一、总则

1、本体系用于指导和规范丽江师范高等专科学校管辖范围的信息安全建设。

二、规范性引用文件

本文参考的国家信息安全政策法规、信息安全标准相关规范。

《2006-2020年国家信息化发展战略》（中办发[2006]11号）

《信息安全等级保护管理办法》（公通字 [2007]43号）

《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239-2008）

《信息安全风险评估规范》 （GB/T 20984-2007）

《信息安全管理体系规范》 （ISO 27001）

《信息系统通用安全技术要求》（GB/T20271）

《网络基础安全技术要求》（GB/T20270）

《操作系统安全技术要求》（GB/T20272）

《数据库管理系统安全技术要求》（GB/T20273）

《终端计算机系统安全等级技术要求》（GA/T671）

《信息系统安全管理要求》（GB/T20269）

三、术语和定义

1、计算环境

计算环境是按照一定的应用目标和规则组合而成的信息系统，一般由完成信息处理与存储的主机、操作系统、数据库管理系统、外部设备及其联接部件组成，计算环境是指丽江师范高等专科学校网络内的各类信息系统。

四、职责

岗位与职责详见5.6.8信息安全角色与职责要求。

五、管理内容和方法

（一）总体安全目标

建立、完善与信息化发展相适应的全省一体化、管理规范化、技术标准化的全过程信息安全防护体系，坚持信息安全防护与信息化建设并重，坚持信息安全与信息化建设同步规划、同步建设、同步投入运行，坚持管理与技术并重，全面支撑信息化发展，持续健全信息安全组织，以业务信息安全保障为核心，确保系统服务安全，保证网络及基础设施稳定正常，有效防范和控制信息安全风险，增强信息系统安全预警和应急处置能力，健全信息安全培训机制，具备全方位的、主动的、纵深的安全防护能力，保证网络与信息系统安全可靠，整体信息安全水平达到国内领先水平。

1、信息安全组织体系建设

健全信息安全组织体系，包括丽江师范高等专科学校的信息安全组织及职责、应急响应组织及职责，明确丽江师范高等专科学校、信息安全角色及职责。通过管理机构的岗位设置、人员的分工以及各种资源的配备，为信息系统的安全管理提供组织上的保障。

本项建设内容包括的信息安全组织及职责、应急响应组织及职责、信息安全角色及职责。

2、信息安全管理体系建设

健全信息安全管理体系，建立安全规划与资产管理、安全运行保障与安全审计并重的机制，建设或修订丽江师范高等专科学校的信息安全管理制度、人员安全管理制度、系统建设管理制度、系统运维管理制度，满足人员管理、系统建设、系统运维等各个阶段和环节的行为规范和操作规程，通过制度化、规范化的流程和行为，来保证各项管理工作的一致性。

本项建设内容包括信息安全管理制度、人员安全管理制度、系统建设管理制度、系统运维管理制度的制定或修订。

3、信息安全技术标准体系建设

在遵循国家的信息安全政策法规及相关技术标准规范下，健全丽江师范高等专科学校信息安全技术标准体系，保证丽江师范高等专科学校信息安全技术标准体系的可用性、可行性，满足丽江师范高等专科学校信息安全防护体系建设要求。

本项建设内容包括国际标准或国家标准引用、国家标准制定或修订。

4、信息安全服务与培训建设

组织落实全省信息安全服务，定期开展风险评估与安全加固工作；深化信息安全等级保护工作，按照国家等级保护制度要求，做好信息系统等级保护的定级备案、差距测评、安全整改、验收测评、年度测评等各项工作；建立全网信息安全培训机制，包括全员安全教育与宣传、技术人员专业培训、信息安全资质认证，开展培训教育的量化考核，逐步推广持证上岗，建立可持续的信息安全专业队伍，全面提升丽江师范高等专科学校的整体信息安全水平。

本项建设内容包括风险评估与安全加固、信息安全等级保护工作、全员信息安全教育与宣传、信息安全技术人员培训与认证。

5、信息安全防护建设

通过网络安全防护优化、数据安全防护、应用安全防护、终端安全管理系统、IT集中运行监控平台、统一用户管理、统一权限管理、统一责任认定系统等一系列安全措施的建设，完善信息安全防护体系，并根据信息化水平的提高和对安全需求的扩充增加新的信息安全建设内容。

