实用、完整可靠的信息系统安全体系，保证系统和信息的完整性、真实性、可用性、保密性和可控性，保障信息化建设和应用，支撑单位业务持续、稳定、健康发展。信息系统安全体系建设必须坚持“统一标准、保障应用、符合法规、综合防范、集成共享”的原则。本制度适用于所有部门和个人。二信息安全方针和目标江苏省宿迁中学信息安全建设秉承“积极防御，综合防范”的信息安全方针，根据国家信息安全等级保护等有关政策和标准要求，建立完善的信息网络安全体系。信息安全目标是通过高标准、高要求、高质量的“PDCA”持续改进，全面提升江苏省宿迁中学的安全性，实现网络与信息系统的整体安全防护能力达到国家信息安全等级保护的相关要求，进一步加强信息安全保障水平。三信息安全管理策略1安全组织结构安全管理组织应形成由主管领导牵头的信息安全领导小组、具体信息安全职能部门负责日常工作的组织。1.1信息安全领导小组职责信息安全领导小组是由主管领导牵头，各部门的负责人为组成成员的组织机构，主要负责批准江苏省宿迁中学安全策略、分配安全责任并协调安全策略能够实施，确保安全管理工作有一个明确的方向，从管理和决策层角度对信息安全管理提供支持。信息安全领导小组的主要责任如下：(1)确定网络与信息安全工作的总体方向、目标、总体原则和安全工作方法；(2)审查并批准政府的信息安全策略和安全责任；(3)分配和指导安全管理总体职责与工作；(4)在网络与信息面临重大安全风险时，监督控制可能发生的重大变化；(5)对安全管理的重大更改事项（例如：组织机构调整、关键人事变动、信息系统更改等）进行决策；(6)指挥、协调、督促并审查重大安全事件的处理，并协调改进措施；(7)审核网络安全建设和管理的重要活动，如重要安全项目建设、重要的安全管理措施出台等；(8)定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。1.2信息安全工作小组职责信息安全工作小组是信息安全工作日常执行机构，内设专职的管理组织和岗位，负责日常具体安全工作的落实、组织和协调。信息安全工作小组的主要职责如下：（1）贯彻执行和解释信息安全领导小组的决议；（2）贯彻执行和解释国家主管机构下发的信息安全策略；（3）负责组织和协调各类信息安全规划、方案、实施、测试和验收评审会议；（4）负责落实和执行各类信息安全具体工作，并对具体落实情况进行总结和汇报；（5）负责内外部组织和机构的沟通、协调和合作工作；（6）负责制定所有信息安全相关的管理制度和规范；（7）负责针对信息安全相关的管理制度和规范具体落实工作进行监督、检查、考核、指导及审批，例如现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。1.3信息安全岗位为了有效落实信息安全各项工作，应设立以下专职的安全岗位，负责安全工作的落实和执行：1.3.1信息安全工作小组主管（1）负责网络与信息安全的日常整体协调、管理工作；（2）负责组织人员制定信息安全管理制度，并对管理制度进行推广、培训和指导；（3）负责重大安全事件的具体协调和沟通工作。1.3.2安全管理员岗位（1）负责执行网络与信息安全工作的日常协调、管理工作；（2）负责日常的安全监控管理，并对上报和发现的各类安全事件进行响应；（3）负责系统、网络和应用安全管理的协调和技术指导；（4）负责安全管理平台安全策略制定，访问控制策略审核；（5）负责组织安全管理制度的推广和培训工作；（6）负责定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况。1.3.3安全审计员岗位（1）负责安全管理制度落实情况的检查、监督和指导；（2）负责安全策略执行情况的审核。1.3.4系统管理员（1）负责系统安全稳定运行的日常管理工作；（2）负责保持系统的防病毒系统、补丁等保持最新，定期对系统进行安全加固，保持系统漏洞最小化。1.3.5网络管理员（1）负责网络设备安全稳定运行的日常管理工作；（2）负责保持网络设备的漏洞最小化，定期对系统进行安全加固；（3）负责保持网络路由和交换策略与业务需求保护一致。（4）根据日常的运行维护和管理工作，设置物理环境管理、数据库管理、应用管理以及资产管理等岗位。