一、简介
河南职业技术学院各应用系统相关信息和支撑系统等,不论它们以何种形式存在,均是学院信息系统的关键资产。信息的可用性、完整性和机密性是信息安全的基本要素,关系到我院的形象和信息系统的持续运行。因此,必须保护这些资产不受威胁侵害(威胁可能来自各个方面,如网络诈骗、侦探、病毒或黑客,自然灾害等)。定义和监督执行系统网络与信息安全总体策略是信息系统网络与信息安全管理部门的职责。
我院各应用信息系统是存储、传输、处理大量相关核心数据的系统。这些数据信息受国家法律保护,必须保证安全。确保信息系统的持续可靠运行需要在信息系统的全生命周期内从技术、管理、工程实施、运行等方面进行安全保障。而计算机机房作为计算机设备、网络基础设施的汇集地,是信息安全重要的区域。计算机机房的安全是信息安全的基础。为了确保机房及系统信息的安全,使得机房内的信息资产免受各类环境的影响,也使得机房内的信息设备或信息资产免受非法或未经授权的访问、窃取或破坏,制定本规范。
二、范围
信息安全关系到所有类型的信息和存贮、处理或传输这些信息的硬件、软件及固件。本策略适用于与信息系统相关的所有部门及其人员。然而,不同的部门要根据其自身的特点,对需求、威胁、风险、信息类型进行针对性的规定。
三、目标
信息安全的目标就是确保系统业务的连续性,并通过一系列预防措施将业务可能受到的损害降到最低,将安全事故产生的影响降到最低。信息安全管理应在确保信息和计算机资产受到保护的同时,确保信息能够在允许的范围内正常运行使用。对每种资产的保护程度由以下四个基本要素决定:
1.机密性
2.完整性
3.可用性
4.可审计性
同样,本策略的目的也是让所有干部职工能够了解信息安全问题以及他们个人的责任,并严格遵守本安全策略。促进信息安全策略的实现和普及是每个干部职工应尽的责任和义务。依照本安全策略,需要制定:
1.信息安全相关的角色需求
2.各种安全环境下的岗位和职责需求
全院干部职工都应该遵守国家相关的计算机或信息安全法律要求,并明确他们各自的信息安全职责。
四、遵从性
信息系统运行应避免触犯任何刑事、民事法律、法规或违反合同约定的责任和任何安全要求。对信息系统的设计、操作、使用和管理可能要根据法律、法规和合同的安全要求。详细而精确的法律要求方面的建议应该从组织的法律顾问,或者合格的法律从业人员处获得。
业务相关信息系统内已存在,但内容与本安全策略不符的管理规定,应以本安全策略的要求为准,并参考本安全策略及时进行修订。
五、信息安全管理组织
建立安全组织的目标是管理信息系统内部的信息安全。各个信息系统运行管理都必须指定专职的安全管理员,不得与其它系统管理员、数据库管理员、应用系统管理员等管理人员角色重叠。
建立信息安全管理体系,在系统内部开展和控制信息安全的管理实施。
根据需要,建立外部信息安全专家咨询小组。保持与信息系统外部的安全专家的联系,并与业界的趋势、监控标准和评估方法同步。
信息安全是所有内部信息系统管理人员必须共同承担的责任。各信息系统内部必须建立相应的最高的安全领导小组,由最高的主管领导担任组长,领导小组应能够:
1.提供清晰的指导方向,可见的管理支持,明确的信息安全职责授权
2.审查、批准信息安全策略和岗位职责
3.审查业务关键安全事件
4.批准增强信息安全保障能力的关键措施和机制
5.保证必要的资源分配,以实现数据有效性以及信息安全管理体系的持续发展。
相关信息安全管理部门必须为建立和维持信息安全管理体系,协调相关活
动,并承担如下职责:
1.调整并制定所有必要的信息安全管理规程、制度以及实施指南等;
2.提议并配合执行信息安全相关的实施方法和程序,如风险评估、资产分级分类方法等;
3.主动采取部门内的信息安全措施,如安全意识培训及教育等;
4.配合执行新系统或服务的特殊信息安全措施;
5.审查对信息安全策略的遵循性;
6.审查、监控、协调对信息安全相关事件的评估和响应;
7.配合并参与安全评估事项;
8.根据信息安全管理体系的要求,定期向上级主管领导和信息安全领导小组报告。
六、术语表及其定义
可用性-确保当请求者需要时信息和关键服务可用。
可审计性-能确定行为责任的能力。
机密性-保护敏感信息免受非授权泄露或明文被中途拦截。
数据-为适用于人们或自动处理方式进行交流、阐述或处理而采用形式化方法表示的事件、概念或指令。
信息-依据数据通常表达的意思,当前赋予数据的意义。
信息安全-信息的机密性、完整性和可用性的保护。
信息安全管理-规定机制,使信息安全得以执行。
信息系统-人、硬件设备、系统软件、应用软件和使用或处理的数据(或信息)的一组组合。
完整性-确保信息和计算机软件的精确和完整。
安全事件-任何已经发生的或可能发生导致组织安全受到损害的事件,或是违反组织安全程序的行为。
用户-利用信息技术的个人或组织。
