第一章 总则
第一条 为规范湄洲湾职业技术学院信息系统安全的风险管理,建立规范、有效的风险控制体系,提高风险防范能力,保证信息系统的安全、稳健运行,提高经营管理水平,根据《互联网信息服务管理办法》、《互联网安全保护技术措施》、《湄洲湾职业技术学院校园计算机网络管理办法》、《湄洲湾职业技术学院校园网安全保护管理暂行办法》等法律法规规章,结合管理实际,制定本制度。
第二条 本制度旨在实现以下目标提供合理保证:
1.将风险控制在与总体目标相适应并可承受的范围内。
2.实现信息沟通的真实、可靠。
3.确保法律法规的遵循。
4.提高信息系统的效益及效率。
5.确保建立针对各项重大风险发生后的危机处理计划,使其不因灾害性风险或人为失误而遭受重大损失。
第三条 在系统工程过程中,风险是对达到属于技术性能,成本和进度方面的目的和目标的不确定性的一种量度。风险等级用事件和事件结果的概率来分类。对获取程序,系统在产品和过程方面进行风险评价。风险源包括技术的(可行性,可操作性,生产性,测试性和系统的有效性);成本(预算,目标),计划表(即技术资料的可用性,技术成就,里程碑);和规划(即资源、合同)。
第四条 信息系统安全风险分为:
(1)信息安全风险
(2)业务流程安全风险
(3)网络安全风险
(4)通信安全风险
(5)无线安全风险
(6)物理安全风险
第五条 本制度适用于湄洲湾职业技术学院的所有信息系统。
第二章 风险管理及职责分工
第六条 学校各部门为本部门信息系统安全风险管理第一道防线;网络管理部门和校园网络安全小组下设的办公室为信息系统安全风险管理第二道防线;校园网络安全小组为信息系统安全风险管理第三道防线。
第七条 各部门在本部门信息系统安全风险、控制管理方面的主要职责:
1.各部门按照信息系统安全风险评估的总体方案,根据业务分工,分析相关业务流程的风险,确定网络应急预案。
2.根据网络应急预案和风险管理的要求,组织实施,发现、收集、分析过程中的缺陷,提出改进意见并予以实施。对于重大缺陷和实质性漏洞,除向部门分管领导汇报情况外,还应向网络管理部门和校园网络安全小组下设的办公室反馈情况,以便网络管理部门监控其运行情况。
3.配合网络管理部门等对网络安全事故造成重大损失或不良影响的事件进行调查、处理。
第三章 风险评估
第八条 信息系统安全风险评估主要在信息系统的设计、实施、运行维护和最终销毁这四个主要阶段组成的生命周期中进行。
第九条 确立信息系统安全风险管理理念和信息安全等级保护是进行风险评估的基础。
第十条 信息系统安全风险分析和对策。定期请有资质的安全风险单位对信息系统进行风险分析后,应该根据风险分析结果,结合风险发生的原因选择风险应对方案:规避风险、接受风险、减少风险或分担风险。
第四章 信息系统应急预案
第十一条 防止突发事件,保证敏感时期的信息安全问题及时响应。
第十二条 防范和消除信息系统破坏,特别是以下危害情况的出现:
1.校园网主页被恶意纂改。
2.交互式栏目发表反政府、分裂国家和色情内容。
3.校园网用户发布或阅读反政府、分裂国家、色情言论。
第十二条 防范立足于技术,以相应的技术设施及安全的设置确保信息系统安全,同时实行专人定时巡查和监督信息传输。
第十三条 信息系统被恶意更改,应立即停止其服务并恢复正确内容,同时检查分析被更改的原因,在被更改的原因找到并排除之前,不得重新开放服务。
第十四条 信息系统中涉及交互式栏目内容发布实行先审后发制度,未经审核不得发布;实行版块负责制,由版主负责本版块的信息安全,以预防信息绕过审核被发布。若出现未经审核发布信息的情况,应先做好记录,再删除未经审核的信息,并暂时关闭信息发布功能,直至找到原因并排除为止。
第十五条 对用户上网实行实时监控,若发现有异常行为应立即关闭该用户的网络连接,并及时警告之并记录在案,严重行为应立即上报有关安全机构。
第五章 附 则
第十六条 本制度由现代教育技术中心负责解释。
第十七条 本制度自发布之日起实施。