根据国家网络信息安全等级保护制度相关要求,明确学校网络信息安全管理岗位及职责,特制定本规定。
网络信息安全管理岗位包括信息安全主管、安全管理员、安全审计员、设施管理员、系统管理员及各系部处室安全责任人等相关岗位。
一、信息安全主管由学校信息与教育技术中心领导担任,主要职责包括:
1. 负责网络与信息安全的日常整体协调和管理工作;
2. 负责组织人员制定信息安全管理制度和标准规范;
3. 定期组织分析信息安全总体情况,组织协调处理存在的安全问题;
4. 组织协调开展信息安全教育培训工作;
5. 组织制定信息安全相关岗位的安全职能,提供信息安全关键岗位人员工作绩效考核指标;
6.负责组织重大安全事件的应急响应协调和沟通工作;
7.负责组织协调落实学校网络安全和信息化领导小组安排的其它管理工作。
二、安全管理员由信息与教育技术中心指定人员担任,主要职责包括:
1. 负责执行网络与信息安全日常工作。
2. 信息安全管理制度的编写和更新维护工作;
3. 负责系统、网络和应用安全管理的协调和技术指导;
4. 协调安全策略的落实,并通过风险评估、漏洞扫描等方式分析安全策略的执行情况;
5. 汇总并分析信息安全运行情况,定期编制信息安全现状报告,向信息安全主管报告信息安全整体情况;
6. 负责定期组织进行安全检查,检查内容包括系统日常运行、系统漏洞、系统权限设置及数据备份情况等内容。
7. 负责受理、协调信息安全事件的处理和应急响应工作。
8. 负责安全管理及过程记录文档的收集、归档工作。
三、设施管理员由信息与教育技术中心指定人员担任,主要安全职责包括:
1. 负责机房、网络、主机、存储及安全设备的日常安全运行、维护管理工作;负责包含配电设备、UPS、空调机等设备在内的机房相关设备的日常安全维护管理与操作。
2. 负责系统安全配置、账户管理,落实安全策略,审核信息安全设备可能发生的变更,并保证与安全策略的一致性;
3. 负责定期对基础设施进行安全风险评估及加固,确保系统不存在高危漏洞。
4. 负责机房人员、设备出入管理,并做好相关记录登记。负责具体值班安排及值班日志的归档整理等工作。
5. 负责收集、处理并分析设备的日志告警,形成分析报告;
6. 负责基础设施系统的安全存储和备份,负责编制、更新机房物理设备清单。
7. 负责基础设施设备日常运行、维护管理产生的记录文档收集、整理、归档工作。
8. 及时发现、协调处理、上报基础设施设备或系统安全事件。
9. 负责编写基础设施设备及系统安全报告,就设备或系统运行中所发现问题提出处理意见和建议,并上报信息安全主管。
四、系统管理员由信息与教育技术中心指定人员担任,负责应用系统、中间件、数据库的安全运行管理,主要安全职责包括:
1.遵照信息安全策略协调各应用系统的信息安全技术落实;
2.落实安全策略,审核应用系统可能发生的变更,并保证与安全策略的一致性;
3.依照安全策略对各应该系统进行安全配置和漏洞修复;定期对系统进行安全加固,保持系统漏洞最小化;
4.参与并指导应用系统的安全建设工作;
5.对所管辖业务应用系统的用户权限进行分配和管理,及时清理离岗员工的账号及其他多余、无用的账号。
6.定期对业务数据和系统其他重要数据进行备份、管理和恢复,并定期对备份数据有效性进行测试;
7.负责应用系统软件保存、标识、安装、卸载和升级的统一管理;负责应用系统软件版本管理,应用系统软件备份和恢复管理。
8.及时发现、协调处理、上报应用系统安全事件。
9.负责编写应用系统安全报告,就系统运行中所发现问题提出处理意见和建议,并上报信息安全主管。
五、安全审计员由信息与教育技术中心指定人员担任,负责对信息安全事件及各类操作人员的行为进行审计和监督,主要职责包括:
1.负责安全管理制度、安全职责落实情况的检查、监督和指导;
2.负责安全策略执行情况的审核;
3.负责对安全管理员、基础设施管理员、应用系统管理员等岗位人员的操作行为进行审核;
4.负责关键信息安全设备的日志检查和审核。
5.负责收集、整理、建档及保存与安全审计工作相关的原始调查材料。
6.负责编写安全审计报告,就安全审计中所发现问题提出处理意见和建议,并向上级进行报告。
六、系部处室安全责任人由各系部处室领导指定人员担任,主要职责包括:
1.负责本系部处室的信息安全管理和协调工作;
2.负责组织落实本系部处室的信息安全职责;
3.发现并及时上报本系部处室安全事件。
七、本规定由学校网信办负责解释和修订。
本规定自发布之日起执行。
网络安全和信息化办公室
东莞职业技术学院
2020年10月
