第一条 总体安全目标:
建立、完善与信息化发展相适应的管理规范化、技术标准化的全过程信息安全防护体系,坚持信息安全防护与信息化建设并重,坚持信息安全与信息化建设同步规划、同步建设、同步投入运行,坚持管理与技术并重,全面支撑信息化发展,持续健全信息安全组织,以业务信息安全保障为核心,确保系统服务安全,保证网络及基础设施稳定正常,有效防范和控制信息安全风险,增强信息系统安全预警和应急处置能力,健全信息安全培训机制,具备全方位的、主动的、纵深的安全防护能力,保证网络与信息系统安全可靠。
第二条 安全方针
(一)组织与体制
设立网络信息中心来领导和主要执行信息安全各项工作,实现自上而下的安全管理和自下而上的风险反馈;
(二)信息资产分类与管理
对信息资产进行梳理,确保信息资产得到妥善保护,以符合信息的保密性,完整性和可用性需求;
(三)人员管理
建立员工安全培训计划,增强全员信息安全意识;
(四)物理安全
加强工作环境的安全管理,严格执行人员进出和对重要区域的管理制度;
(五)设备安全
定义信息处理设施,并实施完整可控的管理授权过程;
(六)恶意代码防护
防范病毒与各种恶意代码的入侵;
(七)信息备份
对重要信息进行备份保护,确保信息的可用性;
(八)网络安全管理
控制对内外部网络服务的访问,保护网络化服务的安全性与可靠性,防止重要信息泄漏;
(九)安全事件管理
采取有效的安全事件管理机制,明确安全责任,建立对信息安全事件的报告及响应流程;
第三条 安全体系的设计原则
西双版纳职业技术学院信息安全保障体系设计遵循以下原则:
(一)整体性:从西双版纳职业技术学院的整体出发、全面考虑各个方面的安全问题,综合运用技术手段和管理手段进行安全防护。
(二)合规性:符合国家信息安全保障体系的总体要求,符合国家信息安全等级保护和国家密码管理等相关制度、标准的要求。
(三)针对性:根据西双版纳职业技术学院的组织结构特点、网络特点和业务特点,有针对性地提供安全防护措施,对信息系统进行有效、适度的防护。
(四)可持续性:满足信息系统全生命周期管理的安全保障要求。
(五)可实施性:符合西双版纳职业技术学院业务特性和安全现状,提供可行的实施方案与规划。
