前往顾页

高校信息宁静办理体例制定法例

时候:2018-03-05 11:45来源:知行网www.zhixing123.cn 编辑:麦田守望者

信息宁静办理体系

  根基观点

  保证信息宁静,起首要建立精确的宁静观。一方面,信息宁静问题不单是一个技术问题,而是由人、技术体系和构造外部环境等综合身分产生的问题,要靠有效的信息宁静办理才气弥补纯真技术手段的不足;另外一方面,信息宁静包含内容遍及,信息宁静需求团体防护。如果还以各自自力的视角去对待信息技术宁静事情,就会呈现瞽者摸象、只见树木不见丛林的环境。是以,要把高校信息宁静办该当作一个团体进行研究和实际,信息宁静办理体系就是从团体上对待高校信息宁静事情。

  参考体系框架

  业界前后提出过很多信息宁静办理体系参考框架。因为各行业、各单位都具有各自不合的环境,其实不存在同一的信息宁静办理体系适合所有高校。中山年夜学在扶植信息宁静办理体系的过程中,重点参考了《信息技术宁静技术信息宁静办理体系请求》(GB/T 22080-2008,相当于ISO/IEC 27001:2005)及《信息宁静技术当部分分信息宁静办理根基请求》(GB/T 29245-2012)等两个标准,现扼要介绍以下:

  1.《信息技术 宁静技术 信息宁静办理体系 请求》

  该标准发源于英国当局一项最好实际,后成为国际标准,用于为建立、实施、运行、监督、评审、保持和改进信息宁静办理体系(Information Security Management System,简称ISMS)供应模型。该标准共枚举了“宁静目标”、“信息宁静构造”、“资产办理”、“人力资本宁静”、“物理和环境宁静”、“通信和操纵办理”、“拜候节制”、“信息体系获得、开辟和保护”、“信息宁静变乱办理”、“业务持续性办理”和“适合性”等11方面的节制目标和节制办法。

  2.《信息宁静技术 当部分分信息宁静办理 根基请求》

  该标准用于指导各级当部分分的信息宁静办理事情和信息宁静查抄事情,标准涵盖信息宁静构造办理、平常信息宁静办理(包含职员、资产、推销、外包、经费等)、信息宁静防护办理(包含收集鸿沟、信息体系、门户网站、电子邮件、终端计较、存储介质等)、信息宁静应急办理、信息宁静教诲培训、信息宁静查抄等6方面内容。其配套轨制可见《信息宁静技术 当部分分信息宁静办理根基请求:补篇 信息宁静办理轨制参考模板》。

  近似的标准另有《银行业信息科技风险办理指引》、《企业风险办理框架》(COSO)、《信息及相关技术的节制目标》(COBIT)等。

  办理轨制框架

  以后信息宁静办理体系遍及采取文件化办理形式。文件化办理形式主张在办理某项事情或活动时,应建立和实施法度,法度的履行需求保存可追溯的记录。这与中山年夜学目前年夜力奉行的“四有”高校行政办理文明--“有根据、有流程、有记录、有节点”--是高度分歧的。

  典范的信息宁静轨制采取的是金字塔式层级框架,如图1所示:

  1.一级文件:信息宁静目标

  信息宁静目标是信息宁静办理的下层文件,也是纲领性文件,其他文件如办理体例、标准、流程、记录文件等都必须顺从一级文件。

  2.二级文件:办理体例

  办理体例是信息宁静办理轨制的束缚性文件,是对信息宁静某一方面的准绳性规定。

  3.三级文件:规定、标准、流程和细则等

  规定、细则是对办理体例的细化规定和请求;标准是实现办理体例需求遵循的准绳和规定,包含技术标准和办理标准;流程是对办理体例的过程描述,侧重事情过程中输入、输入、活动、职责的界定。

  4.四级文件:表单模板、业务流程图、记录文件等

  为第一至三级文件轨制在履行过程顶用的相关表单和记录。

  《中山年夜学信息技术宁静办理体例》介绍

  草拟过程

  《中山年夜学信息技术宁静办理体例》是黉舍信息宁静办理的纲领性和根本性文件。信息化办理办公室在制定体例时候,按照黉舍实际,没有采取指导定见体例,采取的是二级文件办理体例体例,将目标政策的内容融于办理体例体系当中。