（二）安全方针

1、组织与体制

设立信息安全组织来领导和主要执行信息安全各项工作，实现自上而下的安全管理和自下而上的风险反馈；

2、信息资产分类与管理

梳理信息资产，确保信息资产得到妥善保护，以符合信息的保密性，完整性和可用性需求；

3、培训与教育

建立员工安全培训计划，增强全员信息安全意识；

4、物理安全

加强工作环境的安全管理，严格执行人员进出和对重要区域的管理制度；

5、设备安全

定义信息处理设施，并实施完整可控的管理授权过程；

6、定期评估

定期识别和评估面临的信息安全风险，并采取恰当措施予以处理；

7、全生命周期管理

做好信息系统生命周期各阶段的安全控制；

8、第三方安全管理

识别来自第三方的风险，确保第三方访问或责任外包的安全控制；

9、恶意代码防护

防范病毒与各种恶意软件的入侵；

10、信息备份

对重要信息进行备份保护，确保信息的可用性；

11、网络安全管理

控制对内外部网络服务的访问，保护网络化服务的安全性与可靠性，防止重要信息泄漏；

12、访问控制

对用户口令和权限进行严格管理，防止对系统的非授权访问；

13、安全事件管理

采取有效的安全事件管理机制，明确安全责任，建立对信息安全事件的报告及响应流程；

14、业务连续性

实施信息安全应急预案，保障业务连续运行，降低重大故障和灾难对业务的影响；

15、符合性控制

遵守各项法律法规要求，利用法律法规来保护丽江师范高等专科学校、利益；

16、监督与审核

建立有效的审核机制，加强对信息安全各项工作的监督与审核。

（三）信息安全使命

随着信息化的全面推进，经济和社会对信息的依赖程度迅速增加，保障信息安全的任务越来越凸显重要。在十六届四中全会通过的《关于加强党的执政能力的决议》中，将信息安全与政治安全、经济安全、文化安全并列为四大主题之一，信息安全已成为国家安全的重要组成部分。中共中央办公厅、国务院办公厅印发《2006-2020年国家信息化发展战略》指出“到2020年，国家信息安全保障水平大幅提高”和“全面加强国家信息安全保障体系，大力增强国家信息安全保障能力”，是我国信息化发展的战略目标和战略重点。

作为国家事业单位，丽江师范高等专科学校应坚持信息安全防护与信息化建设并重，坚持信息安全与信息化建设同步规划、同步建设、同步投入运行，坚持管理与技术并重，全面支撑信息化发展，持续健全信息安全组织，以业务信息安全保障为核心，确保系统服务安全，保证网络及基础设施稳定正常，有效防范和控制信息安全风险，增强信息系统安全预警和应急处置能力，健全信息安全培训机制，具备全方位的、主动的、纵深的安全防护能力，保证网络与信息系统安全可靠，整体信息安全水平达到国内领先水平。因此，丽江师范高等专科学校信息安全应着眼于：

确保国民经济发展

确保社会和谐稳定

确保以服务社会公众为中心，解决经济社会重大问题和突出矛盾的目标得以实现

（四）安全建设的指导思想

丽江师范高等专科学校信息安全建设的指导思想是：按照科学发展观的要求，全面落实《2006-2020年国家信息化发展战略》、工信部《国家“十二五”规划》中提出的“保证信息安全，以安全保发展，在发展中求安全”，坚持信息安全保障与信息化建设并重，坚持信息安全与信息化建设“三同步”，即同步规划、同步建设、同步投入运行，坚持管理与技术并重，从管理体系、风险控制、基础设施和运行服务等方面入手，不断提高信息安全综合防护能力，确保丽江师范高等专科学校网络与信息系统的安全运行。

1、统筹规划，分步实施

依据丽江师范高等专科学校信息化规划，统筹规划信息安全，按照信息系统建设的先后次序，制订信息安全年度建设计划，分步实施。

2、综合防范、安全可控

坚持管理与技术并重，建立安全策略、安全组织、安全管理、安全技术的综合防范机制，强化运行管理手段，规范信息安全评估，完善信息系统应急机制，确保整体信息安全的可控性，保障信息系统的整体安全。

3、分区分域、等级保护

依据信息系统的系统服务安全性和业务信息安全性，确定信息系统的安全保护等级，科学划分安全域。参照国家等级保护基本要求，实现不同安全保护等级、业务类型的差异化安全防护措施，提高信息安全保障的可控性和实效性。

