学院网络与信息安全策略.doc

XX学院

网络与信息安全策略

第一章总则

第一条为了建立、健全学院网络、信息安全管理制度，加强网络与信息安全保障能力，保证网络通信畅通和业务系统的正常运营，按照相关的国家标准，在学院安全体系框架下，确定网络与信息安全方针和目标，对学院网络、信息安全风险进行有效管理，规范安全事件的响应和操作流程，改进信息安全管理制度的有效性，特制定信息安全策略文档。

第二条本文档适用于学院网内相关的所有信息安全管理活动。

第二章信息安全范围

第三条信息安全策略涉及的范围包括：

1.学院全体师生。

2.学院网内的各个数字化学院信息系统，包括学院网站主页、学院信息门户系统、统一身份认证系统、人事管理系统、办公自动化系统、网站群系统、学工管理系统、电子邮件系统等在内的所有学院网内的业务系统。

3.学院内现有的信息资产，包括与上述数字化学院信息系统相关的数据、硬件、软件、服务及文档等。

4.学院内的办公场所和上述信息资产所处的物理位置。

第三章信息安全总体目标

第四条通过建立健全学院网络安全及各项信息安全管理制度、加强学院师生的网络、信息安全培训和教育工作，制定适合学院现状的网络信息安全风险控制措施，有效控制学院网内部网络与信息系统面临的安全风险，从而保障数字化学院业务系统的正常稳定运行，提高网络与信息系统的服务质量，进而全面提高学院信息化建设质量及安全水平，为学院信息化建设的可持续发展提供有力保障。

第四章信息安全方针

第五条学院信息化建设领导小组领导定期组织相关人员召开网络信息安全会议，并征询学院信息化专家咨询小组的意见，对相关的网络信息安全重大问题做出决策。

第六条清晰识别学院的所有信息资产，实施等级标记，对院内信息资产进行分级、分类管理，并编制和维护所有重要信息资产的清单。

第七条综合使用访问控制、监测、审计和身份鉴别等方法来保证院内数据、网络、信息资源、资产的安全，并加强对校外人员访问数字化学院信息系统的控制和监测，最大程度降低业务系统被非法入侵的风险。

第八条启用各个服务器操作系统、网络设备、安全设备、应用软件的日志功能，并尽可能定期地进行审计，做好相应的记录。

第九条明确学院全体师生的信息安全责任，全院所有的师生必须接受网络信息安全方面的相关教育培训，提高信息安全意识。针对院内教职工的各个不同岗位，制定好不同等级、水平的网络信息安全培训计划，并定期对各个岗位教职人员进行信息安全技能及信息安全认知方面的考核。

第十条建立学院网络与信息安全事件报告、网络信息安全相关事故应答和分类机制，确定一个报告可疑的及已经发生的信息安全事故的完整流程，并让所有师生及相关人员了解和执行事故处理流程，同时还要注意妥善保存好网络信息安全事件的相关记录与证据。

第十一条对各个数字化学院信息系统的用户权限和密码口令进行严格管理，要求全院师生逐步将信息系统用户密码改为强密码格式并绑定常用的手机号，以便重要系统进行双因素认证，防止黑客对信息系统的非法访问和对个人数据信息的恶意篡改或窃取。

第十二条制定出一套完善的数据备份策略，对学院网内所有重要数据进行定期的备份。数据备份之后还要定期进行还原测试，同时还需注意备份介质与原数据信息所在场所应保持一定的安全距离。

第十三条与信息软件销售公司、硬件销售维保公司等外部单位合作之前，应在采购、服务合同中明确规定合同参与方的安全要求、安全责任和安全规定等相关安全内容，并采取相应的措施严格保证双方对协议安全内容的有效执行。

第十四条在自主开发新业务系统或者委托软件公司建设新的信息系统时，应当充分考虑相关的安全需求，并严格控制有关人员对项目相关文件和源代码等敏感数据的访问，防止重要信息被窃取或泄露。

第十五条制定好一整套计划和方案定期对学院网内各个信息系统进行风险评估，并根据风险评估的结果，划分好各系统的风险等级，采取相应的有效措施对这些业务系统进行风险控制。

第十六条上述方针由学院信息化建设领导小组批准发布，并定期评审其适用性和充分性，必要时予以修订。

第五章信息安全策略

第一节安全管理制度策略

第十七条学院信息化建设领导小组统一制定信息安全工作的总体方针和安全策略，说明安全工作的总体目标、范围、原则和安全框架，形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系；

第十八条学院网络与教育技术中心各部门相关领导负责与各自部门工作相关的安全管理制度的制定，安全管理制度应具有规范统一的格式。制定好之后组织学院信息化专家咨询小组相关专家对制定的安全管理制度进行论证和审定，并通过学院网站主页及信息门户平台进行发布。

第十九条学院信息化建设领导小组负责定期组织专家及网络与教育技术中心相关部门、人员对安全管理制度体系的合理性和适用性进行审定，对制度体系中存在的不足之处或需要改进的地方及时进行修订和完善。

第二节安全管理机构策略

第