2安全管理制度2.1安全管理制度体系安全管理制度应建立信息安全方针、安全策略、安全管理制度、安全技术规范以及流程的一套信息安全管理制度体系。2.2安全方针和主策略最高方针，纲领性的安全策略主文档，陈述本策略的目的、适用范围、信息安全的管理意图、支持目标以及指导原则，信息安全各个方面所应遵守的原则方法和指导性策略。2.3安全管理制度和规范各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法，是必须具有可操作性，而且必须得到有效推行和实施的。技术标准和规范，包括各个安全等级区域网络设备、主机操作系统和主要应用程序的应遵守的安全配置和管理的技术标准和规范。技术标准和规范将作为各个网络设备、主机操作系统和应用程序的安装、配置、采购、项目评审、日常安全管理和维护时必须遵照的标准，不允许发生违背和冲突。编制如下安全管理制度和规范：安全方针安全策略安全管理组织体系职责内部人员安全管理规定外部人员安全管理规定等级保护安全管理规范风险评估管理规范软件开发管理规定IT外包管理规定工程安全管理规定产品采购安全管理规定服务商安全管理规定机房管理制度办公环境安全管理规定资产安全管理制度设备安全管理规定介质安全管理规定运行维护安全管理规范网络安全管理规定系统安全管理规定防病毒安全管理规定密码使用管理制度变更管理制度备份与恢复管理规定安全事件管理制度应急预案2.4安全流程和操作规程安全流程和操作规程，详细规定主要业务应用和事件处理的流程和步骤，和相关注意事项。作为具体工作时的具体依照，此部分必须具有可操作性，而且必须得到有效推行和实施的。2.5安全记录单安全记录单，落实安全流程和操作规程的具体表单，根据不同等级信息系统的要求可以通过不同方式的安全记录单落实并在日常工作中具体执行。主要包括日常操作的记录、工作记录、流转记录以及审批记录等。3人员安全管理江苏省宿迁中学人员录用、调用、离岗应首先遵循江苏省宿迁中学人事处规定的相关要求。内部人员的安全管理，从人员的录用、调用、离岗和考核等各个方面提出针对信息安全的相关管理要求，具体管理要求包括：3.1录用前人员在录用过程中要签署保密协议；应当进行严格的安全背景审核和权限审查；关键岗位人员进行特殊的安全审核、权限管理和保密管理，签署保密协议。3.2工作期间所有人员根据其岗位职责的不同，应定期进行安全培训和教育；所有人员应学校的安全管理制度规范和约束安全操作行为；定期对各个岗位的人员进行不同层面的安全认知和安全技能考核，作为人员是否适合当前岗位的参考；对安全责任和惩戒措施进行书面规定并告知相关人员，对违反违背安全策略和规定的人员进行惩戒。3.3调离岗人员离岗的安全管理工作首先遵循《江苏省宿迁中学人员安全管理制度》中的要求执行；严格规范人员调离岗过程，及时终止离岗员工的所有访问权限，取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。人员培训人员培训从整体考虑，对人员技能需求进行分析，设计培训内容，明确培训方式。注意根据岗位特点，针对不同岗位制定不同的培训计划，对培训的情况和结果进行记录并归档保存。当员工违反安全策略或安全流程时，依据处罚条款进行惩戒，记录惩戒结果，并从惩戒事件本身进行总结，分析惩戒原因和规避措施。人员考核人员考核应形成文件化的岗位考核计划，有序的安排各岗位人员进行考核，至少应定期对涉及信息安全管理、检查和执行的岗位人员进行安全技能的考核，以及对各个岗位的人员进行安全认知的考核。外部人员访问管理。外部人员通常是指软件开发商，硬件供应商，系统集成商，设备维护商和服务提供商，实习生，临时工等非内部人员。外部人员在访问时可以分成物理访问和信息访问，具体如下：（1）物理访问，如对办公室、机房的物理访问；（2）信息访问，如对信息系统、主机、网络设备、数据库的访问。负责接待的部门和接待人对外部人员来访的安全负责，并对访问机房等敏感区域持谨慎态度。具体管理要求应包括：（1）必要时，应签署保密协议和安全承诺协议，或在合同中规定相关内容；（2）对其维护目标的安全配置要求，必须符合相应的网络设备、主机、操作系统、数据库和通用应用程序等江苏省宿迁中学的安全配置标准文档中相应规定；（3）对于关键区域、核心设备的访问，外部人员应向信息安全工作小组提出申请，申请时，必须阐明其申请理由、访问方式、要求权限、访问时间和地点等内容，经审核批准后，方可允许其进行访问，并尽可能不给超级用户权限。