4、滚动发展，长抓不懈

信息安全是一个动态的、复杂的长期过程，要形成安全防护长效机制，本着信息化发展中解决信息安全问题，以信息安全保证信息化发展，从管理体系、风险控制、基础设施和运行服务等方面入手，不断提高信息系统安全综合防护，确保丽江师范高等专科学校网络和信息系统的安全运行。

（五）安全体系的设计原则

丽江师范高等专科学校信息安全保障体系设计遵循以下原则：

1、整体性：从丽江师范高等专科学校的整体出发、全面考虑各个方面的安全问题，综合运用技术手段和管理手段进行安全防护。

2、合规性：符合国家信息安全保障体系的总体要求，符合国家信息安全等级保护和国家密码管理等相关制度、标准的要求。

3、针对性：根据丽江师范高等专科学校的组织结构特点、网络特点和业务特点，有针对性地提供安全防护措施，对信息系统进行有效、适度的防护。

4、可持续性：满足信息系统全生命周期管理的安全保障要求。

5、可实施性：符合丽江师范高等专科学校业务特性和安全现状，提供可行的实施方案与规划。

6、先进性：安全体系的设计要具有一定的前瞻性，要考虑安全技术的发展趋势，满足业务未来发展的需求。

（六）安全组织要求

1、信息安全组织机构要求

信息安全组织的健全需要明确组织机构模型，丽江师范高等专科学校信息安全机构模型包括信息安全领导小组和信息安全工作小组，如图所示。

图 丽江师范高等专科学校信息安全组织机构模型

2、信息安全领导小组

丽江师范高等专科学校成立相应的信息安全领导小组。

信息安全领导小组是本单位信息安全工作的最高决策机构，负责审定、发布的信息安全战略，确定信息安全的发展思路，负责推动整体信息安全的规划与建设，建立、管理信息安全组织机构，对本单位整体信息安全负责。

信息安全领导小组在单位内部对信息安全战略、安全管理制度的制定和执行起着关键的作用，其主要职责包括：

（1）统一领导本单位的网络与信息安全监督管理工作；

（2）负责与本单位高层领导沟通信息安全管理；

（3）组织落实上级网络与信息安全工作的方针、政策和各项重大部署；

（4）组织审定本单位网络与信息安全的发展战略、总体规划、重大政策、管理规范和技术标准；

（5）协调上下级单位、各业务部门间的信息安全工作。

3、信息安全工作小组

丽江师范高等专科学校成立相应的信息安全工作小组。

信息安全工作小组是本单位信息安全工作的执行机构，执行本单位信息安全领导小组的决策，负责本单位信息安全的具体业务管理与日常管理工作，向信息安全领导小组汇报信息安全工作。

信息安全工作小组对信息安全战略、安全管理制度的落实起着重要的作用，其主要职责包括：

（1）执行信息安全领导小组的决策；

（2）传达上级领导的指示，落实信息安全领导小组的议定事项；

（3）负责本单位网络与信息安全监督管理的日常工作；

（4）研究提出本单位网络与信息安全的发展战略、总体规划、重大政策、管理规范和技术标准；

（5）组织编制本单位网络与信息安全重大突发事件应急预案，并督促落实。

4、信息安全组织要求

根据信息安全组织机构模型要求，建立适应丽江师范高等专科学校的两层安全组织结构，分别为丽江师范高等专科学校安全组织机构、下级单位安全组织机构，如图所示：

图 丽江师范高等专科学校层安全组织结构体系

5、丽江师范高等专科学校安全组织机构要求

丽江师范高等专科学校角色配置要求如下：

（1）丽江师范高等专科学校成立信息安全领导小组，承担本单位信息安全领导小组职责；

（2）丽江师范高等专科学校成立信息安全组织机构，承担本单位信息安全工作小组职责。

丽江师范高等专科学校安全管理员、系统管理员、网络管理员，要求如下：

（1）安全管理员不能兼任网络管理员、系统管理员、应用管理员等；

（2）网络管理员、应用管理员，原则上，不能相互兼职。

6、下级单位要求

下级单位安全组织机构及角色配置要求如下：

（1）下级单位信息安全领导小组，承担本单位信息安全领导小组职责；

（2）下级单位信息安全组织机构，承担本单位信息安全工作小组职责。

下级单位安全组织机构配备一定数量的安全管理员、系统管理员、网络管理员等，要求安全组织机构配备专职安全管理员。原则上，不能兼任网络管理员、系统管理员、应用管理员等；

