重庆师范大学网络安全组织架构及岗位职责管理办法
日期:2022年12月12日 15:27

第一章 总则

第一条 为保障重庆师范大学(以下简称“学校”)网络安全工作的有效性实施,明确网络安全职责,特制定本办法。

第二条 本办法适用于学校网络安全管理范围内的所有单位。

第二章 网络安全组织架构

第三条 学校网络安全实行分层分级管理,组织架构包括:重庆师范大学网络安全和信息化委员会(简称“网信委”)、重庆师范大学网络安全和信息化委员会办公室(简称“网信办”)、网络安全重点单位(党政办公室、党委宣传部、信息技术中心)及学校其他各二级单位。

第四条 “网信委”是学校网络安全工作的最高领导决策机构,负责学校网络安全工作的总体规划和重大问题决策。主任由学校校党委书记担任,副主任由校长担任,成员为其他全体校领导。

第五条 “网信办”是“网信委”的下设机构,是学校网络安全工作的主管机构,承办“网信委”的日常事务。“网信办”主任由分管网络安全工作的校领导担任,副主任由重点单位负责人担任,成员包括相关单位主管网络安全工作的负责人。“网信办”下设网络信息安全工作组和信息化建设工作组(数字校园建设工作组、智慧校园建设工作组)。

第六条 网络安全重点单位按职责分工,负责本部门网络安全管理的实施工作,以及所分管工作的安全管理策略及制度的制定和落实。

第七条 校属各二级单位应成立由党组织主要负责人任组长的网络安全和信息化委员会工作组,建立相应工作机制,负责本部门的网络安全与信息化工作。各部门的主要负责人和各学院的党组织主要负责人是网络安全管理的第一责任人,班子其他成员对职责范围内的网络安全工作负领导责任。

第三章 网络安全组织职责

第一节 网络安全和信息化委员会

第八条 “网信委”的网络安全职责

(一)贯彻落实国家、教育部、重庆市和区教委网络安全工作的方针、政策;

(二)研究制定学校网络安全发展规划,审定学校重大网络安全项目的建设和实施方案;

(三)负责学校网络安全和信息化方面工作的领导决策、制度审批、重大问题处理;

(四)审定网络安全项目预算资金。

第二节 网络安全和信息化委员会办公室

第九条 “网信办”的网络安全职责

(一)组织落实“网信委”在网络安全方面的决策;

(二)组织制定和实施学校网络安全策略和管理制度;建立健全网络安全管理、网络安全保密、网络安全检查、网络安全情况报告和网络安全应急处置等制度;

(三)贯彻落实国家网络安全等级保护制度;

(四)领导编制学校网络安全应急处置预案;

(五)组织对全体工作人员进行网络安全教育,提高职工(尤其是重点岗位工作人员)的网络安全意识和能力;

(六)实行“网信办”例会制。每年定期召开网络安全和信息化工作例会,年初例会研究审定本年度网络安全和信息化重点工作任务和项目建设计划。年末例会主要总结本年网络安全和信息化工作,部署下一年及今后网络安全和信息化建设发展规划和预算;

(七)实行网络安全和信息化工作组专项议事制。有针对性地及时召开工作组会,专项研究论证、协商议决网络安全和信息化的建设项目、规章制度、突发事件等具体工作,为“网信委”和学校提供决策参考。

第三节 网络安全重点单位及其他单位

第十条 党政办公室网络安全职责

(一)执行学校下发的各项网络安全策略;

(二)负责制订适配本部门的安全管理制度与技术规范;

(三)确定重要文档信息的分级、标识机制,制定文档信息分级管理策略;

(四)定期检查各部门文档信息的分级处置情况;

(五)组织实施网络安全内部审核活动。

第十一条 党委宣传部网络安全职责

(一)执行学校下发的各项网络安全策略;

(二)负责制订适配本部门的安全管理制度与技术规范;

(三)负责制订学校网站安全管理制度;

(四)负责学校门户网站内容的安全;

(五)负责对基层网站的内容进行安全监控;

