第一章总则

第一条为了切实保障武汉学院信息系统的安全，落实国家领导和信息安全主管部门对于信息安全保障工作的指示和方针政策，结合武汉学院信息系统的特点，特制定本管理规定。

第二章适用范围

第一条本规定适用于武汉学院所有信息系统。

第一条在进行网络与信息系统的安全建设和管理之前，必须进行信息安全风险评估工作，通过信息安全风险评估工作明确安全需求。

第二条信息系统投入运行后，应每年至少进行一次关键业务或关键风险点的信息安全风险评估，每三年或信息系统发生重大变更时，进行一次全面的信息安全风险评估工作。

第三条信息系统风险评估工作应当以武汉学院为主导，可以按照国家对风险评估的要求自行组织风险评估工作，也可以聘请由信息安全主管部门认可的公司和机构进行。

第四条承担信息系统网络与信息安全风险评估工作的公司或机构必须具备国家相关机构颁发的资质证明，具备足够的资金和技术实力，必须签订保密协议。

第五条各级系统应每年定期向其直接上级单位上报信息安全风险评估结果。

第一条武汉学院是信息系统网络与信息安全风险评估工作的管理和协调部门。其职责是：

1. 制定信息系统网络与信息安全风险评估工作的方针、政策、规章制度以及考核标准，制定信息系统网络与信息安全风险评估工作的实施指南。

2. 指导相关部门的信息安全风险评估工作，督促和落实相关部门执行有关管理规定和实施指南，对各级单位信息安全风险评估工作进行监督和检查。

3. 及时掌握信息系统网络与信息安全风险评估工作的执行情况，对系统内共性的重大风险问题，组织协调相关部门尽快处理，并进行总结。

4. 对信息系统网络与信息安全风险评估工作进行评估和审查，负责对各级信息安全风险评估工作进行表彰和处罚。

第二条各信息系统负责部门是信息安全风险评估工作的执行部门，其主要职责是：

1. 认真贯彻执行关于信息系统网络与信息安全风险评估工作的方针、政策、规章、制度及有关的技术标准和实施方案。

2. 依据国家有关法律、法规关于信息系统网络与信息安全风险评估工作的有关规定，结合本单位特点制定必要的实施细则和管理办法。

3. 在本级信息安全主管部门的指导和指挥调度下，对本单位系统进行信息安全风险评估工作，并定期向直接上级单位报告。

4. 对本单位系统运行中的高安全风险，要及时组织处理并报告上级单位获得支持和指导。事后要认真总结，制定防范措施。

第一条为了保证本文件的时效性、可行性，必须根据相关审核规定进行评审和修订，修订后重新发布。

第一条本规定由武汉学院负责制定、解释和修改。

第二条本规定自发布之日起执行。