第一章总则
第一条为规范湄洲湾职业技术学院信息系统安全的风险管理,建立规范、有效的风险控制体系,提高风险防范能力,保证信息系统的安全、稳健运行,提高经营管理水平,根据《互联网信息服务管理办法》、《互联网安全保护技术措施》、《湄洲湾职业技术学院校园计算机网络管理办法》、《湄洲湾职业技术学院校园网安全保护管理暂行办法》等法律法规规章,结合管理实际,制定本制度。
第二条本制度旨在实现以下目标提供合理保证:
规范信息安全事件处理流程,提高安全事件发生时的应变能力,做到快速反应,正确应对,最大程度地降低安全事件带来的负面影响,确保信息系统业务正常、稳定开展,确保建立针对各项重大风险发生后的危机处理计划,使其不因灾害性风险或人为失误而遭受重大损失。
第三条在系统工程过程中,由于IT流程缺陷、系统的业务流程控制缺陷、信息系统脆弱性、操作人员无意/蓄意失误、外部事件等因素直接导致业务操作风险。风险等级用事件和事件结果的概率来分类。
第四条信息系统安全风险分为:
(1)信息安全风险
(2)业务流程安全风险
(3)网络安全风险
(4)通信安全风险
(5)无线安全风险
(6)物理安全风险
第五条本制度适用于湄洲湾职业技术学院的所有信息系统。
第二章风险管理及职责分工
第六条学校各院系、部门为本部门信息系统安全风险管理第一道防线;网络安全与信息化领导小组成员为信息系统安全风险管理第二道防线;网络安全与信息化领导小组为信息系统安全风险管理第三道防线。
第七条信息中心按照相关规定或上级部门要求发布的信息安全监测预警信息,各单位及人员应根据安全预警信息,积极配合并认真查找信息安全隐患、漏洞,及时做好排查处置。信息中心因配合上级有关部门相关工作对各单位的信息系统、网站的安全状况、安全保护措施的落实情况进行检查时发现相关信息安全问题的,对发现的问题向各单位下达限期整改通知书,各单位应立即进行整改处理,同时为避免信息安全事件不良影响扩大,信息中心有权直接对安全事件相关的网络及信息系统进行断网、停止服务等应急处理。各单位在信息系统安全风险、控制管理方面的主要职责:
1.各单位的信息系统在立项、建设、上线、运行等阶段,应同步落实网络安全要求,按照国家信息系统等级保护制度的相关法律法规要求落实信息系统安全等级保护制度。对二级及以上的信息系统,建设内容应包含网络安全等级保护测评服务,经具有相关资质的测评单位测评达到网络安全等级保护要求,未进行信息安全保护等级测评或测评不合格的业务信息系统不得上线运行。
2.各单位为相应业务信息系统的责任部门,应指定专门人员负责系统的建设、运行维护和安全管理,保留不少于6个月的系统维护日志。加强相关信息系统的风险隐患排查,发现重大缺陷和实质性漏洞的,除向部门分管领导汇报情况外,还应向网络安全与信息化领导小组反馈情况,以便信息中心监控其运行情况。
3.各单位收到信息系统限期整改通知书的,应及时开展排查整改工作,消除安全隐患,无法及时整改的应立即上报信息中心。积极配合对网络安全事故造成重大损失或不良影响的事件进行调查、处理。
第三章风险评估
第八条信息系统安全风险评估主要在信息系统的设计、实施、运行维护和最终销毁这四个主要阶段组成的生命周期中进行。
第九条确立信息系统安全风险管理理念和信息安全等级保护是进行风险评估的基础。
第十条信息系统安全风险分析和对策。定期请有资质的安全风险单位对信息系统进行风险分析后,应该根据风险分析结果,结合风险发生的原因选择风险应对方案:规避风险、接受风险、减少风险或分担风险。
第四章信息系统应急预案
第十一条防止突发事件,保证敏感时期的信息安全问题及时响应。
第十二条防范和消除信息系统破坏,特别是以下危害情况的出现:
1.校园网主页被恶意纂改。
2.交互式栏目发表反政府、分裂国家和色情内容。
3.校园网用户发布或阅读反政府、分裂国家、色情言论。
第十二条防范立足于技术,以相应的技术设施及安全的设置确保信息系统安全,同时实行专人定时巡查和监督信息传输。
第十三条信息系统被恶意更改,应立即停止其服务并恢复正确内容,同时检查分析被更改的原因,在被更改的原因找到并排除之前,不得重新开放服务。
第十四条信息系统中涉及交互式栏目内容发布实行先审后发制度,未经审核不得发布;实行版块负责制,由版主负责本版块的信息安全,以预防信息绕过审核被发布。若出现未经审核发布信息的情况,应先做好记录,再删除未经审核的信息,并暂时关闭信息发布功能,直至找到原因并排除为止。
第十五条对用户上网实行实时监控,若发现有异常行为应立即关闭该用户的网络连接,并及时警告之并记录在案,严重行为应立即上报有关安全机构。
第五章附则
第十六条本制度由信息中心负责解释。
第十七条本制度自发布之日起实施。
湄洲湾职业技术学院
2024月6月6日