高校信息化安全管理方案(正式)

编订：__________________

单位：__________________

时间：__________________

高校信息化安全管理方案

(正式)

Deploy The Objectives, Requirements And Methods To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level.

Word格式 / 完整 / 可编辑

文件编号：KG-AO-2745-14 高校信息化安全管理方案(正式)

使用备注：本文档可用在日常工作场景，通过对目的、要求、方式、方法、进度等进行具体、周密的部署，从而使得组织内人员按照既定标准、规范的要求进行操作，使日常工作或活动达到预期的水平。下载后就可自由编辑。

在高校信息化应用日益深化的今天，信息和资源的整合日益密切，如何保障信息系统的持续稳定运行，确保信息安全是亟待解决的关键问题。从调研显示，目前我国高校网络系统存在许多安全问题，如：非授权访问、破坏数据完整性、干扰系统正常运行和利用网络传播病毒等，产生这些安全问题的原因在于：没有建立完善的网络系统安全体系;没有建立相应的安全组织、管理、技术机构;没有建立完备的网络系统安全措施。

本文从高校信息系统的需求出发，遵从风险管理的理念，在信息化战略规划的基础上，借鉴国际最佳实践经验，研究并实施高校信息化安全管理体系，为高校信息安全管理工作提供借鉴和参考。

规划信息化安全管理体系

分层次建立安全管理制度和手段

信息化安全管理体系规划是高校安全体系建立的第一步，目的是识别安全问题，明确安全管理的范围和内容，建立安全管理的组织管理机制，从管理和技术两个角度，分层次规划各环节的安全管理制度和技术防范手段，形成完整、可行的信息化安全管理体系。我们将高校信息化安全管理规划过程归纳为以下8个步骤：

1. 建立安全管理组织：安全管理组织的成员由机构的战略影响者组成，包括来自行政、IT、业务、安全、保卫、风险和规划部门的人员。

2. 识别保护对象：识别学校目前的关注点、面临的风险及威胁，分析它们存在的原因，将分析结果纳入安全管理体系的规划中重点考虑。

3. 评估现有措施：了解学校目前的安全管理措施并评估它们的效力。

4. 考虑长期需要：安全整体规划应考虑长期的需要，具有一定的前瞻性，如长期的制度适应性、设备

老化、安全人员的发展需要等。

5. 纳入学校的建设规划：了解学校新建项目，如办公楼、教学楼、停车场等项目，是否会影响现有的物理安全规划，如有影响，将安全规划纳入学校建设规划中通盘考虑。

6. 建立安全工作机制：形成文件化的制度体系和工作条例，明确各岗位的责任、应提供的服务和交付物，这些将有助于确保工作的落实和运作效率。

7. 应对新老技术的混合：新技术的规划应考虑对老技术的冲击，新老技术的融合运用将是一个挑战。

8. 关键设施重点布局：关键设施指校园中那些需要连续、可靠运行而又相互关联的复杂设施集合，这些设施的安全尤为重要，风险也最为突出。

体系框架的内容

上述的规划步骤从组织、管理和技术三方面较全面地考虑高校信息化安全管理的具体问题，有助于形成完整有效的信息化安全管理体系。图1是高校信息化安全管理体系整体框架，其中包括安全组织体系、

安全管理体系和安全技术体系。

图1 高校信息化安全管理体系

1. 安全组织体系

它是确保信息安全工作贯彻和落实的基石，基本框架应包含决策、管理、运营和应用4个层次。决策层负责信息化安全管理体系的规划、管理制度的审定及重大事项的决策等;管理层负责信息化安全管理体系的实施、安全管理工作机制的研究制订、安全管理制度的贯彻和执行、日常安全管理的组织协调等;运营层具体负责机房、网络和服务器、数据库、信息系统的安全管理和维护;应用层即普通用户，职责包括严格按照系统操作手册正确使用信息系统，不得进行可能危害信息系统安全的操作，不得发布恶意信息等。

2. 安全管理体系

它是整个安全管理体系有效运作和持续改进的保障，应在实践中逐步实现规章制度的文件化、工作机制的程序化和监控手段的系统化，基本框架具体包括

安全制度的建立、建设与运营工作条例的建立、应急响应机制的建立、审计与评审机制的建立、安全教育与培训。

3. 安全技术体系

该体系有力保障信息资源和应用系统免受外部攻击，基本框架由网络层安全技术、系统层安全技术和应用层安全技术构成。网络层安全技术包括防火墙、病毒防范、入侵检测、VPN等;系统层安全技术包括数据备份与恢复、数据库安全审计、应用系统监控、身份认证等;应用层安全技术包括权限管理、信息加密、桌面系统等。

信息化安全管理体系整改

上海财经大学经过多年的信息化建设，包括教学、学生、办公自动化、招生、人事、财务、公共数据平台、校园一卡通等一大批信息系统得到应用。随着应用的深化，系统中积累大量的业务数据和工作成果，这些信息对学校目前的管理乃至今后的发展都至关重要，因此，信息的安全问题也成为信息化工作的焦点。

20xx年起，在认真分析学校信息安全管理和技术两方面的问题和原因的基础上，学校从组织、管理、技术三方面入手进行一系列的整改，截至目前，已形成较为完善的组织体系、管理体系和技术体系。

完善信息安全管理的组织结构

20xx年，学校对信息安全管理的组织结构进行重新梳理，形成包含决策、管理、维护和应用4 个层次在内的较为完善的网络信息系统安全管理组织机构，工作职责更加明确。上海财经大学网络信息系统安全管理组织机构如图2。

图2 财经大学网络信息系统安全管理组织机构

1. 决策层：在信息化领导小组的职能中明确信息系统的安全管理职能，由信息化领导小组统一规划、部署和统筹资源。

2. 管理层：组建安全工作小组作为信息化安全工作的执行机构，工作小组由信息化相关部门领导及专业技术人员和部分管理人员组成。

3. 运营层：完善系统运营各岗位人员的工作职责，