XX大學信息化建設與管理處
第一部分 網絡與信息安全規章制度
XX大學信息安全預警管理辦法
第一章 總則
第一條 制度目標:為了加強信息安全保障能力,建立健全的安全管理體系,提高整體的網絡與信息安全水平,保證網絡通信暢通和業務系統的正常運營,提高網絡服務質量,在安全體系框架下,本制度規范安全預警機制,和其他安全風險制度一起構建安全風險預防體系。
第二條 適用范圍:本制度適用于信息安全管理小組,信息安全實施組,部門安全管理組織及系統管理員。
第二章 安全預警的內容
第三條 安全預警對象主要針對那些可能在較大范圍內發生,傳播速度快,影響范圍廣,造成危害大的安全事件、病毒以及安全漏洞。
第四條 安全預警對象的主要特點是:
突發性、非一般性;
1大范圍傳播、涉及面廣;
2可能造成重要危害和影響;
3受影響的網絡或系統存在相關的脆弱性;
4需要動員內部和外部力量協同解決。
第五條 安全預警根據預警對象劃分為如下三類:
1安全漏洞類;
2病毒類;
3安全威脅/事件類。
第六條 安全預警對象的典型表現包括網絡蠕蟲(如振蕩波蠕蟲、沖擊波蠕蟲,Nimda蠕蟲、Sql slammer蠕蟲)、惡意代碼、大規模網絡攻擊、異常網絡流量、異常網絡內容等。
第三章 安全預警管理
第十三節 病毒類安全預警管理
第七條 病毒類安全預警主要由信息化建設與管理處信息系統部負責,安全預警發布的主要內容應包括重大惡性病毒出現及發作、內部影響嚴重,涉及范圍廣的惡性病毒。
第八條 安全預警的方式可以通過學校網站主頁安全通告管理發布,郵件通報或短信息通知。
第十四節 安全漏洞類安全預警管理
第九條 安全漏洞類安全預警主要由信息化建設與管理處信息系統部負責,安全預警發布的主要內容應包括重大安全漏洞發布、重大安全補丁發布。
第十條 安全預警的方式可以通過網絡及郵件以安全通告進行發布。
第十五節 安全威脅、事件類安全預警管理
第十一條 安全威脅、事件類安全預警主要由信息化建設與管理處信息系統部負責,安全預警發布的主要內容應包括來自安全界的重大安全威脅、事件;來自其他同類型的重大安全威脅、事件以及來自集團發布的重大安全威脅、事件。
第十二條 安全預警的方式可以通過學校網站主頁安全通告管理發布、郵件通報或短信息通報。
第四章 安全預警后處理
第一節 預警后處理
第十三條 在收到預警信息后,學校各單位部門的各級系統管理員及安全管理員應檢查所管設備是否存在預警信息中提到的弱點隱患。如果沒有及時處理,造成安全事件的發生,相關責任由各單位部門的系統管理員負責。
第十四條 學校各單位部門的各級安全管理員應在預警信息后,督促本部門進行針對性預防,并對本部門各系統進行抽檢。
第二節 事件發生處理
第十五條 針對一般安全事件,在安全事件發生、處理后,應及時報部門信息化分管領導,并同時通報學校信息化安全領導小組,根據《安全事件管理辦法》進行處理。
第十六條 針對嚴重或重大安全事件,需要啟動應急響應計劃,根據《應急響應管理辦法》進行處理。
篇2:XX大學網絡與信息安全事件管理辦法
XX大學信息化建設與管理處
第一部分 網絡與信息安全規章制度
XX大學網絡與信息安全事件管理辦法
第一章 總則
制度目標:為了加強信息安全保障能力,建立健全的安全管理體系,提高整體的網絡與信息安全水平,保證網絡通信暢通和業務系統的正常運營,提高網絡服務質量,在安全體系框架下,本制度為加強信息安全事件的管理,規范安全事件的響應和操作流程。
適用范圍:本制度適用于TCP/IP網絡、以及所承載的業務系統。
使用人員及角色職責:本制度適用于各部門安全管理員、各系統管理員、其它師生用戶。
制度相關性:本制度與安全檢查及監控等管理辦法相關。
第二章 安全事件定義
第一條 網絡與信息安全事件是指針對TCP/IP網絡中,由于硬件、軟件、數據因非法攻擊或病毒入侵等安全原因而遭到破壞、更改、泄漏(可能)造成系統不能正常運行,影響正常的業務發展,稱為安全事件。
第二條 安全事件主要可以分為以下幾大類:
(一)拒絕服務:DoS是Denial of Service的簡稱,即拒絕服務,造成DoS的攻擊行為被稱為DoS攻擊,其目的是使計算機或網絡無法提供正常的服務。
(二)惡意代碼:病毒、蠕蟲、木馬等會給計算機帶來不良影響的代碼。
(三)未授權訪問:某人在沒有得到允許的情況下,獲得對網絡、系統、應用、數據以及其他信息資源的訪問權限。