(六)负责学校舆情监控管理工作,对重大舆情事件及时上报学校“网信委”;

(七)负责广播与网络电视平台的内容建设与安全管理;

(八)负责学校图片资源和音视频资源在采集、处理、发布过程中的安全管理工作。

第十二条 信息技术中心(信息化建设与管理办公室)的网络安全职责

(一)执行学校下发的各项网络安全策略;

(二)制定和实施学校网络安全策略和管理制度;

(三)全面落实网络安全保护工作,综合协调相关部门完成网络安全规划、建设、维护、保障工作;

(四)指导、协调和检查网络安全工作,组织落实本单位网络安全等级保护制度,统筹开展学校信息系统风险评估和安全检查工作;

(五)对系统投入运行安全验收、网络系统接入和重要资源的访问等关键活动进行审批;

(六)制定网络、终端、机房、主机、数据、应用系统建设及运行维护等方面的管理制度;

(七)负责网络、终端、机房、主机、数据、应用的安全维护与管理工作;

(八)负责IDC机房及其办公区域的物理环境安全管理;

(九)负责IDC机房及其办公区域硬件设备的维护管理工作,负责专用移动存储介质的发放、回收与销毁;

(十)牵头网络安全事件的处置工作;组织编制和实施网络安全应急预案、应急演练方案;

(十一)开展涉密计算机网络的系统立项、设计和建设,做好信息系统安全与保密检查;(这个是不是应该是党政办的职责)

(十二)负责规范信息系统安全产品的测评和选型工作;

(十三)设置网络安全工作职能科室的安全岗位及各岗位的职责,确定各岗位人员的配备;负责录用人员的安全审查;负责离职人员的安全控制,确保收回资产、撤销访问权。

第十三条 其他校属二级单位网络安全职责

(一)执行学校下发的各项网络安全策略;

(二)负责制订适配本单位的安全管理制度与技术规范;

(三)负责本单位及所属研究所(中心、基地)的网站及信息系统的内容的安全及监控;

(四)配合开展网站及信息系统的网络安全等级测评工作;

(五)协助开展业务应用人员办公计算机安全管理;

(六)对本单位师生员工进行依法安全用网、网络安全和网络法纪的教育及管理;

(七)按照上级要求和学校有关规定进行网络运行安全、网络信息安全和网络意识形态安全的日常巡查和定期与不定期检查,及时报送相关信息,及时消除隐患并处置相关问题。

第四节 岗位与职责

第十四条 网络安全主管岗位职责

(一)设置网络安全工作职能科室的安全岗位及各岗位的职责;确定各岗位人员的配备;管理各岗位人员;

(二)确定信息系统需审批的关键活动,审批科室和批准人;

(三)建立与外单位的沟通、合作机制;主持召开部门间协调会议或安全工作会议;

(四)定期组织人员对信息系统进行安全检查;

(五)定期对安全管理制度进行评审、修订和日常维护;

(六)管理各岗位人员的安全考核、培训和教育;

(七)管理离岗人员访问权限;

(八)管理第三方人员的访问;

(九)管理信息系统定级及测评工作;

(十)组织信息系统安全建设总体规划的制定、实施。

第十五条 安全管理员岗位职责

(一)贯彻执行国家、行政主管部门有关法律、法规、政策和标准,执行学校的各项管理制度;

(二)协调网络安全各部门的工作;

(三)根据系统等级划分统一考虑安全保障体系的总体安全策略、安全技术框架、总体建设规划和详细设计方案等,并对配套文件进行维护;

(四)统筹学校信息系统的运行保障、技术支持和资源调配工作,负责重大活动、节日期间的专项保障工作,协调处置各类网络安全相关的突发事件;

(五)统筹管理各类上级网络安全部门的检查、检测工作;

(六)定期对信息系统进行安全检查,制定安全检查表,形成安全检查报告,对检查结果进行通报;

(七)管理系统安全工作(包括系统安全配置,系统账户、审计日志等);

(八)定期检测系统恶意代码(包括病毒),结合实际情况,对恶意代码库进行升级,并保存记录;

