等保2.0时代的高校网安体系.docxVIP

等保2.0时代的高校网安体系 只有充分认识到网络安全等级保护的必要性，并在当前管理问题分析的基础上，依据网络安全等级保护2.0制度要求进行网络安全管理体系的规范建设，才能提升网络安全等级保护质量，有效提高高校网络安全管理水平。 一、等级保护对网络安全管理的要求 网络安全等级保护制度是国家网络安全领域的基本制度和管理办法，是维护国家安全、社会秩序和公共利益的根本保障，是教育行业开展网络安全体系建设的重要依据。网络安全等级保护工作对改进高校网络安全管理体系，提高网络安全建设整体水平，增强网络安全体系的完整性和可靠性等方面具有重要意义。 为保障学校网络安全，哈尔滨工程大学依据网络安全等级保护制度要求，通过网络安全等级保护相关工作实践，逐步规范学校网络安全管理。 随着网络信息技术的发展与广泛应用，网络安全问题也在不断变化。2019年5月，《信息安全技术网络安全等级保护基本要求》《信息安全技术网络安全等级保护测评要求》《信息安全技术网络安全等级保护安全设计技术要求》等国家标准正式发布，意味着我国网络安全等级保护从1.0步入2.0时代。 网络安全等级保护制度2.0标准，安全管理指标包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。管理要求分类体现了从要素到活动的综合管理思想，安全管理需要的“机构”“制度”和“人员”三要素缺一不可，同时还应对系统建设整改过程中和运行维护过程中的重要活动实施控制和管理。 二、安全管理体系建设实践 哈尔滨工程大学高度重视网络信息安全工作。为保障学校网络信息安全，切实提高学校网络安全防护水平，加强网络安全管理，学校认真开展网络安全等级保护工作，以网络安全等级保护为工作抓手，落实网络安全等级保护对安全管理工作的要求，逐步完善学校网络安全管理体系建设。 01?安全管理制度建设 高校网络安全工作的开展，需要制定健全的网络安全管理制度作为工作依据，明确和落实学校各单位网络安全责任，以等保要求为基础确定网络安全管理制度覆盖的内容，实施网络安全等级保护制度。 学校出台《哈尔滨工程大学网络信息安全管理办法（试行）》，包括校园网与IT基础环境安全管理、网站与信息系统安全管理、数据信息安全管理、校园网用户与终端安全管理、账号密码与密钥安全管理、监测预警与应急处置等，对网络安全管理活动中的各类管理内容建立安全管理制度。 同时，根据网络安全工作要求的不断变化，学校将对网络安全管理制度的合理性和适用性进行论证和审定，对存在的不足或需要改进的内容进行修订。 02?安全管理机构 学校加强组织领导，落实网络信息安全责任制，成立哈尔滨工程大学网络安全和信息化领导小组，领导小组办公室设在信息化处。信息化处设置专职科室IT安全部，负责学校网络信息安全技术防护体系建设和网络信息安全日常工作。配备专职安全管理员，关键事物岗位配置多人共同管理。 制定授权及审批管理制度，明确系统变更、重要操作等事项的审批流程，通过在学校网上办事中心建立审批流程进行线上审批，保存审批记录，记录处理时间、审批人、审批状态等信息。学校组建各单位网络信息安全负责人和联络员队伍，明确各单位网络信息安全工作分管领导，加强各部门之间的沟通合作，建立上通下达的沟通渠道，有效提高网络安全问题的处理效率。学校加强外部沟通合作，与公安机关、主管部门、兄弟院校建立常态化网络安全联防工作机制，落实网络安全工作要求。 同时，引入多家符合网络安全资质要求的专业网络安全技术机构，为学校提供网络安全技术支持服务，并由业界专家对学校安全规划和重要项目进行安全评审，通过加强多方沟通合作，提高学校网络安全防护能力。 学校加强网络信息安全日常管理，开展全校网络信息安全检查，通过上线检查、专项检查、定期检查相结合，协助和督促各部门落实网络安全问题整改，减少安全风险。 03?安全管理人员 人员管理是网络信息安全中的关键因素，同时也是网络信息安全中的薄弱环节。 高校在网络安全管理人员方面普遍面临的问题是缺少专兼职网络安全人员、网络安全意识不强、网络安全培训宣传不到位、外部人员访问管理不严格等。网络安全人员管理的缺失或不完善，会导致网络信息安全受到影响，甚至引发安全事件。因此，高校需健全人员安全管理措施，落实工作职责、规范操作，减少内、外部人员带来的网络安全风险。 对照网络安全等级保护安全管理人员工作要求，学校信息化处网络安全相关岗位人员签署保密协议，并制定关键岗位人员离岗离职安全管理规定，人员离职时，及时终止离岗人员的访问权限。对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训。制定了第三方人员安全管理规定，对外来建设和维保公司，以及来访参观学习的单位可能接触到的敏感信息和技术，须上报领导批准，相应安全岗位责任人必须全程陪同，并了解和记录重要操作过程。 04?安全建设管理 高校网络安全建