(四)不當應用:違反安全制度的行為,包括和部門制定的流程、制度、標準和規范。
(五)上述幾種安全事件的結合。
第三條 安全事件對業務可能造成的影響或已經造成影響的嚴重程度并結合資產的重要程度把安全事件分為一般、嚴重和重大三個級別。
(一)由于非法攻擊、病毒入侵等安全原因造成業務系統的主機、網絡、數據庫和數據等IT資產受到損害,由于已經采取了安全預防措施(例如備份設備等),沒有影響業務系統的正常運行,并能夠通過部門安全管理員進行協調處理,在短期內發現并解決的安全問題,稱為一般安全事件。
(二)由于非法攻擊、病毒入侵或后門等安全原因造成業務系統的主機、網絡、數據庫和數據等重要IT資產受到損害,可能對業務系統造成影響的安全問題稱為嚴重安全事件。本級別的安全事件包括一般安全事件沒有在規定時間內沒有進行解決,同時可能對業務系統造成影響的安全事件,會從一般安全事件上升到嚴重安全事件。
(三)由于非法攻擊、病毒入侵或后門等安全原因造成業務系統的主機、網絡、數據庫和數據等重要IT資產受到損害,并且已經對業務系統造成一定范圍的影響,有可能產生業務中斷的安全問題稱為重大安全事件。本級別的安全事件包括嚴重安全事件沒有在規定時間內沒有進行解決,同時對業務系統造成影響的安全事件,會從嚴重安全事件上升到重大安全事件。
第三章 組織職責
第四條 各系統管理員和部門信息安全管理員負責安全事件的判斷、報告和安全事件應急恢復流程的啟動申請。
第五條 各部門信息安全組織負責組織協調和處理一般安全事件。
第四章 安全要求
第六條 應報告所發現的安全弱點和可疑事件,但任何情況下用戶均不應嘗試驗證弱點。
第七條 各系統管理員應根據安全事件的類型和級別定義判斷安全事件,及時處理安全事件的發生和蔓延;
第八條 各系統發生安全事件應及時進行處理和匯報;
第九條 各部門安全管理員應對信息安全事件的發生、處理辦法進行記錄,并把《安全事件記錄單》提交信息安全工作組進行備案;
第十條 各部門在處理一般安全事件過程中,部門信息安全管理員需要判斷事件的嚴重程度,如果已經上升到嚴重安全事件,應及時上報上級主管部門。
第十一條 應在安全事件報告和響應處理過程中,分析和鑒定事件產生的原因,收集證據,記錄處理過程,總結經驗教訓,制定防止再次發生的補救措施,過程形成的所有文件和記錄均應妥善保存;
安全應急響應機制組織架構
一、領導機構組成:
姓名 手機 辦公電話 家庭電話 郵件
組長
副組長
二、執行機構組成:
1. 應急反應聯系電話:
2. 應急反應執行機構人員構成:
姓名 手機 辦公電話 郵件
單位辦公室
信息安全技術負責人
網絡保障技術負責人
篇3:XX大學網絡與信息安全制度管理辦法
XX大學信息化建設與管理處
第一部分 網絡與信息安全規章制度
XX大學網絡與信息安全制度管理辦法
第一章 總則
第一條 制度目標:為了加強信息安全保障能力,建立健全安全管理體系,提高整體的網絡與信息安全水平,保證網絡通信暢通和業務系統的正常運營,提高網絡服務質量,在安全體系框架下,本制度為規范安全制度的制定、發布、修改、廢止、檢查和監督落實,建立科學、嚴謹的管理辦法。
第二條 適用范圍:本制度適用于XX大學所有部門單位的網絡安全管理。
第三條 制度相關性:本制度涉及所有安全制度自身的所有生命周期內容,同時遵照相關文件、文檔管理制度。
第二章 安全管理制度分類
第四條 XX大學網絡的安全管理制度,分為11個類別:
(一) IT治理,定義IT工作總則,IT組織、IT規劃、IT決策、信息安全目標等方面。
(二) 人員管理,主要定義IT人員的崗位職責、人員任免、勞動紀律、關鍵技術崗位人員管理、考核與問責、輪換與休假、培訓等方面的管理,包括本學校師生用戶及校外第三方單位人員管理。
(三) IT運維,內容涵蓋運維管理組織體系、機房和運行環境管理、機房值班、日常運維、災難備份、應急預案及演練、故障處理與責任追究等管理內容,以及系統變更上線、應急處理、安全事件處理等。
(四) 數據和檔案,數據和技術檔案的分類、組織體系、備份和保存等管理。
(五) 安全管理,明確安全管理組織架構及職責、日常監控管理、介質管理、計算機病毒防護管理、安全補丁管理、權限管理和審批、密碼管理、保密制度、門戶網站內容管理等。
(六) 開發與測試,系統程序開發、測試方面。
(七) 網絡通信,網絡通信和安全建設規范、網絡隔離、通信管理等管理內容。
(八) 項目管理,項目招標、建設、驗收、評估等管理方面。
