高校信息化安全管理方案

　　評論：　 ? 收藏本頁

　　2. 管理層：組建安全工作小組作為信息化安全工作的執行機構，工作小組由信息化相關部門領導及專業技術人員和部分管理人員組成。

　　3. 運營層：完善系統運營各崗位人員的工作職責，包括機房管理員、網絡及服務器管理員、數據庫管理員和信息系統管理員。

　　4. 應用層：進一步明確應用層各院系、部門及用戶的安全責任，與各院系、部門簽訂安全責任書，同時明確各院系、部門信息員的日常信息安全工作職責，使其成為信息安全工作的基礎支持隊伍。

形成文件化的信息安全整體策略

　　早在2008年，學校就著手組織制定《上海財經大學信息系統安全管理辦法》、《上海財經大學信息系統建設管理辦法》和《上海財經大學信息系統運行維護管理辦法》，從場地與設施安全管理、設備安全管理、系統安全管理、信息安全管理、建設安全管理、運行維護安全管理和技術文檔安全管理7 個方面詳細制定安全管理規定，并明確系統建設和系統運維過程中相關人員的工作流程和操作規范，為全校的信息系統安全管理提供依據。

　　2009年至2010年，針對信息安全問題突發性強的特點，為建立健全應急工作機制，提高信息系統安全突發事件的組織指揮和應急處置能力，最大限度地減輕突發事件造成的損失，學校完成《上海財經大學信息系統安全應急預案》的制定，并在IT部門建立起突發事件應急響應工作機制。與此同時，為加強日常防控來減少突發事件的發生，學校IT部門制定《運行維護工作條例》對硬件維護、操作系統維護、數據庫維護和應用系統維護的各個環節的工作流程和操作規程進行更加詳細的規定，并在工作中增加安全監控、安全檢測、安全策略優化、安全審計等環節加強對信息系統的安全防護。

　　2010年初，為明確和建立學校的信息安全策略，為各部門制定操作規范和開展安全工作提供指導，學校制定《上海財經大學網絡信息系統安全管理整體方案》，從信息安全組織體系、管理體系和技術體系3個層次，詳細描述管理策略以及技術手段。該方案的出臺極大地推動IT部門管理制度的完善和技術改進，同時也促進各院系、部門內部安全管理的強化和人員安全意識的提高。

　　強化安全管理

　　信息安全是一項長期的工作，必須將其納入信息系統的日常管理中常抓不懈，防患于未然。信息系統質量的內涵，除了系統功能和性能滿足業務要求外，與信息系統安全有關的系統安全性、可靠性、可用性也是系統質量控制的范疇。主要采取的管理措施如下：

　　1. 增加建設過程中的評審環節

　　在項目設計、開發階段成果接近完成時，由項目組會同相關業務部門共同組織技術評審，包括對系統安全性的審查。評審以項目前期形成的方案、文檔及學校的相關標準和規范為依據，對該階段形成的方案、技術文檔及系統進行審查、確認等工作，并形成評審結論。

　　2. 進行內部測試和第三方測試

　　在項目驗收前，除了由項目內部和業務部門參與的集成測試外，聘請專業的第三方測試機構進行測試。

　　3. 安全檢測與審計雙管齊下，全方位監控安全事件

　　對應用系統和服務器進行每三個月一次的定期安全檢測，有效消除潛在的安全隱患;定期進行應用系統的安全審計、數據庫的安全審計、服務器的安全審計、配置管理的安全審計等，避免越權操作及數據泄漏事件的發生。

　　4. 建立突發事件應急響應機制

　　基于《上海財經大學信息安全應急預案》，建立突發事件的應急響應機制，落實信息系統的服務級別管理，實行應急預案演練制度，建立預案庫，在突發事件發生后形成處置報告，分析原因，改進工作。

　　5. 加強安全意識宣傳與教育

　　我們可以面向全校師生員工組織一系列的信息安全宣傳和教育活動，包括組織面向學生和教師的信息安全知識競賽活動，開展信息安全意識培訓等，提高人員的安全防范意識，發揮人在信息安全對策中的主體作用。