4系统建设管理等级保护管理等级保护管理过程可划分为“系统定级”、“系统备案”、“等级测评”、“安全整改”、“安全自查”五部分工作，各部分的工作要求应参照《GB/T22239-2019信息安全技术信息系统安全等级保护基本要求》的相关要求执行。系统设计与采购为了提高业务系统规划建设和产品采购的安全水平，遵循“同步规划、同步建设、同步运行”的原则，应对系统设计与采购过程中的系统设计安全、产品采购与使用、安全服务商选择等阶段提出实施规范。（1）安全方案设计。遵循同步建设的原则，在系统建设的过程中进行相应的安全方案设计。安全方案的最终成型需要经过方案设计，论证和审定三个阶段。根据信息系统的等级划分的总体情况，统一考虑总体安全策略、总体建设规划和详细设计方案，并形成配套文件，并根据安全评估的结果进行定期调整和修订。（2）产品采购与使用。产品的采购和使用必须符合国家的有关规定，产品的采购和使用应指定或授权专门的部门负责。（3）安全服务商选择。安全服务包括安全咨询、培训、规划、设计、实施、维护和响应及检测评估等服务。应围绕技术资质、财务能力、人员配置、行业经验等环节制定安全服务商选择的条件，以约束安全服务商的选择。对于包含核心信息的信息系统的安全服务商选择，应确保符合国家的有关规定。系统开发与实施（1）外包软件开发。外包软件开发指单位将信息系统的开发委托给外部单位进行的开发。经过外包开发的信息系统由于单位自身不能具备全部的系统维护升级和风险控制能力，因此必须在外包方选择，外包合同签订，外包开发过程以及软件交付各个环节进行严格控制。（2）工程实施。工程实施应由信息中心负责，制定工程实施方面的管理制度，明确说明实施过程的控制方法和人员行为准则。系统测试验收与交付（1）测试验收。测试验收的标准需要保证功能、性能和安全三方面满足要求，由信息中心和相关业务部门负责，在系统测试验收控制方法和人员行为准则的约束下执行测试验收工作。系统的安全性测试验收应独立进行，至少应审查主机端口开放情况是否符合系统说明、使用网络侦听工具审查通讯数据包是否符合系统说明和使用恶意代码软件检测软件包中可能存在的恶意代码等。（2）系统交付。系统运营单位负责系统交付的管理工作，应对系统交付的要求，包括系统交付的控制方法和人员行为准则进行规定，根据合同要求制定系统交付的清单，依据交付清单进行清点。系统建设单位应对负责系统使用和维护的人员进行相应培训，并履行服务承诺。5系统运维管理环境管理（1）信息中心负责中心机房安全，并配备机房安全管理人员，建立机房安全管理制度，对有关机房物理访问，物品带进、带出机房和机房环境安全等方面的管理进行规定。（2）各部门负责本部门办公环境的安全管理工作，安全管理员定期对办公环境的日常安全管理进行监督检查。信息资产管理（1）资产管理建立资产安全管理制度，规定资产管理的责任人员或责任部门，规范资产的使用、传输、存储、维护和销毁等各种行为。编制资产清单，资产清单应保留电子档和纸质文件，在资产属性发生变化或资产增减时应及时修改资产清单，保留修改记录，并形成文件化的资产清单检查程序，定期组织人员依据检查程序对资产清单进行一致性检查，保留检查记录。对资产分类与标识方法做出规定，规定分类标识的原则和方法，明确标识的格式，明确标识的管理职责和方法。（2）介质管理。形成文件化的介质管理办法，根据所承载数据和软件的重要程度加强介质安全管理，即对存储介质的使用、存储、携带、记录、清单等活动提供明确的安全管理方法。（3）设备管理。对信息系统相关的各种软硬件设备、线路等进行规范化管理，防范对设备未经授权的使用，以及对设备放置区域的未经授权的访问。系统运行维护管理（1）网络安全管理。对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期、配置文件备份和外部连接的授权和批准等方面做出规定，以审视江苏省宿迁中学的安全性，降低网络系统存在的安全风险，确保网络系统安全可靠地运行。（2）系统安全管理。对系统安全策略、安全配置、日志管理和日常操作流程、日志分析等方面做出规定，以保障信息系统安全运行和使用。