（2）下级单位安全组织机构配备系统管理员、网络管理员，不能相互兼职。

7、信息安全角色与职责要求

在信息安全工作小组的管理下，信息安全专业团队核心分别为安全管理角色、系统管理角色、网络管理角色、应用管理角色，如图所示：

图 丽江师范高等专科学校安全角色定义

8、安全管理角色

安全管理角色也是信息安全主管，在信息安全工作小组的授权下，具体负责整个信息系统信息安全管理的各项工作，并直接向信息安全工作小组汇报工作。其主要职责包括：

（1）设计信息安全方针、安全管理制度、信息安全技术规范；

（2）落实开展信息安全教育培训工作；

（3）帮助信息系统业务负责人制定相关的信息安全策略；

（4）指导并参与信息安全项目的建设；

（5）指导信息化项目中信息安全的需求分析、设计和测试等工作。

9、系统管理角色

系统管理角色是信息安全运行角色之一，负责操作系统、数据库等系统的安全运维和监管。其主要职责包括：

（1）设计操作系统、数据库等系统的安全管理制度、安全策略及配置；

（2）负责操作系统维护管理；

（3）负责操作系统、数据库等系统的安全运行监控，包括升级、加固、漏洞扫描、日志审计等；

（4）负责操作系统、数据库等系统的应急处置；

（5）定期提交操作系统、数据库等系统安全运行报告。

10、网络管理角色

网络管理角色是信息安全运行角色之一，负责网络设备的安全运维和监管，其主要职责包括：

（1）负责网络规划与调整，设计网络设备的安全配置和安全策略；

（2）负责网络设备的日常运维管理；

（3）负责网络设备的安全运行监控，包括脆弱性分析研究、日志审计；

（4）负责网络设备的应急处置；

（5）定期提交网络设备安全运行报告。

11、应用管理角色

应用管理角色是信息安全运行角色之一，负责应用系统的安全运维和监管，其主要职责包括：

（1）设计应用系统安全管理制度；

（2）负责应用系统日常运维管理

（3）负责应用系统的安全运行监控，包括升级、日志审计等；

（4）负责应用系统的应急处置；

（5）定期提交应用系统安全运行报告。

（七）安全管理要求

1、丽江师范高等专科学校安全管理框架

丽江师范高等专科学校信息安全管理框架如图所示，主要包括安全管理机构与制度、安全技术标准与规范等方面内容。

丽江师范高等专科学校信息安全管理框架

丽江师范高等专科学校、下级单位应根据丽江师范高等专科学校安全管理框架的要求建立与本单位实际情况相适应的安全管理制度及安全技术规范，并进行正式的发布与实施。

2、安全技术标准

丽江师范高等专科学校将安全技术标准分为三类：

直接引用国际标准或国家标准与规范；

国家省标准或规范；

丽江师范高等专科学校自行制定标准或规范。

3、安全制度管理要求

①安全管理制度的制定与评审

（1）形成由安全方针、安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系；

（2）制定信息安全工作的总体方针、政策性文件和安全策略等，说明机构安全工作的总体目标、范围、方针、原则、责任等；

丽江师范高等专科学校的各类管理内容建立安全管理制度，以规范安全管理活动，约束人员的行为方式；

（4）对安全管理人员或操作人员执行的日常管理操作丽江师范高等专科学校操作行为，防止操作失误；

（5）由安全管理机构定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定；

（6）定期对安全管理制度进行评审和修订。

②安全活动的授权和审批

（1）授权相关部丽江师范高等专科学校规定须审批的事项、审批部门和批准人；

（2）建立各审批事项的审批程序或审批流程，按照审批程序或流程执行审批过程；对关键活动建议丽江师范高等专科学校

4、沟通和合作

（1）加强各类管理人员和组织内部机构之间的合作与沟通，定期召开协调会议，共同协助处理信息安全问题；

（2）加强与兄弟单位等外部单位的合作与沟通，以便在发生安全事件时能够得到及时的支持；

（3）加强与供应商、业界专家、专业安全单位、安全组织的合作与沟通，获取信息安全的最新发展动态，当发生紧急事件的时候能够及时得到支持和帮助；

（4）聘请信息安全顾问，指导信息安全建设，参与安全规划和安全评审等。

5、审核和检查

（1）制定安全评估规范，并定期开展安全评估工作，全面进行安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略丽江师范高等专科学校的执行情况等；