(九)对系统变更进行管理:制定变更方案指导系统执行变更,并保存记录;组织重要系统变更的申报和审批;制定变更失败的恢复程序,按照程序组织恢复演练;

(十)指导应用系统管理员设置符合要求的信息系统密码;

(十一)对第三方人员的访问采取相应控制措施,如书面批准、陪同或监督、记录并备案;

(十二)管理网络外联的授权与批准,定期检查违规联网的行为;

(十三)开展网络安全工作的培训,组织部门员工的基本恶意代码防范意识教育;

(十四)制定不同事件的应急预案,组织系统相关人员进行应急预案培训、演练;定期对应急预案进行审查和更新。

第十六条 网络管理员岗位职责

(一)管理网络安全工作,维护网络运行日志、监控记录和分析处理报警信息等;

(二)根据厂家提供的软件升级版本,结合实际系统实际情况,对网络设备进行升级,升级前对重要文件进行备份;

(三)自己或协同维护商,对网络设备进行安全配置,修补已发现的漏洞;

(四)进行网络的集中实时监控;

(五)对网络设备的用户、口令的安全性进行管理,参照相应规定,对网络设备登录用户进行监测和分析;

(六)负责所管理网络设备的用户账号管理,为不同的用户建立相应的账号,根据对网络设备安装、配置、升级和管理的需要为用户设置相应的级别,并对各个级别用户能够使用的命令进行限制;

(七)在所管理网络设备上发现可能与网络安全有关的可疑现象时及时向网络安全管理员报告,并协助网络安全管理员进行问题的诊断;

(八)对关键网络配置文件的备份操作。

第十七条 系统管理员岗位职责

(一)管理项目实施过程,管理系统测试验收工作,管理系统交付工作;

(二)协同维护商对操作系统依据相关安全规范进行安全配置,修补已发现的漏洞;

(三)所有的由操作系统厂商推荐的安全补丁要及时执行;

(四)负责所管理主机系统的用户账号管理,对系统中所有的用户(包括超级权限用户和普通用户)进行登记;对操作系统的用户、口令的安全性进行管理;

(五)制定主机的操作规程,建立操作日志;

(六)监控和及时发现安全事件和故障及时上报;

(七)在所管理主机系统上发现可能与网络安全有关的可疑现象时及时向网络安全管理员报告,并协助网络安全管理员进行问题的诊断;

(八)根据备份策略定期执行系统和配置备份。

第十八条 应用管理员岗位职责

(一)主要负责在应用系统的日常运行维护中落实应用安全要求;

(二)配合安全人员进行应用系统安全评估或安全审计工作;

(三)在限定的时间内安排完成应用系统的安全整改。

第十九条 数据库管理员岗位职责

(一)负责应用系统数据库保证系统的正常稳定运行;

(二)数据备份策略的制定和数据备份的检查;

(三)识别需要定期备份的业务信息、系统数据;管理数据备份工作:备份方式、频度、介质、保存期等;负责备份及冗余设备的安装、配置和启动工作,记录操作过程并保存;对备份设备的有效性定期维护和检查;定期执行恢复程序,发现问题改进恢复程序或调整其他因素;

(四)负责与数据库提供商保持联系。

第二十条 审计管理员岗位职责

(一)审计信息系统安全策略执行情况;

(二)查看安全审计记录,并记录审查情况;

(三)定期备份安全审计日志,保留周期为一年;

(四)定期检查系统管理员和安全管理员的工作情况,对系统管理员、安全管理员的操作行为进行审计跟踪分析和监督检查,并进行符合性检查,形成审计记录,报送安全主管;

(五)在工作中发现问题应立即报告安全主管。

第二十一条 机房管理员岗位职责

(一)机房安全管理实行由机房管理员统一管理,其他相关人员分工协作的机制;

(二)学校数据中心机房管理员的主管部门为信息技术中心,其他二级单位机房管理员的主管部门为本单位;

(三)负责组织制定、完善计算机机房及其基本设施的管理制度;