（3）恶意代码防范管理。内容包括防范意识、培训要求、日常注意事项、防恶意代码软件使用等内容。所有终端需安装基本的防病毒软件以保护系统的正常运行，配备恶意代码主动监控工具，发现并阻止恶意代码的传播，指定专人定期对网络和主机进行恶意代码检测并保存检测记录。（4）密码管理。识别国家密码管理相关规定和要求，指导对密码技术和产品的选择，使用符合国家密码管理规定的密码技术和产品。变更管理变更是指对系统/平台需求的增补或修改，所做增补或修改可能会影响生产环境的稳定性。规范学校变更管理流程，控制变更产生的影响，减少变更发生的问题，保障信息系统安全运行和使用，需建立变更管理制度。备份与恢复管理为保证备份和恢复策略与整体管理目标的一致性，应制定备份与恢复策略，并指定有关部门负责备份与恢复工作。对备份数据的备份方式、备份频度、存储介质、保存期和信息恢复等进行规范，对备份设备的维护和检测进行规范。应急管理（1）安全事件处置。应根据事件严重级别规范安全事件的处置机制。（2）应急计划管理。应制定统一的应急预案框架，在统一框架下制定不同事件的应急预案，应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容。（3）信息安全事件应急响应小组负责建立重要事件的应急预案，包括黑客入侵、病毒大规模传播、网络和系统中断、火灾等灾难的应急预案，并对应急预案进行测试，保证其可以执行，保留测试记录。（4）应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障，对相关的人员进行应急预案培训，保存培训文档，应急预案的培训应至少每年举办一次。四安全管理机构1关于管理制度制定和发布所有信息安全管理制度的制定和修订均由指定和授权的专门部门或人员进行。信息安全管理制度信息安全管理制度的制定应具有统一的格式，进行编号和版本控制。第一次制订为第一版，既以“V1.0”表示。若有重大或实质性内容修改时，版本号递增1，即为“V2.0”。若有细微修改，版本号递增0.1，即为“V1.1”。安全管理制度在发布之前应通过相关人员的论证和审定，具体按照信息安全制度评审和修订相关要求进行。信息安全管理制度的制定流程：（1）结合实际安全管理需求，指定或授权的专门部门或人员根据安全管理制度的制定要求制定覆盖物理、主机、网络、应用、数据、建设和管理层面的安全管理制度和各类安全操作规程；（2）针对已制定的安全管理制度，组织部门相关人员（可聘请信息安全专家）对各项安全管理制度的合理性和适用性等进行论证和审定，对评审过程进行记录和存档；（3）若审定过程中存在不符合项，应在制度的制修订人员做进一步的修改和完善后，组织相关人员按照评审要求进行复评审；（4）安全管理制度通过论证和审定后，即可发布。安全管理制度应通过正式、有效的方式（如正式发文、领导签署和单位盖章等）进行发布，并注明发布范围。2评审和修订评审程序信息安全管理组织需要定期（至少每年一次）开展信息安全管理体系和安全管理制度的评审工作，以确保整个信息安全管理体系和安全管理制度的合理性、适用性和有效性。主要评审内容：（1）根据业务系统的性质和安全要求，确定（或复审）信息安全管理体系的范围和安全管理制度的内容，建立（复审）信息安全管理体系，包括信息安全策略、制度标准和程序。（2）对信息安全管理体系和安全管理制度的审核结果进行评审，分析导致不符合项的原因。（3）审查审核对象的反馈信息。（4）总结已发现的安全事件和漏洞。（5）审查现行的安全控制措施和相关技术是否有效。（6）复查修订措施的实施状况。（7）检查先前管理评审中所定义的措施的实施状况。（8）审查改善措施的建议。（9）复查业务和法律法规方面的变更（比如：业务需求、客户需求的变更和新颁布的法律法规）。（10）审查可能影响信息安全管理体系和安全管理制度内容的任何变更。（11）为协调相关信息安全的实施，评审相关资源的充足性。评审工作至少每年举行一次，发生以下情况时，也需要启动管理评审工作：（1）信息系统业务发生重大变更。（2）信息系统信息安全策略的重大变更。（3）目前信息安全管理体系和安全管理制度的执行不力。（4）信息系统信息安全管理体系和安全管理制度的范围与内容发生变更。（5）相关标准法规发布修订版本或有变更。