1、学院系统安全风险管理制度第一章总则第一条为规范XX学院信息系统安全的风险管理,建立规范、有效的风险控制体系,提高风险防范能力,保证信息系统的安全、稳健运行,提高经营管理水平,根据互联网信息服务管理办法、互联网安全保护技术措施、XX学院网络安全管理规定等等法律法规规章,结合管理实际,制定本制度。第二条本制度旨在实现以下目标提供合理保证:1、将风险控制在与总体目标相适应并可承受的范围内。2、实现信息沟通的真实、可靠。3、确保法律法规的遵循。4、提高信息系统的效益及效率。5、确保建立针对各项重大风险发生后的危机处理计划,使其不因灾害性风险或人为失误而遭受重大损失。第三条在系统工程过程中,风险是对达到
2、属于技术性能,成本和进度方面的目的和目标的不确定性的一种量度。风险等级用事件和事件结果的概率来分类。对获取程序,系统在产品和过程方面进行风险评价。风险源包括技术的(可行性,可操作性,生产性,测试性和系统的有效性);成本(预算,目标),计划表(即技术资料的可用性,技术成就,里程碑);和规划(即资源、合同)。第四条信息系统安全风险分为:(1)、信息安全风险(2)、业务流程安全风险(3)、网络安全风险(4)、通信安全风险(5)、无线安全风险(6)、物理安全风险第五条本制度适用于xx学院的所有信息系统。第二章风险管理及职责分工第六条学校各部门为本部门信息系统安全风险管理第一道防线;网络管理部门和校园网
3、络安全小组下设的办公室为信息系统安全风险管理第二道防线;校园网络安全小组为信息系统安全风险管理第三道防线。第七条各部门在本部门信息系统安全风险、控制管理方面的主要职责:1、各部门按照信息系统安全风险评估的总体方案,根据业务分工,分析相关业务流程的风险,确定网络应急预案。2、根据网络应急预案和风险管理的要求,组织实施,发现、收集、分析过程中的缺陷,提出改进意见并予以实施。对于重大缺陷和实质性漏洞,除向部门分管领导汇报情况外,还应向网络管理部门和校园网络安全小组下设的办公室反馈情况,以便网络管理部门监控其运行情况。3、配合网络管理部门等对网络安全事故造成重大损失或不良影响的事件进行调查、处理。第三
4、章风险评估第八条信息系统安全风险评估主要在信息系统的设计、实施、运行维护和最终销毁这四个主要阶段组成的生命周期中进行。第九条确立信息系统安全风险管理理念和信息安全等级保护是进行风险评估的基础。第十条信息系统安全风险分析和对策。定期请有资质的安全风险单位对信息系统进行风险分析后,应该根据风险分析结果,结合风险发生的原因选择风险应对方案:规避风险、接受风险、减少风险或分担风险。第四章信息系统应急预案第十一条防止突发事件,保证敏感时期的信息安全问题及时响应。第十二条防范和消除信息系统破坏,特别是以下危害情况的出现:1、校园网主页被恶意纂改。2、交互式栏目发表反政府、分裂国家和色情内容。3、校园网用户
5、发布或阅读反政府、分裂国家、色情言论。第十二条防范立足于技术,以相应的技术设施及安全的设置确保信息系统安全,同时实行专人定时巡查和监督信息传输。第十三条信息系统被恶意更改,应立即停止其服务并恢复正确内容,同时检查分析被更改的原因,在被更改的原因找到并排除之前,不得重新开放服务。第十四条信息系统中涉及交互式栏目内容发布实行先审后发制度,未经审核不得发布;实行版块负责制,由版主负责本版块的信息安全,以预防信息绕过审核被发布。若出现未经审核发布信息的情况,应先做好记录,再删除未经审核的信息,并暂时关闭信息发布功能,直至找到原因并排除为止。第十五条对用户上网实行实时监控,若发现有异常行为应立即关闭该用户的网络连接,并及时警告之并记录在案,严重行为应立即上报有关安全机构。第五章附则第十六条本制度由XX学院网络安全领导小组办公室负责解释。第十七条本制度网络安全领导小组通过之日起执行。XX学院信息中心
