无标题文档

上海大学信息安全总体方针

文件名称

上海大学信息安全总体方针

版本:1.0

修订历史

版次

修订内容

修订人

日期

1.0

新版发行

朱文浩

2017年11月15日

       
       
       
       
       
       
       
       

制作签核

拟定人

日期

审核人

日期

       

 

 


上海大学信息安全方针

第一章总则

第一条为落实"监管、创新、培育、服务"的企业宗旨,推进信息基础设施、应用系统和业务信息的使用、开发和维护已成为核心业务活动的重要组成部分,信息技术已深入到上海大学(以下称为「本校」)日常业务运行与管理工作的各个层面。为保障本校业务的正常持续运行,保护信息资产的安全,制定本方针。

第二条本方针旨在为本校的信息安全管理实践提供清晰的策略方向,阐明信息安全建设和管理的重要原则,为本校的信息安全管理工作提供指引与支持,并达到"系统、科学、连贯、主动"的风险驾驭状态。

第三条除非特别说明,本方针的管理对象包括本校拥有、控制、管理和使用的所有硬件、软件、信息、服务、人员和无形资产等信息资产。本方针的适用对象主要包括与以上信息资产相关的本校所有部门,以及与本校有关的集成商、软件开发商、产品提供商、商业合作伙伴和其他第三方机构或人员。

第二章管理层承诺

第四条信息化工作办公室(以下称为「信息办」)分管领导认识到信息安全是本校日常业务与管理工作中的重要内容,通过制定与批准本方针,承诺对本校的信息安全工作提供一切必要支持,以保护本校信息资产的安全。

第三章信息安全方针

第五条信息办是本校信息安全管理机构,由信息办分管领导担任组长,信息办安全员及各系统管理员为组员。信息办主要职责为:

1) 制定并批准本校信息安全方针,为安全管理工作的启动和维持提供明确目标,并根据本校发展需要,及时对信息安全方针和目标进行调整,保证与信息安全管理体系的适宜性,以及与运维中心IT服务管理体系的相容性。

2) 定期评审信息安全方针执行的有效性,检查体系运行的充分性和有效性。

3) 审议并批准信息安全管理的总体策略,以及适用于本校的安全规范制度。

4) 审议信息安全风险管理总体规划,明确风险接受准则。

5) 审议重大信息安全事件处置措施。

6) 协调各部门、各流程中信息安全控制措施的实施,消除争议。

7) 评审外部安全专家提出的安全改进建议。

第六条本方针的适用对象必须遵守国家有关信息安全的法律、法规、上级主管部门及行业内的相关规定和要求,以及本校的有关规定。

第七条本校建立有效的信息安全管理体系,定义信息资产的安全需求,持续进行信息资产的风险评估,建立并完善信息安全保护策略和程序,使本校拥有可控的风险管理架构、方法和保障落实机制,确保本校在不断变化的信息安全风险环境中,始终能够通过科学的方法和持续的改进来增强本校抵抗风险的能力。

第八条本校员工、承包方和第三方人员必须接受必要的信息安全教育与培训,充分理解本校制订的信息安全管理规定,明确在保护本校信息资产安全过程中所应担当的角色和责任。

第九条根据"谁主管,谁负责;谁运行,谁负责"的原则,建立信息安全绩效考核体系。对于违反信息安全规定人员,将按有关规定进行处理。

第十条本校信息安全方针可概括为"保护信息资产安全,保障业务持续运行","信息安全,人人有责"。

第四章信息安全管理原则

第十一条本校的信息安全管理推行治理原则、管理与技术并重原则和PDCA("Plan:规划"—"Do:实施"—"Check:检查"—"Act:处置")动态循环管理原则。

(一)治理原则:信息安全管理要符合本校的治理原则。信息安全决策及日常管理措施必须由信息办分管领导来决定。

(二)管理与技术并重原则:信息安全不是单纯的技术问题,在采用安全技术和产品的同时,重视采取有效的管理措施,不断积累完善针对实际情况的各类安全管理策略、规章制度,全面提高信息安全管理水平,达到成本效益最优目标。

(三) PDCA动态循环管理原则:对信息与信息系统的建设、运行、维护、废止的全过程进行信息安全管理;在对信息资产的管理上遵循PDCA动态循环管理原则,针对本校内外部业务环境及技术条件的变化情况,进行周期性的风险评估,根据风险状况及时调整信息安全管理策略和方法。

第五章信息安全方针的评审

第十二条信息安全方针需要根据经营环境、业务内容和技术状况的变化情况,进行定期评审(一年一次)或不定期评审(当发生了较大的安全事故或经历较大的变革时),并根据实际情况进行修订,以适应当前最新的信息安全需要。

第十三条信息安全方针的变更由信息办提出,经信息办分管领导审批后发布。

第十四条本校将通过纸质文件或电子文件方式向本校工作人员发布本方针的最新版本及相关信息。

第六章信息安全方针的执行

第十五条信息办分管领导负责向本校的员工、相关供应商宣传、贯彻和落实执行本方针。

第七章附则

第十六条本方针由信息办负责解释。

第十七条本方针自发布之日起施行。

上一条:上海大学DDOS应急预案

下一条:上海大学网络系统安全策略