  文件草拟事情由信息化办理办公室牵头,收集与信息技术中间共同,用时年夜半年时候。草拟单位在总结畴昔校园网扶植和数字化校园扶植经历和服从、分解信息宁静风险评价及信息宁静品级测评成果和问题的根本上,充分参透《教诲部关于加强教诲行业收集与信息宁静事情的指导定见》(教技[2014]4号)、《教诲部关于进一步加强直属高校直属单位信息技术宁静事情的告诉》(教技[2015]1号)、《教诲部 公安部关于全面推动教诲行业信息宁静品级庇护事情的告诉》(教技[2015]2号)等上位精神,几次会商点窜构成以后版本。期间,黉舍行礼聘了有丰富当局机关、企奇迹单位实施经历的信息宁静咨询办事公司供应咨询定见。在体例制定后期,草拟单位还接收了《中华群众共和国收集宁静法》(简称《收集宁静法》)部分内容,终究体例于2017年1月经由过程黉舍党委常委会审议,并在《收集宁静法》正式实施(2017年6月1日)前印发。

  称呼由来

  教诲部将《收集宁静法》中规定的收集宁静事情分化成三部分:第一部分称为“信息技术宁静”(《收集宁静法》的第3、五章内容,由科技司牵头,信息中间、办公厅共同做好事情);第二部分称为“信息内容宁静”(《收集宁静法》的第四章部分内容,由思政司牵头,相关司局共同做好事情);第三部分称为“收集数据宁静”(《收集宁静法》的第四章部分内容,由打算司牵头,相关司局共同做好事情)。

  本体例绝年夜部分内容是关于信息技术宁静的,仅少量条目触及内容办理和数据办理的准绳性请求。是以,体例称呼定为《中山年夜学信息技术宁静办理体例》。

  首要内容

  体例共17章、89条目、7275字,是中山年夜学信息技术宁静办理的纲领性、根本性文件。各章节内容以下:

  1.总则

  2.构造机构与职责

  3.校园收集办理

  4.数据中间办理

  5.信息体系扶植、运行和运维办理

  6.信息体系数据宁静办理

  7.互联网网站宁静办理

  8.电子邮件宁静办理

  9.终端计较机宁静办理

  10.存储介质宁静办理

  11.职员宁静办理

  12.外包办事宁静办理

  13.信息宁静应急办理

  14.信息宁静教诲培训

  15.信息宁静查抄监督

  16.信息宁静任务究查

  17.附则

  第二章明白黉舍信息技术宁静事情的首要任务人、归口办理部分和技术支撑部分及其首要职责,并规定校内各单位的宁静任务;中山年夜黉舍长是信息技术宁静事情的第一任务人;中山年夜学信息化事情机制对峙“管建分离”准绳,信息化办理办公室是信息宁静的天性机能部分,收集与信息技术中间是信息宁静的技术支撑部分。

  后续推动办法

  信息宁静办理体系扶植是一项体系工程,也是一项持久艰巨的任务。纲领性、根本性文件的公布出台,是体系扶植的首要里程碑,但这仅仅是万里长征的第一步。

  信息宁静咨询办事公司为黉舍设想了一个信息宁静轨制文件框架,作为信息宁静办理体系的蓝图和打算。

  信息化办理办公室整合各部分气力,采纳“成熟一个、出台一个”、“急用先上”等准绳,鞭策各级文件的制定公布。比方,信息化办理办公室在一级文件公布几近同时,制定出台了《中山年夜学互联网网站办理体例》、《中山年夜学公事电子邮箱利用办理体例》(两个别离对应于第7、八章内容的二级文件)。

  办理轨制的制定是一项艰巨的任务,但其有效履行更是黉舍信息宁静事情的重点和难点,也是决定事情的成败关头点。为此,信息化办理办公室抓住一切机遇进行鼓吹。比方,信息化办理办公室主任操纵年关部分述职、全校中层干部学习讲座等机遇和场合主动宣讲相关轨制文件精神;信息化办理办公室会同收集与信息技术中间进行了面向二级单位办公室主任的信息化办理事情专题培训,从办理和办事两个角度进行轨制文件内容解读。

  为改进办理事情效力和用户体验,信息化办理办公室将信息技术引入到信息宁静办理当中去,将互联网网站备案、网站信息更新和年审等服从设想为年夜学办事中间(University Service Center,简称USC)平台上的标准流程,让网站卖力人经由过程手机端、经由过程收集的简朴操纵就可以完成以往烦琐的手工填表和交表事情。(责编:王左利)(作者单位为中山年夜学信息化办理办公室)

来源:中国教诲收集作者:张永强
顶一下
(0)
0%
踩一下
(0)
0%
------分开线----------------------------
标签(Tag):信息宁静办理体例
------分开线----------------------------
颁发评论
请自发遵循互联网相关的政策法规,严禁公布色情、暴力、革命的谈吐。
评价:
神色:
考证码:点击我更换图片
猜你感兴趣