第一章 总则

第一条 为了加强信息安全管理体系如何有效及明确地界定体系内的组织结构及成员的职责和义务，确保信息安全管理体系能有效运行，特制定本文件。

第二章 适用范围

第二条 本文件适用于武汉学院所有信息安全管理体系范围的部门和个人。

第三章 组织结构

第三条 信息安全管理组织结构图如下：

第四章 组织职责

第四条 网络安全与信息化领导小组是武汉学院信息安全工作最高管理机构，由管理层及各部门负责人组成，主要职责：

(一) 负责协调信息安全管理体系的推行、资源分配、重要决策并维持体系的运行，致力改善信息系统的管理流程，改进其应对安全事件和保持业务持续性的能力。

(二) 直接参与信息安全管理、业务连续性计划改善的决策，以保护信息安全、保证业务可持续发展为主要目标，落实信息安全、业务连续性管理方案，贯彻信息安全策略，从而确保信息安全管理体系的有效推行。

(三) 监督信息安全管理体系的运作，检讨信息安全策略的有效性和实用性，审批安全改善计划，提供信息安全资源保证。

(四) 定期对信息安全管理体系进行评审。

(五) 负责整个信息安全管理体系的制定、运行及改善的评审工作。

(六) 网络安全与信息化领导小组的组成:

组  长：李忠云、陈祖亮

副组长：周承早

成  员：信息中心，人事处，财务资产处，教务处，学工，科研，后勤，图书馆负责人

信息安全主管领导：周承早

信息安全管理机构：信息中心

信息安全专职管理员：肖磊

第五条 信息中心是信息安全工作具体执行机构，主要职责：

(一) 负责信息安全管理体系的具体建立、实施、维护及改善工作。

(二) 信息安全工作进行规划和执行，确保信息安全风险评估和管理工作能够落实。

(三) 负责受理业务部门需求并提出建议方案。

(四) 负责信息安全管理和技术控制的选型设计、方案评审、执行实施，建立新信息处理设施的管理程序。

(五) 负责信息安全策略、标准、流程和制度的编写、审核及推广，负责具体执行和落实各项策略要求和控制措施。

(六) 负责按照信息系统既定程序来响应并处理信息安全事件。

(七) 指定专人负责内部安全审核，实施独立审核，协助外部第二方/第三方审核，确保信息安全管理体系各项控制及组成部分按照策略要求运行良好，确保信息安全管理体系的完整性、符合性和有效性。

(八) 及时向武汉学院和上级有关部门、单位报告信息安全事件。

(九) 跟踪先进的信息安全技术，组织信息安全知识的培训和宣传工作。

(十) 审定公司网络与信息系统的安全应急策略及应急预案；

(十一) 决定相应应急预案的启动，负责现场指挥，并组织相关人员排除故障，恢复系统；

(十二) 每年组织对信息安全应急策略和应急预案进行测试和演练。

(十三) 建立与内部/外部专家、权威机构、合作伙伴之间的沟通渠道。

第五章 成员职责

第六条 信息系统负责人，主要职责：

(一) 应定期或不定期对安全管理制度进行检查和审定，对存在不足或需要改进的安全管理制度进行修订。

(二) 按照信息安全策略协调相关人员具体实施信息安全管理工作。

(三) 负责向网络安全与信息化领导小组汇报信息安全现状及信息安全整改建议。

(四) 负责维护和完善信息安全保障体系，并据此制定信息安全管理制度。

(五) 参与信息系统相关的新工程建设和新业务开展的方案论证，并提出安全方面的相应建议。

(六) 协调组织在信息系统相关的工程验收时，对信息安全方面的验收测试方案进行审查并参与验收。

第七条 安全管理员，主要职责：

(一) 负责信息安全相关工作的具体实施和有关信息安全问题的处理。

(二) 根据信息安全需求，定期提出信息安全整改意见进行上报。

(三) 根据信息安全事件的处理情况和信息安全检测的结果，协调组织编制信息安全状况相关报告。

(四) 协调组织系统安全检查，并根据检查结果进行改善。

(五) 指导和监督相关系统管理及普通用户的与安全相关的工作。

第八条 网络管理员，主要职责：

(一) 自己或协同维护商，对网络设备进行安全配置，修补已发现的漏洞。

(二) 进行网络的集中实时监控、网络的连通性检测、网络传输质量监测、路由器的路由表监控和检查。

(三) 对网络设备的用户、口令的安全性进行管理，参照相应规定对网络设备登录用户进行监测和分析。

(四) 负责所管理网络设备的用户账号管理，为不同的用户建立相应的账号，根据对网络设备安装、配置、升级和管理的需要为用户设置相应的级别，并对各个级别用户能够使用的命令进行限制。

(五) 在所管理网络设备上发现可能与网络安全有关的可疑现象时及时向信息安全管理员报告，并协助信息安全管理员进行问题的诊断。

(六) 对关键网络配置文件的备份操作。

第九条 系统管理员，主要职责：

(一) 协同维护商对操作系统依据相关安全规范进行安全配置，修补已发现的漏洞。

(二) 所有的由操作系统厂商推荐的安全补丁要及时执行。

(三) 负责所管理主机系统的用户账号管理，对系统中所有的用户（包括超级权限用户和普通用户）进行登记；对操作系统的用户、口令的安全性进行管理。

(四) 监控和及时发现安全事件和故障及时上报。

(五) 在所管理主机系统上发现可能与网络安全有关的可疑现象时及时向信息安全管理员报告，并协助信息安全管理员进行问题的诊断。

第十条 外部运维人员，主要职责：

(一) 配合安全管理部门制订安全运维操作流程，并认真执行。

(二) 在需求分析与设计阶段要充分考虑安全需求，包括认证、用户权限控制、操作审计、加密等技术措施。

(三) 负责在系统开发建设中，严格执行系统安全策略，保证系统安全功能的准确实现；

(四) 系统投产运行前，完整移交系统相关的安全策略等资料；

(五) 不得对系统设置非法的管理接口；

第十一条 资产管理员，主要职责：

(一) 负责信息系统资产库的维护。

(二) 负责信息系统设备出入库、维修等管理。

(三) 负责信息系统存储介质的管理。

第十二条 数据库管理员，主要职责：

(一) 负责应用系统数据库保证系统的正常稳定运行。

(二) 数据备份策略的制定和数据备份的检查。

第六章 工作流程

第十三条 信息中心需要定期向网络安全与信息化领导小组反映信息安全管理体系的运作情况。

第十四条 网络安全与信息化领导小组通过信息中心提交的报告，针对于信息安全管理体系运作的情况以及可能出现的问题，进行讨论做出决策。

第十五条 网络安全与信息化领导小组根据会议决策的结果，进行具体的实施计划工作，组织安排相关人员开展实施。

第七章 持续改进

第十六条 为了保证本文件的时效性、可行性，必须根据相关审核规定进行评审和修订，修订后重新发布。

第八章 附则

第十七条 本文件由武汉学院负责制定、解释和修改。

第十八条 本文件自发布之日起执行。