评审工作的会议记录均需归档，以保存正式的记录。修订程序问题的识别及确认，采取修订措施包括（但不限于）以下原因：（1）来自信息系统信息安全管理体系和安全管理制度相关人员的反馈信息或调查申请。（2）信息安全管理评审的会议讨论中发现的问题。（3）信息安全管理体系和安全管理制度审核中发现的不符合项。调查问题的起因：（1）由信息安全工作小组指派专门的人员负责对问题进行分析调查并确认问题的起因。（2）调查人员需提供尽可能多的关于整个问题调查的详细结果。作为修订措施报告的一部分，也可以提供一些额外的补充信息。执行修订措施：（1）基于所调查出的问题起因，需确认并实施相应措施或对事故进行调查研究，负责上述行动的执行者需确保更新所有相关的文件或管理流程。比如：N准备制定或更新相关管理程序。N培训/通知相关人员知晓。（2）执行人员负责跟踪所执行修订措施的效果。一旦发现效果不如预期，其相关负责人需进行评估分析并就进一步的应对措施进行确认。执行人员必须确保所实施的修订措施是可证实和可验证的，并保证修订措施报告中均有详细说明。措施的验证：（1）如果验证出所采取的措施是达到预期效果的，则修订措施才算成功，可以结束跟踪，验证阶段包括以下两个部分：N对所规定修订措施的执行程度进行验证。N对修订措施的执行效果进行验证。（2）措施验证的结果必须中有详细的说明，且对相关记录进行保存。3关于设立信息安全工作小组说明为加强江苏省宿迁中学信息安全管理，保证学校信息安全各项工作科学、有效开展，有效防范和控制信息系统风险，根据《信息科技风险管理指引》要求，成立江苏省宿迁中学信息安全领导小组。现将有关事宜通知如下：（1）组织架构信息安全领导小组为江苏省宿迁中学常设机构，设组长、副组长、成员组长由张德超担任；副组长由纪文杰担任；成员由江苏省宿迁中学各部门负责人组成。（2）主要职责信息安全领导小组职责安全领导小组是江苏省宿迁中学信息安全管理和监督落实的专设机构。其主要职责包括：组织贯彻落实国家及监管部门有关信息安全法律法规、技术标准等，监督落实监管要求；决策学校信息安全管理工作的重要事项，总体负责学校战略规划、重大项目的信息安全监督控制管理，推动学校信息安全管理工作；审议学校信息安全评估报告；审议学校信息安全标准、策略、实施计划和持续维护计划等；定期向校长汇报网络信息安全管理工作情况；审议其他与信息安全管理相关的重大事项；信息安全工作小组职责安全领导小组负责江苏省宿迁中学信息安全日常管理工作。其主要职责包括：负责起草学校信息安全评估报告，提交信息安全领导小组审议；负责起草学校信息安全标准、策略、实施计划和持续维护计划；负责信息安全领导小组会务工作，包括收集和起草相关会议资料、记录会议内容、整理会议纪要、管理相关文档等；检查、监督、落实信息安全领导小组交办的事项，承担部门的协调沟通工作。（3）工作规则例会或报告制度：信息安全领导小组实行例会或报告制度。原则上每半年召开一次例会或由信息安全工作小组以报告形式汇报信息安全管理工作情况=。特别会议：如遇重大事项，信息安全领导小组可以召开紧急会议对重大事项进行决议。4沟通和合作4.1内部沟通工作职责（1）信息安全领导小组规划、建立、维持内部的信息沟通渠道；审核内部人员信息沟通与反馈渠道的有效性；向内部人员传达与组织有关的法规资料及政策；接收内部人员对信息安全管理体系的意见并采取相应行动。（2）信息安全工作小组建立、维持内部的信息沟通渠道；收集员工对学校信息安全方面的意见，并向管理层反映；协助宣传及教育员工有关信息安全方面的知识。（3）一般工作人员通过管理渠道，接受相应的知识、培训，反馈相关的意见。工作程序（1）根据决策层的意见及工作需要，基于沟通类型和内容，确定沟通主体、沟通渠道（例如：文件、公告、内部网络、宣传物品、会议及培训等）和时间等事项。（2）沟通的内容包括与信息安全管理有关的政策、法规以及其他事项。不同的沟通内容其沟通要求也不尽相同。（3）信息安全管理体系相关法律及其它要求在修订或更改后通过各种方式及时向所有员工有效传达。（4）信息安全体系改善计划及相关的信息安全管理方针、政策、方案等由信息安全领导小组向信息安全工作小组通过会议、培训等方式进行传达。（5）对安全知识、培训课件等学习资料通过内部网站、内部电子邮件等方式送达所有员工。（6）安全事件