（2）由安全管理人员进行日常安全检查，检查内容包括用户账号情况、系统漏洞情况、系统审计情况等；

（3）由安全管理机构组织相关人员定期分析、评审异常行为的审计记录，发现可疑行为,形成审计分析报告，并采取必要的应对措施；

（4）汇总本单位安全检查数据，形成安全检查报告并上报。

6、应用系统建设安全要求

①安全方案设计和审核

（1）指定和授权专门的部门对信息系统的安全建设进行总体规划，制定近期和远期的安全建设工作计划；

（2）统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案，并形成配套文件；

（3）组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定；

（4）总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等文件必须经过批准，才能正式实施；

（5）根据安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件。

②安全产品的采购控制

（1）确保安全产品的使用符合国家的有关规定，密码产品的使用符合国家密码主管部门的要求；

（2）指定或授权专门的部门负责产品的采购，制定产品采购方面的管理制度，明确说明采购过程的控制方法和人员行为准则；

（3）预先对产品进行选型测试，确定产品的候选范围，并定期审定和更新候选产品名单。

③自行软件开发的控制

（1）确保开发环境与实际运行环境物理分开，确保开发人员和测试人员的分离，测试数据和测试结果受到控制；

（2）确保系统开发文档由专人负责保管，系统开发文档的使用受到控制，对开发过程的控制方法和人员行为准则做出规定；

（3）确保对程序资源库的修改、更新、发布经过授权和批准。

④外包软件开发的控制

（1）与软件开发单位签订协议，明确知识产权的归属和安全方面的要求以及软件开发单位的保密责任和保密义务；

（2）在软件安装之前检测软件质量、检测软件包中可能存在的恶意代码；

（3）要求开发单位提供技术培训和服务承诺；提供软件设计的相关文档和使用指南。

⑤工程实施过程的管理

（1）与工程实施单位签订与安全相关的协议，约束工程实施单位的行为，明确工程实施单位的保密责任和保密义务；

（2）指定或授权专门的人员或部门负责工程实施过程的管理，对实施过程的控制方法和人员行为准则做出规定；

（3）制定详细的工程实施方案控制实施过程，并要求工程实施单位能规范执行安全工程过程；

⑥测试验收和系统交付

（1）在系统交付前进行安全性测试验收，测试验收过程中详细记录测试验收结果，形成测试验收报告；

（2）委托公正的第三方测试单位对系统进行安全性测试，并出具测试报告，指定或授权专门的部门负责系统测试验收的管理；

（3）组织相关部门和相关人员对系统测试验收报告进行审定；

（4）明确系统的交接手续，并按照交接手续完成交接工作，由系统建设方完成对运维人员的培训；

（5）由系统建设方提交系统建设过程中的文档和指导用户进行系统运行维护的文档；

（6）由系统建设方进行服务承诺，并提交服务承诺书，确保对系统运行维护的支持。

7、安全事件处置

（1）制定安全事件报告和处置管理制度，规定安全事件的现场处理、事件报告和后期恢复的管理职责；

（2）根据国家相关管理部门对计算机安全事件等级划分方法，根据安全事件在本系统产生的影响，将本系统计算机安全事件进行等级划分；

（3）制定安全事件报告和响应处理程序，确定事件的报告流程，响应和处置的范围、程度，以及处理方法等；

（4）在安全事件报告和响应处理过程中，分析和鉴定事件产生的原因，收集证据，记录处理过程，总结经验教训，制定防止再次发生的补救措施，过程形成的所有文件和记录均应妥善保存。

8、安全管理制度实施

丽江师范高等专科学校、根据以上丽江师范高等专科学校安全管理框架提出的要求，结合本单位实际情况，制定相应的安全管理制度及安全技术规范，发布与实施后报送丽江师范高等专科学校备案。

9、安全漏洞管理

丽江师范高等专科学校的安全运行保障部门结合本单位的实际情况，定期跟踪实施相关安全漏洞扫描工作，对发现的漏洞进行分析并制定临时安全措施或漏洞修补计划。

六、附则

1、本文件由丽江师范高等专科学校负责解释。

2、本文件自发布之日起试行。