(四)机房管理员负责组织实施计算机机房及其基本设施的日常管理和使用维护管理。

第二十二条 资产管理员岗位职责

(一)对资产进行标识管理,不同类别资产采取不同管理措施;

(二)定期维护各类设施、设备;

(三)对设备选用各个环节(如选型、采购、发放等)、设备带离机构、设备使用等进行管理;

(四)根据所承载数据和软件的重要性对介质进行分类和标识管理;

(五)定期检查介质的使用现状、完整性和可用性;

(六)管理介质的存放、带出工作环境、维修和销毁、异地存储等。

第二十三条 资料管理员岗位职责

(一)管理信息系统所有存档的文档资料,包括安全管理制度体系文档、系统定级文档、系统建设开发文档、软件设计相关文档、软件使用指南或操作手册和维护手册、系统运行所产生的文档(责任书、授权书、许可证、各类策略文档、事故报告处理文档、安全配置文档、系统各类日志等)、系统应急预案文档等等;

(二)控制存档文档资料的使用,限制使用人员范围并做使用登记等。

第二十四条 设备维护管理员岗位职责

(一)网络信息设备维护管理的主管部门为信息技术中心;

(二)网络信息设备维护管理的主管负责人是信息技术中心主管信息技术的负责人,设备的具体管理人为设备维护管理员;

(三)设备维护管理员负责设备购置申请、使用、日常维护、运行记录等工作;

(四)设备维护管理员负责设备验收、设备标识、建档和设备投入使用后的监督管理;

(五)系统管理员负责设备的具体操作规程管理;

(六)审计管理员负责主要设备的操作日志管理。

第二十五条 (二级单位)网络信息管理员岗位职责

(一)贯彻执行国家、行政主管部门有关法律、法规、政策和标准,执行学校的各项管理制度;

(二)负责本单位网站及信息系统的内容发布及内容的安全;

(三)负责对单位网站及信息系统的内容安全监控;

(四)负责对本单位网站及信息系统的安全问题及漏洞整改过程进行监督管理。

第二十六条 人员配备要求

(一)建议学校为信息安全管理工作职能科室设置安全主管1人,安全管理员1人,网络管理员2人,系统管理员2人,数据库管理员2人,审计管理员1人,机房管理员2人,设备维护管理员2人,资产管理员1人,资料管理员1人;各二级单位至少设置网络信息管理员1人,并根据需要设置网络安全岗位人员;

(二)各岗位人员是学校具有专业技术能力的正式员工,安全管理员不得兼任其他岗位;

(三)关键岗位,如系统管理员、网络管理员等配备2人或2人以上共同管理,其中设定A、B角;

(四)系统管理员、网络管理员等关键岗位按照A、B角实行定期轮岗,轮岗时交接轮岗手续。

第五节 沟通与合作

第二十七条 应加强各类管理人员之间、组织内部机构之间以及网络安全职能部门内部的合作与沟通。

第二十八条 “网信委”应通过多种方式建立与外部各方的网络安全渠道。必要时聘请网络安全专家,为领导层提供网络安全解决方案、参与安全事故的调查、解答工作中遇到的问题及提供预防性的安全咨询建议等。

第二十九条 “网信委”必须与主管部门或上级部门保持联系。获取主管部门的政策指导,上报学校的情况。

第三十条 建立与相关政府职能部门的沟通机制。

第三十一条 建立与第三方(例如互联网服务提供商或电信运营商)的联系机制,以便当遭受外来攻击时,及时采取措施抵制攻击。

第三十二条 在公众用户访问学校的业务系统之前,必须有解决相关安全问题的策略,策略应包括如下方面:

(一)用户访问和权限的授权过程;

(二)撤消访问权力或中断系统间连接的过程;

(三)监视和撤销与敏感资产有关活动的权利,以在最大程度上保护信息资产的安全。

第四章 附则

第三十三条 本办法由信息化建设与管理办公室制定,并负责解释和修订。

第三十四条 本办法自发布之日起执行。

第三十五条 本办法未尽事宜,依照法律法规和上级文件要求确立的原则处理。