(九) 資產管理,信息系統設備的采購、維護、報廢等管理。
(十) 服務與支持,內部技術支持服務流程及第三方產品與服務商管理方面。
(十一) 標準操作流程,SOP操作流程文檔。
第三章 安全管理制度制定
第五條 XX大學信息安全管理小組負責制定學校層面的安全管理制度,主要包括:信息安全體系、安全管理制度框架、信息安全方針、信息安全體系等級化標準、全局性安全技術標準和技術規范、全局性安全管理策略和規定、安全組織機構和人員職責、用戶協議。
第六條 各部門信息管理人員遵照下發的安全管理制度,結合本部門系統實際情況,制定和細化成適用于本部門的具體管理辦法、實施細則和操作規程等,不得與學校層面的規章策略相抵觸,并須上報學校信息安全管理小組備案。
第七條 安全管理制度中不得出現涉密信息。
第八條 對安全管理制度進行匯編時,必須保留各安全管理制度的版本控制信息和密級標識。
第九條 制度名稱使用“單位名稱+制度名稱+版本號”規范進行命名。單位名稱:使用簡寫。版本號要求:初始版本號‘V1.0’,如發生細節修訂,變更小數點后的小版本號;如內容變更較多,修訂后變更小數點前的大版本號。
第四章 安全管理制度發布
第十條 XX大學安全管理制度必須以學校正式文件的形式發布施行。
第十一條 XX大學安全管理制度由XX大學信息安全管理小組制訂,XX大學信息化建設領導小組審批、XX大學信息化建設與管理處發布。
第十二條 學校各部門層面安全管理制度由各部門信息化分管領導制訂,XX大學信息安全管理小組審批、XX大學信息化建設與管理處發布,同時要留存信息化建設與管理處備案。
第十三條 系統層面安全管理制度由學校各單位系統管理員制訂、本部門安全管理員協助,XX大學安全管理小組審批、發布,同時要留存信息化建設與管理處備案。
第十四條 安全管理制度發布后,如有必要,安全管理制度制定部門應召集相關人員學習安全管理制度,詳細講解規章策略的內容并解答疑問。
第十五條 安全管理制度修訂后需要以學校正式文件的形式重新發布施行,修訂后的策略也需相應層次的管理部門審批。
第十六條 簽署發布的規章策略必須標明該規章策略的施行日期。
第五章 安全管理制度修改與廢止
第十七條 XX大學信息安全管理小組必須每年對安全管理制度進行評審,對其中不適用的或欠缺的條款,及時進行修改和補充完善。對已不適用的信息安全管理制度或規定應及時廢止。
第十八條 當現行安全管理制度有下列情形之一時,必須及時修改:
(一) 當發生重大安全事件,暴露出安全管理制度存在漏洞和缺陷時;
(二) 組織機構或生產系統進行重大調整和變更后;
(三) 同一個事項在兩個規章策略中規定不一致;
(四) 與上級部門的安全管理制度相抵觸;
(五) 其他需要修改安全管理制度的情形。
第十九條 當現行安全管理制度有下列情形之一時,必須及時予以廢止:
(一) 因有關信息安全管理制度或規定廢止,使該信息安全管理制度或規定失去依據,或與現行上層策略相抵觸;
(二) 因已規定的事項已經執行完畢,沒有存在必要;
(三) 已被新的規章策略所替代。
第二十條 安全管理制度的修改與廢止須經XX大學信息化建設領導小組組織專家審批確認,XX大學信息化建設與管理處備案。
第二十一條 學校各單位部門層面的安全管理制度的修改與廢止須經各部門信息化分管領導及XX大學信息化建設與管理處審批、確認和備案。
第六章 安全管理制度監督和檢查
第二十二條 安全管理制度發布實施后,XX大學各單位、部門應就安全管理制度或規定的貫徹執行,執行中存在的問題以及對規章制度修改或廢止的意見建議等情況進行檢查、監督,并將意見和建議及時反饋給XX大學信息化建設與管理處。
第二十三條 為保障各項信息安全管理制度的貫徹落實,XX大學信息化建設與管理處必須每季度檢查安全制度的落實情況,信息安全管理制度的落實情況檢查是信息安全檢查工作的重要內容。
第二十四條 信息安全檢查工作結束后,XX大學信息化建設與管理處在起草檢查報告時,必須通報安全制度的落實情況,對執行不力的行為必須提出整改意見,限期糾改,并繼續追蹤其落實情況。
第二十五條 安全管理制度的貫徹落實情況,必須作為重要的考核項目,納入XX大學各單位部門的綜合考評體系。
第二十六條 為安全管理制度落實做出顯著成績的部門或個人,學校應給予表彰和獎勵;對違反規章制度造成嚴重后果的部門或個人,學校應追究當事人、相關單位及主管領導的責任。